Bezpieczeństwo danych w chmurze i inne bariery #cloud
CHMURA W MODZIE
Rozwój usług chmurowych widoczny jest na pierwszy rzut oka – aktywna na tym polu jest administracja państwowa oraz biznes (zob. liczne raporty oraz konferencje o migracji do chmury). Jak dotąd w Polsce nie możemy mówić o masowej adaptacji chmury.
O niewielkim poziomie adaptacji chmury w polskim biznesie – w odniesieniu do państw członkowskich UE – mówią nam dane. Według Eurostatu w Polsce w 2018 r. 11,5 % biznesu (przedsiębiorstw zatrudniających ponad 9 pracowników) korzystało z rozwiązań chmurowych, gdzie, np. w Estonii (33,9 %), Danii (55,6 %), Szwecji (57,2 %) i wreszcie Finlandii (65,3 %). Więcej na ten temat pisałem tutaj.
Co jest jeszcze ciekawe w tym kontekście to fakt, że 12, 3 % jednostek administracji państwowej korzysta z rozwiązań chmurowych, a to znaczy, że administracja wypada nieco lepiej.
Przedsiębiorcy nie pozostawiają jednak niekorzystnego stanu samemu sobie. W biznesie dostrzega się wartość dodaną jaką generuje chmurą, tj.: [1] stabilność, [2] elastyczność, [3] minimalizację kosztów, [4] dostęp do danych w formule on demand. W tej ostatniej formule, pokolenie digital chce już chyba wszystkiego…. Taki stan rzeczy znajduje również potwierdzenie w badaniach, bowiem według raportu Computerworld i Oktawave u 1/3 biznesu implementacja chmury jest in progress. Więcej danych o wykorzystaniu w Polsce danych w chmurze można znaleźć w raporcie Chmura nad Polską.
Choć dzisiaj mówi się bezapelacyjnie o chmurze jako trendzie (stawia się ją obok AI i ML jako narzędzie transformacji cyfrowej), a według badania CISCO trend ten ma stać się powszechny, bo do 2021 94 % ruchu na serwerach ma być związane z przetwarzaniem w chmurze, to warto brać pod uwagę także inne scenariusze – jest to podejście odpowiednie dla każdego rodzaju transformacji.
ZDANIE ODRĘBNE
Dla pełnego obrazu, wspomnieć musimy również, że nie wszyscy rozwiązania chmurowe uznają za najlepsze, a przynajmniej te oparte o chmurę publiczną. Michael Dell z Dell Technologies uważa, że w zdecydowanej większość zastosowań lokalna infrastruktura wciąż będzie bardziej opłacalna, a model on-premise będzie zyskiwał na popularności. Kilka wypowiedzi, w których biznes przekonuje, że model chmury hybrydowej lub prywatnej są bardziej opłacalne – możecie przeczytać tutaj.
Moim zadaniem nie jest rozstrzygać, który model biznesowy jest korzystniejszy. Skwitować to raczej należy truizmem, że to zależy. Zależy od: [1] wielkości organizacji, [2] rodzaju sektora, w którym organizacja działa, [3] procedur bezpieczeństwa, [4] obostrzeń ustawowych i wytycznych wydawanych przez organy nadzoru dla niektórych sektorów, [5] modelu rozliczeniowego i … można wymieniać tak bez końca.
Wywnioskować trzeba, że nie ma tutaj jednoznacznej odpowiedzi, a wybór powinien nie tylko być przemyślany na etapie projektowania, ale i świadomy, a to znaczy, że bez procesu negocjacji, jak i analizy umowy nie powinien być w ogóle podjęty.
BEZPIECZEŃSTWO
Wybranie się na podróż w kierunku chmury, poza korzyściami biznesowymi, stwarza także pewnie wyzwania dla bezpieczeństwa, w tym szczególnie doniosłych wątków z punktu widzenia administracji państwowej oraz procesów compliance w biznesie.
Wątki dotyczące bezpieczeństwa danych w chmurze bynajmniej nie mogą być pomijane przez operatorów usług kluczowych. Kwestia ta podnoszona jest przez Radę Ministrów w Strategii Cyberbezpieczeństwa Rzeczypospolitej Polskiej na lata 2019-2024. Strategia podkreśla, że przy wykorzystaniu potencjału ekspertów konieczne będzie wypracowanie nowych standardów. Aby zwiększyć odporność systemów informacyjnych administracji publicznej jako niezbędne Strategia określa: opracowanie Narodowych Standardów Cyberbezpieczeństwa, jako zbioru wymagań organizacyjnych i technicznych dotyczących, w szczególności, bezpieczeństwa modeli chmur obliczeniowych.
