Ольга Ермакова
Старший юрисконсульт и комплаенс специалист компании Linxdatacenter
16.10.2020

Как полюбить ФЗ-152: гайд для иностранных компаний в России

Несмотря на то, что цифровой бизнес давно стал трансграничным, и все больше компаний работает в глобальном пространстве, мир пока еще не превратился в «глобальную деревню»

Ольга Ермакова, старший юрисконсульт и комплаенс специалист компании Linxdatacenter

Несмотря на то, что цифровой бизнес давно стал трансграничным, и все больше компаний работает в глобальном пространстве, мир пока еще не превратился в «глобальную деревню». Причина тому – локальное регулирование. Одной из таких чувствительных областей, находящихся сегодня под пристальным контролем властей во всех странах мира, является защита личных данных.

Мы подготовили небольшой гайд для иностранных компаний, которые ведут бизнес в России и должны соблюдать требования российского законодательства в части защиты персональных данных.

Начнем с главного

В России порядок работы с персональными данными граждан РФ установлен законом ФЗ-152 и рядом подзаконных актов (Постановлений Правительства РФ и приказов регуляторов). В ЕС аналогичную роль выполняет GDPR (General Data Protection Regulation) – общий регламент по защите данных, и локальное законодательство стран-членов ЕС.

Работа с ПДн в России и ЕС имеет ряд сходств и различий, обусловленных процессами развития законодательства в различных юрисдикциях, а также с поправкой на практику правоприменения.

Что нового ввела Россия в законодательство о защите персональных данных за последнее время?

Штрафы выше, проверки чаще

Главный стимул тщательно изучить правила работы с ПДн в России – многомиллионные штрафы за неисполнение обязанности по локализации в РФ баз данных с персональными данными граждан РФ.Для юридических лиц штраф за первоначальное нарушение правил о локализации составит от 1 млн до 6 млн рублей (то есть от $33 тыс. до $100 тыс.), а повторное нарушение обойдется компании от 6 млн до 18 млн рублей (то есть от $100 тыс. до $300 тыс.).

Ранее в 2019 году изменились и правила проведения проверок операторов персональных данных со стороны Роскомнадзора. Так, сократились сроки уведомления о проверках: плановая – до 3 рабочих дней, внеплановая до 24 часов. Вместе с этим короче стал и срок самой проверки, что можно считать положительным моментом для бизнеса – сокращено время, в течение которого госорган имеет право проверять компанию (20 и 10 дней соответственно).

Проверка юридических лиц и индивидуальных предпринимателей теперь возможна не ранее, чем через три года после их регистрации. Таким образом, у вновь образованных компаний есть время для приведения своих бизнес-процессов в соответствие с требованиями закона и для подготовки к проверкам.

Периодичность проверок зависит от того, какие данные и как обрабатываются. Для большинства компаний проверки будут по-прежнему проходить не чаще, чем раз в три года. Исключение составляют компании, работающие с особыми категориями данных (в том числе с биометрическими данными), а также некоторые операторы, осуществляющие передачу данных иностранным государствам, юридическим и физическим лицам. Проверка таких операторов персональных данных может проводиться каждые два года.

Работаем с данными на российском рынке: нюансы  

Иностранная компания, которая собирает данные граждан РФ на территории России, может обеспечить их защиту в соответствии с законом двумя путями.

Первый сценарий: компания регистрирует бизнес-единицу (дочернюю компанию, филиал, представительство) в России.

В этом случае все относительно просто: если компания соответствует требованиям GDPR в Европе, то адаптировать свои процессы и процедуры под требования российского ФЗ-152 труда не составит. Как и GDPR, российский закон большую часть своих требований к бизнесу выдвигает на уровне политик, процессов и их документального сопровождения, то есть в плоскости организационных мер.

Единственное «узкое место» – техническое обеспечение защиты ПДн: инфраструктура, инструменты шифрования. Вопросами обеспечения технического соответствия инфраструктуры требованиям ФЗ-152 занимаются специалисты по информационной безопасности, которые должны иметь специальное образование, а также обладать релевантным опытом применения соответствующих нормативных документов ФСТЭК и ФСБ. Подобной экспертизы сложно ожидать от компании, только выходящей на российский рынок, поэтому обеспечить соответствие самостоятельно может быть довольно сложно. Вместе с тем эту услугу можно получить у локальных провайдеров, предоставляющих сервис соответствия ФЗ-152 «под ключ» и разворачивающих защищенные участки для работы с ПДн на собственной инфраструктуре. Требования к локализации инфраструктуры для работы с ПДН граждан РФ – основной существенный бизнес-риск сегодня, учесть его – важнейшая задача иностранного бизнеса, работающего с ПДн в России.

