Bezpieczeństwo informacji w Chmurze

Transkrypt

1 Bezpieczeństwo informacji w Chmurze Chmura obliczeniowa jako nowoczesny model biznesowy zdobywa entuzjastów, jak i oponentów. Popularyzacja tego modelu ma miejsce nie tylko w branży IT, ale także wśród organizacji, których celem jest redukcja kosztów. Zarówno Komisja Europejska, jak również Polska zaobserwowała istotne korzyści wdrożenia tego modelu. Zainteresowanie tego typu usługami skutkuje wzrostem rozwoju sektora polskiego rynku transmisji danych. Zastosowanie tego rozwiązania wymusza konieczność przeprowadzenie dokładnej analizy, ze względu na fakt, że obecne przepisy prawne nie przystają do chmury obliczeniowej. NIST National Institute of Standards and Technology amerykańską agencję federalna funkcjonująca odpowiednio do Głównego Urzędu Miar zdefiniowała pojęcie chmury obliczeniowej, która została opisana w dokumencie The NIST Definition of Cloud Computing ( ) jako: Przetwarzanie w chmurze to model pozwalający na wszechobecny, wygodny dostęp poprzez sieć do współdzielonej puli konfigurowalnych zasobów obliczeniowych (np. sieci, serwerów, pamięci masowej, aplikacji oraz usług), które w błyskawiczny sposób mogą zostać dostarczone i zwolnione, przy minimalnym zaangażowaniu lub interakcji z dostawcą usług. (Źródło: W opinii Komisji Europejskiej pod pojęciem chmura należy rozumieć proces przechowywania, przetwarzania i wykorzystywania danych zdalnie za pomocą Internetu, poprzez co odbiorcy mogą bezgranicznie używać mocy obliczeniowych, przy równoczesnym zredukowania kosztów w sektorze IT. Czynności wykonywane w chmurze charakteryzują się pracą przy użyciu aplikacji i usług używanych przy pomocy Internetu, a nie jak dotychczas wykorzystując aplikacje instalowane lokalnie na komputerze. Istotną różnicą jest to, że wszystkie czynności

2 wykonywane są na serwerze, a dokładnie w sieci serwerów mieszczącym się w tzw. Data center (centrum obliczeniowym), w związku z tym wszystkie pliki przechowywane są na zdalnym serwerze, a nie na komputerze. Rozlokowanie centrów przetwarzania danych w chmurze na obszarze całego świata pozwala na nieograniczony, międzynarodowy i elastyczny model przetwarzania danych w chmurze, który łączy się z modelem udostępniania klientowi zgromadzonych przez niego danych. Źródło: Proces przetwarzania danych nie ma miejsce na naszym komputerze a w chmurze, stąd nie ma potrzeby przenoszenia plików pomiędzy komputerami. Komputer staje się narzędziem dostępu do chmury, przy pomocy konta użytkownika, umożliwiającą kontrolę dostępu. Odbiorca ponosi koszty dostępu do interesującej go usługi, np. arkusza kalkulacyjnego, jednocześnie redukuje koszt nabycia licencji czy potrzebę instalowania i administrowania oprogramowania. Płacąc za możliwość korzystania z arkusza kalkulacyjnego, użytkownik nie musi być świadom sposobu realizacji usługi, nie odpowiada również za aspekt techniczny jej funkcjonowania. 1

