Czy Cloud Computing jest bezpieczne?

Chmura obliczeniowa jest jednym z najciekawszych zjawisk, które pojawiły się na rynku informatycznym w przeciągu ostatnich kilku lat. Jej popularność rośnie z każdym rokiem, gdyż pozwala ona na redukcję kosztów utrzymywania licznych rozwiązań informatycznych oraz dopasowanie ich zakresu do bieżących wymagań.


Nowość

Ta informatyczna nowość w postaci chmury niesie ze sobą jednak również i pewne zagrożenia – funkcjonuje ona ponad kontrolą jej użytkowników, zaś przechowywane w niej ważne informacje de facto przekazywane są podmiotom zewnętrznym.

Jak zauważają menadżerowie i decydenci, chmura ma wiele zalet - jest łatwo skalowalna, nie wymaga utrzymywania rozbudowanych działów IT oraz jest przyjazna środowisku. Wielu ekspertów uważa jednak, że cloud computing nie jest środowiskiem bezpiecznym. Firmy nie ufają chmurze, gdyż korzystając z niej tracą bezpośrednią kontrolę nad swoim środowiskiem informatycznym.


Osobiście uważam, iż nieufność wobec chmury jest nieuzasadniona, zaś przemawia za tym twierdzeniem kilka istotnych argumentów. Po pierwsze, większość solidnych dostawców rozwiązań w chmurze opiera swoje systemy o centra danych, które są doskonale chronione – częstokroć zdecydowanie lepiej niż systemy własne (szczególnie w firmach z sektora MSP) – i geograficznie rozproszone.


Bardzo niewielu klientów Amazon, Microsoft czy wręcz naszego rodzimego Comarchu stać na stworzenie tak zaawansowanych data centers na własny użytek. O bezpieczeństwo dbają również mniejsi dostawcy - za przykład posłużyć może firma ISIWIS, której zabezpieczenia posiadają certyfikat PSF wydany przez władze Luksemburga, jeden z najbardziej wymagających i szanowanych atestów na świecie. Utrzymywanie danych we własnych serwerach przypominać może więc w pewnym sensie sytuację, w której firma przechowuje swoje aktywa we własnym sejfie zamiast w banku.


Po drugie, skala rozwiązań w chmurze skutecznie niweluje ryzyko przeglądania danych pojedynczych klientów przez dostawców. Wg. informacji firmy Amazon, na jej rozwiązania hostingowe w chmurze codziennie decyduje się 80 tysięcy nowych klientów. Tego rodzaju liczby gwarantują, iż prawdopodobieństwo tego, że pracownicy Amazonu inwigilują klientów są minimalne. Podobnie sytuacja wygląda u większości dostawców cloud computing, gdyż tylko firmy dysponujące dużymi pulami klientów są w stanie finansowo udźwignąć utrzymywanie infrastruktury, o którą chmura się opiera.


Ryzyko prawne

Rzeczywistym ryzykiem, które należy za to brać pod uwagę rozpoczynając przygodę z chmurą, jest ryzyko prawne. Istotnych kwestii do rozważenia jest wiele. Jednym z najważniejszych z nich jest problem przetwarzania danych osobowych. Przetwarzanie danych osobowych w chmurze jest najczęściej incydentalne, lecz pozostaje właściwie nie do uniknięcia, natomiast rygorystyczne przepisy dotyczące ochrony danych osobowych powodują, iż zarówno odbiorca, jak i dostawca narażeni są na ryzyka zarówno cywilno-prawne, jak i prawno-karne.

Ustawa o ochronie danych osobowych z 1997 roku oraz unijna dyrektywa, na kanwie której powstała polska ustawa, nakładają na podmioty zaangażowane w przetwarzanie danych osobowych rozliczne nakazy i zakazy dotyczące poziomów zabezpieczeń, praw dostępu i obowiązków rejestracji zbiorów. Przepisy te nie są dostosowane do w wysokim stopniu zautomatyzowanego i zglobalizowanego modelu chmury, co dodatkowo utrudnia ich stosowanie. Polscy i europejscy ustawodawcy wyjątkowo nieufnie podeszli również wobec wysyłania danych osobowych poza granice Unii - bez konieczności przechodzenia przez biurokratyczne piekło, dane tego rodzaju wysyłać można do kilku wybranych państw, których przepisy dot. ochrony danych sensytywnych Komisja Europejska uznała za wystarczająco surowe. Nie znajdziemy wśród nich najbardziej popularnych lokalizacji dużych data centers - USA, Indii czy Chin i innych krajów Azji Południowo-Wschodniej.