Второй сценарий: у иностранной компании нет бизнес-единицы в России, но данные россиян в ее деятельности так или иначе используется.

При реализации этого сценария вероятность проверки регулятором бизнес-процессов компании крайне мала, но запросить информацию о месте нахождения инфраструктуры и политику компании в отношении обработки данных РКН все же может. Соответственно, компания должна быть готова предоставить регулятору ответы и подтверждающие документы по запросу.

Пренебрегать выполнением требований российского законодательства не стоит, даже если компания физически не присутствует в России. Главный риск состоит в закрытии властями страны доступа российских пользователей к цифровым ресурсам и сервисам компании по результатам проверки, а это может быть существенной частью бизнеса. Неприятен будет и штраф, как в случае первичного, так и повторного нарушения. Сюда же можно добавить репутационные издержки, поскольку такие истории всегда попадают в СМИ.

А как это работает на практике?

Что же произойдет, если зарубежная компания придет к российскому сервис-провайдеру за услугой соответствия ФЗ-152?

В первую очередь компании необходимо определиться с запросом: требуется предоставить услугу полного соответствия требованиям 152-ФЗ, которая включает в себя анализ бизнес-процессов, разработку внутренней документации, обучение персонала: иными словами, реализацию целого комплекса организационных мер по соблюдению закона, или же компания заинтересована исключительно в техническом решении: размещении инфраструктуры в РФ в полном соответствии с требованиями закона. В первом случае это всегда будет индивидуальное проектное решение, реализуемое под конкретные задачи бизнеса клиента.

Если же мы говорим о техническом соответствии инфраструктуры, то с определенной долей уверенности можно говорить о типовом (пакетном) решении, представленном в линейке продуктов большинства крупных сервис-провайдеров. Для каждого пользователя услуги по соответствию ФЗ-152 сервис-провайдер создает выделенный сегмент своей ИТ-инфраструктуры в защищенном сетевом периметре, элементы которого соответствуют требованиям ФСТЭК и ФСБ.

Без паники?

Существуют инструменты предупреждения незапланированных проверок со стороны РКН: имеет смысл демонстрировать максимальную прозрачность касательно действующих в компании правил в сфере ПДн. Западным компаниям в России необходимо опубликовать эти политики на сайте на русском и английском языках с подробным описанием всех сценариев работы с данными – например, данные граждан ЕС обрабатываются согласно требованиям GDPR, РФ – ФЗ-152 и т. д.

Если все же проверки избежать не удалось, важно помнить следующее. С большой долей вероятности можно утверждать, что проверку будет проводить только Роскомнадзор, и внимание регулятора будет сфокусировано в большей мере на бизнес-процессах, действующих в компании, а также на документах, оформляющих эти процессы (документарная проверка). Регулятор, несомненно, заинтересуется также вопросами размещения инфраструктуры на территории РФ и соответствия инфраструктуры установленным требованиям.

Теоретически у ФСБ или ФСТЭК могут возникнуть вопросы к реализации технической части системы обработки и защиты ПДн, однако на практике такая вероятность крайне мала. И даже если такое произойдет, компании нечего опасаться, поскольку провайдер прорабатывает финальную архитектуру инфраструктуры прозрачно и тщательно. Сервис-провайдер заинтересован в том, чтобы оказывать услуги в строгом соответствии с выданными ему лицензиями, в противном случае он сам может стать объектом пристального внимания контролирующих органов.

Pro et contra

Любая европейская компания неизбежно будет сравнивать трудозатратность процедур по соответствию GDPR в Европе и ФЗ-152 в России. Анализируя сравнительные «плюсы» и «минусы» законодательств в области персональных данных в ЕС и РФ по состоянию на текущий момент, можно говорить о некотором преимуществе российского закона для бизнеса.

В ФЗ-152 реализован принцип «исполни требования закона через конкретный перечень шагов», тогда как в ЕС работает подход, более ориентированный на достижение результата (т.е. защиты прав физических лиц в части обработки их персональных данных), чем на выполнение конкретных мер. С одной стороны, этот подход предоставляет компании больше свободы в действиях, с другой, возлагает на нее больший груз ответственности за достижение конечной цели, так как не предполагает четкой пошаговой инструкции.

