Опасения по поводу возможного взлома хостинг-провайдера или гипотетической возможности несанкционированного доступа к данным со стороны сотрудников датацентра зачастую перевешивают все .
Попробуем разобраться, насколько такие опасения обоснованы.
Первая – и наиболее очевидная – составляющая вопроса безопасности хранения и передачи данных – сугубо техническая. «Как защитить от перехвата логин и пароль?» «Как обеспечена сохранность данных на сервере?» «Гарантирована ли изоляция данных от других пользователей?»
Ответы на все эти и схожие вопросы должны быть у любого разработчика ПО, предполагающего распространение своих продуктов по модели SaaS. Шифрование передаваемых данных с помощью SSL, возможность использовать одноразовые (составные) пароли, обязательное регулярное создание резервных копий и т.п. – все это должно быть (и будет) стандартом де-факто для любого арендуемого решения.
Продукт, который не будет гарантировать (с технической точки зрения) безопасность и сохранность пользовательских данных будет заранее обречен на провал. будет нормой, а не преимуществом.
Иными словами, технический аспект защиты информации я считаю сугубо эволюционным. И даже если сейчас пока еще те или иные сервисы не предоставляют достаточных технических средств защиты информации клиента, они будут вынуждены соответствовать достаточно высокой планке стандартов безопасности. Иначе клиенты просто проголосуют ногами.
Не могу не процитировать , директора по развитию в России, СНГ и Израиле компании Parallels: «Все разговоры о безопасности в облаке – это вопрос восприятия. Пройдет время и никого вообще эти вопросы не будут волновать.»
Второй – более сложный – аспект вопроса безопасности в SaaS модели: как вообще клиент может доверять свои данные стороннему сервису? Каковы риски при хранении собственной информации на чужих серверах?
Наиболее распространенное опасение – недоверие сотрудникам хостинг-провайдера, датацентра, боязнь того, что они могут получить доступ к чужой информации, имея физический доступ к серверам.
Это может показаться парадоксальным, но я готов утверждать, что зачастую конфиденциальность информации в случае аренды ПО (или использования любого SaaS сервиса) у известного хостинг-провайдера, у компании с хорошей репутацией обеспечивается гораздо лучше, чем при работе с собственными серверами.
Провайдер декларирует сохранность и конфиденциальность информации клиентов в договоре с ними и отвечает за это в рамках этого же договора. Провайдер обеспечивает организацию разных уровней доступа своих сотрудников к оборудованию и ПО. Датацентр провайдера физически лучше защищен: полностью ограничен доступ посторонних лиц, обеспечена система аутентификации для доступа только тех сотрудников, которые имеют необходимые полномочия.
Если предположить, что кто-то по каким-то причинам хочет получить ваши данные, то такой потенциальный злоумышленник имеет больше возможностей действовать через ваших сотрудников, а не через персонал провайдера.
Самому провайдеру ваши данные просто не нужны! Более того, провайдер как никто другой заинтересован в обеспечении максимальной безопасности ваших данных. Любой случай утечки информации скомпрометирует весь его бизнес и нанесет несравнимо больший урон – по сравнению с какой-либо гипотетической выгодой.
Доверие приходит со временем. Мы уже доверяем свою переписку почтовым системам, сервисам обмена мгновенными сообщениями, социальным сетям. Совершаем покупки через интернет, указывая данные своих банковских карточек. Мы доверяем лишь потому, что речь идет об уже достаточно привычных операциях. Со временем любой SaaS сервис – будь то CRM, интранет-система, виртуальная АТС или что угодно иное – станет столь же привычным.
Говоря о доверии провайдеру, скажу и о том, что несколько раз сталкивался с достаточно неожиданной, совершенно иной точкой зрения: «Конечно, я храню и почту, и бухгалтерию, и сайт компании не у себя, а в датацентре хостера! У меня абсолютно честный бизнес… Но мало ли из-за какого недоразумения ко мне решат наведаться с той или иной проверкой из какой-нибудь организации. Вдруг устроят изъятие серверов. Даже если их потом вернут – сколько времени может пройти?! А когда все у провайдера – подключайся в любое время и работай себе дальше…»
Неплохой аргумент в пользу SaaS.
В заключение рассмотрим еще один момент – доверие конкретному провайдеру. Что делать, если выбранный вами сервис или хостинг-провайдер закрывается или прекращает поддержку вашего продукта? Или условия предоставления услуги (технические характеристики, цена и т.п.) стали для вас неудобными. Ответ на этот вопрос потенциальный клиент должен знать до начала работы с конкретным сервисом.
Для вас - для клиента SaaS услуги - важны две возможности: первое - всегда в любой момент получить в каком-то понятном формате свои данные, и второе – суметь продолжить работать с этой информацией у другого провайдера или на коробочной версии продукта, который был взят в аренду.
Если вы используете тот или иной уникальный сервис, который предоставляет только один-единственный разработчик, узнайте заранее: есть ли у этого же разработчика коробочная версия его продукта, есть ли экспорт данных из одной версии в другую, есть ли экспорт в широко распространенные форматы данных.
Более надежным для клиента выглядит партнерство разработчика и хостинг-провайдеров (так, например, делаем мы, ). В этом случае, почти наверняка, одну и ту же услугу будут предоставлять несколько разных провайдеров. И у клиента всегда будет возможность выбора.
Понимаю, что с точки зрения разработчика крайне соблазнительно привязать клиента к себе своей уникальностью. Но этот путь будет тупиковым. Закрытые форматы и понимание невозможности в любой момент «уйти» не добавляют доверия. И при наличии сервиса со схожим функционалом и с возможностью экспорта собственных данных – потенциальный клиент скорее выберет его.
Рынок SaaS – очень молодой. Идея аренды ПО пока вызывает у клиентов много вопросов и недоверия. И сейчас одна из самых главных задач разработчиков – делать надежные, безопасные, прозрачные, понятные сервисы.
Ротация среди администраторов хостингов, кстати, не очень высокая. Скорее уж в суппорте. Но эти сотрудники и не имеют необходимого доступа к данным всех пользователей.
P.S. Кстати, среди этой "кучи предложений" нет баз провайдеров и/или хостеров. Если я не прав, и такие предложения только мне не попадаются, могли бы Вы назвать конкретные компании?
К чему я собственно все говорю. Хостеры на самом деле заботятся о сохранности данных пользователей.
Но, как я и писал в самом посте, мне кажется более вероятным "заход" на сотрудника конкретной компании (для получения тех или иных данных), а не на персонал провайдера.
Поэтому успех решений SaaS в России будет у сервисов предлагающих базовые примитивы и базовые бизнес-процессы. Например, ведение реестра платежек. Более сложную логику в России тяжело тиражировать. Ее просто брать не будут.
Недавно мой приятель залез на сервер провайдера, к которому я подключен, и изменил шутки ради мой пароль. Потом то он мне дал новый для доступа, но поржал с меня всласть. И для меня этот инцидент не стал такой уж невероятной новостью. Уже о таких приколах слыхал от других пользователей.
Мой вывод прост: Нечего на оплате персонала экономить, а нанимать для работы с серверами профессионалов.
А о чем говорить, если доступы через свичи открыты. И я могу тоже пробить все IP-адреса всех клиентов провайдера и лазить по компам населения города. Но мне то этого просто не нужно.
А у хостинг-провайдеров тоже дыр хватает. По крайней мере там тоже люди работают, да ещё и не всегда квалифицированные.
Я например доверяю своему хостеру но как говорят доверяй но проверяй - всегда держу бекапы сайтов и баз данных у себя на компе