Problemy z chmurą

Choć firmy i instytucje coraz częściej i chętniej korzystają z usług cloud computing, nadal istnieje wiele nierozwiązanych problemów i wątpliwości związanych z tą formą przetwarzania danych.

Jednym z obszarów, w którym widać duży potencjał wykorzystania przetwarzania w chmurze jest administracja publiczna. W czasie zorganizowanej przez Uniwersytet Kardynała Stefana Wyszyńskiego, Generalnego Inspektora Ochrony Danych Osobowych i Naukowe Centrum Prawno-Informatyczne, IV Konferencji Naukowej "Bezpieczeństwo w Internecie. Cloud computing - przetwarzanie w chmurze" podkreślano, że wykorzystanie usług cloud computing przez urzędy może przynieść oszczędności finansowe, usprawnić funkcjonowanie urzędów i umożliwić szybsze wprowadzanie e-usług.

Grzegorz Sibiga z Instytutu Nauk Prawnych Polskiej Akademii Nauk zwraca uwagę, że kiedy mówi się o wykorzystaniu przetwarzania w chmurze w administracji publicznej, najczęściej sygnalizowanym problemem jest ochrona informacji i zapewnienie poufności. Panuje przekonanie, że chmura, nawet publiczna, może być wykorzystywana przez administrację w przypadku informacji jawnych, takich jak Biuletyn Informacji Publicznej. Nie rozwiązuje to problemów istotnych dla specyfiki działania urzędów. Ważne, by procesy dostępu do informacji i jej przetwarzania nie były zaburzone. Jeśli dostawca usług mówi o możliwym jednodniowym przestoju, oznacza to, że administracja nie będzie miała przez ten czas niezbędnego elementu do sprawowania władzy. Drugim problemem jest zapewnienie przepływu informacji w relacjach państwo-obywatel.

Bez odpowiedzi pozostaje pytanie, w jakim stopniu prawo powinno ingerować i regulować kwestie bezpieczeństwa oraz ochrony informacji w zakresie usług cloud computing. Część prawników uważa, że można te kwestie regulować na poziomie kontraktów dostawców usług z klientami, również w przypadku, kiedy klientem jest jednostka administracji publicznej. "Obecnie powszechne jest realizowanie umów z dostawcami usług tylko na zasadach kontraktowych, przez powołanie się na ogólną regulację ochrony danych osobowych. Częstą praktyką w administracji jest podejście: co nie jest zabronione, to jest dozwolone" - ocenia Grzegorz Sibiga. Na razie brakuje jednoznacznych przepisów wskazujących, w jakich przypadkach można z cloud computing korzystać. Są też konflikty definicyjne i interpretacyjne między różnymi ustawami.

Barierą w wykorzystywaniu usług w chmurze w administracji publicznej są mity percepcyjne: traktowanie chmury jako łatwego łupu hakerów, czy też traktowanie każdej chmury jako chmury publicznej, kiedy klient nie wie, gdzie są jego dane. Bariery mentalne można pokonywać przenosząc kolejne usługi do chmury. Problemem są kwestie finansowania projektów samorządowych wykorzystujących chmurę.

Tajemnice i poufności

Coraz częściej pojawiają się pytania, czy można przetwarzać w chmurze informacje niejawne i informacje, które są tajemnicą zawodową. Piotr Markowski z Agencji Bezpieczeństwa Wewnętrznego zwraca uwagę na zagadnienia, które uniemożliwiają przetwarzanie w chmurze informacji niejawnych. W chmurze odpowiedzialność jest rozproszona, brakuje formalnoprawnych powiązań pomiędzy podmiotem, który świadczy usługi a podmiotem, który jest zobowiązany do zapewnienia ochrony informacji niejawnych. Ponadto, w przypadku informacji niejawnych kierownik jednostki organizacyjnej musi wskazać w analizie szacowania ryzyka miejsce, w którym znajdują się informacje niejawne. A jeśli chodzi o chmurę, są z tym trudności, ponieważ przetwarzanie informacji odbywa się w różnych lokalizacjach, zaś osoby odpowiedzialne za bezpieczeństwo informacji niejawnych nie mają wiedzy na temat tych lokalizacji i stosowanych przez usługodawcę systemów. Pojawia się też problem wynikający z przepisów w zakresie stosowania środków ochrony, szyfrowania i zabezpieczenia informacji. "Czy informacje niejawne będą mogły być przetwarzane w chmurze? Nie jest to wykluczone. ABW da takie pozwolenie, jeśli będą spełnione wszystkie wymagania ustawy o ochronie informacji niejawnych" - mówi Piotr Markowski.