3 System ten wywołuje wiele obiekcji, poprzez to, że firma dokonuje przeniesienia swoich danych (tajemnice przedsiębiorstwa, know-how, dane osobowe) do struktury, nie będąc jednocześnie ich właścicielem. Utracenie nadzoru nad tym, co nie stanowi naszej własności związane jest z niepewnością i ryzykiem, szczególnie w obliczu postępu technologicznego i braku uregulowań prawnych. Obecnie nie istnieją regulacje, które usystematyzowałyby istnienie i działanie chmur obliczeniowych, a zawarcie umowy o świadczenie tego typu usług ma charakter outsourcingu. Przedmiot umowy nie jest sprecyzowany, ze względu na nieokreśloną i niejasną formę. Kodeks cywilny stosuje przepisy o umowie zlecenie (art 750 k. c.), lecz w sytuacji, gdy administrator danych osobowych będzie chciał posłużyć się chmurą stosuje się przepisy ustawy o ochronie danych osobowych, która zakłada w tym obszarze zawarcie umowy powierzenia przetwarzania danych (art. 31). Dotąd starania ustawodawców skoncentrowane były na aktach prawa miękkiego, z powodu tego, iż przetwarzanie danych w chmurze bazuje na przekazie przy wykorzystaniu Internetu, obejmując duże grypy działów prawa mi. in. autorskiego, własności intelektualnej i przemysłowej, pracy lub też ochrony: danych osobowych, baz danych, know-how, praw człowieka. Wiele przepisów powyższych praw uzależnione jest od informacji/danych podlegających przetwarzaniu, stąd też przepisy ustawowe muszą uwzględniać liczne odesłania i przepisy już obowiązujące. Poddaje się rozważaniu czy takie uregulowania są niezbędne, tym bardziej, że rynek i organizacje uzupełniają pojawiające się braki. 24 kwietnia 2012 r. Międzynarodowa Grupa Robocza powołana ds. Ochrony Danych w Telekomunikacji przedstawiła dokument roboczy tzw. Memorandum Sopockie (dostęp: obejmujący zagadnienie przetwarzania danych przy wykorzystaniu chmury. Dokument opisuję sytuację, w której administrator danych i przetwarzający dane korzystający z danego pasma usług chmury uzależnieni są od różnych przepisów o ochronie danych. Grupa opracowała dokument w odniesieniu do firm i jednostek publicznych, korzystających z tego typu usług, dla których memorandum winno stanowić ważną lekturę istniejących zagrożeń. Poddając je analizie w kontekście przepisów prawa i ocenie prawników czy specjalistów ds. bezpieczeństwa danych można wyodrębnić pięć najważniejszych grup ryzyk towarzyszącym usługom chmury obliczeniowej : 1. Administrator danych będący użytkownikiem usług w chmurze nie 2

4 dostrzega naruszeń w zakresie poufności, integralności i dostępności danych, co może skutkować naruszeniem uregulowań zapewniających ochronę danych i prywatności. 2. Transfer danych może nie zapewniać właściwej ich ochrony. 3. Firma świadcząca usługi outsorcingu może korzystać z usług podwykonawców (podprzetwarzających), przez co określenie, który podmiot ponosi odpowiedzialność, stanie się skomplikowane. 4. Odbiorca chmury może ponieść straty, ze względu na brak kontroli nad danymi i w procesie przetwarzania danych. Największe niebezpieczeństwo stanowi sytuacja, w której firma świadcząca tego typu usługi lub jej podwykonawca wykorzystają do własnych interesów dane administratora danych bez uprzedniej jego zgody. 5. Administrator danych lub podmioty trzecie pozbawione będą możliwości właściwej kontroli firm outsorcingowych. Pomimo tych niebezpieczeństw liczne przedsiębiorstwa podejmują decyzję o przekazaniu swoich baz danych do chmury obliczeniowej. Jedną z zalet przetwarzania danych w tym modelu jest wzrost skuteczności wykorzystania aktywów, przy jednoczesnej redukcji kosztów nie tylko w obszarze struktury i utrzymania zaplecza IT, personalnych lub energii. Zmniejszyć ryzyko można odpowiednio formułując umowę o świadczenie usług w modelu chmury obliczeniowej, która powinna uwzględniać właściwe klauzule umowne, dające możliwość przeniesienia danych i monitorowania ich, przy zapewnieniu właściwego poziomu ochrony danych. Dostarczenie usług powinno gwarantować, że proces usunięcia danych osobowych znajdujących się na dyskach czy innych nośnikach danych można sprawnie zrealizować. Należy zapewnić, aby nikt poza użytkownikiem danych w chmurze nie miał do nich dostępu. Dane te powinny zostać zaszyfrowane. Przepisy umowy powinny zagwarantować właściwe tworzenie i dokonywanie zapisów kopii zapasowych w zabezpieczonych miejscach oraz powinny wdrożyć system przejrzystości lokalizacji, w których dane podlegają procesowi przechowywania i przetwarzania. Umowa powinna zawierać klauzulę zakazu wykorzystania danych administratora do własnych celów przez dostawcy usług i jego podwykonawcą. Istotne jest ustalenie zasad rozwiązania umowy i odebrania przesłanych danych. Zastosować trzeba praktyki dające możliwość respektowania przez usługobiorcę chmury regulacji prawa niezbędnych ze względu na dane, które zostały usytuowane w strukturze chmury obliczeniowej, tj. przepisów ochrony danych osobowych, prawa bankowego. 3

