Chmury obliczeniowe w przedsiębiorstwie w kontekście ochrony danych osobowych

Dodane:

Marcin Staniszewski Marcin Staniszewski

Chmury obliczeniowe w przedsiębiorstwie w kontekście ochrony danych osobowych

Udostępnij:

Chmury obliczeniowe są powszechnie wykorzystywane w większych i mniejszych przedsiębiorstwach. Ten rodzaj narzędzia oferuje wiele korzyści, takich jak zmniejszenie kosztów związanych z funkcjonowaniem firmy, czy ogólny wzrost efektywności. Podmioty przetwarzające dane osobowe w chmurze powinny jednak dokładnie przyjrzeć się ryzyku, jakie niesie ze sobą stosowanie tego typu rozwiązań.

Rodzaje chmur obliczeniowych. Czym są i jak działają? 

Według definicji Amerykańskiego Instytutu Standardów i Technologii chmura obliczeniowa jest modelem powszechnego, wygodnego dostępu „na żądanie” do współdzielonych, konfigurowalnych zasobów obliczeniowych (np. sieci, serwerów, repozytoriów danych, aplikacji oraz usług), które można przygotować i udostępnić do użytkowania w krótkim czasie, przy minimalnym nakładzie administracyjnym i minimalnej interakcji z dostawcą usługi. Chmura zdefiniowana w ten sposób jest dostępna na żądanie za pośrednictwem sieci, samoobsługowa, korzystająca ze współdzielonych zasobów, wysoce elastyczna i mierzalna.

Choć definicja ta jest jedną z wielu, to zdecydowanie najlepiej i najbardziej szczegółowo odnosi się do zjawiska chmury obliczeniowej.

Chmura stanowi narzędzie, które daje dostęp do zgromadzonych plików na żądanie. Można skorzystać z niej w dowolnym miejscu na świecie, używając dowolnego sprzętu obsługującego Internet. Co więcej, chmury obliczeniowe zapewniają ogromną elastyczność. Dostosowują się do potrzeb użytkowników, którzy opłacają wyłącznie taką przestrzeń dyskową, jakiej realnie używają.  Dodatkowo dostawca na bieżąco przeprowadza drobne naprawy i aktualizacje w chmurze, co pozwala na obniżenie kosztów obsługi informatycznej.

Oczywiście zakres dostępnych funkcji różni się w zależności od modelu usługi, na jaki się zdecydujemy. Wśród najczęściej stosowanych modeli chmur obliczeniowych można wymienić:

  1. Model PaaS, czyli Platform as a Service, który pozwala użytkownikowi na wdrożenie w chmurzę infrastruktury utworzonej lub nabywanej przez zamawiającego pod postacią aplikacji (tworzonych za pomocą bibliotek, języków programowania, usług i narzędzi, jakie obsługuje dostawca danej chmury). Użytkownik nie ma możliwości zarządzania i kontrolowania podstawowej infrastruktury narzędzia – czyli serwerów, sieci, pamięci masowej, czy systemów operacyjnych. Ma jednak kontrolę nad aplikacjami, które wdraża. Czasem może też zmieniać ustawienia w ich środowisku.
  2. Model IaaS, czyli Infrastructure as a Service – to model najprostszy z wymienionych, obejmujący wyłącznie infrastrukturę sieciową. Oznacza to, że zapewnia przetwarzanie, przechowywanie, sieć, podstawowe zasoby komputerowe do wdrożenia i uruchomienia, a także dowolne oprogramowania obejmujące obsługę aplikacji i systemów. W tym modelu odbiorca usługi nie ma kontroli nad bazową infrastrukturą chmury. Nie może nią zarządzać, ale kontroluje pamięć masową, systemy operacyjne, wdrażane aplikacje, czasem też wybrane komponenty sieciowe.
  3. Model SaaS, czyli Software as a Service to w pewnym sensie odwrotność IaaS, czyli najbardziej rozwinięta forma usług w chmurze. Klient korzysta w niej z usług dostawcy aplikacji, która działa w infrastrukturze chmury, a aplikacje są dostępne z poziomu urządzeń wybranych przez użytkownika (za pośrednictwem inferfejsu klienta, np. przeglądarki internetowej czy interfejsu programu).

Jakie to ma znaczenie w kontekście ochrony danych osobowych? Bardzo duże. Model IaaS wymaga samodzielnego dbania o bezpieczeństwo – od systemu operacyjnego, aż po aplikację. W PaaS warstwa pośrednicząca jest skalowalna, a podstawowe zabezpieczenia – zarówno platformy, aplikacji i operacji – muszą być zapewnione przez samego użytkownika. Za to w modelu SaaS to dostawca usługi zobowiązuje się do ochrony i operacyjności danych w chmurze.