Stwarza to pewne problemy natury strategicznej globalnym dostawcom usług w chmurze, takim jak Microsoft, Google czy Amazon, lecz również międzynarodowym korporacjom, posiadającym chmury prywatne (systemy cloud computing stworzone wyłącznie na potrzeby konkretnej organizacji), których fizyczne serwery zlokalizowane są poza granicami Unii. Wprawdzie istnieją metody prawne pozwalające na obejście tych restrykcji (np. stosowanie tzw. modelowych klauzul umownych Komisji Europejskiej lub amerykańskich certyfikatów Safe Harbor), generują one dodatkowe koszta i przedłużają proces wdrażania chmury.

Obowiązek przestrzegania tych przepisów spoczywa zarówno na dostawcy, jak i odbiorcy usług w chmurze. Wynika to z faktu, iż zarówno podmiot przetwarzający dane osobowe (dostawca), jak i „administrator danych osobowych” (zazwyczaj - odbiorca) odpowiedzialni są za legalność przetwarzania danych osobowych. Wprawdzie cywilnoprawne konsekwencje niespełnienia wymogów prawa wiąże się jedynie z (relatywnie) niskimi karami finansowymi, prawno-karne konsekwencje są znacznie bardziej motywujące do traktowania tego problemu z należytą powagą - administrator danych, którym najczęściej jest członek wyższej kadry menadżerskiej w strukturach odbiorcy, może nawet zostać pozbawiony wolności.

Przykład: Grupa kapitałowa FEBC z siedzibą w Luksemburgu posiada spółki zarejestrowane w rozlicznych krajach Unii Europejskiej oraz kolejną spółkę FEBC India w New Delhi. Zarząd FEBC w Luksemburgu decyduje się na wdrożenie w całej strukturze korporacyjnej systemu informatycznego służącego do zarządzania relacjami z klientami (CRM); system ten ma być osadzony w prywatnej chmurze obliczeniowej, która fizycznie oparta będzie na serwerach znajdujących się w siedzibie spółki FEBC India. Wszystkie bazy klientów zostaną osadzone właśnie w tym systemie.

Przeciętna baza klientów zawiera rozliczne dane osobowe- np. imiona i nazwiska czy numery identyfikacyjne przedstawicieli klientów. W konsekwencji, dane osobowe przedstawicieli klientów europejskich spółek FEBC zostaną przesłane do Indii. Żeby proces ten był zgodny z prawem, FEBC India musi zawrzeć umowy dot. przetwarzania danych osobowych zawierające klauzule modelowe UE z każdą europejską spółką wchodzącą w skład grupy FEBC. Umowy te nałożą na FEBC India obowiązek stosowania poziomów zabezpieczeń odpowiadających rygorystycznym wymogom europejskim.

Abstrahując jednak od tych komplikacji, chmurę obliczeniowa uznać należy za rozwiązanie przyszłościowe. W pewnym sensie jest ona tym, do czego zawsze starałem się dążyć nadzorując informatyzację w bankach - rozwiązaniem, które pozwala na zakup tych, i tylko tych narzędzi, których akurat dana organizacja potrzebuje. Informatyzacja nie jest bowiem celem przeciętnego przedsiębiorstwa, lecz tylko narzędziem pozwalającym na usprawnienie jego działania.


Więcej na ten temat

Zainteresowanych tematem zapraszamy na stronę: http://prawo-it.blogspot.com/

Autor:

Stefan Cieśla

Stefan Cieśla jest radcą prawnym posiadającym duże doświadczenie w prawnej obsłudze transakcji i projektów na rynku informatycznym. Specjalizuje się w zagadnieniach związanych z prawem własności intelektualnej i prawem handlowym oraz w przeprowadzaniu audytów prawnych systemów IT (m.in. w transakcjach M&A).

Przed rozpoczęciem pracy we własnej Kancelarii Stefan Cieśla zajmował kierownicze stanowiska w sektorze finansowym. W ramach prac restrukturyzacyjnych był m.in. odpowiedzialny za opracowanie ładu korporacyjnego oraz strategii doboru i wdrożenia kompleksowych systemów IT w Invest-Banku S.A. a także w Towarzystwie Ubezpieczeń na Życie Polisa-Życie S.A.. Wcześniej kierował pionami prawnymi w Banku Gospodarki Żywnościowej S.A. i w Polskim Banku Rozwoju S.A. oraz z powołania nadzoru bankowego kierował zarządami komisarycznymi w Banku Staropolskim S.A. i Komercyjnym Posnania S.A.

Mecenas Cieśla jest absolwentem Uniwersytetów Wrocławskiego oraz Warszawskiego.

 


Zostaw komentarz
Musisz się zalogować, aby wziąć udział w tej dyskusji.