BEZPIECZE STWO INFORMACJI W CHMURZE Chmura obliczeniowa jako nowoczesny model biznesowy zdobywa entuzjastów, jak i oponentów. Popularyzacja tego modelu ma miejsce nie tylko w bran y IT, ale tak e w ród organizacji, których celem jest redukcja kosztów. Zarówno Komisja Europejska, jak równie Polska zaobserwowa a istotne korzy ci wdro enia tego modelu. Zainteresowanie tego typu us ugami skutkuje wzrostem rozwoju sektora polskiego rynku transmisji danych. Zastosowanie tego rozwi zania wymusza konieczno przeprowadzenie dok adnej analizy, ze wzgl du na fakt, e obecne przepisy prawne nie przystaj do chmury obliczeniowej. NIST National Institute of Standards and Technology ameryka sk agencj federalna funkcjonuj ca odpowiednio do G ównego Urz du Miar zdefiniowa a poj cie chmury obliczeniowej, która zosta a opisana w dokumencie The NIST Definition of Cloud Computing (800-145) jako: Przetwarzanie w chmurze to model pozwalaj cy na wszechobecny, wygodny dost p poprzez sie do wspó dzielonej puli konfigurowalnych zasobów obliczeniowych (np. sieci, serwerów, pami ci masowej, aplikacji oraz us ug), które w b yskawiczny sposób mog zosta dostarczone i zwolnione, przy minimalnym zaanga owaniu lub interakcji z dostawc us ug. ( ród o:https://cl0udguide.wordpress.com/2012/10/09/czym-tak-naprawde-jest-chmura-obliczeniowa/). W opinii Komisji Europejskiej pod poj ciem chmura nale y rozumie proces przechowywania, przetwarzania i wykorzystywania danych zdalnie za pomoc Internetu, poprzez co odbiorcy mog bezgranicznie u ywa mocy obliczeniowych, przy równoczesnym zredukowania kosztów w sektorze IT. Czynno ci wykonywane w chmurze charakteryzuj si prac przy u yciu aplikacji i us ug u ywanych przy pomocy Internetu, a nie jak dotychczas wykorzystuj c aplikacje instalowane lokalnie na komputerze. Istotn ró nic jest to, e wszystkie czynno ci wykonywane s na serwerze, a dok adnie w sieci serwerów mieszcz cym si w tzw. Data center (centrum obliczeniowym), w zwi zku z tym wszystkie pliki przechowywane s na zdalnym serwerze, a nie na komputerze. Rozlokowanie centrów przetwarzania danych w chmurze na obszarze ca ego wiata pozwala na nieograniczony, mi dzynarodowy i elastyczny model przetwarzania danych w chmurze, który czy si z modelem udost pniania klientowi zgromadzonych przez niego danych.
ród o: https://pl.wikipedia.org/wiki/chmura_obliczeniowa Proces przetwarzania danych nie ma miejsce na naszym komputerze a w chmurze, st d nie ma potrzeby przenoszenia plików pomi dzy komputerami. Komputer staje si narz dziem dost pu do chmury, przy pomocy konta u ytkownika, umo liwiaj c kontrol dost pu. Odbiorca ponosi koszty dost pu do interesuj cej go us ugi, np. arkusza kalkulacyjnego, jednocze nie redukuje koszt nabycia licencji czy potrzeb instalowania i administrowania oprogramowania. P ac c za mo liwo korzystania z arkusza kalkulacyjnego, u ytkownik nie musi by wiadom sposobu realizacji us ugi, nie odpowiada równie za aspekt techniczny jej funkcjonowania. System ten wywo uje wiele obiekcji, poprzez to, e firma dokonuje przeniesienia swoich danych (tajemnice przedsi biorstwa, know-how, dane osobowe) do struktury, nie b d c jednocze nie ich w a cicielem. Utracenie nadzoru nad tym, co nie stanowi naszej w asno ci zwi zane jest z niepewno ci i ryzykiem, szczególnie w obliczu post pu technologicznego i braku uregulowa prawnych. Obecnie nie istniej regulacje, które usystematyzowa yby istnienie i dzia anie chmur obliczeniowych, a zawarcie umowy o wiadczenie tego typu us ug ma charakter outsourcingu. Przedmiot umowy nie jest sprecyzowany, ze wzgl du na nieokre lon i niejasn form. Kodeks cywilny stosuje
przepisy o umowie zlecenie (art 750 k. c.), lecz w sytuacji, gdy administrator danych osobowych b dzie chcia pos u y si chmur stosuje si przepisy ustawy o ochronie danych osobowych, która zak ada w tym obszarze zawarcie umowy powierzenia przetwarzania danych (art. 31). Dot d starania ustawodawców skoncentrowane by y na aktach prawa mi kkiego, z powodu tego, i przetwarzanie danych w chmurze bazuje na przekazie przy wykorzystaniu Internetu, obejmuj c du e grypy dzia ów prawa mi. in. autorskiego, w asno ci intelektualnej i przemys owej, pracy lub te ochrony: danych osobowych, baz danych, know-how, praw cz owieka. Wiele przepisów powy szych praw uzale nione jest od informacji/danych podlegaj cych przetwarzaniu, st d te przepisy ustawowe musz uwzgl dnia liczne odes ania i przepisy ju obowi zuj ce. Poddaje si rozwa aniu czy takie uregulowania s niezb dne, tym bardziej, e rynek i organizacje uzupe niaj pojawiaj ce si braki. 