Спецпроекты

На страницу обзора
Регулирование интернета может негативно повлиять на банковский сектор
Государственное вмешательство в регулирование интернета становится все отчетливее. Борьба с анонимностью и блокировки сайтов должны помогать бороться с преступностью. Однако из-за этого многие организации могут столкнуться с серьезными проблемами. В частности, появляются риски для облачных технологий, используемых в банках и других финансовых организациях.

Внутренний политический курс России в области регулирования Интернета довольно сильно изменился за последний год и теперь во многом повторяет китайский опыт, т.к. направлен на существенное государственное вмешательство в сеть в целях контроля и фильтрации трафика, находящегося в глобальной сети.

Это стало очевидно 14 декабря 2012 г. на Всемирной конференции Международного союза электросвязи в Дубаи, когда 89 стран, включая Россию, Китай и страны Персидского залива подписали договор о новых методах регулирования сетей. Договор предусматривает обязательное с 2015 г. использование интернет-провайдерами DPI технологий, фильтрующих весь мировой и национальный трафик, а также ряд иных новшеств, которые могут существенно поменять развитие сетей в ближайшем будущем.

Курс на регулирование

За последний год резко увеличилось количество законопроектов, касающихся регулирования общественных отношений в сети интернет. Некоторые из них, несмотря на неоднозначность в прописанных формулировках, были приняты и уже действуют в настоящее время. Изменения коснулись и ФЗ №149 «Об информации, информационных технологиях и защите информации», а также ФЗ «О связи».

Концепцией развития сетей, представленной Минкомсвязи, предусматривается деление операторов на федеральных и региональных. Таким образом, ведомство предлагает запрет на использование международного трафика обычными операторами (ISP). При этом подобный трафик может быть приобретен только у федеральных операторов (требованиям которых отвечают в настоящее время лишь две компании – «Ростелеком» и «Транстелеком»). Очевидно, вводя новую систему распределения сетевого трафика, чиновники намерены путем внедрения DPI фильтровать весь входящий в страну трафик на федеральном уровне, чтобы уже далее «чистый трафик» мог распределяться внутри страны.

Указанные изменения действующих российских законов, несомненно, скажутся и на облачных технологиях (cloud computing), которые являются новейшим шагом в развитии информационных систем типа CRM и ERP. Российские банки и другие финансовые структуры пока с подозрением относятся к электронным облакам и не доверяют их информационной безопасности. Но экономическая целесообразность и удобство удаленных серверов подталкивает IT-департаменты многофилиальных, территориально распределенных и имеющих большую агентскую сеть банков, а также тех, кто использует системы интернет-банкинга, переходить на новые технологии. Очевидно, предлагаемые SaaS-решения (Software-as-a-Service – технология, по которой заказчик не покупает программное обеспечение и не размещает у себя приложения и базы данных, а платит оператору за сервис и пользуется его мощностями) повышают спрос банков на облачные услуги в части аренды виртуальной инфраструктуры и сервисов для коммуникаций. Вместе с тем изменения текущего законодательства могут повлиять и на указанный экономический сектор.

Если разобрать весь процесс использования облачных технологий, то можно увидеть, что для обеспечения процесса задействуются как минимум три разных организации. Во-первых, это ISP – провайдер, предоставляющий доступ в сети Интернет. Во-вторых, это оператор, являющийся, как правило, разработчиком информационной системы. В-третьих – хостинг-провайдер, технически и программно поддерживающий работу облаков и функционирования системы.

В связи с указанной схемой работы облаков в настоящее время существуют определенные риски. Если первые две организации клиент выбирает самостоятельно, то выбор провайдера хостинга, как правило, осуществляется оператором информационной системы, которых в настоящее время на рынке представлено довольно много. У каждого оператора есть собственное понимание того, как должна организовываться техническая работа облачной инфраструктуры, а потому каждый оператор самостоятельно настраивает свою систему на работу с конкретным хостинг-провайдером. При этом учитывается множество факторов – ценовая политика хостера, используемые операционные системы, характеристики выделяемых технических и аппаратных ресурсов.

Надо понимать, что одним из ключевых факторов доверия финансовых организаций к облачным технологиям является их работоспособность и абузоусточивость (то есть устойчивость к различным требованиям и жалобам третьих лиц на содержимое). Это необходимо, поскольку речь идет о доступе к информационной системе, в которой хранятся данные о клиентах, кредитах, счетах, задолженности, сроках погашения и иная достаточно важная банковская информация.

