Chmura okiem prawnika. Cztery argumenty za chmurą i cztery do rozważenia

Nie będę się rozpisywał i udowadniał, że model cloud computingu ma przemożny wpływ na zarządzanie IT . Ma – acz głębsze spojrzenie na statystyki pokazuje, że nie dla wszystkich dostawców okazał się on żyłą złota. I nie dla wszystkich klientów. Nie da się jednak ukryć, że chmura jest jednym z dominujących trendów, że potrafi być fantastycznym rozwiązaniem i że perspektywy ma świetlane. Dlatego pokrótce cztery prawnicze argumenty za chmurą – i cztery wątpliwości, które warto rozważyć przed podjęciem decyzji o migracji.

ARGUMENTY PRZEMAWIAJĄCE ZA CHMURĄ

1. Chmura pomaga spełniać wymagania regulacyjne. RODO to najbardziej znany przykład regulacji, która zmusiła do zmiany procesów biznesowych i technologicznych. Chmura, zwłaszcza dla mniejszych firm, często jest najsensowniejszym rozwiązaniem (także stricte prawnym). Niemniej dzisiejszy krajobraz prawny to nie tylko RODO – to także krajowy system cyberbezpieczeństwa, branżowe regulacje, obowiązki podatkowe i sprawozdawcze… a tych norm będzie jeszcze więcej, bo taki jest świat. Większość z nich będzie skutkowała wymaganiami technologicznymi, a potęga rozwiązań chmurowych pomoże je spełnić.

2. Chmura może pomóc zmniejszyć ryzyka licencyjne. To coraz większy problem – więcej audytów, więcej zarzutów, spory sądowe, nowe modele opłat (vide JAVA). Umowy licencyjne czołowych dostawców to koszmar interpretacyjny, wirtualizacje, pośrednie dostępy, definicje użytkownika etc. Chmura po części przenosi ciężar z rozwiązań prawnych na rozwiązania techniczne. Niekoniecznie będzie to tańsze, ale prawnie może obniżyć ryzyka niezgodności. Z jednym ważnym wyjątkiem – operacją „bring your own license”, która zwiększa ryzyko, jeśli zostanie niewłaściwie przeprowadzona.

Zobacz również:

3. Chmura pozwala uporządkować własne procesy i procedury. Najlepiej widać to w sektorze finansowym, który pod wpływem KNF musi przejść rygorystyczną procedurę przed wejściem w chmurę. Długie, kosztowne, frustrujące, ale bardzo sensowne ćwiczenie – klasyfikacja informacji, plan ciągłości działania, plany awaryjne etc. W skrócie: świadomość i odpowiadające tej świadomości realne procedury. Dla prawnika to swoisty „framework”, pozwalający budować bezpieczny system compliance (niedoceniany, a coraz ważniejszy aspekt migracji do chmury). Żal tylko, że rzadko tworzony poza sektorem finansowym .

4. Chmura pomaga nam dbać o interesy klientów. Wiele rozwiązań działa tylko w chmurze – lub ich wersje chmurowe są o wiele wygodniejsze (od udostępniania plików przez łącza, przez zarządzanie dokumentami, po podpis elektroniczny). W wielu przypadkach jest to poważne wyzwanie, zwłaszcza dla mniejszych firm – bezpieczeństwo, trwałe nośniki, proces podpisywania umów. Wymagania rosną ze względu na technologie czy modele biznesowe, a w celach dowodowych warto posługiwać się systemem bardziej wyrafinowanym niż e-mail, warto też mieć czasem znakowanie, wszystkie wersje dokumentów z negocjacji etc. Do tego dochodzi jeszcze kwestia rozliczalności, czyli udowodnienia, że zgody zostały udzielone, procesy są pod kontrolą, dysponujemy logami określonych czynności (kluczowe np. w przypadki kontroli urzędu ochrony danych osobowych czy UOKIK). W teorii jest to do opanowania bez chmury, w praktyce okazuje się tak czasochłonne, kosztowne i organizacyjnie wymagające, że nie dochodzi do skutku. W skrajnej sytuacji zespół prawników z dobrymi narzędziami informatycznymi zasypie i zamęczy zespół „analogowy”, co widać dobrze przy procesach czy kontrolach. W skrócie: klient z dobrym IT (a dla wielu równa się to rozwiązaniom chmurowym) to klient z większą szansą na skuteczną obronę interesów prawnych.

Jak efektywnie wykorzystać technologie chmurowe w biznesie

VII Konferencja Computerworld Best in Cloud odbędzie się w Warszawie 15 maja 2019 roku, a jej głównym tematem jest efektywne wykorzystanie technologii chmurowych w biznesie.

Computerworld Best in Cloud jest miejscem spotkania menedżerów odpowiedzialnych za infrastrukturę IT w firmach z dostawcami technologii i usług chmurowych (cloud computing).

Konferencji towarzyszy konkurs podzielony na dwie kategorie: firm najbardziej efektywnie wykorzystujących technologie cloud computing oraz najlepszych dostawców rozwiązań i usług chmurowych.

Więcej informacji można znaleźć na stronie Computerworld Best in Cloud.