Обеспечить соответствие ФЗ-152 на настоящий момент гораздо проще – все многообразие норм закона, постановлений, приказов и регулирующих документов укладывается в конструктор мер, компонуя которые, компания обеспечивает достаточный уровень соответствия. В GDPR, напротив, конструктор мер (в том виде, в котором он есть в РФ) отсутствует, и во главу угла ставится критерий исполнения обязанностей операторов (контролеров в терминологии GDPR) для достижения цели – защиты прав субъектов. Эффективность достижения последней, в свою очередь, определяется через оценку воздействия на права субъектов комплекса мер по защите данных.

С точки зрения исполнения второй вариант, конечно, сложнее – готовых шаблонов нет, обеспечение соответствия требует больших усилий и понимания специфики задач и процессов.

Сказанное выше, однако, не является некой константой, и через некоторое время, возможно, потребуется вернуться к этому обсуждению, ведь нормы GDPR могут в перспективе появиться в законодательстве РФ из-за присоединения РФ к обновленной Конвенции Совета Европы 108 о защите физических лиц при автоматизированной обработке персональных данных (обновлена протоколом CETS No.223 18 мая 2018 года, за неделю до вступления в силу GDPR). Это основной международный договор в сфере защиты персональных данных, на основе которого формируются локальные законодательные акты в этой сфере. Обновленная конвенция учитывает подход к регулированию, принятый в GDPR, что в перспективе приблизит ФЗ-152 к европейским нормам. Надеемся, что российский бизнес также следит за происходящими в мире изменениями в области обработки данных и видит области для улучшения своих процессов.

Ни для кого не секрет, что на текущий момент наказания за нарушения в России мягче. Да, размеры штрафов выросли, но они все еще не сопоставимы с мерами ответственности для европейских коллег: по GDPR назначаются гораздо более серьезные наказания за угрозу потенциальной утечки персональных данных. Например, владельцам бельгийского сайта с юридической информацией в 2019 г. был назначен штраф в размере 15 000 евро за то, что сообщение о конфиденциальности было размещено на сайте только на английском языке, без перевода на нидерландский и французский, а также не содержало правового основания необходимости обработки данных в соответствии с GDPR.

Немецкая компания Deutsche Wohnen SE была оштрафована на 14,5 миллионов евро в 2019 г. за хранение персональных данных клиентов без необходимости, в том числе по окончании договорных отношений с клиентами, а также без предоставления клиентам опции удаления такой информации.

С чего начать?

Каждый этап проекта по организации защиты личных данных должен быть тщательно проработан, особенно начальная стадия – аудит. Здесь закладываются основы эффективности будущего решения, распределяются роли ответственных за проект сотрудников.

Второй важный момент – непрерывный характер задач по работе с ПДн в структуре бизнес-процессов компании. Любые изменения в бизнес-процессах (например, смена службы охраны и СКУД), структуре штата, использование нового программного обеспечения обязывают компанию проводить обновление регламентов, процессов, архитектуры, моделей актуальных угроз и т. д. Об этом нельзя забывать ни в коем случае.

Резюмируя

Не секрет, что на базе ЦОДов уже сейчас компании получают доступ к обширным распределенным экосистемам ИТ-сервисов за счет обеспечения связности между ИТ-ресурсами компаний по всему миру. Это глобальный тренд, дальнейшее развитие которого будет только ускоряться. В этом свете к вопросам синхронизации различных систем на уровне технологий и стандартов добавляется задача обеспечения правовой гармонии. Хочется верить, что перспектива сведения к единому знаменателю требований российского 152-ФЗ и европейского GDPR, а далее и регуляторной базы других регионов мира – вопрос времени.

Рынок России представляет собой потенциально крайне интересное направление для зарубежных компаний. Вместе с тем часто от выхода на рынок РФ бизнес удерживают различные мифы и некорректная оценка рисков. Мы надеемся, что данный материал поможет бизнесу снять часть заботящих его вопросов по обработке данных в России.

Биография Ольги Ермаковой

Ольга Ермакова работает старшим юрисконсультом и комплаенс специалистом в компании Linxdatacenter. Опыт работы Ольги составляет более 15 лет и включает обширную юридическую практику в области консалтинговых услуг, а также ИТ-решений. Ольга является выпускником юридического факультета СПбГУ, имеет сертификаты GDPR Data Privacy Professional (GDPR DPP) (2020), ICA Certificate in Compliance (2018).

