(Окончание, начало см. http://rusrim.blogspot.com/2020/03/1_30.html )
Сведения о надёжности облачных технологий должны быть актуальными, чтобы иметь ценность
Данная в статье ссылка на публикацию американского Национального института стандартов и технологий (NIST) старше 7 лет, и она устарела вместе с большинством цитат и ссылок периода с 2013 по 2018 год, причем большинство из них относятся к периоду 2012–2015 годов (а некоторые - к 1998 году). Это временные рамки, когда облачные технологии только начали становиться популярными, прежде, чем конечный пользователь осознал опасности, связанные с использованием облачных технологий для всего, что не является общедоступным и некритичным для деловой деятельности коммерческих и государственных органов и учреждений в целом. По этой очень простой причине в мире сейчас НЕТ ГОСУДАРСТВЕННЫХ ОРГАНОВ, которые бы размещали критически-важную для их миссии или секретную информацию в публичном облаке, поэтому, хотя эта статья интересна, в ней представлено ОЧЕНЬ искаженное представление о текущей ситуации.
Мой комментарий: Как говорим мы, русские, «ловкость рук, и никакого мошенничества» :) Сначала автор говорит об облаке вообще (как и Дюранти в своей статье!), но, когда дело доходит до весьма ответственного вывода, подстраховывается, вставляя уже «публичное облако» (вдобавок к секретной информации, о которой вообще до этого речь не шла) – что, мягко говоря, совсем не одно и то же!
Я уже не говорю о такой «мелочи», что, как легко убедиться, высокоуровневые указания NIST даже 20-30 летней давности в принципе не так уж сильно отличаются от аналогичных свежих рекомендаций. Скорее, меняются предпочтительные способы реализации этих рекомендаций при использовании конкретных технологий…
Другие ссылки на OGM (? - Н.Х.), OASIS (? - Н.Х.), InerPARES (правильно: InterPARES - Н.Х.), PaaST основаны на концепции открытого исходного кода, которая делает эти типы атак более распространенными, способствует увеличению их масштабов и частоты, поскольку эти инструменты облегчают злоумышленникам поиск способов взлома этих технологий.
Мой комментарий: А вот некоторые считают, что открытый код позволяет «всем миром» эффективнее выжигать уязвимости, и что в него труднее прятать «закладки» … Известно, что в проприетарных решениях тоже частенько используются блоки открытого кода. Подобные заявления г-н Блатта наводят меня на мысль о том, что он определённо что-то продаёт, и это что-то конкурирует с программным обеспечением на основе открытого кода :)
Расширение технических требований и внедрение заслуживающих доверия решений
Как человек, который тратит немало времени на работу в мире цифровой криминалистики, а также на взаимодействие с государственными органами и учреждениями, внедряющими заслуживающие доверия технологии управления документами, - я принимал участие во многих расследованиях и попытках восстановления данных, в основном безуспешных.
Это ключевые факторы, приведшие к тому, что отрасль управления контентом / документами очень напряжённо занимается разработкой и расширением технических требований, связанных с проектированием, разработкой и внедрением доверенных (trustworthy) решений, защищающих данные с помощью таких инструментов, как модели «Доверенных подсистем хранения» (Trusted storage subsystem, TSS), и, что более важно, не допускающих хранение критически-важных или конфиденциальных данных вне контроля организации как ответственного хранителя. Данные, которые раскрываются для общественности, обычно размещаются в облачных сервисах, поскольку эти данные легко могут быть заменены без потери контроля над контентом, и тем самым предотвращается потери верности данных.
Я надеюсь, что вся эта информация поможет всем лучше понять упомянутую исследовательскую статью и проблемы, связанные с принятием решений о том, где размещать критически-важные для миссии организации документы. Хотя эта статья хорошо написана, следует отметить, что большая часть содержащихся в ней сведений устарела и не отражает сегодняшние условия.
Я приветствую дальнейшее обсуждение этой темы, поскольку это очень важный вопрос, который все организации должны принять во внимание до того, как разместят свои критически-важные документы вне своего контроля как ответственного хранителя, и передадут их под контроль внешней организации или службы.
Эта информация, связанная с защитой критически-важных документов, будет дополнительно обсуждаться на предстоящей конференции IIMC, и в следующей моей статье будут сообщены дополнительные сведения о различных компонентах и соображениях, связанных доверенными документными средами (trustworthy records environments).
Если кого-то заинтересован в том, чтобы познакомиться с упомянутой статьёй [Дюранти], опубликованной несколько лет тому назад, свяжитесь со мной, и я буду рад поделиться дополнительной информацией в электронном виде и / или во время предстоящей конференции IIMC.
Об авторе: Роберт Блатт
Автор данной статьи, Роберт М. Блатт (Robert M. Blatt), является основателем консультационной фирмы EID (исторически эта аббревиатура произошла от Electronic Image Designers – «Проектировщики систем управления электронными графическими образами» - Н.Х.) и предоставляет экспертные знания в области «технологий» клиентам EID, которые находятся в процессе «утрамбовывания» своего контента в общекорпоративные электронные системы управления контентом (ECM).
Роберт пользуется большим авторитетом в отрасли управления контентом за многолетнюю работу в американских и международных организациях по стандартизации. Он возглавлял многие усилия по разработке стандартов в ECM-отрасли, в том числе, в последнее время, передовых практик и стандартов, связанных с доверенными ECM-системами, которые дают определение того, что значит иметь доверенную систему управления контентом. Уверенность в том, что то, что Вы получаете из системы именно то, что в неё положили, в конце концов, часто является важнейшей часть головоломки обеспечения управления электронным контентом.
Мой комментарий: В этом резюме какие-либо степени и авторитетные профессиональные сертификации г-на Блатта не упоминаются …
Роберт Блатт (Robert Blatt)
Мой комментарий: Сопоставьте с высказывания Блатта 2020 года выводы, сделанные в статье Дюранти 2016 года:
«Как будут выглядеть заслуживающие доверия системы обеспечения долговременной сохранности (trustworthy preservation systems) в будущем? Вероятно, они не будут похожи на системы в технологическом смысле этого слова. Скорее, они будут выглядеть как набор взаимосвязанных частей, образующих комплексное целое, стратегическое управление которым, как можно надеяться, будет осуществляться на основе концепции, включающей принципы, правила и процедуры. Это будут гибридные решения - включающие облачные сервисы и собственные сервисы организации; но будет ли они согласованными, интегрированными, взаимозависимыми и интероперабельными, жизнестойкими, высокодоступными и надежными, будет зависеть от будущих технологических разработок и [ожидаемых – Н.Х.] экономических преимуществ.Источник: сайт EID
Доверие к управлению документами и к обеспечению их долговременной сохранности в этих системах будет напрямую связано с надежностью поставщиков услуг и безопасностью облачной архитектуры, инфраструктуры и её операций. Будут ли подобные системы рассматриваться как эффективные решения для управления документами и обеспечения их долговременной сохранности, будет зависеть от способности поставщиков облачных услуг взаимодействовать как по вертикали (когда специализированные поставщики услуг полагаются на более крупных поставщиков), так и по горизонтали, в виде федерации, поддерживающей не только наличие и доступность (availability) посредством избыточности, но и универсальный доступ и все виды обмена информацией. Что касается аутентичности материалов, которые мы будем доверять этим системам, то можно лишь пожелать, чтобы продолжающиеся международные и междисциплинарные исследования смогли обеспечить, чтобы тема аутентичности оставалась в центре внимания.»
https://eid-documentmanagement.com/are-cloud-storage-technologies-reliable-for-mission-critical-records/