W dalszej części Strategii podkreśla się, że chodzi o bezpieczną i optymalną w zakresie kosztów infrastrukturę systemów IT administracji publicznej, która to rozpoczęła lub rozpocznie korzystanie z nowych form przetwarzania i przechowywania danych – a taką formą jet właśnie chmura obliczeniowa.
Obecny stan rzeczy nakazuje przygotować się na dalsze zmiany w przepisach krajowego systemu cyberbezpieczeństwa. Na uwadze trzeba mieć tutaj Rozporządzenie (UE) w sprawie ENISA (Agencji Unii Europejskiej ds. Cyberbezpieczeństwa) oraz certyfikacji cyberbezpieczeństwa w zakresie technologii informacyjno-komunikacyjnych. (w skrócie: Cybersecurity Act), m.in. w zakresie obowiązkowej oraz dobrowolnej certyfikacji produktów i usług ICT, włącznie z obowiązkiem powołania przez państwa członkowskie krajowych organów certyfikacji cyberbezpieczeństwa.
W strategii jest również mowa o tym, że obowiązki dostawców usług chmurowych mogą wymagać doprecyzowania tak na szczeblu UE, jak i krajowym, tak aby zwiększyć skuteczność oddziaływania przepisów. Podkreśla się tutaj rolę tych dostawców z uwagi na prognozowane wykorzystanie ich usług przez operatorów usług kluczowych.
ZAUFANIE, COMPLIANCE
W biznesie wątek bezpieczeństwa i prywatności przetwarzanych oraz przechowywanych danych może okazać się problematyczny z dwóch podstawowych względów:
- budowy zaufania do swoich kontrahentów oraz
- przestrzegania przepisów prawa.
Jeśli chodzi o pierwszy jest on naturalną barierą, która co do zasady występuje w każdej branży. Może ona wpływać na indywidualne wybory konsumentów (nierzadko dyktowane jedynie emocjami, czy ogólnymi wrażeniami, np. wizja totalnej inwigilacji może być dla nich odstraszająca), ale przede wszystkim może być ona elementem blokującym dla kontrahentów, którzy w ramach procesu zarządzania ryzykiem i procedur compliance pewne rozwiązania z góry będą musieli odrzucić.
To ostatnie jest ściśle związane z rzeczywistością, w której wciąż giganci IT to firmy amerykańskie, a obowiązujące ich regulacje nie zawsze muszą być zgodne z obowiązującymi w UE.
US CLOUD ACT A RODO
CLOUD Act (Clarifying Lawful Overseas Use of Data Act), nazwa bynajmniej nie pochodzi od chmury, niemniej dotyczy legalnego przetwarzania danych za granicą. Założeniem Cloud Act było rozwiązanie problemu w uzyskiwaniu danych przez administrację państwową, gdy amerykański dostawca przechowywał dane poza terenem USA oraz problemu z wnioskami kierowanymi przez państwa trzecie o uzyskanie danych od dostawców amerykańskich.
W relacji UE – USA, doniosłe znaczenie ma stanowisko Europejskiej Rady Ochrony Danych, która stwierdziła, że CLOUD Act to za mało, by przekazywać dane osobowe na żądanie organów USA. Jest to skądinąd stanowisko uzasadnione, ponieważ w art. 6 RODO nie znajdujemy podstawy przetwarzania, w której zmieściłaby się regulacja państwa trzeciego. Co więcej, RODO w ust. art. 6 wskazuje, że w przypadku, gdy podstawą przetwarzania miałby być obowiązek prawny ciążący na administratorze lub wykonanie zadania w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi, to ta podstawa przetwarzania musi być określona w prawie Unii lub prawie państwa członkowskiego, któremu podlega administrator. W przypadku podmiotu z państwa trzeciego o takiej podstawie przetwarzania mowy być nie może. Niepewna sytuacja na pewno zostanie rozwiązana w niedalekiej przyszłości, być może przez porozumienie na linii USA – UE, a być może na podstawie umów z państwami członkowskimi. Jednakże obecnie niepewną ona pozostaje i jest obarczona ryzykiem zarówno dla sektora publicznego jak i prywatnego.
