Одним из вендоров ITSM-систем, с которым мы работаем, является Freshworks. Все продукты Freshworks – и ITSM/ESM система Freshservice, и тикетинг-система Freshdesk, и её реализация для работы с чатами – Freshdesk Omni, являются облачными продуктами, поэтому, начиная разговор о них с любым заказчиком, мы неизменно слышим «ой, это облако, нам туда наверное, нельзя, потому что законодательство». В то же время, несоответствие законодательству не мешает огромному количеству компаний использовать такие сервисы, как Microsoft Teams, Slack или сервисы Azure или AWS.

Учитывая общий тренд на перемещение в облако, и то, что все самые новые продукты, как ни крути, выходят в облаке, мы решили более детально разобраться в вопросе. Так можно или нельзя ITSM и ITAM в облаке?

Поехали.

В чём проблемы с облаком?

Как правило, «претензии» к облаку состоят из двух основных частей:

1. Мы не можем хранить персональные данные в облаке, это запрещено законодательством
2. Мы не можем передавать в облако информацию о нашей инфраструктуре – вдруг кто-то получит к ней доступ?

Давайте разбираться по порядку.

Персональные данные

Давайте для начала поймём, что является персональными данными с точки зрения законодательства.

Читаем определение в Законе Республики Казахстан от 21 мая 2013 года № 94-V «О персональных данных и их защите» (https://online.zakon.kz/Document/?doc_id=31396226)

персональные данные - сведения, относящиеся к определенному или определяемому на их основании субъекту персональных данных, зафиксированные на электронном, бумажном и (или) ином материальном носителе;

Персональные данные по доступности подразделяются на общедоступные и ограниченного доступа.
Общедоступными персональными данными являются персональные данные или сведения, на которые в соответствии с законами Республики Казахстан не распространяются требования соблюдения конфиденциальности, доступ к которым является свободным с согласия субъекта.

То есть ключевой характеристикой, определяющей данные, как персональные, является возможность на их основании однозначно определить субъекта, и данные, не защищаемые законодательством РК, считаются общедоступными. Такими данными, например, являются Имя и Фамилия человека. Часто это и его должность в компании (люди указывают в социальных сетях), а по факту и корпоративный email (чаще всего легко подбирается по синтаксису вида имя.фамилия@домен.kz/com/pro или перваябукваименифамилия@домен.kz/com/pro и тп)

Что имеют в виду клиенты, когда говорят, что персональные данные нельзя хранить за рубежом?

Читаем закон дальше:

Статья 12. Накопление и хранение персональных данных»

1. Накопление персональных данных производится путем сбора персональных данных, необходимых и достаточных для выполнения задач, осуществляемых собственником и (или) оператором, а также третьим лицом.
2. Хранение персональных данных осуществляется собственником и (или) оператором, а также третьим лицом в базе, находящейся на территории Республики Казахстан.

Срок хранения персональных данных определяется датой достижения целей их сбора и обработки, если иное не предусмотрено законодательством Республики Казахстан.

‍

Ага, ну вот, кажется, и всё – данные должны храниться в базе на территории РК, можно заканчивать статью. Или нет?

Статья 16. Трансграничная передача персональных данных

1. Трансграничная передача персональных данных - передача персональных данных на территорию иностранных государств.
2. В соответствии с настоящим Законом трансграничная передача персональных данных на территорию иностранных государств осуществляется только в случае обеспечения этими государствами защиты персональных данных.
3. Трансграничная передача персональных данных на территорию иностранных государств, не обеспечивающих защиту персональных данных, может осуществляться в случаях:

• наличия согласия субъекта или его законного представителя на трансграничную передачу его персональных данных;
• предусмотренных международными договорами...
• предусмотренных законами Республики Казахстан...
• защиты конституционных прав и свобод...

‍

То есть получается так: сама по себе трансграничная передача персональных данных не запрещена законом, но для её осуществления необходимо соблюдение двух ключевых аспектов:

1. Государство, куда осуществляется передача, должно осуществлять защиту персональных данных. В Европейском Союзе защита перс.данных регулируется GDPR.
2. Даже если это условие не соблюдено, данные можно передавать с согласия субъекта.

Пример - Ответ заместителя Председателя Комитета по информационной безопасности Министерства цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан от 6 сентября 2024 года № ЗТ-2024-05108864 «О запрете на сбор, обработку копий документов, удостоверяющих личность, на бумажном носителе, и в электронном видечерез онлайн-платформы, сервисы обмена мгновенными сообщениями (WhatsApp)»:

‍

Вместе с тем, для получения копий документов, удостоверяющих личность, в электронном виде через онлайн-платформы, сервисы обмена мгновенными сообщениями (WhatsApp) представителю суда необходимо получить от субъекта персональных данных согласие на сбор и обработку его персональных данных, в том числе согласие на трансграничную передачу персональных данных, поскольку серверы WhatsApp находятся за пределами территории Республики Казахстан

‍

То есть даже скан паспорта передавать в облако на зарубежный сервер можно, если субъект персональных данных на это согласен.