Mniej problemów jest przy przetwarzaniu w chmurze informacji, które są tajemnicą zawodową. Mecenas Stefan Cieśla twierdzi, że regulujące te kwestie ustawy nie mówią o sposobie przetwarzania takich informacji. Nie wyklucza to przetwarzania tajemnicy zawodowej w chmurze, jeśli zostaną zachowane wszystkie wymagane prawem zabezpieczenia. Możemy czuć się bezpiecznie, gdy przetwarzamy dane w chmurze prywatnej i jeśli w pełni bezpieczne są procedury techniczne. Ryzyko wzrasta, kiedy powierzamy przetwarzanie danych podmiotom trzecim. Robimy to na własne ryzyko, chyba że są stosowne uregulowania prawne.

Chmura zmienia ludzi

Marlena Sakowska z Urzędu Miasta Łodzi zwraca uwagę, że przetwarzanie w chmurze ma wpływ na autonomię informacyjną jednostki. Jest zdolność do samodzielnego decydowania o ujawnieniu innym informacji o sobie, samodzielnego sprawowania kontroli nad tym, jakie informacje o nas udostępniamy innym podmiotom. Przy cloud computing nie jest łatwo określić, kto, kiedy i na jakich zasadach może mieć dostęp do naszych danych osobowych. Stąd pojawia się problem zapewnienia odpowiedniego poziomu autonomii informacyjnej. Nie chodzi o kwestie techniczne, ale na przykład prawne.

Mamy problemy z prawną regulacją outsourcingu przetwarzania danych. W takim wypadku trudno jest egzekwować uprawnienia do autonomii informacyjnej. Trudno też określić jednoznacznie role, jakie występują przy przetwarzaniu danych osobowych w chmurze. Czy administrator danych w modelu cloud computing pozostaje takim samym administratorem jak wcześniej, czy też część obowiązków nie jest już przypisywana dostawcy usług? To z kolei rodzi pytanie: kto powinien zapewniać realizację uprawnień jednostce, której dane są przetwarzane?

Firma nasza, chmura wasza, czyli o prawach klientów

Prof. Aleksandra Monarcha-Matlak z Wydziału Prawa i Administracji Uniwersytetu Szczecińskiego podkreśla, że wraz z popularyzacją usług cloud computing powinniśmy zadbać o świadomość klientów i ich prawa. Dostawcy usług powinni zapewniać dostawę usług zgodnie z prawem ochrony danych osobowych oraz ponosić odpowiedzialność za przetwarzanie tych danych. Od dostawców usług cloud należy wymagać jednoznacznych, transparentnych i szczegółowych informacji o: miejscu przetwarzania danych, zmianie tego miejsca, interoperacyjności stosowanych systemów, wdrażaniu uzgodnionych środków bezpieczeństwa, aktualnych certyfikatach bezpieczeństwa itp.

Wśród podstawowych praw klientów usług cloud computing powinny znaleźć się:

- transparentność lokalizacji dostawcy usług

- dostawcy powinni ujawniać fizyczną lokalizację serwerów, które będą przetwarzały dane;

- powinni informować z wyprzedzeniem o zmianie lokalizacji;

- powinni uzyskać zapewnienie, że jest to zgodnie z prawem danego państwa.

- transparentność bezpieczeństwa

- dostawcy usług cloud powinni zapewnić klientom dostęp do polityki bezpieczeństwa danych i środków;

- powinni informować o okresowych ocenach bezpieczeństwa - informacje te powinny dotyczyć integralności, poufności i dostępności danych.

- transparentność w kwestii poddostawców

- dostawcy usług cloud powinni poinformować o tym, jakie osoby trzecie będą miały dostęp do danych klienta i w jakim celu te dane zostaną wykorzystane.

- due diligence, czyli należyta staranność

- dostawcy usług cloud powinni stosować należytą staranność i racjonalne oceny poddostawców pod kątem bezpieczeństwa, szczególnie w przypadku poddostawców, którzy będą mieli kontakt z przetwarzanymi danymi;

- powinni stosować w umowach z poddostawcami takie zapisy, które znalazły się w ich umowach z klientami.

- własność danych klienta i ich wykorzystanie

- klienci chmury mają prawo do wyłącznej własności danych, które umieszczają w chmurze, a dostawcy usług cloud mają obowiązek wykorzystywać je tylko do świadczenia usługi cloud.

- odpowiedź na procedury prawne

zobowiązanie dostawców usług cloud do natychmiastowego zawiadamiania klientów o wszelkich postępowaniach prawnych, wezwaniach sądowych, czynnościach prawnych, w ramach których pojawia się żądanie ujawnienia danych klientów.

- przechowywanie i dostęp do danych

dostawcy usług cloud powinni ujawniać klientom swoje procedury dotyczące zbierania, przechowywania i usuwania danych, żeby klienci mogli skutecznie wdrożyć swoje własne programy przechowywania danych.

- ochrona przed naruszeniem przepisów

- w przypadku, gdy dostawca chmury dozna naruszenia bezpieczeństwa, powinien natychmiast powiadomić klientów i minimalizować skutki naruszeń.

- odpowiedzialność odszkodowawcza

- klienci powinni wynegocjować z dostawcami granice odpowiedzialności i kwestie odszkodowawcze związane z naruszeniem umowy.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200