Bezpieczeństwo informacji w Cloud Computingu

Przeczytaj także: Polskie firmy nie dbają o dane w chmurze

W Polsce również obserwowany jest znaczny rozwój usług umieszczonych w chmurze. Według raportu IDC rynek przetwarzania w chmurze obliczeniowej jest najdynamiczniej rozwijającą się częścią polskiego rynku przesyłu informacji. Prognozowana, średnioroczna stopa wzrostu rynku przetwarzania w chmurze do roku 2015 to 33%. (http://www.computerworld.pl/news/377799/Cloud.Computing.w.Polsce.rynek.dynamiczny.choc.jeszcze.niewielki.html) Zatem polscy przedsiębiorcy coraz częściej będą sięgać po omawiany model biznesowy. Nowy paradygmat przetwarzania danych wymaga gruntownej analizy, ponieważ dotychczasowe rozwiązania, zwłaszcza prawne, nie przystają do cloud computingu. Dostęp z każdego miejscai w każdym czasie – tak najczęściej w skrócie przywoływana jest chmura obliczeniowa. Zdaniem Komisji Europejskiej cloud computing można rozumieć jako przechowywanie, przetwarzaniei wykorzystywanie danych zdalnie poprzez Internet. Dzięki temu użytkownicy mogą korzystać z prawie nieograniczonych mocy obliczeniowych na żądanie i ograniczyć wydatki na IT. Ważną rolę w budowaniu definicji modelu cloud odgrywa Narodowy Instytut Standaryzacji i Technologii (NIST). We wrześniu 2011 r. Instytut wydał dokument 800-145 „The NIST Definition of Cloud Computing” (http://csrc.nist.gov/publications/nistpubs/800-145/SP800-145.pdf), w którym zdefiniował cloud computing jako:

„Model umożliwiający wszechstronny, wygodny, sieciowy dostęp na żądanie do wspólnej puli konfigurowalnych zasobów obliczeniowych (np. sieci, serwerów, pamięci, aplikacji i usług), które można szybko zapewniać i udostępniać przy minimalnym wysiłku w zakresie zarządzania czy też interakcją z dostawcą usługi. Na model ten składa się pięć niezbędnych cech charakterystycznych, trzech modeli usług oraz czterech modeli zastosowania.” (tłum. Memorandum Sopockie, s. 1)

Model przetwarzania w chmurze jest w zasadzie nieograniczony, transgraniczny i niezwykle elastyczny. Wszystkie cechy wiążą się z modelem udostępniania usługobiorcy jego danych - rozmieszczenie centrów przetwarzania danych (data center) w chmurze - na całym świecie. Tym samym dane przekraczają granice państw i zmieniają jurysdykcję, co ma spore znaczenie przy określaniu zastosowania odpowiedniego reżimu prawnego, jeżeli zaistnieje potrzeba wszczęcia sporu na drodze sądowej. Cloud computing budzi wiele wątpliwości, ponieważ przedsiębiorca przenosi swoje dane (tajemnice przedsiębiorstwa, know-how, dane osobowe) do infrastruktury, której nie jest właścicielem. Utrata kontroli nad tym co do nas należy zawsze wiąże się z ryzykiem. Zwłaszcza w obliczu tak szybkiego rozwoju technologii i braku regulacji prawnych, a nawet braku wspólnej terminologii międzynarodowej.

Do tej pory nie powstało bezpośrednie prawo stanowione, które regulowałoby istnienie i funkcjonowanie chmur obliczeniowych, a umowa o usługę cloud computingu jest niczym innym jak szczególnym rodzajem outsourcingu. Zagadnienie umowy w omawianym modelu biznesowym jest niejednoznaczne, a decyduje o tym przede wszystkim jej nienazwany i mieszany charakter. W świetle Kodeksu cywilnego zastosowanie będą miały przepisy o umowie zlecenia (art. 750 k.c.). Jednakże w przypadku, gdy administrator danych osobowych będzie chciał skorzystać z cloud computingu znajdą zastosowanie przepisy ustawy o ochronie danych osobowych, która przewiduje w tym zakresie umowę powierzenia przetwarzania danych (art. 31). Wszelkie dotychczasowe działania ustawodawców skupione były i są na aktach o charakterze prawa miękkiego (soft law) ze względu na to, iż przetwarzanie w chmurze oparte jest o transmisję poprzez Internet, a w dodatku dotyka dużej grupy dziedzin prawa m.in.: autorskiego, własności intelektualnej i przemysłowej, pracy lub też ochrony: danych osobowych, baz danych, know-how, praw człowieka. Szereg obwarowań z powyższych dziedzin prawa jest stosowany w zależności od informacji/danych podlegających przetwarzaniu. Regulacja ustawowa chmury obliczeniowej musiałaby zawierać liczne odesłania lub objąć wiele norm już istniejących. Stąd rozważania czy taka regulacja jest konieczna, zwłaszcza, że jak na razie rynek i instytucje zapełniają ewentualnie powstające luki poprzez quasi-prawne akty.

Międzynarodowa Grupa Robocza ds. Ochrony Danych w Telekomunikacji 24 kwietnia 2012 r. zaprezentowała dokument roboczy w sprawie przetwarzania danych w chmurze obliczeniowej – Memorandum Sopockie. (http://www.giodo.gov.pl/plik/id_p/2689/j/pl/) W dokumencie oparto się na sytuacji, gdzie wszyscy użytkownicy chmury w danym łańcuchu usługi (administrator danych, przetwarzający, podprzetwarzający) podlegają odmiennym przepisom o ochronie danych lub posiadają siedziby w różnych jurysdykcjach. Ponadto Grupa odniosła się jedynie do przedsiębiorstw i organów publicznych, które korzystają z chmur obliczeniowych.