Учитывая, что компании и так пользуются сервисами типа Microsoft Teams, а в трудовых соглашениях прописываются согласия на обработку персональных данных сотрудников, получается, что использование облачной ITSM системы никак не противоречит законодательству, ведь, например, европейские серверы Freshworks находятся в Германии, и компания строго соблюдает GDPR (как и множество других регуляций в сфере кибербезопасности).

С автоматизацией процессов HR-департамента чуть сложнее, потому что в работе HR может фигурировать большее количество чувствительных данных (сканы документов, данные о здоровье, банковская информация), но с точки зрения законодательства достаточно получить согласие субъекта на обработку, и спокойно использовать облачные платформы, например, только что вышедший Freshservice for Business Teams.

Безопасность облачных сервисов

Хорошо, допустим, обрабатывать в облаке персональные данные и правда не запрещено законом. Но это же небезопасно! Если облако взломают, злоумышленник получит доступ к нашим данным, а там данные сотрудников и данные о нашей инфраструктуре!

‍

Здесь есть несколько моментов:

1. Как было уже сказано выше, вендоры SaaS-платформ очень щепетильно относятся к безопасности хранения данных. Если вы вдруг думаете, что это только в Казахстане, Узбекистане или других странах СНГ так относятся к хранению персональных данных, то нет, защита данных прописана везде. Важно понимать, что для вендоров мирового уровня, чьим бизнесом является предоставление SaaS сервисов, безопасность их данных и инфраструктуры является краеугольным камнем. Взлом большинства обычных компаний, даже банков, в наши дни особо не отражается уже на их репутации, никто уже не следит, из какого банка украли сколько записей данных. А вот взломы облачных сервисов всегда трубят на весь мир, компании испытывают отток клиентов, их акции теряют десятки процентов в цене, поэтому такие компании, как Google, Amazon, ServiceNow, Datadog, Freshworks, Flexera, серьёзно озабочены безопасностью (и, скорее всего, серьёзнее, чем вы).
2. Облачные ITSM платформы предлагают широкий спектр методов защиты инфраструктуры
   
   • SSO
   • двухфакторная аутентификация
   • HTTPS
   • ролевая модель доступа
   • ограничение списка IP-адресов
   • и т.д.
3. Допустим, злоумышленник всё же попал в ITSM-систему с правами администратора. На что он может рассчитывать?
   
   • Учётные данные пользователей в системе не хранятся
   • Из персональных данных — только общедоступные
   • Данные об инфраструктуре – IT и MAC-адреса, имена хостов, данные об используемом стеке ОС и программного обеспечения, данные о топологии сервисов и сети из CMDB или ITAM- системы типа Flexera One. Такие данные действительно могут помочь хакерам планировать и развивать атаку внутри организации, но в этом плане облачный сервис мало чем отличается от любой другой корпоративной системы, к которой злоумышленник смог получить доступ с полными правами.
   • Данные из заявок – история тикетов, запросов на изменения и тд. Теоретически, эти данные также могут быть использованы для развития атаки внутри инфраструктуры организации, а возможность переписываться с сотрудниками от лица работника организации даёт возможности по распространению скомпрометированных файлов.
   • Возможности ITSM-систем по оркестрации процессов в сторонних системах (например, создавать пользователя в AD по поступившей заявке) могут дать злоумышленникам возможность создавать скомпрометированные учётные записи и выполнять другие неавторизованные операции.
4. Общая рекомендация

Крупной организации важно мониторить логи работы системы и отслеживать подозрительную активность.

Общей рекомендацией в данном случае является регулярная информационная работа с сотрудниками компании, разъясняющая важность соблюдения конфиденциальности и раскрывающая методы социальной инженерии, благодаря которым злоумышленники обычно и получают доступ к корпоративным системам.

‍

Заключение

В этой статье мы постарались разобраться в том, что же на самом деле запрещает законодательство Республики Казахстан по части хранения и обработки данных в облачных сервисах, и какие есть прочие риски.

Итог таков:

1. Законодательство предписывает хранить данные на серверах на территории РК, но не запрещает трансграничную передачу при условии соблюдения условий защиты данных и/или наличия согласия субъекта персональных данных на их передачу. То есть хранить учётные данные пользователей на сервере Active Directory в вашей инфрастурктуре, и использовать их для работы облачных сервисов, таких как Service Desk система - можно. Принимать заявки от граждан, куда они могут приложить скан паспорта,и он потом останется лежать в облаке - не стоит.
2. Часть данных, хранящихся в облачном сервисе, действительно может быть использована злоумышленниками, однако в этом плане SaaS сервисы мало чем отличаются от других корпоративных систем.
3. В любом случае важно использовать механизмы обеспечения безопасности – многофакторную авторизацию, шифрование, ролевые модели, ограничения IP-адресов и прочее, осуществлять мониторинг подозрительной активности, а также проводить регулярные мероприятия по повышению цифровой грамотности сотрудников в области кибербезопасности;

Роль Synta

Synta является авторизованным партнёром Freshworks (Authorized Partner). Мы специализируемся на внедрении систем Freshservice, Freshdesk, Device42. Наша команда с удовольствие поможет вам внедрить эти мощные, но в то же время простые в эксплуатации решения и получить максимальную отдачу от ваших инвестиций в автоматизацию управления услугами.

‍

‍