Market Data Forecast мәліметтеріне сәйкес, 2024 жылға қарай әлемдік үлкен деректер нарығы $199,6 млрд. деп бағаланады. Деректер көлемінің өсуімен оларды сақтау мен өңдеу үшін құралдардың қажеттілігі артуда. Allied Market Research есебіне сәйкес, 2023 жылға қарай үлкен деректерді талдау нарығы $0,3 трлн. деп бағаланған, ал 2032 жылға қарай $1,1 трлн. жетеді.
Сәйкесінше, ақпараттық қауіпсіздікке деген қажеттілік те өсуде. Деректердің көлемі артқан сайын, оларды қорғауға арналған ресурстарды да көбейту қажет.
2023 жылы Қазақстанның KZ-CERT компьютерлік инциденттерге жауап беру ұлттық қызметі 34,5 мың инциденттің екі есе өсуін тіркеді. «Лаборатория Касперского» деректеріне сәйкес, әр үшінші қазақстандық ұйым (31%) кибершабуылдардың құрбаны болды.
Kapital.kz бизнес ақпарат орталығының тілшісі Yandex Cloud Қазақстандағы мамандар мен ақпараттық қауіпсіздік бойынша тәуелсіз сарапшы Евгений Питолинге жүгініп, компания ішінде және бұлтта қорғанысты қалай ұйымдастыруға болатынын сұрады.
Деректер көлемінің өсуі ақпараттық қауіпсіздік талаптарына қалай әсер етеді
Yandex Cloud-тың Cloud Trust командасының басшысы Рами Мулейс, деректер көлемінің өсуі Қазақстандағы цифрландырудың жоғары жылдамдығымен, әсіресе финтех, мемлекеттік қызметтер және маркетплейс салаларында байланысты екенін атап өтті. «Қазақстандағы цифрландыру әлем бойынша орташа жылдамдықтан тезірек жүруде. Деректер көбейіп, олардың құндылығы да артып келеді. Бұл бизнестің клиенттер туралы мүмкіндігінше көп ақпарат жинауына және қызмет көрсету сапасын арттыруына мүмкіндік береді. Бірақ тиісті қорғау болмай, құқық бұзушылар үшін мүмкіндіктер де кеңейеді», — деп ескертті сарапшы.
Сонымен қатар, жаңа енгізілген жүйелермен қатар, ескі инфрақұрылымды да естен шығармау маңызды. «Деректердің жаппай өсуі кезінде оларды өңдеу үшін көп бағдарламалық қамтамасыз ету пайдаланылады, ескі жүйелердің үстіне жаңа жүйелер құрылады. Әдетте, компаниялар жаңа инфрақұрылым үшін қауіпсіздік құралдарына назар аударады және бүкіл контурды біркелкі қорғау қажеттілігін ескермейді», — деп ескертті ақпараттық қауіпсіздік бойынша тәуелсіз сарапшы Евгений Питолин.
Ол шифрлау мен деректерді блоктау салдарынан орташа зиян мөлшері бірнеше миллион долларды құрайтынын атап өтті. Бұған инфрақұрылымның тоқтап қалу және қалпына келтіру құны, жаңа жабдық сатып алу, клиенттерге өтемақы және басқа шығындар кіреді.
Бұлттағы қауіпсіздік: кім не үшін жауапты
Рами Мулейс Yandex Cloud клиенттерімен бірлескен жауапкершілік принципі бойынша жұмыс істейтінін айтады, мұнда провайдер өз бөлігі үшін жауап береді, ал клиент — өз бөлігі үшін, және бұл жауапкершілік аймақтары анық бөлінген.
Мысалы, SaaS (Software as a Service) бұлттық бағдарламалық қамтамасыз ету моделінде, мысалы, Yandex DataLens аналитика және визуализация қызметі жұмыс істейтін модельде, провайдер қауіпсіздіктің барлық аспектілері үшін дерлік жауап береді, ал клиент жүйеге кімнің қол жеткізуін анықтайды. IaaS (Infrastructure as a Service) моделінде, мұнда виртуалды машиналар сияқты есептеу ресурстары ұсынылады, бұлт жабдықтың, желілердің, логтарды жинаудың және ортада қолжетімділіктің қауіпсіздігіне жауап береді, ал клиент — өзінің виртуалды ортасындағы қауіпсіздік үшін жауап береді.
Және басқарылатын қызметтер, так называемые managed-решения, болғанда провайдердің жауапкершілігі аймағы кеңейеді . Сонымен қатар, бұлтпен жұмыс істеудің таңдалған моделіне қарамастан, Yandex Cloud командасы клиентке кеңес беріп, оқыту жүргізеді, деп атап өтті Василий Пургин, Yandex Cloud қауіпсіздік өнімдерінің архитекторлары.
Компаниялар сондай-ақ өз деректерін қорғау үшін әртүрлі бұлттық қызметтерді таңдап, оларды өз бетінше пайдалана алады. Мысалы, Yandex Cloud платформасында Yandex Identity Access Management деректерді басқару шешімі, Yandex Key Management Service және Yandex Lockbox криптографиялық деректерді қорғау жүйелері, Yandex Audit Trails ақпараттық қауіпсіздік оқиғаларын жинау қызметі және басқа да шешімдер бар.
Рами Мулейс жақында платформа IT-мамандарына Yandex Cloud қызметтерімен жұмыс істеу дағдыларын растайтын сертификаттау басталғанын хабарлады. Сонымен қатар, провайдер қауіптық инфрақұрылысын қорғау стандартын әзірледі, онда қауіпсіздік параметрлері бойынша қадамдық нұсқаулар мен тексеру тізімдері жинақталған.
Бұлттың қауіпсіздігі және бұлттағы қауіпсіздік
Дмитрий Кудинов, Yandex Cloud Compliance бөлімінің басшысы, бұл ұғымдарды ажыратудың маңызды екенін ескертеді. Егер бұлттағы қауіпсіздікке екі тарап — клиент пен провайдер жауап берсе, бұлттың қауіпсіздігі — тек провайдердің жауапкершілігі. Оны сертификаттар, кейстер және тіпті баға бойынша бағалауға болады.
«Провайдерді таңдағанда, сертификаттарды тексеруді, клиенттік кейстерді зерттеуді және командамен сөйлесуді ұсынамын. Содан кейін платформа қандай қызметтерді ұсынатынын және қандай SLA (service level agreement, қызмет деңгейі туралы келісім) жариялағанын бағалау маңызды. Және тағы бір фактор — баға. Қауіпсіздікке үнемдеу керек емес: қажетті қызмет деңгейін орташа баға сегментінде табуға болады», — деп қосты Евгений Питолин.
Сенімді бұлт провайдерінде жергілікті және халықаралық стандарттарға сәйкестік сертификаттары болуы тиіс. Ақпараттық қауіпсіздік бойынша базалық талаптар Халықаралық стандарттау ұйымымен (ISO, International Organization for Standardization) анықталған. Жақында Yandex Cloud Қазақстанда ISO/IEC 27001 стандартына сәйкестігі бойынша аудиттен сәтті өтті.
Деректермен жұмыс істейтін барлық қызметтер Visa және MasterCard халықаралық төлем жүйелері құрған PCI DSS қорғау стандартын сақтау керек. Кейінірек оған басқа төлем жүйелері, мысалы, Қытайдың UnionPay және Ресейдің «Мир» жүйелері қосылды. Yandex Cloud Қазақстанда PCI DSS соңғы 4.0.1 нұсқасының талаптарына сәйкес келеді.
«PCI DSS стандарты шамамен 350 талаптан тұрады, және егер олардың кем дегенде біреуі орындалмаса,