В числе профессиональных достижений Ольги – участие в создании системы защиты персональных данных в компании, сопровождение процесса получения лицензий регуляторов рынка в сфере информационной безопасности (ФСТЭК, ФСБ), обучение персонала навыкам работы с персональными данными, построение системы комплаенс-менеджмента.

 

Другие новости и публикации

Вас также могут заинтересовать

Linx Outsourcing
Аудит, модернизация и оптимизация ваших серверных мощностей
Подробнее
Аутсорсинг управления дата-центром
Linx Network
Обеспечьте отказоустойчивость и бесперебойную работу сети
Подробнее
Сетевые услуги
Linx DraaS
Аварийное восстановление ИТ-инфраструктуры. Защитите ИТ-системы уже сегодня!
Подробнее
Аварийное восстановление DRaaS

Напишите нам

Как мы оптимизировали управление ЦОДами клиента

Дата-центр – комплексный ИТ- и инженерный объект, требующий профессионализма на всех уровнях управления: от руководителей до технических специалистов и исполнителей эксплуатационных работ. Рассказываем, как мы помогли клиенту навести порядок в операционном управлении в корпоративных ЦОДах.
 

Тарас Чирков, руководитель ЦОД Linxdatacenter в Санкт-Петербурге 

Константин Нагорный, главный инженер ЦОД Linxdatacenter в Санкт-Петербурге 

Дата-центр – комплексный ИТ- и инженерный объект, требующий профессионализма на всех уровнях управления: от руководителей до технических специалистов и исполнителей эксплуатационных работ. Рассказываем, как мы помогли клиенту навести порядок в операционном управлении в корпоративных ЦОДах.  

В главной роли – управление 

Самое современное и дорогое ИТ-оборудование не принесет ожидаемой экономической пользы, если не будут выстроены правильные процессы эксплуатации инженерных систем ЦОДа, где оно располагается.  

Роль надежных и производительных дата-центров в современной экономике постоянно растет вместе с требованиями к их бесперебойной работе. Однако на этом направлении существует большая системная проблема.  

Высокий уровень «аптайма» – безаварийной работы дата-центра без простоев – очень сильно зависит от команды инженеров, которая занимается управлением площадки. А единой формализованной школы управления ЦОДами не существует.  

Нет какого-то сводного канона с правилами, применимыми для любого дата-центра. Есть стандарты международной отраслевой организации Uptime Institute, но они устанавливают рамки и вектор развития, к каждому конкретному дата-центру они будут применяться по-разному.  

В масштабах страны  

На практике в России ситуация с эксплуатацией ЦОДов выглядит так.  

Дата-центры из сегмента коммерческих как правило имеют сертификаты, подтверждающие компетенции в сфере управления. Далеко не все и не всегда, но сама специфика бизнес-модели, когда провайдер отвечает перед клиентом качеством сервиса, деньгами и репутацией на рынке, обязывает владеть предметом. 

Сегмент корпоративных ЦОДов, которые обслуживают собственные потребности компаний, по показателям качества эксплуатации заметно отстает от коммерческих дата-центров. К внутреннему заказчику относятся не так тщательно, как к внешнему клиенту, далеко не в каждой компании понимают потенциал хорошо настроенных управленческих процессов. 

Наконец, государственные ведомственные ЦОДы – в этом отношении они часто представляют собой неизвестную территорию в силу закрытости. Международный аудит таких объектов по понятным причинам невозможен. Российские госстандарты только разрабатываются.  

Все это выливается в ситуацию «кто во что горазд». «Разношерстный» состав команд эксплуатации из специалистов с разным бэкграундом, различные подходы к организации корпоративной архитектуры, взгляды и требования в отношении ИТ-департаментов.  

Факторов, приводящих к такому положению дел, много, один из главных – отсутствие систематизированной документации по выстраиванию эксплуатационных процессов. Есть пара вводных статей Uptime Institute, которые дают представление о проблеме и путях ее преодоления. Но дальше необходимо выстраивать систему своими силами. А на это ресурсов и компетенций хватит далеко не у каждого бизнеса.  

Между тем, даже небольшая систематизация процессов управления по лучшим отраслевым практикам всегда дает отличный результат в том, что касается повышения отказоустойчивости инженерных и ИТ-систем.  