DO ROZWAŻENIA, CZYLI NIE WSZYSTKO JEST TAK PIĘKNIE

1. Umowy. Horror. Chmura jest świetna biznesowo, technologicznie, czasem finansowo, ale gdy spojrzymy na jej czysto kontraktowy aspekt, okazuje się swoistą religią. To rozwiązanie oparte na wierze, że będzie dobrze (i z reguły jest), ale z iluzorycznymi lub wprost żadnymi zabezpieczeniami prawnymi. Nie mamy tak podstawowych praw, jak pewność świadczeń (usługi mogą się zmieniać i się zmieniają), rozsądne SLA z systemem odszkodowań, odpowiedzialność za nasze dane, czy stałość/przewidywalność wynagrodzenia. Ważna uwaga – nie jest prawdą, że nie można nic z tym zrobić. O ile „szkielet” kontraktowy ciężko się negocjuje z czołowymi dostawcami, coraz częściej zaczynamy negocjować szereg klauzul biznesowych – opis metryk (za co i jak płacimy; propozycje wyjściowe są bardzo pojemne), stałość cen lub mechanizmy waloryzacji, zobowiązania w zakresie wydania i formatu danych etc. Tutaj konkurencja wymusza racjonalność, ale na końcu i tak lądujemy z kontraktem sto razy bardziej ryzykownym prawnie niż wdrożenie on-premise.

2. Regulacje a rebours – mogą wyłączyć stosowanie chmury. Wspomniane RODO to cały czas problem dla wielu dostawców, zwłaszcza tych bazujących na infrastrukturze pozaeuropejskiej. Z kolei KNF narzuca tak wysokie wymagania, że część rozwiązań chmurowych (umowy!) odpada. Dla dbających o poufność danych problemem może być amerykański Cloud Act, dla wnikliwych – prawo dostawców do weryfikacji przesyłanych na ich serwery plików, choćby pod kątem naruszenia praw autorskich. Krajobraz ryzyk regulacyjnych jest imponujący i warto go rozważyć, jeżeli migracja ma miejsce w środowiskach regulowanych lub dotyczy istotnych danych.

3. Wpływ rozwiązań chmurowych na środowiska on-prem. Decyzje o migracji często są podejmowane dość optymistycznie, bez pełnej analizy ryzyk i kosztów. Dla wielu naszych klientów dużym problemem okazało się pozostanie z częścią rozwiązań on-prem, dla których np. muszą utrzymać pełen support. Dla niektórych opóźnienie migracji i podwójne opłaty (chmura i utrzymanie on-prem) były zabójcze. Wspomniany problem umieszczania własnych licencji na serwerach chmurowych (BYOL) może prowadzić do dużych niezgodności licencyjnych lub dużego wzrostu opłat (warto prześledzić np. warunki metryki procesorowej dla baz danych). Warto pamiętać, że najgłośniejszy wyrok dotyczący dodatkowych opłat licencyjnych (SAP vs Diageo) był oparty na integracji rozwiązania własnego (SAP) z Salesforce. Z ryzykiem 60 mln funtów.

4. Metryki opłat. Co prawda to podgatunek problemów kontraktowych, ale należy mu się osobny punkt. Chmura jest młodym modelem, główni gracze kupują mniejsze firmy na potęgę, a to wpływa na modele świadczonych usług i – co za tym idzie – sposób ich obliczania. Warto przyjrzeć się, jak obliczane są opłaty. Zaskoczenie wysokimi kosztami chmury jest dość powszechne, choć w wielu przypadkach bierze się z braku takiej analityki (polecam np. zrozumienie metodologii AWS).

Bonusowy punkt 5., czyli niespodzianki. Z czym się dotychczas spotkaliśmy? Zniknięcie dostawcy – tak (w przypadku on-prem też się zdarza, ale wtedy nie znikają nasze dane). Zniknięcie lub istotna zmiana parametrów usługi – to dość częste, wręcz będące cechą chmury. Potężny spadek SLA – obsługa żądań klienta przez chmurodawcę potrafi radykalnie odbiegać od tempa zmian na on-prem, nawet w modelach single tenant. Wydanie danych po rozwiązaniu umowy, bez zachowania ich struktury. Blockchain i RODO. Obietnice bez pokrycia. Przymusowe migracje do chmury, czyli wyłączenie supportu w rozwiązaniach on-prem etc.

Z tymi zagrożeniami musimy umieć żyć. Wiele z nich wymaga zmiany podejścia do prawa. Przyzwyczailiśmy się, że problemy prawne załatwiamy umową – w przypadku chmury nie, a przynajmniej nie zawsze i nie w pełni. Tutaj ciężar bezpieczeństwa prawnego i regulacyjnego spada na organizację, jej własne procedury i umiejętność reakcji, gdyby chmura nie wypaliła. Stąd konieczność wyjątkowo starannej analizy nie tylko umowy, ale rozwiązania, dostawcy, lokalizacji, skutków vendor lock-in. W zamian dostajemy fantastyczne narzędzia, choć w innej filozofii modelu biznesowego i prawnego. Jedno jest pewne – to dopiero początek drogi.