INNE BARIERY
W temacie migracji do chmury zwraca się także uwagę na inne bariery, a mianowicie:
- barierę techniczną, do sprawnego korzystania z chmury niezbędny jest niezawodny dostęp do sieci, sprawdzony dostawca i ewentualnie dostawca zapasowy.
Gdy już znajdziemy dostawcę godnego zaufania, to wciąż musimy pamiętać, że przerwanie dostępu do usługi wciąż jest możliwe, a także o atakach na infrastrukturę i stąd niezbędne stają się środki ochrony oraz środki zapewniające ciągłość działania biznesu. Jeśli mamy back-up, to nasza pozycja negocjacyjna w razie ataku ransomware wygląda zgoła inaczej, nieprawdaż?
oraz
- barierę prawną, do zgodnego z prawem korzystania z chmury niezbędna jest zapewnienie prywatności i bezpieczeństwo przetwarzania danych osobowych. Powinniśmy wiedzieć, gdzie nasze dane będą przechowywane oraz jakie środki bezpieczeństwa wdrożył dostawca.
Temat nie będzie nastręczał poważniejszych problemów, gdy korzystamy z usług dostawcy podlegającego naszej jurysdykcji i posiadającego na jej terenie serwery. Sytuacja będzie mniej jasna, a co przecież jest standardem rynkowym, gdy dostawca ma siedzibę i działa na innym kontynencie. Tutaj ten problem jest dość poważny, a na czym polega zostało opisane wyżej w kontekście CLOUD Act.
Słowem, powinniśmy pamiętać, że: RODO nakłada na nas obowiązek wymagania od dostawcy spełnienia standardów bezpieczeństwa i wdrożenia odpowiednich procedur.
A wyjątki od stosowania RODO oczywiście istnieją, ale dotyczą wyłącznie okoliczności, które zostały uregulowane w prawie UE, bądź to w prawie państw członkowskich.
VENDER LOCK
Na koniec warto zwrócić jeszcze uwagę na bardzo ważny czynnik, który może być pomijany na etapie wyboru dostawcy, szczególnie w branżach, które nie są regulowane i gdzie tej wrażliwości jeszcze w tak zaawansowanym stopniu nie wyrobiono. Chodzi o uzależnienie od jednego dostawcy. Jest to czynnik, którego zbagatelizować nie można. Zarządzanie tym ryzykiem jest szczególnie akcentowane w wytycznych organów nadzoru dla sektorów takich jak: finanse czy ubezpieczenia. Zlekceważenie tego czynnika może generować wysokie i nieprzewidywalne koszty w chwili zmiany dostawcy, czy być także technicznym elementem blokującym, np. w sytuacji, gdy dostawca zapisuje dane w formacie, który nie jest kompatybilny dla innych dostawców.
Traktując rzecz ogólnie, stwierdzić można, że im większą będziemy mieć świadomość ryzyk oraz barier w migracji do chmury, tym większa szansa jest, że zarządzanie nimi przebiegnie pomyślnie.
Na sytuację wyboru dostawcy możemy spoglądać z coraz to większym optymizmem, ponieważ na rynku chmurowym mamy coraz więcej dostawców, a warunki usługi możemy i powinniśmy negocjować. W procesie migracji do chmury wzorem zasady z RODO privacy by design, powinniśmy pamiętać o security by design i obydwie kwestie uwzględniać równocześnie już na etapie projektowania, a kolejno negocjowania warunków z dostawcą chmury.
ŹRÓDŁA
- https://www.shadowtech.pl/2019/12/19/chmuuura/
- https://www.computerworld.pl/news/Polska-chmura-za-miliard-zlotych,414055.htmlhttp://static.300gospodarka.pl/media/2019/12/raport_chmura_final.pdf
- https://www.cisco.com/c/dam/assets/sol/sp/gci/global-cloud-index-infographic.htmlhttps://www.crn.pl/aktualnosci/chmura-sie-nie-oplaca
- http://prawo.sejm.gov.pl/isap.nsf/download.xsp/WMP20190001037/O/M20191037.pdf
- https://edpb.europa.eu/sites/edpb/files/files/file2/edpb_edps_joint_response_us_cloudact_annex.pdf
- http://www.ibngr.pl/Publikacje/Raporty-IBnGR/Cloud-Computing-elastycznosc-efektywnosc-bezpieczenstwo