Przetwarzanie danych w chmurze – co zrobić, żeby dane były bezpieczne

Nie tylko podmioty prywatne, ale także administracja publiczna, spełniając chociażby postanowienia ustawy o informatyzacji działalności podmiotów realizujących zadania publiczne, wykorzystuje rozwiązania funkcjonujące w chmurze. Dodatkowo administracja publiczna musi się nieustannie dopasowywać do zmieniających się warunków związanych z ciągłym postępem technologicznym.

Najlepszą współpracę z centralnymi systemami dostępnymi w Internecie zapewniają systemy stale dostępne, bez względu na porę dnia i nocy, a więc te działające w chmurze obliczeniowej. Zgodnie z wymogami krajowych ram interoperacyjności wymagana jest między innymi dostępność danych. Oznacza ona, że zasób systemu teleinformatycznego jest możliwy do wykorzystania na żądanie, w założonym czasie, przez podmiot uprawniony do pracy w systemie teleinformatycznym.

Dane muszą więc być dostępne dla uprawnionych podmiotów bez względu na jakiekolwiek awarie, nawet katastrofalne typu pożar czy powódź. Nawet jeśli jakaś awaria się przydarzy, to powinna trwać krótko niezależnie od pory dnia.

Jedną z zalet korzystania z rozwiązań chmurowych są niższe koszty niż w przypadku zakupu sprzętu, infrastruktury sieciowej i odpowiednich systemów zabezpieczeń. Organizacje potrzebują także coraz większej mocy obliczeniowej i przestrzeni dyskowej do uruchamiania aplikacji, do prowadzenia dokumentacji, składowania dużej ilości danych, analizy i udostępniania tych danych na zewnątrz, a także dostępu do nich z dowolnego komputera podłączonego do Internetu. Chmury dają możliwość zapisywania plików i obiektów o dowolnym rozmiarze.

Wynajęcie chmury eliminuje także konieczność ponoszenia ogromnych wydatków na zakup sprzętu, infrastruktury sieciowej oraz systemów zabezpieczeń. Chmura daje możliwość wyjścia poza zamknięte pod kluczem systemy informatyczne w firmach i instytucjach. Oszczędności mogą być naprawdę znaczące.

Jak zapewnić bezpieczeństwo danych osobowych

Stosując rozwiązania chmurowe, należy przeanalizować ryzyko, które może towarzyszyć takim rozwiązaniom i wyjaśnić wątpliwości. Wiele osób powątpiewa w bezpieczeństwo chmury, przede wszystkim dlatego, że jak to chmura, nie ma stałego miejsca przechowywania danych. Administrator danych natomiast ma obowiązek zapewnić kontrolę nad tym, komu dane są przekazywane i jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych. Jednak bezpieczeństwo stacjonarnych serwerów i całej infrastruktury informatycznej także nie jest łatwe, a przy okazji jest kosztowne.

W chmurze, u odpowiedniego dostawcy IaaS (Infrastructure as a Service), wykradnięcie danych jest dużo trudniejsze. W chmurze dane są z definicji zaszyfrowane. W dodatku dostawcy IaaS, chcąc utrzymać się na rynku, dbają ustawicznie o podnoszenie standardów bezpieczeństwa, zgodnie z ich rynkowym rozwojem.

Przetwarzanie danych w chmurze wiąże się z powierzeniem danych do przetwarzania. Należy więc rozsądnie wybrać dostawcę i spisać odpowiedni kontrakt – umowę powierzenia danych. Na polskim rynku funkcjonuje już kilka sprawdzonych rozwiązań, zarówno polskich, jak i europejskich. Trzeba natomiast uważać, aby przy korzystaniu z rozwiązań chmurowych nie doszło do przekazania danych poza Europejski Obszar Gospodarczy, czyli do tzw. krajów trzecich.

Administrator danych, jeśli decyduje się na przetwarzanie danych w chmurze, powinien wybrać takiego dostawcę usługi, który gwarantuje zgodność z ustawodawstwem Unii Europejskiej w zakresie ochrony danych. Można więc przetwarzać dane w chmurze, ale musimy wiedzieć, gdzie ma to miejsce i czy jest odpowiednio technicznie zabezpieczone. Określać to powinna odpowiednia umowa, zawarta na piśmie, określająca zakres powierzonych danych i cel ich przetwarzania.

Podmiot, któremu administrator powierzył w ten sposób przetwarzanie danych osobowych, może je wykorzystywać wyłącznie w zakresie i celu wskazanym w tej umowie. Za prawidłowe przetwarzanie powierzonych danych osobowych, w tym ich właściwe zabezpieczenie, odpowiada administrator danych, co jednak nie wyłącza odpowiedzialności podmiotu, który zawarł umowę, za przetwarzanie danych niezgodnie z taką umową.

Umowa między klientem a dostawcą powinna zapewniać odpowiednie gwarancje pod względem środków technicznych i organizacyjnych. Istotne jest również zalecenie, zgodnie z którym klient usługi w chmurze powinien sprawdzić, czy dostawca tej usługi może zagwarantować legalność wszelkich operacji transgranicznego międzynarodowego przekazywania danych. Dostawca usług chmurowych powinien poinformować administratora danych tym, gdzie zlokalizowane są serwery, na których są lub mogą być przetwarzane dane osobowe.

Na stronie Generalnego Inspektora Ochrony Danych Osobowych znajduje się, pomocny przy stworzeniu odpowiedniej umowy powierzenia, dekalog chmuroluba. Podanych tam dziesięć zasad stosowania usług chmurowych można by streścić w następujący sposób:

1) Należy zadbać o pełną informację o wszystkich fizycznych lokalizacjach serwerów, na których przetwarzane są lub mogą być przetwarzane dane.

2) Dostawca powinien zapewnić dostęp do dokumentacji dotyczącej zasad bezpieczeństwa przyjmowanych w centrach przetwarzania danych.

3) Administrator danych powinien mieć pełną informację dotyczącą podwykonawców i instytucji współpracujących, które mają udział w realizacji usługi chmurowej.

4) Każdy z podwykonawców powinien być związany takimi samymi klauzulami umownymi jak dostawca usług chmurowych.

5) Dostawca chmury nie decyduje o celach i sposobach przetwarzania danych administratora danych.

6) Administrator danych powinien mieć informacje o wszelkich zobowiązaniach publicznych dostawcy w stosunku do policji, służb specjalnych i organów ścigania w zakresie przekazywania im dostępu do danych zamieszczonych w chmurze.

7) Należy określić zasady przeszukiwania, retencji i usuwania danych dostarczonych przez administratora danych.

8) Dostawca powinien raportować wszystkie incydenty bezpieczeństwa danych i zwalczania ich skutków.

9) Administrator danych powinien unikać „syndromu jednego dostawcy”.

10) Nie można godzić się na umowy adhezyjne, czyli jednostronnie i bezwarunkowo narzucające zasady określane przez dostawcę.