AnalizyOchrona publicznych danych w chmurze > redakcja Opublikowane 23 maja 20110 0 92 Podziel się Facebook Podziel się Twitter Podziel się Google+ Podziel się Reddit Podziel się Pinterest Podziel się Linkedin Podziel się Tumblr Nikt już nie neguje tego, że przetwarzanie danych w chmurze to sposób dostarczania rozwiązań IT, który może przyspieszyć informatyzację oraz zwiększyć efektywność administracji publicznej. Nic dziwnego, skoro pozwala korzystać z rozmaitych rozwiązań bez inwestowania w licencje i infrastrukturę. Do tego ich dostępność jest gwarantowana przez dostawców na bardzo wysokim poziomie (większość z nich oferuje poziom 99,99 proc.), z dowolnego miejsca. Jednak, aby można było bez ograniczeń korzystać z dobrodziejstw chmury, administracja musi zmierzyć się z problemem bezpieczeństwa i poufności danych, jakiego wymaga obowiązujące prawo.Problem danych publicznych Problemy te pojawiają się w modelu publicznym, czyli korzystaniu z informatyki przez ogólnodostępny Internet oraz w modelu mieszanym, tzw. hybrydowym, w jego części „internetowej”. Ograniczenia takie nie dotyczą tzw. chmur prywatnych, czyli udostępniania oprogramowania i narzędzi IT we własnej sieci informatycznej. Prywatne chmury oferują większość korzyści środowisk publicznych (uwolnienie się od problemów ze sprzętem, niższe koszty utrzymania, skalowalność zasobów, niższe koszty początkowe) bez typowych dla środowisk publicznych problemów związanych z bezpieczeństwem i zgodnością z wymogami przepisów. Jednak by uruchomić usługi w prywatnej chmurze trzeba posiadać zasoby sprzętowe, serwerownię czy centrum przetwarzania danych. Małe urzędy, instytucje, ośrodki zdrowia czy nieduże szpitale takiego zaplecza nie mają.Chmura nie dla wszystkich danychZgodnie z ideą chmury, dane firm, urzędów i organizacji mogą znaleźć się na wielu serwerach, w bardzo różnych lokalizacjach. Odległość geograficzna nie stanowi jednak problemu, problemem jest to, że ustawodawstwo różnych krajów w dziedzinie ochrony danych jest bardzo różne.ENISA (European Network and Information Security Agency), czyli Europejska Agencja Bezpieczeństwa Sieci i Informacji, w opublikowanym niedawno raporcie przestrzega administrację przed korzystaniem z ogólnodostępnych rozwiązań w chmurze publicznej, w zamian proponując rozwiązania prywatne. W chmurach prywatnych bowiem jest zachowana pełna kontrola nad fizyczną infrastrukturą. ENISA zdefiniowała aż 35 podstawowych zagrożeń bezpieczeństwa w dziedzinie przetwarzania w chmurze, opisując je w raporcie „Cloud Computing: Benefits, risks and recommendations for information security”. Ryzyko związane z umieszczaniem w chmurze danych zdefiniowanych w dyrektywie UE jako dane wrażliwe uznano w nim za bardzo wysokie, a danych osobowych przynajmniej za średnie.Kto gwarantuje bezpieczeństwo chmury spoza Europy Jeśli usługi cloud są dostarczane przez podmioty spoza Unii Europejskiej, oznacza to zawsze słabszą kontrolę nad ich bezpieczeństwem-nie rozciąga się na nie, bowiem ani jurysdykcja krajowych sądów, ani uprawnienia Komisji Europejskiej. Agencja zaleca, więc by w administracji publicznej rozwiązania w chmurze były stosowane tylko w przypadku aplikacji i danych o niekrytycznym znaczeniu. Jeśli więc polski urząd przekazuje dane osobowe do państwa trzeciego, spoza europejskiego obszaru gospodarczego, może to zrobić tylko wówczas, gdy państwo docelowe daje takie gwarancje ochrony danych osobowych na swoim terytorium, jakie obowiązują na terytorium Polski.Należy pamiętać o tym, że dostawcę usług obowiązują regulacje kraju macierzystego, a nasze prawo zabrania migracji danych osobowych do krajów o niższym rygorze, w tym USA, chyba że kraj lub organizacja spełnia zasady przyjęte przez Komisję EuropejskąUłomność prawa europejskiego Ale i w Europie jest jeszcze wiele do zrobienia w dziedzinie prawnego bezpieczeństwa chmur. Brakuje m.in. prawa szczegółowo określającego odpowiedzialność dostawców oprogramowania w formie usługi oraz jednolitych przepisów w zakresie ochrony prywatności i przechowywania poufnych danych. Dlatego Unia Europejska chce wprowadzić szereg rozwiązań formalnych, ułatwiających wdrożenie