24 kwietnia 2012 r. Mi dzynarodowa Grupa Robocza powo ana ds. Ochrony Danych w Telekomunikacji przedstawi a dokument roboczy tzw. Memorandum Sopockie (dost p: http://www.giodo.gov.pl/plik/id_p/2689/j/pl/) obejmuj cy zagadnienie przetwarzania danych przy wykorzystaniu chmury. Dokument opisuj sytuacj, w której administrator danych i przetwarzaj cy dane korzystaj cy z danego pasma us ug chmury uzale nieni s od ró nych przepisów o ochronie danych. Grupa opracowa a dokument w odniesieniu do firm i jednostek publicznych, korzystaj cych z tego typu us ug, dla których memorandum winno stanowi wa n lektur istniej cych zagro e. Poddaj c je analizie w kontek cie przepisów prawa i ocenie prawników czy specjalistów ds. bezpiecze stwa danych mo na wyodr bni pi najwa niejszych grup ryzyk towarzysz cym us ugom chmury obliczeniowej : 1. Administrator danych b d cy u ytkownikiem us ug w chmurze nie dostrzega narusze w zakresie poufno ci, integralno ci i dost pno ci danych, co mo e skutkowa naruszeniem uregulowa zapewniaj cych ochron danych i prywatno ci. 2. Transfer danych mo e nie zapewnia w a ciwej ich ochrony. 3. Firma wiadcz ca us ugi outsorcingu mo e korzysta z us ug podwykonawców (podprzetwarzaj cych), przez co okre lenie, który podmiot ponosi odpowiedzialno, stanie si skomplikowane. 4. Odbiorca chmury mo e ponie straty, ze wzgl du na brak kontroli nad danymi i w procesie przetwarzania danych. Najwi ksze niebezpiecze stwo stanowi sytuacja, w której firma wiadcz ca tego typu us ugi lub jej podwykonawca wykorzystaj do w asnych interesów dane administratora danych bez uprzedniej jego zgody.
5. Administrator danych lub podmioty trzecie pozbawione b d mo liwo ci w a ciwej kontroli firm outsorcingowych. Pomimo tych niebezpiecze stw liczne przedsi biorstwa podejmuj decyzj o przekazaniu swoich baz danych do chmury obliczeniowej. Jedn z zalet przetwarzania danych w tym modelu jest wzrost skuteczno ci wykorzystania aktywów, przy jednoczesnej redukcji kosztów nie tylko w obszarze struktury i utrzymania zaplecza IT, personalnych lub energii. Zmniejszy ryzyko mo na odpowiednio formu uj c umow o wiadczenie us ug w modelu chmury obliczeniowej, która powinna uwzgl dnia w a ciwe klauzule umowne, daj ce mo liwo przeniesienia danych i monitorowania ich, przy zapewnieniu w a ciwego poziomu ochrony danych. Dostarczenie us ug powinno gwarantowa, e proces usuni cia danych osobowych znajduj cych si na dyskach czy innych no nikach danych mo na sprawnie zrealizowa. Nale y zapewni, aby nikt poza u ytkownikiem danych w chmurze nie mia do nich dost pu. Dane te powinny zosta zaszyfrowane. Przepisy umowy powinny zagwarantowa w a ciwe tworzenie i dokonywanie zapisów kopii zapasowych w zabezpieczonych miejscach oraz powinny wdro y system przejrzysto ci lokalizacji, w których dane podlegaj procesowi przechowywania i przetwarzania. Umowa powinna zawiera klauzul zakazu wykorzystania danych administratora do w asnych celów przez dostawcy us ug i jego podwykonawc. Istotne jest ustalenie zasad rozwi zania umowy i odebrania przes anych danych. Zastosowa trzeba praktyki daj ce mo liwo respektowania przez us ugobiorc chmury regulacji prawa niezb dnych ze wzgl du na dane, które zosta y usytuowane w strukturze chmury obliczeniowej, tj. przepisów ochrony danych osobowych, prawa bankowego. Komisja Nadzoru Finansowego wp ywaj ca na zakres umów outsorcingowych chmur podejmuje czynno ci monitoruj ce rynek finansowy. Nowy model przetwarzania danych bazuj cy na komunikacji internetowej, któr nale y w a ciwie uregulowa w zakresie dost pno ci us ug i mo liwych przerw w ich dostawie. Wielu wiadczeniodawców dysponuje w asnym zapleczem, w obszarze dost pu do Internetu, co jednocze nie mo e oddzia ywa na sfer ekonomiczn, ale równie mo e stwarza sytuacj uzale nienia od us ugodawcy. Przedsi biorca ponosi odpowiedzialno za przekazanie danych zgodnie z przepisami prawa krajowego i unijnego. Istotn rol spe nia tu administrator danych na podstawie ustawy o ochronie danych osobowych. Post p technologiczny nie ochroni nas przed wszystkimi niebezpiecze stwami, st d tak wa ny staje si czynnik ludzki. U ytkownik us ug zawartych w chmurze zobowi zany jest wykorzystywa w a ciwe narz dzia zabezpieczenia
danych. Nieustanna kontrola bezpiecze stwa informacji nie powinna by uzale niona od tego czy organizacja dysponuje w asn infrastruktur, czy wykorzystuje zdalny dost p do danych. Zgodnie z przewidywaniami zainteresowanie opisanym modelem biznesowy wzrasta. Pomimo tego outsourcing bazuj cy na chmurze obliczeniowej wymusza sformu owania pewnych regu, szczególnie w obszarze prawa umów.