Облачные сервисы для банков – насколько они безопасны?

Можно ли использовать облачные сервисы в банковской сфере? Насколько защищена хранящаяся в них конфиденциальная информация? Эта диcкуссия продолжается уже несколько лет и имеет множество аргументов как «за» так и «против». Но на минувшей неделе она разгорелась с новой силой после того, как стало известно о массовой утечке частных фотографий голливудских знаменитостей.

Среди пострадавших – обладательница «оскара» Дженнифер Лоуренс, певица Ариана Гранде, актриса и певица Виктория Джастис, модель Кейт Аптон, актриса Бри Ларсон и другие. 

Хакеры опубликовали их частные снимки на анонимном форуме 4chan. В качестве вероятной причины утечки эксперты называли взлом сервисов iCloud и Find my iPhone.

В Apple признали, что аккаунты некоторых знаменитостей в iCloud были взломаны, однако заявили, что не нашли никаких доказательств того, что взломы были вызваны уязвимостью в системе безопасности какого-либо из продуктов Apple, в том числе, сервисов iCloud и Find my iPhone. Об этом сообщает BBC News.

С одной стороны, хранение любых важных данных в сети интернет делает их мишенью для хакеров. С другой – пароль может быть попросту украден, и это может случиться с любым сервером, даже с тем, который не располагается в «облаке», рассуждают эксперты на страницах издания American Banker.

«Использование «облаков» является ошибкой. Никакие данные, размещенные там, не находятся в безопасности», - пишет банковский адвокат Тимоти Найджел. – «Такая информация уязвима для посягательств со стороны хакеров, террористов и прочих мошенников. И не верьте тем, кто говорит вам, что это не так».

Тем не менее, эксперт признает, что его собственный блог и блог его компании располагаются на облачном сервисе. «Вы никогда не уйдете от «облака», – отмечает он.

Действительно, защитники этой технологии утверждают, что сегодня облачные технологии распространились повсеместно и их почти невозможно избежать при хранении личной или деловой информации. Однако любое устройство, которое связано с интернетом, может подвергаться атакам.

Механизмы защиты в «облаках»

«Насколько безопасен автомобиль?» – рассуждает Раджив Гупта, руководитель компании Skyhigh Networks, занимающейся оценкой безопасности облачных сервисов.
– «Ответ на этот вопрос зависит от того, как вы водите машину. Была ли раньше поездка на легковом автомобиле безопаснее, чем сейчас? Наверное, была. С одной стороны, было меньше аварий, но с другой – мы не могли добраться до больницы так быстро, как сейчас».

Безопасность в использовании «облаков» зависит прежде всего от тех механизмов защиты, которые вы используете. 

Среди них есть, например, двухфакторная аутентификация, шифрование, мониторинг поведения, когда типичный или нетипичный поведенческий стиль пользователя, зашедшего в аккаунт, может указывать на несанкционированный доступ к ресурсу.

Раджив Гупта утверждает, что облачные сервисы не являются менее безопасным, чем внутренние серверы компании: «Посмотрите на утечку из ICloud. Проблема не в том, что ICloud менее безопасен, а в том, что чьи-то учетные данные были украдены».

«Этот вопрос стоит поставить шире: должны ли люди пользоваться сайтами, которые защищены паролями? Нужно ли вообще использовать электронную коммерцию? Должны ли мы создавать мобильные банковские приложения», – добавляет эксперт. – «Мы признаем, что такой подход является заблуждением. Современные банки не могут обходиться без мобильных приложений. Мы не можем вернуться в прошлое, точно так же как и не можем создать полностью герметичную среду».

Джеймс Гордон, директор по информационным технологиям Needham Bank, утверждает, что любой, кто говорит, что сервис безопасен на сто процентов, обманывает пользователей: «Все мы помним историю с АНБ и Сноуденом».

В этих условиях финансовые учреждения должны провести оценку рисков использования облачных сервисов и убедиться, что они удовлетворяют их требованиям безопасности.

«Банки должны определить важность данных и место их хранения. Затем выбрать как физические, так и виртуальные элементы защиты», – считает Джеймс Гордон. – «Они будут включать в себя так же требования к пользователям данных, установку надежных паролей и блокировку доступа к информации после нескольких неправильных попыток ввести пароль».

«Облако» может быть безопасным, уверен эксперт. Однако и пользователи «облаков» должны защищать свои данные. 

В вопросах обеспечения «облачной» безопасности ответственность лежит не только на банках, но и на их клиентах.

Финансовые учреждения должны провести оценку рисков использования облачных сервисов и убедиться, что они удовлетворяют их требованиям безопасности. Фото с сайта http://www.cepis.org