Bezpieczeństwo informacji w Cloud Computingu

Przeczytaj także: Polskie firmy nie dbają o dane w chmurze

Dla każdego przedsiębiorcy, a zarazem potencjalnego użytkownika usług typu cloud, dokument powinien stanowić istotną lekturę. Memorandum zawiera rozbudowany katalog zagrożeń. Analizując je z innymi aktami soft law lub opiniami prawników czy specjalistów z zakresu bezpieczeństwa danych można wyróżnić obecnie następujące główne zagrożenia powstające w usługach cloud computingu:

1. Klient usługi w chmurze (administrator danych) nie zauważa naruszeń bezpieczeństwa informacji (poufności, integralności, dostępności danych). Działania te mogą prowadzić do popełnienia czynów naruszających przepisy ochrony danych i prywatności.
2. Dane mogą być przekazywane do jurysdykcji, które nie zapewniają odpowiedniego poziomu ochrony.
3. Jeżeli dostawca cloud computingu będzie korzystał z podwykonawców, czyli tzw. podprzetwarzających to ustalenie odpowiedzialności w łańcuchu usługodawców może być niezwykle trudne.
4. Klient cloud computingu straci kontrolę nad danymi i przetwarzaniem danych. Największą obawą jest zagrożenie, że dostawcy usług cloud lub ich podwykonawcy będą wykorzystywać dane administratorów danych do własnych celów bez wiedzy lub zgody administratorów danych.
5. Administrator danych lub strona trzecia nie będzie w stanie na odpowiednim poziomie monitorować dostawcy usługi w chmurze.

Mimo tych zagrożeń wiele firm nadal decyduje się na przeniesienie swoich danych do chmury obliczeniowej. Przekonuje je do tego wiele zalet. Przetwarzanie danych w modelu cloud ma wpływ na efektywność wykorzystania zasobów i pozwala na ograniczenie kosztów nie tylko budowy i utrzymania infrastruktury IT, ale także osobowych lub energii. Jednakże dla tych przedsiębiorców, którzy chcieliby ograniczyć ryzyko można przytoczyć pewne ogólne zalecenia, które dotyczą przede wszystkim bardzo dobrze sformułowanej umowy o przeniesienie danych i korzystanie z nich w modelu cloud computingu.

Odpowiednio sformułowana umowa powinna zawierać odpowiednie klauzule umowne: umożliwiające przenoszenie danych (portability) i kontrolowanie ich, zakazujące nielegalne przekazywanie danych do jurysdykcji, bez wystarczającego poziomu ochrony danych. Dostawca usług opartych o cloud powinien zapewnić, że usunięcie danych osobowych z dysków oraz z innych nośników może być przeprowadzone w skuteczny sposób. Istotne jest także zabezpieczenie, że nikt poza klientem usług w chmurze nie powinien mieć dostępu do jego danych - powinny być one szyfrowane. Umowa ma gwarantować także odpowiednie tworzenie i zapisywanie kopii zapasowych w bezpiecznych lokalizacjach oraz wprowadzać zasadę przejrzystości lokalizacji, w których dane mogą być przechowywane i przetwarzane.

Ponadto klientowi w umowie powinno być zagwarantowane prawo wglądu do:

• dzienników kontroli lokalizacji – to w nich powinny być automatycznie rejestrowane fizyczne lokalizacje , tj. gdzie przechowuje się lub przetwarza dane osobowe, a także w jakim czasie,
• dzienników kontroli każdego przetworzenia danych.

Odpowiednie zapisy powinny również zakazywać dostarczycielowi usług cloud i jego podwykonawcom wykorzystywania danych klienta dla własnych celów. Ważnym elementem będzie zabezpieczenie klienta przed tzw. Vendor lock-in, czyli uzależnieniem od dostawcy (uzgodnienie zasad rozwiązania umowy) i „odzyskania” przekazanych danych. Uwzględnić trzeba jasne zasady umożliwiające przestrzeganie przez klienta usług w chmurze przepisów prawa obowiązujących go ze względu na dane, które umieszcza w infrastrukturze chmurowej, np. przepisów z zakresu ochrony danych osobowych, prawa bankowego. Szczególną rolę zajmuje tu Komisja Nadzoru Finansowego mająca wpływ na umowy z zakresu outsourcingu chmurowego poprzez swoje działania nadzorcze nad rynkiem finansowym. Ten nowy paradygmat przetwarzania danych opiera się na komunikacji internetowej. Należy zatem odpowiednio uregulować kwestie dostępności usług i ewentualnych przerw w dostawie. Wielu usługodawców posiada własną infrastrukturę (np. światłowody) w zakresie dostępu do Internetu, co z jednej strony powinno wpłynąć na stronę ekonomiczną całego przedsięwzięcia, ale jednocześnie stwarza ryzyko zależności od dostawcy.

Umowy z zakresu cloud computingu często składają się z ogólnej umowy, regulaminu korzystania z usługi oraz SLA (Service Level Agreement). Ten ostatni element ma znaczenie ze względu na odpowiednie stosowanie kar umownych. Co do zasady SLA nie powinno być zbyt rozbudowane, ale wskazane jest, żeby zawrzeć w nim odpowiednie standardy usługi. Coraz większa ilość dostawców usług umieszczonych w cloud computingu decyduje się na zastosowanie tzw. wiążących reguł korporacyjnych (ang. Binding Corporate Rules, BCR). Pozwalają one na stworzenie indywidualnego „prawa korporacji”, które nakłada na podmioty nimi związane określone obowiązki w zakresie zwiększenia bezpieczeństwa danych. Dostawca cloud, który zobowiąże się do przestrzegania BCR jest bardziej wiarygodny i wpływa na zwiększenie poziomu zaufania do swoich usług. Dla przedsiębiorców, którzy chcieliby przenieść swoje dane do data center, które umiejscowione jest w USA, wymagane będzie sprawdzenie czy usługodawca przeszedł pozytywnie Safe Harbor - program, który pozwala amerykańskim organizacjom na spełnienie wymogów unijnej dyrektywy 95/46/WE w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych. Proces jest skutkiem negocjacji pomiędzy Federalną Komisją Handlu, a Komisją Europejską.