Кейс: через тернии к относительному порядку 

Проиллюстрируем на примере реализованного проекта. К нам обратилась крупная международная компания с сетью собственных дата-центров. Запрос был на помощь в оптимизации процессов управления тремя площадками, где на серверах развернуты ИТ-системы и приложения, абсолютно критичные для бизнеса.  

Компания недавно прошла аудит головного офиса и получила список несоответствий корпоративным стандартам с предписанием их устранить. Для этого в качестве консультанта привлекли нас как носителя отраслевых компетенций: мы развиваем собственную систему управления ЦОДами и ведем просветительскую работу о роли качества эксплуатационных процессов уже несколько лет.  

Началось общение с командой клиента. Специалисты хотели получить выстроенную систему эксплуатации инженерных систем ЦОДов, зафиксированную в документации по процессам мониторинга, обслуживания и устранению неполадок. Все это должно было обеспечить оптимизацию инфраструктурной составляющей с точки зрения непрерывности работы ИТ-оборудования.  

И здесь началось самое интересное.  

Познай себя 

Чтобы оценить уровень работы ЦОДов с точки зрения соответствия стандартам, нужно знать точные требования бизнеса к ИТ-системам: каков уровень внутренних SLA, допустимый период простоя оборудования и т.д.  

Сразу же выяснилось – ИТ-департамент не знает, что именно хочет бизнес. Не было внутренних критериев качества сервиса, не было и понимания логики устройства собственной инфраструктуры.  

Коллеги просто не представляли, каково допустимое время простоя операций, завязанных на ИТ, каково оптимальное время восстановления систем в случае аварии, как устроена архитектура собственных приложений. Например, пришлось разбираться, будет ли критичным для работы приложения «падение» одного из ЦОДов, или в нем нет компонентов, влияющих на приложение.  

Не зная таких вещей, рассчитать какие-то конкретные требования к эксплуатации невозможно. Клиент осознал проблему и усилил координацию между ИТ и бизнесом, чтобы выработать внутренние требования и наладить взаимосвязи для выстраивания работы.  

Когда было достигнуто понимание архитектуры ИТ-систем, команда смогла суммировать требования к службе эксплуатации, подрядчикам и к уровню надежности оборудования.  

Улучшения в процессе 

Наши специалисты выезжали на площадки для оценки инфраструктуры, читали имеющуюся документацию, проверяли уровень соответствия проектов ЦОДов фактической реализации.  

Отдельным направлением стали опросы ответственных сотрудников и их руководителей. Они рассказывали, что и как они делают в различных рабочих ситуациях, как устроены ключевые процессы эксплуатации инженерных систем.  

После начала работ и знакомства со спецификой задачи клиент немного «сдал назад»: мы услышали просьбу «просто написать всю необходимую документацию», по-быстрому и без глубокого погружения в процессы.  

Однако правильная оптимизация управления «инженеркой» ЦОДа предполагает выполнение задачи научить людей правильно оценивать процессы и писать под них уникальную документацию исходя из специфики конкретного объекта.  

Придумать рабочий документ за конкретного начальника участка службы эксплуатации невозможно – если только не проработать в паре с ним на площадке безотрывно несколько месяцев. Поэтому такой подход был отклонен: мы находили лидеров на местах, которые были готовы учиться сами и вести за собой подчиненных.  

Объяснив алгоритм создания документов, требования к их содержанию и принципы организации экосистемы инструкций, шесть последующих месяцев мы контролировали процесс детального написания документации и поэтапный переход персонала к работе по-новому. 

Далее последовал этап первичной поддержки работ по обновленным регламентам, который в удаленном формате продолжался один год. Затем мы перешли к тренингам и учениям – единственный путь закрепления нового материала на практике.  

Что сделано 

В процессе работ нам удалось решить несколько серьезных вопросов.  

Прежде всего, мы избежали ведения двойной документации, которой опасались сотрудники клиента. Для этого соединили в новых регламентах нормативные требования, применяющиеся к различным инженерным системам стандартно (электрика, охлаждение, контроль доступа), с отраслевыми best practices, создав прозрачную структуру документации с простой и логичной навигацией.  

Принцип «просто найти, просто понять, легко запомнить» дополнился тем, что новая информация привязывается к старому опыту и знаниям сотрудников. 

Далее мы перетряхнули штат инженеров службы эксплуатации: несколько человек оказались полностью неготовыми к переменам. Сопротивление некоторых успешно преодолевалось по ходу проекта через демонстрацию преимуществ, но определенный процент сотрудников оказался необучаем и невосприимчив к новому.  