Co jest lepsze: chmura prywatna, publiczna, czy hybrydowa?

Poza wymienionymi modelami, wyróżniamy także chmury prywatne, publiczne, grupowe i hybrydowe. Te różnice wynikają ze struktury, w jakiej działa użytkownik, oraz formy sprzedaży oprogramowania stosowanej przed konkretnego dostawcę.

Najwięcej osób korzysta z chmury prywatnej. Jest przeznaczona do użytkowania przez jedną organizację, a także podmiot zewnętrzny lub ich kombinację. Obejmuje wielu konsumentów, w tym jednostki biznesowe. Może funkcjonować w siedzibie danej organizacji albo poza nią. W tym przypadku całość oprogramowania jest używana przez jeden podmiot i to on ma nad nią kontrolę. Ze względu na fakt, że oprogramowanie łączy się z zewnętrznym serwerem dostawcy, wariant prywatny nie zapewnia całkowitej prywatności chmury obliczeniowej.

Drugi rodzaj to chmury publiczna. Obecne w niej zasoby komputerowe, oprogramowanie i infrastruktura znajdują się w sferze publicznej, zazwyczaj poza obszarem kraju działania klienta, który nie może kontrolować sposobu przetwarzania danych w chmurze.

Istnieje jeszcze chmura hybrydowa, łącząca funkcjonalności dwóch form – prywatnej i publicznej. Mowa o chmurze współdzielonej przez wiele systemów, wyposażonej w funkcje pozwalające na rozliczalność i rozdzielenie czynności. Modelem hybrydowym będzie więc chmura korporacyjna (wewnętrzna) – funkcjonująca w danej organizacji, a także wirtualna chmura prywatna.

Jak to działa?

  • Rozwiązania typowe dla chmury prywatnej dostarcza się przy stosowaniu infrastruktury, która jest używana do świadczenia usługi w chmurze publicznej. W ten sposób wdraża się chmurę obliczeniową.
  • Usługi krytyczne, wymagające zapewniania najwyższego bezpieczeństwa, świadczy się w chmurze prywatnej, za to inne, mniej „istotne” – w chmurze publicznej.

Podstawowa różnica między chmurą prywatną a publiczną polega na tym, że zasoby w chmurze prywatnej służące do świadczenia usług mogą być także własnością podmiotu trzeciego (czyli dostawcy owych usług).

Co będzie lepsze? Zdecydowanie najmniej ekonomicznym rozwiązaniem jest stosowanie chmur prywatnych. Jednocześnie oferuje ono najwyższy poziom bezpieczeństwa. To korzystny wariant zwłaszcza przy większej ilości danych osobowych lub przy przetwarzaniu bardziej wrażliwych danych. Chmura publiczna jest znacznie mniej bezpieczna w kontekście ochrony danych osobowych. Dlatego najbardziej optymalną opcję stanowi chmura hybrydowa – łączy w sobie efektywność techniczną, bezpieczeństwo, oraz korzyści w kontekście ekonomicznym.

Jakie zagrożenia niesie ze sobą przechowywanie danych w chmurze?

Wszyscy administratorzy danych, którzy używają chmur obliczeniowych, mają obowiązek analizy ryzyka jakie niesie ze sobą takie oprogramowanie. Znaczenie ma to, że większość usług jest udostępniana w chmurze publicznej – w efekcie ryzyko naruszenia poufności i jednolitości przesłanych danych staje się znacznie większe. Może dojść do niego np. podczas nawiązywania połączenia między użytkownikiem chmury, a jej dostawcą –  zarówno za pomocą urządzeń mobilnych, jak i stacjonarnych. W razie przejęcia dane osobowe mogą zostać wykorzystane do innych celów, niż te uwzględnione w pierwotnym zakresie przetwarzania. A to stanowi naruszenie prawa do prywatności podmiotów, do których dane należą.

Innym zagrożeniem jest fakt, że nie można zweryfikować faktycznego położenia serwerów, na których znajduje się chmura obliczeniowa. Takie serwery mogą być kontrolowane przez różne państwa, a w rezultacie dostawcy są zobowiązani do przestrzegania różnych regulacji prawnych niezapewniających odpowiedniego poziomu ochrony danych (w stopniu nieadekwatnym do europejskiego). Zdarza się, że dostawca jest zmuszony ujawnić dane w chmurze organom państw, w których znajdują się jego serwery.

Poza tym występują znaczące trudności w przeprowadzeniu audytu. Wiąże się to z ryzykiem naruszenia w zakresie korzystania ze środków ochrony danych osobowych uwzględnionych przez prawo UE i prawo krajowe administratora. Poza tym podmiot korzystający z usługi chmury może stracić kontrolę nad danymi, w związku z czym nie wypełni swoich obowiązków wobec podmiotów danych.