oprogramowania w modelu cloud m.in. w jednostkach administracji publicznej. Plany zakładają także zaangażowanie UE w proces standaryzacji interfejsów i formatów danych pod kątem lepszej integracji rozwiązań z zakresu cloud computingu. Nadal jednak nie rozwiąże to obaw użytkowników związanych z przekazywania danych poza obszar UE. Co mówią badania Badanie ośrodka Harris Interactive wykazuje, że największą przeszkodą w upowszechnieniu rozwiązań typu cloud, i to nie tylko w administracji, ciągle pozostają kwestie bezpieczeństwa.91 proc. badanych niepokoi się o bezpieczeństwo publicznych chmur, zaś 50 proc. wskazuje kwestie bezpieczeństwa jako największą przeszkodę w upowszechnieniu rozwiązań typu cloud. Nie dość, że nie ma dokładnej pewności, gdzie dane się znajdują, to nie wiadomo także, z kim dzieli się zasoby. Może się zdarzyć, że będzie to po prostu przestępca, który także postanowił skorzystać z usług w chmurze. Dancho Danchev, znany bloger z amerykańskiego serwisu ZDNet, opisuje zjawisko, które nazwał Cybecrime-as-a-Service (CaaS)-„cyberprzestępstwo jako usługa”. Danchev opisuje jedną z takich usług, która polega na odpłatnym hostingu infrastruktury wraz z dostępem do gotowego do użycia oprogramowania. W tym przypadku „usługobiorca” ma dostęp do narzędzi przystosowanych do ataku na przeglądarki internetowe i instalacji oprogramowania do wykradania informacji z zainfekowanych komputerów. Taki „hosting” kosztuje 50 dolarów za 3 miesiące abonamentu.A może zapis w umowie z prowajderemZ pewnością zmniejszeniem ryzyka jest skonstruowanie dokładnej umowy z dostawcą usług, a także właściwy wybór miejsce na usługę. Jednak w przypadku przechowywania danych osobowych ustawodawca nakazuje opisać w umowie, jakie systemy bezpieczeństwa będą stosowane do ich ochrony. Usługodawca nie zawsze będzie chciał się dzielić taką wiedzą. Istnieją centra danych, które posiadają certyfikaty ISO 27001 (norma międzynarodowa standaryzująca systemy zarządzania bezpieczeństwem informacji) oraz SAS 70 Type II (audyt wewnętrznych funkcji kontrolnych). Jednak dopóki nie zostaną rozstrzygnięte kwestie prawne, dopóty nawet certyfikaty bezpieczeństwa nie pomogą. Rząd australijski, który obok takich krajów, jak USA, Japonia, Kanada, Korea Południowa, Wielka Brytania, opracował strategię stopniowego przechodzenia swojej administracji publicznej do chmury, zakłada, że pełne przeniesienie danych wrażliwych i osobowych to proces najdłuższy, który może na obecnym poziomie prawa i zabezpieczeń technologicznych trwać nawet do 10. GIODO „Przetwarzanie danych w chmurze jest, oczywiście, dopuszczalne. Istotne przy tym jest jednak to, jakie działania trzeba podjąć, żeby zachować wszystkie zasady ochrony danych osobowych, które wynikają z ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych oraz z rozporządzenia Ministra Spraw Wewnętrznych i Administracji z 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. Ważne jest również m.in. to, by administrator danych, który zamierza przetwarzać dane osobowe w chmurze, zawarł z jej dostarczycielem umowę powierzenia przetwarzania danych osobowych w rozumieniu art. 31 ustawy o ochroniedanych osobowych. Zgodnie bowiem z tym przepisem, administrator danych może powierzyć innemu podmiotowi przetwarzanie danych, ale muszą być spełnione określone w ustawie warunki. Umowa musi być zawarta na piśmie, określać zakres powierzonych danych i cel ich przetwarzania. Podmiot, któremu administrator powierzył w ten sposób przetwarzanie danych osobowych, może je wykorzystywać wyłącznie w zakresie i celu wskazanym w tej umowie. Za prawidłowe przetwarzanie powierzonych danych osobowych, w tym ich właściwe zabezpieczenie, odpowiada administrator danych, co jednak nie wyłącza odpowiedzialności podmiotu, który zawarł umowę, za przetwarzanie danych niezgodnie z tą umową. Oczywiście, skonstruowanie takiej umowy z dostarczycielem chmury może być skomplikowane z tego powodu, że powinna ona przewidywać, przy użyciu jakich środków dane będą zabezpieczane” – mówi Wojciech Rafał Wiewiórski, Generalny Inspektor ochrony danych osobowych (GIODO) Źródło: Cyfrowa Polska Related PostsNo related posts.
