Internet ostatnich 25 lat zmienił świat na niespotykaną skalę. Nasze obawy wynikające z korzystania z globalnej sieci stały się niemal tak samo wielkie, jak korzyści które osiągamy. W ciągu ostatnich pięciu lat codziennie przekonujemy się, że sami nie podołamy cyberzagrożeniom.

Transformacja modelu IT

Początkowo – i słusznie – chmurę obliczeniową prezentowano przede wszystkim jako nowy model ekonomiczny wykorzystania informatyki. Zamiast inwestycji w serwery i personel działu IT, chmura oferowała elastyczne zasoby, możliwość dynamicznego dopasowania do wymagań, a przede wszystkim zmieniała sposób kupowania rozwiązań informatycznych. Teraz zarówno infrastruktura, jak i oprogramowanie stały się usługą.
Najczęściej podnoszonym problemem przy przejściu na chmurę była zmiana odpowiedzialności. W dotychczasowym modelu była ona jasna – to moje przedsiębiorstwo, mój dział IT i mój Administrator Bezpieczeństwa Informacji są całkowicie odpowiedzialni za sprawne działanie systemów, za cyberbezpieczeństwo czy za ochronę danych osobowych. W sytuacji, kiedy część z zadań miała być przesunięta do zewnętrznego dostawcy, odpowiedzialność musiała być rozłożona pomiędzy użytkownika i jego działy a dostawcę. Ta odpowiedzialność była i jest regulowana na dwa sposoby – przepisami prawa, które określały ramy użycia chmury oraz umowami pomiędzy użytkownikiem a dostawcą chmury.

Dowiedz się więcej z książki
Ochrona danych osobowych. Komentarz
  • rzetelna i aktualna wiedza
  • darmowa wysyłka od 50 zł

 

Ewolucja uwarunkowań prawnych wokół chmury

Przepisy prawa ulegają nieustannym przemianom nadążając za zmianami technologii. Rozwiązania, które były uznawane kilkanaście lat temu za wystarczające muszą być dzisiaj zanegowane, zaś wymagania są podnoszone. To właśnie stało się z umową Safe Harbor z 2000 roku, dotyczącą przekazywania danych osobowych pomiędzy Unią Europejską a USA, którą zanegował Trybunał Sprawiedliwości Unii Europejskiej. Ale nie oznacza to, że użytkownicy i dostawcy stosujący lepsze i nowsze zasady ochrony danych zostali tym wyrokiem dotknięci. Przykładem niech będą usługi Microsoftu takie jak Office 365 czy Azure, gdzie od lat stosuje się w umowie standardowe europejskie klauzule umowne, dające adekwatny poziom ochrony danych po obu stronach Atlantyku. Ten zaś rodzaj zabezpieczenia prawnego jest wprost zapisany w polskiej ustawie o ochronie danych osobowych.

Bezpieczeństwo danych to konieczność, ale także inicjatywa dostawców usług

Dostawcy chmury idą w swoich propozycjach dalej niż wymagają tego przepisy, ponieważ wymagają tego klienci i konkurencja. Certyfikaty bezpieczeństwa, takie jak ISO 27001, wprowadzenie fizycznych ograniczeń lokalizacji do określonego obszaru, szyfrowanie danych podczas przesyłania i w spoczynku, ochrona danych osobowych zgodna z ISO 27018 oraz wiele innych stają się normą. Efektem afery Snowdena było, że Microsoft wytoczył rządowi Stanów Zjednoczonych sprawę sądową, kiedy to służby tego kraju domagały się przekazania danych powierzonych firmie przez klienta. Przed sądem w Nowym Jorku na rzecz Microsoftu świadczyli wszyscy najwięksi konkurenci, zaś projekt nowego prawa niedopuszczającego do takich sytuacji został złożony w amerykańskim Senacie. Informatyka przechodzi szybki proces regulacji. Z korzyścią dla nas wszystkich.
Dodajmy do tego rosnący poziom zagrożeń. Czasy romantycznych hakerów czy super-zdolnych dzieciaków chcących popisać się umiejętnościami programistycznymi już nie wrócą. Prawdziwe niebezpieczeństwo grozi nam ze strony przestępczości zorganizowanej lub nawet niektórych państw. Także w Polsce mieliśmy przypadki ataków na potencjalnie najlepiej chronione przedsiębiorstwa, takie jak banki. Cybernetyczne ataki na świecie miały miejsce na ropociągi i systemy energetyczne, a w tych instytucjach nie brak środków na bezpieczeństwo. Na prawdziwe zabezpieczenia i najlepszych fachowców stać będzie tylko największych, wśród nich dostawców chmury. Pozostali, w tym instytucje które do tej pory wydawało się dają sobie radę, nie podołają w tym wyścigu zbrojeń.

Zagadnienia zaufania do chmury obliczeniowej oraz uwarunkowania prawne związane z wprowadzaniem usług cloud computing w organizacjach zostaną poruszone w trakcie konferencji Trusted Cloud Day 2015, która odbędzie się 26 listopada w Klubie The View przy ulicy Twardej 18 w Warszawie. Szczegółowe informacje są dostępne na stronie wydarzenia pod adresem https://www.trustedcloud.pl/