5 Komisja Nadzoru Finansowego wpływająca na zakres umów outsorcingowych chmur podejmuje czynności monitorujące rynek finansowy. Nowy model przetwarzania danych bazujący na komunikacji internetowej, którą należy właściwie uregulować w zakresie dostępności usług i możliwych przerw w ich dostawie. Wielu świadczeniodawców dysponuje własnym zapleczem, w obszarze dostępu do Internetu, co jednocześnie może oddziaływać na sferę ekonomiczną, ale również może stwarzać sytuację uzależnienia od usługodawcy. Przedsiębiorca ponosi odpowiedzialność za przekazanie danych zgodnie z przepisami prawa krajowego i unijnego. Istotną rolę spełnia tu administrator danych na podstawie ustawy o ochronie danych osobowych. Postęp technologiczny nie ochroni nas przed wszystkimi niebezpieczeństwami, stąd tak ważny staje się czynnik ludzki. Użytkownik usług zawartych w chmurze zobowiązany jest wykorzystywać właściwe narzędzia zabezpieczenia danych. Nieustanna kontrola bezpieczeństwa informacji nie powinna być uzależniona od tego czy organizacja dysponuje własną infrastrukturą, czy wykorzystuje zdalny dostęp do danych. Zgodnie z przewidywaniami zainteresowanie opisanym modelem biznesowy wzrasta. Pomimo tego outsourcing bazujący na chmurze obliczeniowej wymusza sformułowania pewnych reguł, szczególnie w obszarze prawa umów. 4

6 Cezary Stanek ekspert z zakresu kontroli zarządczej i ochrony danych osobowych, wykładowca, audytor. Wieloletni praktyk z kontroli zarządczej oraz specjalista w zakresie postępowania z ryzykiem, a w szczególności identyfikacji ryzyka w administracji samorządowej oraz ocenie prawidłowości i skuteczności zastosowanych środków w zakresie ochrony przetwarzanych danych osobowych. Absolwent Wyższej Szkoły Ekonomii i Administracji na kierunku Administracja Samorządowa oraz Podyplomowych Studiów Ochrony Danych Osobowych Wydział Prawa i Administracji Uniwersytetu Łódzkiego. Administrator Bezpieczeństwa Informacji, specjalista w zakresie ochrony danych osobowych oraz ekspert KRI. Pasjonat wdrożeń systemów zarządzania oraz dostosowywania procedur by były użyteczne i proste. Wdrożeniowiec systemy ograniczającego odpowiedzialność dla administratorów danych oraz pracowników Kryptos24. Inne umiejętności: audytor wewnętrzny systemów zarządzania bezpieczeństwem, główny specjalista bezpieczeństwa i higieny pracy, Zapraszam do odwiedzenia naszej strony SELENE CONSULTING Spółka z ograniczoną odpowiedzialnością, Spółka Komandytowa Aleja Józefa Piłsudskiego 10a Jastrzębie-Zdrój tel.: info@eszkolenie.eu 5