Aplikacje opierające się na chmurze mogą też nie obejmować funkcjonalności, które pozwalają na trwałe usunięcie danych zgodnie z obowiązującym prawem. Dostawcy tego typu usług mogą realizować niekontrolowane, wielokrotne kopie zapasowe i umieszczać je na swoich własnych serwerach (do których tylko oni mają dostęp). Tak samo repozytoria mogą zostać przeniesione z jednego serwera na inny, aby np. zoptymalizować infrastrukturę chmury, a w przypadku awarii pozostawi to niepożądane kopie danych.

Poza powyższymi czynnikami ryzyka, mającymi bezpośredni związek z ochroną danych osobowych, niebezpieczeństwo niesie ze sobą również zbyt małe doświadczenie podmiotów zamawiających usługi w chmurze. W rezultacie mogą popełniać błędy już na etapie wyboru dostawcy usługi oraz odpowiedniego oprogramowania. Jak tego uniknąć? Wydawałoby się, że najlepiej skorzystać z narzędzia od większego dostawcy. Jednak takie umowy często nie podlegają żadnym modyfikacjom i negocjacjom, a obecne w nich, niekorzystne postanowienia, pozostają zwykle niezauważone przez początkujących użytkowników chmury.

Co musi znaleźć się w umowie z dostawcą chmury?  

Dlatego przy wyborze tego typu usługi, warto dokładnie przeanalizować treść umowy. Powinna ona minimalizować wskazane powyżej czynniki ryzyka. Przede wszystkim musi jasno wskazywać, kto jest podmiotem przetwarzającym, a kto administratorem danych. W ten sposób będzie można jednoznacznie określić, a następnie egzekwować obowiązki obu stron w kontekście ochrony danych osobowych. Poza tym trzeba zwrócić uwagę, czy dostawca chmury stosuje właściwe środki techniczne i organizacyjne zapewniające bezpieczeństwo danych. Wśród nich może znaleźć się m.in. wieloetapowe uwierzytelnianie, rozwiązania antywirusowe, zapory, czy anonimizacje i pseudonimizacje.

Umowa musi też uwzględniać zapis o określeniu lokalizacji geograficznej, w której znajdują się serwery dostawcy. To ważne ze względu na ewentualną potrzebę wyboru mechanizmów transferowania danych do krajów spoza UE. Jeżeli w tym zakresie ustalenia okażą się błędne, ryzykujemy naruszeniem bezpieczeństwa danych osobowych. Uniemożliwi to również zrealizowanie obowiązku informacyjnego ze strony administratora.

Kolejne ważne kwestie, które powinny znaleźć się w umowie, to:

  • Ustalenie procedur zgłaszania naruszeń – jeżeli administrator nie będzie mieć nad tym kontroli, musi liczyć się z nałożeniem wysokich, administracyjnych kar pieniężnych (co jest często stosowane przez polskie organy nadzorujące). W tego typu ustaleniach trzeba uwzględnić osoby kontaktowe oraz czas, w jakim należy zgłosić ewentualne naruszenie.
  • Określenie uprawnień do przeprowadzenia audytu przez zamawiającego – oczywiście fizyczna kontrola nie zawsze jest możliwa do zrealizowania, ale zdecydowanie warto zachować tego typu uprawnienia.
  • Metoda realizacji praw podmiotów danych osobowych – głównie wtedy, gdy podmiot zgłosi się do dostawcy chmury, zamiast do zamawiającego. Wtedy żądanie powinno być przekazane bezpośrednio do podmiotu zamawiającego.
  • Zakres odpowiedzialności każdej ze stron w ramach prawa zobowiązań – każda strona powinna rozważyć, czy chce nałożyć obowiązek wykupienia stosownego ubezpieczenia, a także kar umownych w razie wystąpienia naruszeń lub opóźnień.

Jak wspomnieliśmy wcześniej, negocjacja warunków umowy nie zawsze jest możliwa. Zwłaszcza, gdy zawiera się ją z dużą, znaną firmą o ugruntowanej pozycji na rynku. Wówczas najlepszym wyjściem jest dokładna analiza ryzyka i sprawdzenie, czy zysk przewyższa koszty, które mogą pojawić się w sytuacji naruszenia ochrony danych osobowych. To zamawiający powinien dołożyć starań, aby zamówienie rozwiązań chmurowych nie niosło ze sobą zbyt dużego zagrożenia.

Marcin Staniszewski

Kancelaria Prawna RPMS Staniszewski & Wspólnicy