<![CDATA[
W obecnych czasach coraz więcej osób prywatnych i firm korzysta z usług w chmurze. Poza niezliczonymi korzyściami idącymi za korzystaniem z rozwiązań tego typu, pojawiają się również zagrożenia. To właśnie na nie powinniśmy zwrócić uwagę mówiąc o zabezpieczeniu danych w chmurze.
Rozwiązania chmurowe są obecnie tak atrakcyjne przede wszystkim z uwagi na możliwość wygenerowania naprawdę znacznych oszczędności w przypadku przechowywania danych w chmurze. Firmy mogą przy rozwiązaniach chmurowych pozbyć się wydatków takich jak zakup sprzętu, zakup infrastruktury sieciowej oraz systemów zabezpieczeń. Ponadto chmura stanowi również odpowiedz na ciągle rosnące zapotrzebowania firm i instytucji publicznych na większą moc obliczeniową oraz większą przestrzeń dyskową do uruchamiania aplikacji, do przechowywania dużej ilości danych oraz ich udostępniania na zewnątrz. Chmura daje możliwość zapisywania plików i obiektów o dowolnym rozmiarze. Przechowywanie danych w chmurze to też spore udogodnienie, bowiem ma się do nich dostęp z dowolnego komputera podłączonego do Internetu. Ponadto w chmurze dane są z definicji zaszyfrowane.
Pomimo powyżej wskazanych zalet rozwiązania chmurowego, przeniesienie danych do Internetu wiąże się z istotnymi obawami, w szczególności dla firm które działają na rynku w oparciu o swoje wypracowane know- how i patenty, stanowiące ich tajemnice przedsiębiorstwa. Takie firmy bezwzględnie nie mogą sobie pozwolić na to, aby ich tajemnica przedsiębiorstwa dostała się w ręce konkurencji. Co zatem zrobić aby mieć pewność, że nasze dane w chmurze są bezpieczne i są chronione przed ich ujawnieniem niepowołanym osobom ? Przede wszystkim powinniśmy wiedzieć w jaki sposób fizycznie chronione są serwery przez dostawcę usługi i gdzie zostały one zlokalizowane. Dostawca powinien nam zapewnić, że dostęp do naszych danych mają jedynie zaufane osoby po potwierdzeniu swojej tożsamości. Istotne jest to, aby dostawca miał wdrożone odpowiednie procedury i zabezpieczenia na wypadek awarii, które pozwolą na uratowanie naszych danych. Usługodawca powinien nam zapewnić monitorowanie dysków serwerów na wypadek awarii oraz utworzenie sum kontrolnych i kopi zapasowych naszych danych. Kopie naszych danych powinny znajdować się fizycznie na innych maszynach, najlepiej w innej lokalizacji, tak aby w przypadku awarii nie utracono kopii.
Z przechowywaniem danych w chmurze wiąże się również istotne zagadnienie prawne dotyczące danych osobowych. Należy bowiem pamiętać, że przekazanie danych osobowych dostawcy rozwiązań chmurowych to powierzenie przetwarzania danych. W związku z tym zgodnie z obowiązującymi przepisami z takim dostawcą należy podpisać umowę powierzenia przetwarzania danych osobowych lub w umowie na dostawę rozwiązania chmurowego zawrzeć stosowne postanowienia na temat powierzenia przetwarzania danych. W omawianej materii pomocne jest stanowisko Generalnego Inspektora Ochrony Danych Osobowych (od 25.05.2018 r. organem właściwym w zakresie ochrony danych osobowych jest Prezes Urzędu Ochrony Danych Osobowych). Na stronie internetowej Generalnego Inspektora Ochrony Danych Osobowych opublikowane zostało dziesięć głównych zasad stosowania usług chmurowych przez administrację publiczną – tzw. Dekalog chmuroluba. Oczywiście Dekalogiem tym może posługiwać się nie tylko administracja publiczna. Spisane w tym dokumencie reguły znajdą zastosowanie również do wszelkich innych podmiotów, w tym prywatnych, zainteresowanych zastosowaniem rozwiązań chmurowych. Najważniejsze z zasad wynikających z Dekalogu chmuroluba przedstawiają się następująco:
1. Decydując się na przekazanie choćby części swoich zasobów do chmury musimy zobowiązać dostarczyciela usługi chmurowej do przekazania pełnej informacji o wszystkich fizycznych lokalizacjach serwerów na których przetwarzane są lub mogą być przetwarzane dane. Należy przy tym pamiętać, aby przy korzystaniu z rozwiązań chmurowych nie doszło do przekazania danych poza Europejski Obszar Gospodarczy, czyli do tzw. krajów trzecich. Musimy wybrać dostawcę usługi chmurowej, który zagwarantuje zgodność z ustawodawstwem Unii Europejskiej w zakresie ochrony danych. 2. Dostarczyciel usługi chmurowej powinien umożliwić nam pełny dostęp do dokumentacji dotyczącej zasad bezpieczeństwa oraz środków technicznych przyjmowanych w poszczególnych centrach przetwarzania danych. 3. Dostawca usługi chmurowej musi przekazać nam pełną informację dotyczącą podwykonawców i instytucji współpracujących, które mają udział w realizacji usługi chmurowej.4. Każdy z podwykonawców traktowany jako podprzetwarzający dane osobowe powinien być związany takimi samymi klauzulami umownymi jak dostarczyciel usług chmurowych.5. Dostawca usługi chmurowej nie może decydować o celach i sposobach przetwarzania danych administratora danych.6. Administrator danych powinien mieć informacje o wszelkich zobowiązaniach publicznych dostawcy w stosunku do policji, służb specjalnych i organów ścigania w zakresie przekazywania wskazanym podmiotom dostępu do danych zamieszczonych w chmurze.7. Dostawca usługi chmurowej wraz z odbiorcą tej usługi muszą określić zasady przeszukiwania, retencji i usuwania danych dostarczonych przez administratora danych.8. Dostarczyciel usługi chmurowej powinien być zobowiązany do raportowania o wszystkich incydenty bezpieczeństwa danych.9. Należy ustalić jakie wyłączenia lub ograniczenia odpowiedzialności dostarczyciela usługi mogą być zastosowane przy realizacji usługi.10. Należy wszelkimi środkami unikać przywiązania do pojedynczego dostarczyciela usług chmurowych i jego rozwiązań technicznych.
Kluczem do sukcesu dla zabezpieczenia danym w chmurze powinna być zatem odpowiednia umowa, zawarta na piśmie z dostarczycielem usługi chmurowej, uwzględniająca powyżej wskazane w Dekalogu wymagania oraz określająca zakres powierzonych danych i cel ich przetwarzania.
Patrycja Gorgoń-Wróbel, radca prawny w kancelarii BWHS Bartkowiak Wojciechowski Hałupczak Springer