Произошедший на прошлой неделе сбой в работе продуктов Microsoft парализовал работу многих компаний по всему миру, включая банки, аэропорты и даже рестораны быстрого питания. И назвать неожиданностью случившееся сложно: о ненадежности облачных сервисов (так называемых SaaS-решения) технические специалисты знали давно, а после пятничного инцидента об этом теперь осведомлена и широкая общественность.
Впрочем, российские банки, сделавшие ставку на альтернативную модель распространения ПО — on-premise, — по большей части избежали проблем, порожденных сбоем.
Чем On-premise отличаются от SaaS
Прежде всего, надо разобраться, что такое on-premise и SaaS.
On-premise — модель локального развертывания программного обеспечения, которая предполагает использование оборудования, принадлежащего компании. Это могут быть сервера, хранилища данных и тому подобное. Организация самостоятельно их закупает и впоследствии запускает на них IT-продукты.
SaaS (Software as a Service)— модель предоставления доступа к программам через Интернет. Компании вместо того, чтобы покупать софт и устанавливать его у себя, могут оформить подписку на облачный сервис и пользоваться программными продуктами онлайн.
Для примера возьмем системы распознавания документов на базе ИИ.
Компании могут купить софт для распознавания, и тот будет поставлен им в виде автономного SDK, содержащего всю необходимую документацию по установке и использованию программного обеспечения. Организация самостоятельно внедряет ПО в свои приложения, и впоследствии все операции с использованием IT-продукта совершаются в контуре организации (то есть on-premise), а обрабатываемые в ходе этого данные никому «извне» не передаются.
Но компания может пойти другим путем: обратиться к облачным платформе. При этом все сканы документов пересылаются на сторонний сервис. Именно там проходит вся обработка, и распознанные данные возвращаются компании-заказчику.
Smart Document Engine©
Система анализа и распознавания документов
Для чего организациям системы распознавания
Мы неслучайно упомянули системы распознавания на базе искусственного интеллекта.
Компании на ежедневной основе имеют дело с тысячами страниц документов, и решения для распознавания помогают автоматизировать ввод данных, что в свою очередь позволяет ускорить проведение многих операций и свести к минимуму риск возникновения ошибок при заполнении различных форм.
Подобные системы применяются в банках для распознавания паспорта, KYC анкет, согласий на обработку персональных данных и иных бумаг, что позволяют сократить время на открытие счета и проведение иных операций до считанных минут; в нотариальных палатах — для классификации входящей корреспонденции и отправки присылаемых документов в нужные отделы; в страховых компаниях — для автоматического заполнения данных при покупке полисов ОСАГО; в объектах транспортной инфраструктуры — при продаже билетов или прохождении паспортного контроля и так далее. Распознавание первичных документов также используется различными компаниями для более эффективного ведения бухгалтерии.
Клиенты Smart Engines используют on-premise решения, которые исключают какие-либо риски утечек в процессе распознавания. А что же облачные сервисы?
Дырявые «облака»
За счет своей архитектурной особенности облачные сервисы нередко используют подход, который называется human-in-the-loop (HITL).
Бывают ситуации, когда искусственный интеллект не уверен, правильно ли он распознал документ — например, из-за плохого освещения. В этом случае «вызывающие сомнения» поля пересылаются на краудсорсинговую платформу, где операторы проверяют работу ИИ.
Обычно несколько человек получают одинаковые фрагменты, и им предлагается ответить «Да/Нет» на вопрос, правильно ли были распознаны буквы или цифры. Если кто-то нажал кнопку «Нет», то для дополнительной проверки задействуются еще операторы. В ряде случаев им приходится самим набирать текст со сканов или фотографий документов.
Сторонники HITL уверяют, что привлечение людей помогает исправлять ошибки ИИ и в целом делает технологии распознавания более надежными. Однако вызывает вопросы (и опасения) то, что на краудсорсинговые платформы может зарегистрироваться любой человек и потом иметь доступ к данным документов россиян.
Причем этих операторов не десятки или сотни, а многие тысячи. Компании не могут чисто физически контролировать такое количество людей, и это фактически развязывает руки всякого рода аферистам.
Не меньшей проблемой являются масштабы утечек данных. Согласно InfoWatch, объем утекших персональных данных в 2023 году составил 1,12 млрд записей, что почти на 60% выше показателя 2022. Касаемо облачных сервисов — согласно исследованию InfoWatch от 2019 года, более половины конфиденциальной информации в мире утекает из облачных сервисов — 56% (а в России этот показатель составил 68%).
Причин небезопасности облачных сервисов немало.
Во-первых, если локальные сети и оборудование, находящееся на территории компании, можно эффективно контролировать, то возможность удаленного доступа создает для мошенников лазейки для атак (и в целом компании начинают зависеть от состояния IT-инфраструктуры облачного вендора, что не прибавляет к устойчивости бизнес-процессов).
Во-вторых, как отмечают исследователи InfoWatch, движимые как трендами, так и необходимостью (как это было во времена пандемии коронавируса), компании спешно переносят свои базы данных в облака, не всегда учитывая все правила информационной безопасности: в частности, у IT-отделов организаций порой нет заготовленных правил и средств мониторинга для API многочисленных программ, взаимодействующих с облачными службами. Также имеют место изъяны в самой облачной инфраструктуре (например, неправильные настройки) и отсутствие стресс-тестов для их выявления.
К каким последствиям может привести использование облачных сервисов
В результате утечек базы данных клиентов могут оказаться в открытом доступе. Конкуренты никогда не дремлют, и, в частности, слитые номера телефонов позволяют им обзванивать клиентов другой компании и делать им «выгодные предложения». Рано или поздно все эти увещевания возымеют действие, и часть пользователей переметнется к другой организации. Таким образом, при обращении к облачным сервисам вместо притока новых клиентов происходит отток старых.
Продолжая тему с финансовыми издержками, стоит упомянуть принятый в первом чтении закон об оборотных штрафах за утечки персональных данных.
Согласно ему, взыскиваемые суммы для юридических лиц могут составлять от 0,1% до 3% выручки за календарный год или за часть текущего года — не менее 15 млн рублей и не более 500 млн рублей. Суммы огромные, и для некоторых фирм — фактически неподъемные.
А уж про то, что в результате какой-то ошибки у облачного вендора системы компании могут просто перестать работать, говорить не приходится — инцидент 17 июля все наглядно показал.
Кто с облаком к нам придет, тот от облака и погибнет
Ситуация с Microsoft должна стать уроком для многих компаний, которые до этого присматривались к облачным сервисам. При выборе on-premise решений у организаций могут возникнуть некоторые сложности при установке софта (требуется время, найм технических специалистов и так далее), но зато потом они могут полностью контролировать свою IT-инфраструктуру и не бояться, что в результате сбоя у поставщика услуг у них в одночасье полетит работа всех систем — как было у американских аэропортов, вынужденных спешно отменять сотни рейсов, менять расписания полетов и даже от руки заполнять билеты пассажиров — или данные клиентов окажутся в открытом доступе.
Smart Document Engine©
Система анализа и распознавания документов
Реклама: ООО «СМАРТ ЭНДЖИНС СЕРВИС», ИНН 7728328449, erid: LjN8KYKKa
Начать дискуссию