Как выбрать облачное хранилище и защитить данные

Самые простые решения: как защитить данные в облаке Изображение Thomas Mühl с сайта Pixabay

Множество людей сменило традиционные офисные решения на работу с онлайновыми сервисами. Это надежно: даже если в доме внезапно отключат электричество, сохранится весь текст до последнего слова. Это страховка на случай если злоумышленники украдут или изымут ноутбук. Это удобно для совместной работы: не нужно пересылать друг другу документы, достаточно «расшарить». 

Некоторые мои знакомые полностью перешли на работу в сети. Их компьютеры превратились в «чистые» устройства. Кроме операционной системы, любимого браузера да нескольких прикладных программ на таком компьютере нет ничего, что заинтересовало бы любителей совать нос в чужие дела. Никаких пользовательских данных.

С другой стороны, множество людей используют облачные хранилища буквально – складируют файлы. Например, фотографии из поездок или важные документы.

По прогнозу Cloud Storage Market Research Report, в период с 2020 по 2025 год рынок облачных решений будет стремительно развиваться. Ежегодный прирост составит почти 25%. В этой статье мы будем говорить о самых простых решениях для обычных пользователей, не затрагивая государственную и корпоративную сферы.

Что может грозить нам в облаке

Если верить исследованию Sophos, подавляющее большинство (96%) компаний, хранящих важные данные в облаке, беспокоятся насчет безопасности. И не зря: около 70% респондентов отмечают проблемы с утечками данных. В другом отчете 2020 года приводятся схожие данные.

«Это же какая-то адская дыра!» – воскликнет читатель. Ничего особенного. Облачные хранилища подвержены тем же угрозам, что и все серверы. Их могут взломать злоумышленники. Случаются ошибки в конфигурации серверов. Иногда виной оказывается нехватка мер безопасности. К примеру, нет двухфакторной аутентификации. Или эта опция есть, но по какой-то причине пользователь к ней не прибегает. И так далее – вплоть до слива данных через инсайдера, сотрудника облачного провайдера.

В декабре 2020 года группа киберзлодеев, называющая себя Clop, похитила десятки гигабайт приватных данных у облачного провайдера Accellion. Хакеры воспользовались уязвимостью в устаревшей программе загрузки файлов в облако. За полученные таким образом конфиденциальные данные злодеи требовали выкуп. Иначе они угрожали опубликовать данные в сети. Среди пострадавших оказались Университет Колорадо, резервный банк Новой Зеландии, сеть супермаркетов Kroger (одна из крупнейших в мире), сингапурский телекоммуникационный гигант Singtel, фирма Jones Day (в двадцатке самых крутых юридических компаний США).

Существуют ли безопасные облака?

Слово «безопасное» давно приобрело важное маркетинговое значение. Интерес пользователей требует ответной реакции. Поэтому всякий провайдер облачных услуг уверяет, что отличительной чертой его сервиса является безопасность. Вот что пишет, к примеру, ветеран рынка Dropbox: «Безопасность – наш приоритет. Мы используем многоуровневую защиту во всей нашей распределенной и надежной облачной инфраструктуре. Неважно, кто вы – частное лицо или команда. Наши облачные меры безопасности обеспечивают одинаковый стандарт защиты всех ваших онлайновых данных». И все в этом духе. Впечатлительному пользователю могут подавать самые разные функции под видом «исключительной защиты». Например, кросс-платформенность.

Вот некоторые критерии, которые могут оказаться для вас значимыми при выборе облака, если вы цените безопасность.

  • Есть функция двухфакторной аутентификации.
  • Разработчик регулярно обновляет свои программы и сервисы.
  • Можно работать с облаком не только через устанавливаемое приложение, а и через обычный браузер (оставлять меньше следов на диске).
  • Есть опция создания бэкапов данных и хранения предыдущих версий (впрочем, для кого-то, вероятно, это будет значить меньше безопасности).
  • Можно ограничивать права в расшаренных документах. Например, коллеги могут читать и комментировать, но им нельзя изменять документ.
  • Относительно безопасная юрисдикция провайдера.
  • В пользовательском соглашении провайдера ясно и недвусмысленно прописаны гарантии приватности. В частности, провайдер не должен просматривать ваши данные.

У каждого своя модель угроз, поэтому набор значимых критериев для каждого свой. 

А как же шифрование, спросите вы? Здесь есть два основных подхода.

Шифрование силами провайдера

Первый подход заключается в делегировании функции шифрования облачному провайдеру. И это удобно. Достаточно установить приложение провайдера для синхронизации данных. Сторонние программы не нужны.

Тем, кто заботится о безопасности, лучше обратить внимание на облачные хранилища, основанные на принципе «шифрования с нулевым знанием» («zero knowledge encryption»). Иногда его называют «client side encryption», шифрование на стороне клиента. Вроде сквозного шифрования («end-to-end encryption») в коммуникациях. Никто, кроме вас, не обладает шифровальными ключами. Облачный провайдер не имеет доступа к вашим файлам. 

Но есть и минусы. В частности, вам придется поверить вашему облачному провайдеру, что реализация шифрования выполнена аккуратно, без уязвимостей и «закладок».

Шифрование своими силами

Второй подход означает, что шифрование происходит на вашем компьютере с помощью сторонней программы. Облачный провайдер вообще не имеет дел с вашими не зашифрованными данными.

Так вы получаете ряд преимуществ. Главное – вы сами выбираете шифровальную программу, которой доверяете, и полностью перестаете волноваться, «как оно там, в облаке».

Примеры таких программ.

  • Cryptomator. Вова Ломов, ведущий Youtube канала Теплицы социальных технологий опубликовал скринкаст об этой программе. Cryptomator создан специально для шифрования данных, которые нужно хранить в облаке.
  • Boxcryptor. Еще одна специализированная программа и еще один ролик на Youtube.
  • Veracrypt. Крутая шифровальная программа для защиты локальных дисков и файлов, с некоторыми оговорками можно использовать и для онлайнового хранения. Доступна пошаговая инструкция.
  • Mailvelope. Браузерный плагин, самая удобная на сегодня реализация стойкого шифрования GnuPG. Особенно удобная для тех, кому нужно шифровать отдельные файлы и не нужно часто обращаться к зашифрованным данным. Например, для создания архива документов. Инструкция и FAQ на русском языке.

Если ваш локальный контекст подталкивает вас к особой заботе о безопасности, есть смысл обратить внимание на второй вариант и попробовать шифровать данные перед загрузкой в облако самостоятельно.

Хотите что-нибудь добавить к статье? Пожалуйста, поделитесь в комментах.