Механизмы законодательства

В 2012–2013 гг. российским законодателем был предпринят ряд мер по регулированию трафика в интернете. Впервые в российском законодательстве были регламентированы и описаны основания и механизмы блокировки сайтов, как в судебном, так и во внесудебном порядке. С вступлением в силу с 1 ноября 2012 г. Федерального закона ФЗ №139 («закон о черных списках»), а также с 01 августа 2013 г. Федерального закона ФЗ №187 («антипиратский закон»), в статью 15-ю №149-го Федерального закона «Об информации» были внесены 6 оснований, по которым сайты могут быть заблокированы. Наряду с блокировкой по конкретному указателю страницы (url) в интернете закон предусматривает и блокировку сайтов по IP-адресу. Поэтому ISP, не имеющие оборудование для DPI, смогут блокировать сайт лишь по его IP, а на одном IP-адресе хостинг провайдер может располагать множество серверов. Это неизбежно может привести к блокировки и облачных ресурсов, находящихся на тех же IP у хостера, которые никакой противоправной информации не содержат. Аналогичным образом даже имеющие DPI провайдеры доступа будут блокировать сайт, если он работает с применением расширения https для протокола http, т.к. блокировка по url по техническим причинам не принесет результата.

Таким образом, в случае, если произойдет какой-либо сбой с работой IP-адреса сайта, оператор облачной информационной системы может сослаться на неполадки в оборудовании хостинг-провайдера, а тот, в свою очередь, – на блокировку IP-адресов или пула IP-адресов провайдером доступа. Провайдер же доступа в качестве обоснования укажет на то, что такие действия были приняты по требованию государственных органов. Ожидание решения проблемы может занять сколько угодно долгий промежуток времени. Вместе с тем, невозможность получить доступ к информационным базам неизбежно повлечет за собой непременный сбой в работе системы, потерю клиентов и прибыли организации, использующих подобные облачные технологи. Введение подобных механизмов заставляет многих операторов и хостинг-провайдеров облаков уходить из страны и располагать свои системы на серверах, находящихся вне юрисдикции России.

Определенную угрозу представляет также и предлагаемые ФСБ России изменения в действующее законодательство, предлагающие запрет прокси-серверов, VPN и других анонимайзеров, «представляющих угрозу для информационной безопасности страны», потому что могут использоваться преступниками для противоправных действий и позволяют скрыть свое местоположение. Однако надо отметить, что прокси очень важны для функционирования интернета, так как они помогают балансировать нагрузку на ресурсы и обходить проблемные места сети, а также быстро восстанавливать соединение в случае нестабильной работы.

Вместе с тем операторы часто прибегают и к использованию индивидуальных виртуальных машин и виртуальных сетей с целью изоляции пользователей, что повышает защищенность облаков. При этом, виртуальные сети разворачиваются с применением таких технологий как VPN (Virtual Private Network), VLAN (Virtual Local Area Network) и VPLS (Virtual Private LAN Service). Таким образом, запрет использования технологий может повлечь снижения уровня защищенности информационных систем.

Несмотря на активную пропаганду принципа мультистейкхолдеризма, очевидно, что государственное вмешательство в регулирование сетей становится все более активно. Учитывая тонкую архитектуру интернета, можно предположить, что некоторые сервисы и организации могут столкнуть с рядом проблем, связанных с блокированием части трафика. Очевидно, рынок будет приспосабливаться к новым условиям, и даже в случае создания Великого Русского Файервола облачные технологии будут все равно развиваться, однако многие зарубежные предложения от ведущих лидеров рынка могут стать внезапно недоступными.

Саркис Дарбинян

Подписаться на новости

Интервью обзора

Рейтинги

CNews Analytics: Крупнейшие поставщики ИТ для банков 2013
№  Компания Выручка от проектов в финансовом секторе, 2012, тыс.руб. (с НДС)
1 Крок 15 935 758
2 Ай-Теко 14 426 000
3 IBS* 9 672 000
Подробнее

Рейтинги

Расходы банков на ИКТ (по отчетности эмитента)
Банк Расходы на ИКТ, 2012 (млн руб.)
1 Сбербанк 66 800
2 Россельхозбанк 1 535 *
3 Газпромбанк 865
Подробнее

Рейтинги

Расходы банков на ИКТ (по отчетности РСБУ)
Банк Расходы на ИКТ, 2012 (млн руб.)
1 Сбербанк 17 055
2 ХКФ Банк * 954
3 Юникредит Банк 878
Подробнее

Рейтинги

CNews Analytics: Крупнейшие поставщики ИТ для банков 2013
Компания Выручка от проектов в финансовом секторе, 2012, тыс.руб. (с НДС)
1 Крок 15 935 758
2 Ай-Теко 14 426 000
3 IBS* 9 672 000
Подробнее