Как выбрать облачное хранилище и защитить данные

Самые простые решения: как защитить данные в облаке Изображение Thomas Mühl с сайта Pixabay

Множество людей сменило традиционные офисные решения на работу с онлайновыми сервисами. Это надежно: даже если в доме внезапно отключат электричество, текст не пропадет. Это страховка на случай кражи или изъятия ноутбука. Это удобно для совместной работы: не нужно пересылать друг другу документы, достаточно «расшарить». 

Некоторые мои знакомые полностью перешли на работу в сети. Их компьютеры превратились в «чистые» устройства. Кроме операционной системы, любимого браузера да нескольких прикладных программ на таком компьютере нет ничего, что заинтересовало бы любителей совать нос в чужие дела.

С другой стороны, множество людей используют облачные хранилища буквально — складируют файлы. Например, фотографии из поездок или важные документы.

По прогнозу Cloud Storage Market Research Report, в период с 2020 по 2025 год рынок облачных решений будет стремительно развиваться. Ежегодный прирост составит почти 25%. В этой статье мы поговорим о самых простых решениях для обычных пользователей, не затрагивая государственную и корпоративную сферы.

Что может грозить нам в облаке

Если верить исследованию Sophos, подавляющее большинство (96%) компаний, хранящих важные данные в облаке, беспокоятся насчет безопасности. И не зря: около 70% респондентов отмечают проблемы с утечками данных. Некоторые отмечают ухудшение ситуации в последние годы. Так, в отчете Thales Cloud Security Study отмечается, что 45% предприятий за 2022 год столкнулись с утечкой облачных данных или не смогли пройти аудит в этой части. Это на 5% больше, чем в предыдущем году.

«Какая-то адская дыра!» — воскликнет читатель. Ничего особенного. Облачные хранилища подвержены тем же угрозам, что и прочие сайты. Их могут взломать злоумышленники. Случаются ошибки в конфигурации серверов. Иногда виной оказывается нехватка мер безопасности. К примеру, нет двухфакторной аутентификации. Или эта опция есть, но по какой-то причине пользователь к ней не прибегает. И так далее — вплоть до слива данных через инсайдера, сотрудника облачного провайдера.

В декабре 2020 года группа киберзлодеев, называющая себя Clop, похитила десятки гигабайт приватных данных у облачного провайдера Accellion. Хакеры воспользовались уязвимостью в устаревшей программе загрузки файлов в облако. За полученные таким образом конфиденциальные данные злодеи требовали выкуп. Иначе они угрожали опубликовать данные в сети. Среди пострадавших оказались Университет Колорадо, резервный банк Новой Зеландии, сеть супермаркетов Kroger (одна из крупнейших в мире), сингапурский телекоммуникационный гигант Singtel, фирма Jones Day (в двадцатке самых крутых юридических компаний США).

В 2022 году фишеры с успехом атаковали компанию Dropbox. По официальному сообщению компании файлы клиентов не пострадали, но утекли 130 репозиториев кода, имена и адреса электронной почты сотрудников и клиентов.

Существуют ли безопасные облака?

Слово «безопасное» давно приобрело важное маркетинговое значение. Интерес пользователей требует ответной реакции. Поэтому многие провайдеры облачных услуг уверяют, что отличительной чертой именно их сервиса является безопасность. Вот что пишет, к примеру, упомянутый выше ветеран рынка Dropbox: «Безопасность – наш приоритет. Мы используем многоуровневую защиту во всей нашей распределенной и надежной облачной инфраструктуре. Неважно, кто вы — частное лицо или команда. Наши облачные меры безопасности обеспечивают одинаковый стандарт защиты всех ваших онлайновых данных». И все в этом духе. Впечатлительному пользователю могут подавать самые разные функции под видом «исключительной защиты». Например, кросс-платформенность.

Вот некоторые критерии, которые могут оказаться для вас значимыми при выборе облака, если вы цените безопасность.

  • У пользователя есть опция двухфакторной аутентификации.
  • Разработчик регулярно обновляет свои программы и сервисы.
  • Можно работать с облаком не только через приложение, но и через обычный браузер (так на компьютере останется меньше следов).
  • Есть возможность создания резервных копий файлов и хранения предыдущих версий (впрочем, для кого-то, вероятно, это будет значить меньше безопасности).
  • Можно ограничивать права в расшаренных документах. Например, коллеги могут читать и комментировать, но им нельзя изменять документ.
  • Относительно безопасная юрисдикция провайдера.
  • В пользовательском соглашении провайдера ясно и недвусмысленно прописаны гарантии приватности. В частности, провайдер не должен просматривать ваши данные.

У каждого своя модель угроз, поэтому набор значимых критериев для каждого свой. 

А как же шифрование, спросите вы? Здесь есть два основных подхода.

Шифрование силами провайдера

Первый подход заключается в делегировании функции шифрования облачному провайдеру. И это удобно. Достаточно установить приложение провайдера для синхронизации данных. Сторонние программы не нужны.

Тем, кто заботится о безопасности, лучше обратить внимание на облачные хранилища, основанные на принципе «шифрования с нулевым знанием» («zero knowledge encryption»). Иногда его называют «client side encryption», шифрование на стороне клиента. Вроде сквозного шифрования («end-to-end encryption») в коммуникациях. Никто, кроме вас, не обладает шифровальными ключами. Облачный провайдер не имеет доступа к вашим файлам. В качестве примера облачного хранилища с шифрованием на стороне клиента можно привести сервис Mega, серверы которого расположены в Новой Зеландии.

Но есть и минусы. В частности, вам придется поверить вашему облачному провайдеру, что реализация шифрования выполнена аккуратно, без уязвимостей и «закладок».

Шифрование своими силами

Второй подход означает, что шифрование происходит на вашем компьютере с помощью сторонней программы. Облачный провайдер вообще не имеет дел с вашими не зашифрованными данными.

Так вы получаете ряд преимуществ. Главное, что вы сами выбираете шифровальную программу, которой доверяете, и полностью перестаете волноваться «как оно там, в облаке».

Примеры таких программ.

  • Cryptomator. Вова Ломов, ведущий Youtube канала Теплицы социальных технологий опубликовал скринкаст об этой программе. Cryptomator создан специально для шифрования данных, которые нужно хранить в облаке.
  • Boxcryptor. Еще одна специализированная программа и еще один ролик на Youtube.
  • Veracrypt. Крутая шифровальная программа для защиты локальных дисков и файлов, с некоторыми оговорками можно использовать и для онлайнового хранения. Доступна пошаговая инструкция.
  • Mailvelope. Браузерный плагин, самая удобная на сегодня реализация стойкого шифрования GnuPG. Особенно удобная для тех, кому нужно шифровать отдельные файлы и не нужно часто обращаться к зашифрованным данным. Например, для создания архива документов. Инструкция и FAQ на русском языке.

Если ваш локальный контекст подталкивает вас к особой заботе о безопасности, есть смысл обратить внимание на второй вариант и попробовать шифровать данные перед загрузкой в облако самостоятельно.

Автор выражает признательность эксперту по цифровой безопасности Михаилу Ивановскому за ценные замечания при обновлении материала.