В эпоху «пост-Сноуден» физическое местоположение данных теряет значение

15 Июля, 2014 20:43
Олег Николаев
На заре развития ИТ в силу слабой производительности каналов связи компании хранили корпоративные данные в собственных датацентрах и это было стандартом де-факто. Но, по мере появления скоростных каналов связи, коммерческих датацентров и популяризации облачных вычислений, компании начали перемещать данные на зарубежные площадки. Такие действия бизнеса вошли в конфликт с законами многих стран. Известно, что в Украине банки должны хранить финансовые данные только в ЦОДах внутри страны; в России недавно издали закон, запрещающий хранение персональных данных россиян за рубежом (этот закон вызвал большой шум, поскольку блокировал для россиян возможность бронировать отели за рубежом и покупать авиабилеты). Аналогичные законы есть и в других странах.

Однако подобные законодательные инициативы все больше вызывают недоумение у ИТ-службы. Глобализация мировой экономики и повсеместное развитие каналов связи позволяет ИТ-службам оптимизировать затраты на обработку и хранение данных, размещая их в различных датацентрах, в том числе и зарубежных. Поэтому физическое месторасположение данных все еще является важным, но со временем оно потеряет значение и к 2020 году будет заменено комбинацией юридического, политического и логического месторасположения в большинстве компании. В этом уверены аналитики корпорации Gartner, Inc.

«За последние 12 месяцев резко активизировались дискуссии по поводу местонахождения и независимости данных. Однако эти разговоры лишь привели к задержке в развитии технологических инноваций во многих организациях», — отметил вице-президент по исследованиям в компании Gartner Карстен Каспер (Carsten Casper). Первоначально возникший под влиянием интернет-провайдеров США и Акта о патриотизме, этот конфликт был позднее усилен неожиданным откровением Эдварда Сноудена о слежке со стороны Агентства национальной безопасности (NSA).

«ИT-директоры полностью сбиты с толку из-за обсуждения местонахождении данных на разных уровнях и с различными акционерами, такими как юридические консультанты, потребители, распорядительные органы, менеджеры коммерческих организаций и общественность», — отметил мистер Каспер. – Руководители предприятий должны принять решение и согласиться с финальным риском, уравновешивающим разнообразные типы других рисков: законодательная неопределенность касательно места хранения данных, финансовые штрафы или недовольство общественности, неудовлетворенность наемных работников или потеря доли рынка вследствие недостатка инноваций».

В целом эксперты Gartner определили четыре типа местонахождения данных:

1)      Физическое месторасположение. Исторически сложилось так, что люди приравнивали физическую пространственную близость к физической защите данных. Несмотря на то, что любой человек знает, что в определённом месте хранения данные могут быть доступны дистанционно, желание физически их контролировать по-прежнему существует, в особенности среди регулятивных органов. Gartner советует организациям не забывать о проблемах физического месторасположения, но при этом проанализировать другие типы рисков.

2) Юридическое месторасположение. Согласно Gartner, многие IT-профессионалы не знакомы с концепцией юридического месторасположения. Юридическое месторасположение определяется юридическим субъектом, который контролирует данные (организация). Может существовать еще один юридический субъект, который обрабатывает данные от имени первого субъекта (такого как поставщик услуг IT), и третий юридический субъект, который оказывает поддержку второму в этом процессе (например, это может быть резервный датацентр в другой стране).

«Утверждения о том, что хранение таких данных за пределами страны является незаконным, которые часто встречаются в законодательстве и юридических документах, вызывают все менее понимания среди ИТ-менеджеров, — отметил мистер Каспер. – Каждая организация должна решать для себя, принимает ли она подобные утверждения».

3) Политическое месторасположение. Дискуссии о предоставлении доступа к данным правоохранительным органам, использование дешевой рабочей силы в других странах, подвергающее риску занятость местного населения, или вопросы международного политического равновесия являются более важными для общественного сектора, неправительственных организаций (NGOs), компаний, которые обслуживают миллионы потребителей, или тех, чья репутация уже подпорчена.

«Если вы не попадаете в одну их этих категорий, то можете проигнорировать медиа отчеты о проблемах местонахождения данных, — заявил Каспер. – И хотя общественность до сих пор возмущается, когда узнает, что ее персональные данные хранятся за границей, есть некоторые признаки того, что потребители постепенно меняют свои убеждения и свое поведение в качестве покупателя».

4) Логическое месторасположение: Зарождающиеся и наиболее предпочтительное решение для схем по обработке международных данных, которое определяется тем, кто обладает доступом к данным. Например, немецкая компания подписывает договор с ирландской дочерней компанией облачного провайдера США, полностью осознавая, что резервные копии всех данных физически хранятся в датацентре в Индии. В то время как юридически провайдер может быть зарегистрирован в Ирландии, его политическое месторасположение – в США, физическое месторасположение может быть в Индии, но логически все данные находятся все же в Германии.

Чтобы задействовать такой способ хранения данных, вся пересылаемая и хранимая информация (допустим, в Индии) должна быть зашифрована, а ключи должны находится в Германии. Но благодаря такой архитектуре увеличиваются расходы и сложность, сокращается удобство и простота использования для таких функций как предварительный просмотр и поиск, мобильность и время ожидания.

«Ни один из этих типов местонахождения данных не решает проблемы их расположения сам по себе, — отмечают в Gartner. — По всей видимости, в будущем организации будут использовать различные типы месторасположения, а также разнообразные модели предоставления сервисов. ИT-лидеры могут дискутировать касательно хранения данных с советом директоров и акционерами, но в конечном счёте именно директору по бизнесу придется принимать решение о том, где хранить данные. При этом ему придется использовать информацию от главного консультанта, команды обеспечения информационной безопасности, специалистов по защите персональной информации и главных ИT-менеджеров».

Комментарии: