«На организацию атак $500+ тысяч». Хостинг-провайдер о границах ответственности, киберпреступниках и неэтичных сделках

«Лежать дороже, чем заплатить злоумышленникам»

В 2023 году около 55% дата-центров по всему миру сообщили хотя бы об одном серьёзном инциденте простоя, по данным исследовательской компании Uptime Institute. 

«Все хостинги падают, вне зависимости от опыта компании и мощности инфраструктуры», — говорит Андрей, основатель is*hosting. — «Другое дело — насколько часто это происходит».

is*hosting лежал в последний раз в 2019 году. Тогда три партнёрских дата-центра компании пострадали от массированной DDoS-атаки. На один IP-адрес обрушивалось больше 50 миллионов запросов в секунду. Провайдер столкнулся с атакой нулевого дня, которая до этого ни разу не появлялась в публичном пространстве.

В компании быстро поняли: инфраструктура дата-центра не выдержит. Тогда is*hosting подключился к внешнему провайдеру с более широкой и геораспределенной сетью защиты. И остановил использование части сетевой инфраструктуры для обработки интернет-трафика и защиты от DDoS. Компания полностью перешла на внешние каналы и смогла быстро восстановиться.

Пример is*hosting — один из множества аналогичных в индустрии. В 2016 году крупная хостинг-компания OVH также столкнулась с DDoS-атакой, объем которой превысил 1 Тбит/с. Это стало тогда рекордом. А в 2020 году одной из самых мощных атак в истории с пиком нагрузки в 2,3 Тбит/с подвергся AWS. Это вызвало временные перебои в работе сервиса. И хотя AWS сумел защититься, стало понятно: злоумышленники наращивают мощности.

«После той атаки мы получили уникальный опыт», — рассказывают в is*hosting. — «Мы адаптировали инфраструктуру к подобным испытаниям. У нас осталась экспертиза налаживания внешних центров фильтрации DDoS-атак, мы подключили сотни гигабит интернет-каналов от других провайдеров и защищённый IP-транзит из партнёрского дата-центра в Нидерландах. Мы готовы к подобным ситуациям в будущем».

Но как бы ни был подготовлен провайдер, риски есть всегда. Поэтому борьба с киберпреступностью не ограничивается только техническими вопросами. На организацию масштабных, рекордных ransomware-атак злоумышленники могут тратить больше полумиллиона долларов. 

«Проект может лежать неделю или больше, и часто это дороже, чем заплатить злоумышленникам», — замечает Андрей.  

Но купившись на шантаж, компании фактически финансируют будущие атаки. Одним из решений этой проблеме может стать приравнивание выкупов к финансированию кибертерроризма, считают в is*hosting: «Таким образом снизится число атак из-за нежелания жертв оплачивать выкупы».

Пока же эта проблема остается актуальной: кибератаки наносят мировому бизнесу убытки в миллиарды долларов ежегодно.

Хотя в некоторых странах всё же пытаются урегулировать вопрос выкупов. Так, в марте 2022 года президент США Байден подписал закон об отчетности о киберинцидентах для критической инфраструктуры. Закон потребовал разработать и внедрить правила, которые обяжут организации сообщать о кибератаках и выплате выкупов. Агентство по кибербезопасности (CISA) также рассматривает санкции в отношении компаний, которые ведутся на шантаж. 

В ЕС компании критической инфраструктуры обязаны прикладывать больше усилий для оценки рисков и обеспечения кибербезопасности. О ransomware-атаках ведутся разговоры, но конкретных регламентов пока нет. Поэтому платить вымогателям выкуп или нет — решение пострадавших от атак. Они же часто делают выбор в пользу компании, а не индустрии в целом. На устранение подобных атак нужно не меньше недели. 50% компаний, которые теряют доступ к данным на 10 дней, немедленно объявляют о банкротстве.

При этом в ЕС в целом довольно строгое законодательство в отношении взаимодействия хостинг-провайдеров и платформ c киберпреступными организациями. Свидетельство тому — недавнее задержание Павла Дурова во Франции. Основателю Telegram предъявили 12 обвинений. В том числе предоставление платформы пользователям, которые распространяли незаконный контент. 

И также обязал их внедрять механизмы, которые позволят пользователям сообщать о потенциально нелегальном контенте. Затем провайдер должен оценить инцидент и, при необходимости, удалить информацию. 

Интересно, что США продолжают балансировать между защитой свободы слова и обязанностями онлайн-платформ. Закон о пристойности в сфере коммуникаций (CDA), принятый ещё в 1996 году, предоставил иммунитет онлайн-платформам от ответственности за контент, который создают пользователи. Но если хостинг-провайдер знает о незаконном контенте и не удаляет его, он может столкнуться с правовыми последствиями: гражданскими исками от пострадавших сторон, исками от правоохранительных органов за неисполнение юридических обязательств, а в некоторых случаях с уголовной ответственностью.

В ЕС за хостинг нелегальных материалов могут дать штраф, заключить под стражу и Но даже при этом многие провайдеры не прекращают сотрудничество с клиентами, которые создают нелегальные ресурсы. Вместо этого нарушителям дают 24 часа на устранение проблемы. Клиенты удаляют вебсайт, который вызвал вопросы, но вскоре создают новый. И так может продолжаться довольно долго. Пока об этом не станет известно органам контроля. И тогда провайдеру придётся столкнуться с ответственностью. Так в 2020 году в Нидерландах была закрыта компания CyberBunker. Хостинг-провайдер предоставлял свои услуги для сайтов с фишинговыми ресурсами и другими нелегальными проектами. Финал для компании оказался печальным — долгие судебные разбирательства и потеря бизнеса.