Но нас удивило легкомысленное отношение компании к своей ИТ-инфраструктуре: от отсутствия резервирования критичных систем до хаоса в структуре и управлении.  

За 1,5 года процессы управления инженерными системами были прокачаны до уровня, который позволил специалистам компании успешно отчитаться «за качество» перед аудиторами из головного офиса.  

При поддержке темпов развития эксплуатационной составляющей компания сможет самостоятельно пройти любую существую сертификацию ЦОДов от ведущих международных агентств.  

Выводы 

В целом перспективы консалтинга в сфере операционного управления дата-центрами, по нашему мнению, самые яркие.  

Процесс цифровизации экономики и госсектора идет полным ходом. Да, сейчас будет много корректировок запуска новых проектов и планов по развитию старых, но сути это не изменит – эксплуатацию нужно улучшать хотя бы для повышения КПД уже построенных площадок.  

Главная проблема здесь: многие руководители не понимают, по какому тонкому льду они идут, не уделяя этому моменту должного внимания. Человеческий фактор по-прежнему остается главным источником самых неприятных аварий и сбоев. И это нужно объяснять.  

Государственные проекты в сфере дата-центров также становятся более актуальны сейчас и требуют повышенного внимания с точки зрения эксплуатации: сфера государственных ИТ-систем растет. Здесь также потребуется разработка и ввод системы стандартизации и сертификации площадок.  

Когда требования к государственным ЦОДам в РФ на уровне законодательного акта будут сведены в стандарт, его можно будет применять и для коммерческих дата-центров, в том числе и для размещения государственных ИТ-ресурсов.  

Работы по этому направлению ведутся, мы участвуем в этом процессе в рамках консультаций с Минцифры и наращивая компетенции по преподаванию на курсах по эксплуатации дата-центров в АНО ЦОД. Опыта по таким задачам в России не много, и мы считаем, что должны им делиться с коллегами и клиентами. 

Как полюбить ФЗ-152: гайд для иностранных компаний в России

БЭСТ, оператор системы денежных переводов и платежей.

Бизнес-вызов

Компания столкнулась с проблемой постоянного флага BGP-сессии с оборудованием Linxdatacenter. После изучения проблемы стало ясно, что на один из хостов в его сети происходила DDoS-атака.

Из-за распределенного характера атаки отфильтровать трафик было невозможно. Инженеры предложили решение, связанное с сокрытием хоста от внешней сети, но этот вариант не подходил заказчику. Атака прекратилась после внесения изменений в конфигурацию сервера, однако возобновилась на следующий день. Ее мощность достигла 5,5 Гбит/с, из-за чего перегружались «стыки» с интернет-провайдерами, что сказывалось на других пользователях облака Linxdatacenter. Чтобы обеспечить стабильную работу, было решено обратиться к надежному поставщику защиты от DDoS.

Решение

Чтобы обеспечить непрерывную доступность ресурсов, размещенных в облаке Linxdatacenter, весь трафик клиента был направлен через систему antiDDoS от StormWall. Атаку удалось погасить в течение получаса. Для предотвращения дальнейших кибератак все соединения сервисов клиента с интернетом были организованы через сеть StormWall.

Клиент:

БЭСТ, оператор системы денежных переводов и платежей.

Бизнес-вызов

Компания столкнулась с проблемой постоянного флага BGP-сессии с оборудованием Linxdatacenter. После изучения проблемы стало ясно, что на один из хостов в его сети происходила DDoS-атака.

Из-за распределенного характера атаки отфильтровать трафик было невозможно. Инженеры предложили решение, связанное с сокрытием хоста от внешней сети, но этот вариант не подходил заказчику. Атака прекратилась после внесения изменений в конфигурацию сервера, однако возобновилась на следующий день. Ее мощность достигла 5,5 Гбит/с, из-за чего перегружались «стыки» с интернет-провайдерами, что сказывалось на других пользователях облака Linxdatacenter. Чтобы обеспечить стабильную работу, было решено обратиться к надежному поставщику защиты от DDoS.

Решение

Чтобы обеспечить непрерывную доступность ресурсов, размещенных в облаке Linxdatacenter, весь трафик клиента был направлен через систему antiDDoS от StormWall. Атаку удалось погасить в течение получаса. Для предотвращения дальнейших кибератак все соединения сервисов клиента с интернетом были организованы через сеть StormWall.

Спасибо за ваш запрос, мы свяжемся с вами в ближайшее время!