Firmowe dane w chmurze

autor gościnny

, Biznes

Na przeniesienie danych do chmury obliczeniowej decyduje się coraz więcej przedsiębiorstw. Mogą dzięki temu zmniejszyć koszty i zyskać dostęp do usług, które wcześniej nie były tak łatwo osiągalne. Kluczowe dla użytkowników i dostawców jest zaufanie i bezpieczeństwo danych.

Kwestia zaufania do chmury jest jednym z krytycznych obszarów dla klientów. Praktycznie codziennie dowiadujemy się o atakach hakerskich, naruszeniu bezpieczeństwa i wypływie danych – mówi agencji Newseria Agata Szeliga, partner w Kancelarii Sołtysiński Kawecki & Szlęzak. – Sprostać takim wyzwaniom mogą tylko najbogatsze firmy. Przejście na chmurę obliczeniową wydaje się więc ciekawym i rozsądnym rozwiązaniem dla przedsiębiorców, których nie stać na wdrożenie najnowszych technologii i wydanie dużych środków na zabezpieczenie się przed atakami.

W dotychczasowym modelu kwestie informatyczne raczej pozostawały w wewnętrznych działach IT, a za bezpieczeństwo odpowiadali administratorzy bezpieczeństwa informacji. Przesunięcie zadań do zewnętrznego dostawcy powoduje, że odpowiedzialność ponoszą zarówno użytkownik, jak i dostawca. Jest to regulowane przez przepisy prawa, które określają ramy użycia chmury, oraz umowy między dwiema stronami.

Dzisiaj, kiedy przenosimy coraz więcej rzeczy do chmury, odpowiedzialność za ich bezpieczeństwo i administrowanie jest warunkowana umową z dostawcą usługi. Budzi to potrzebę odpowiedniego poziomu zaufania do dostawcy. Tym bardziej ważne jest więc zdawanie sobie sprawy z tego, że pewne istotne ograniczenia techniczne, organizacyjne i prawne nie są już dzisiaj tylko w rękach techników, że odpowiadają za nie także inne osoby, które nam w tym pomagają, prawnicy czy szefowie biznesowi – mówi Michał Jaworski, członek zarządu Microsoft.

Zmiany technologiczne wymagają też zmian w prawie. Wymagania muszą być stale podnoszone, więc rozwiązania prawne, które sprawdzały się jeszcze kilka lat temu, dziś nie wystarczają. 6 października br. Trybunał Sprawiedliwości UE zanegował program „bezpieczna przystań” [umowa Safe Harbour między UE a USA z 2000 roku], dotyczący transferu danych osobowych do USA.

Jak podkreślają eksperci, konsekwencje tego wyroku nie muszą być odczuwalne przez użytkowników chmury. W nowoczesnych rozwiązaniach, m.in. firmy Microsoft, stosowane są standardowe europejskie klauzule umowne, które nadają odpowiedni poziom ochrony zarówno w Europie, jak i USA.

Pewne zmiany w związku z wyrokiem będzie trzeba wprowadzić, ale są inne sposoby, żeby zapewnić zgodne z prawem przekazanie danych do Stanów Zjednoczonych. Oprócz tego jest dużo europejskich ofert cloud computingowych, a i amerykańskie firmy dostosowały się do możliwości udostępnienia takiej oferty na terenie Unii. Centra danych największych dostawców mogą zostać ograniczone do obszaru Unii i transfer danych do USA często nie jest konieczny – podkreśla Maciej Gawroński, partner zarządzający Kancelarii Bird & Bird, prawnik zajmujący się prawnymi aspektami technologii i cloud computingu.

Użytkownicy w chmurze obliczeniowej widzą ryzyko związane z bezpieczeństwem danych – ich kradzieżą, lub utratą oraz z transparencją. W niektórych sytuacjach trudno określić, gdzie dokładnie znajdują się serwery z danymi. Istotne jest zweryfikowanie sposobu, w jaki zabezpieczane są dane. Niektórzy dostawcy umożliwiają szyfrowanie danych po stronie klienta, informują o sposobach zabezpieczenia oraz dają możliwość wyboru miejsca przechowywania danych. Żeby wzmacniać zaufanie przedsiębiorców, dostawcy usług chmurowych idą w zabezpieczeniach dalej, niż wymagają tego przepisy.

W ofercie Microsoftu spełniamy wszystkie warunki w chmurze obliczeniowej, czyli pewność zaufania od strony technologii, od strony wymagań prawnych i organizacyjnych. Oferujemy możliwość wykorzystania chmury zgodnie ze wszystkimi regułami prawa i wymaganiami nakładanymi na nas przez regulatorów. To również kwestia bezpieczeństwa użytkowników, żeby mieli pewność, że decyzja o przeniesieniu do chmury daje im nieskończone możliwości, a jednocześnie nie budzi strachu czy nie powoduje niepewności – tłumaczy Michał Jaworski.

Kwestie zabezpieczeń w chmurze, regulacji prawnych z tym związanych i budowania zaufania użytkowników będą głównymi tematami konferencji Trusted Cloud Day 2015, która odbędzie się 26 listopada w klubie The View w Warszawie.

– Będziemy dyskutować o tym, w jaki sposób zbudować zaufanie i pewność funkcjonowania w świecie, w którym chmura jest podstawowym sposobem wykorzystywania informatyki w przedsiębiorstwach. Z zaproszonymi przedstawicielami kancelarii prawnych będziemy się zajmowali tematami cyberbezpieczeństwa, ochrony danych osobowych, zamówień publicznych i kwestią wykorzystania funduszy europejskich do zamówień chmury – wymienia Jaworski.

Duży nacisk będzie też położony na upadek „bezpiecznej przystani” i na to, czy standardowe klauzule umowne będą wystarczającym rozwiązaniem do ochrony danych osobowych w dłuższej perspektywie.

Rozwiązania chmurowe są w naszej ocenie zgodne z przepisami ustawy o ochronie danych osobowych. Ustawa i przepisy, choć stare, są jednak na tyle elastyczne, że znajdą zastosowanie również w usługach chmurowych. Są jednak pewne różnice, dlatego że usługi chmurowe to nie tylko czyste usługi outsourcingowe i kwestie nadzoru czy kontroli nad przetwarzającym, wymagają one także pewnego dostosowania i o tym właśnie będziemy rozmawiać – wskazuje Agata Szeliga.

Źródło: Newseria