В is*hosting политика блокировки клиентов, которые нарушают условия пользования, довольно строгая. В компании создали внутренний кодекс, где детально описали правила сотрудничества и последствиях их нарушения.

«Мы не даём второго шанса за такие нарушения, как спам, вирусы, ботнеты или фишинг», — поясняет Андрей. — «Но есть один момент, который вызывает у нас беспокойство — хостинг-провайдеров всё чаще заставляют выполнять роль регуляторов, что, по нашему мнению, выходит за рамки наших обязанностей.

Это угрожает не только частной жизни пользователей, но и развитию всей индустрии. Мы видим, что в ряде случаев требования к провайдерам раскрывать личные данные или блокировать контент выходят за правовые рамки, особенно когда нет судебных решений. Наша позиция проста: мы соблюдаем законы стран, в которых работаем, но не поддерживаем перекладывание ответственности за всё, что происходит в цифровом пространстве, на провайдеров».

«Таможенная пошлина за ввоз одного сервера — 20 тысяч евро»

is*hosting работает не с любым легальным бизнесом. В некоторых странах законы не совпадают с ценностями компании. 

«Однажды к нам обратилась российская компания. Перед стартом сотрудничества мы провели проверку потенциального клиента и узнали, что он работает в сфере компьютерного зрения, а его продукты используются для слежения. Мы не хотели и не хотим иметь ничего общего с подобными компаниями. Мы помним опыт Беларуси (речь идёт о компании Synesis — прим. ред). Поэтому мы отказали», — рассказывает Андрей. 

Сейчас у is*hosting 39 дата-центров на пяти континентах. Компания начинала в 2000-х. Тогда её клиентами были разработчики сайтов, дизайнеры, SEO и другие специалисты. Сейчас профиль шире: провайдер сотрудничает с геймдев, e-commerce-компаниями, форекс и криптовалютными трейдерами, предоставляет виртуальные серверы малому и среднему бизнесу, разрабатывает решения для корпоративного сегмента. 

is*hosting работает в 35 странах. Один из последних рынков — Бразилия. И также один из самых дорогих. Таможенная пошлина на импорт оборудования в эту страну — 100%. То есть за ввоз одного сервера стоимостью 20 тысяч евро компания платит 20 тысяч сверху. Издержки, налоговые обязательства увеличивают операционные расходы и влияют на конечную стоимость для клиента. 

Одна из самых крупных статей расходов для дата-центров — затраты на электроэнергию. Наиболее выгодная в Европе цена на электричество в Швеции, Норвегии, Исландии, Дании. В этих странах государства развивают ветро- и гидроэнергетику и поддерживают субсидиями и льготами компании, которые используют возобновляемые источники и внедряют энергоэффективные решения. Например, используют избыточное тепло от дата-центров для отопления жилых районов и офисов. 

Оденсе — первое место в мире, где Meta попыталась перекачивать избыточное тепло напрямую в дома людей, пишет Wired. Но это не единственная технологическая компания, которая старается утилизировать тепло эффективно. В Ирландии дата-центр Amazon помогает отапливать Дублинский университет, а Microsoft строит, кажется, самую крупную в мире систему отопления центром обработки данных в Финляндии.

Тенденция на энергоэффективные решения будет расти. Бум ИИ спровоцирует строительство ЦОДов. По данным исследовательской компании Dell’Oro Group, Microsoft, Google, Meta и Amazon придется инвестировать около 1 триллиона долларов в инфраструктуру, чтобы справиться с вычислительным спросом на ИИ.

Аналитики оценивают, что глобальный спрос на электроэнергию для центров обработки данных может удвоиться в период с 2022 по 2026 год, в основном из-за энергоемкой природы ИИ. 

— Сейчас мы планируем делать большой акцент на ИИ-решениях и машинном обучении. Это требует графических процессоров, видеокарт, которые потребляют много электроэнергии. Для таких решений мы как раз и запускаем Финляндию и Исландию — это подходящая среда для охлаждения дата-центров и эффективного использования лишнего тепла, — рассказывает Андрей. 

У is*hosting большие планы по использованию ИИ: хотят применять его для предсказания будущих заказов и клиентского обслуживания.

Результат, который is*hosting хочет получить, — это ИИ-ассистент, который может давать грамотные ответы на языках клиентов. Также компания планирует разработать мобильное приложение, которое позволит управлять продуктом полностью голосом. Например, проверять статус оплаты серверов и проводить денежные операции. 

«У нас много мыслей и идей, как применить искусственный интеллект. Я думаю, те, кто понимают силу и возможности ИИ и используют его в своем бизнесе, будут на коне через какое-то время. А те, кто начнёт понимать это через 2-3 года, скорее всего, станут большими аутсайдерами. Мы не хотим быть в числе аутсайдеров», — заключает Андрей. 

devby 17 лет!

Вспоминаем наш (и ваш) переходный возраст и делимся виш-листом