Pobierz tekst - Selene Consulting

Bezpieczeństwo informacji w „Chmurze”
„Chmura obliczeniowa” jako nowoczesny model biznesowy zdobywa
entuzjastów, jak i oponentów. Popularyzacja tego modelu ma miejsce nie
tylko w branży IT, ale także wśród organizacji, których celem jest redukcja
kosztów. Zarówno Komisja Europejska, jak również Polska zaobserwowała
istotne korzyści wdrożenia tego modelu. Zainteresowanie tego typu
usługami skutkuje wzrostem rozwoju sektora polskiego rynku transmisji
danych. Zastosowanie tego rozwiązania wymusza konieczność
przeprowadzenie dokładnej analizy, ze względu na fakt, że obecne przepisy
prawne nie przystają do chmury obliczeniowej. NIST – National Institute of
Standards and Technology – amerykańską agencję federalna
funkcjonująca odpowiednio do Głównego Urzędu Miar zdefiniowała pojęcie
„chmury obliczeniowej”, która została opisana w dokumencie „The NIST
Definition of Cloud Computing” (800-145) jako:
„Przetwarzanie w chmurze to model pozwalający na wszechobecny,
wygodny dostęp poprzez sieć do współdzielonej puli
konfigurowalnych zasobów obliczeniowych (np. sieci, serwerów,
pamięci masowej, aplikacji oraz usług), które w błyskawiczny
sposób mogą zostać dostarczone i zwolnione, przy minimalnym
zaangażowaniu lub interakcji z dostawcą usług.”
(Źródło:https://cl0udguide.wordpress.com/2012/10/09/czym -tak-naprawde-jest-chmura-obliczeniowa/).
W opinii Komisji Europejskiej pod pojęciem chmura należy rozumieć
proces przechowywania, przetwarzania i wykorzystywania danych
zdalnie za pomocą Internetu, poprzez co odbiorcy mogą
bezgranicznie używać mocy obliczeniowych, przy równoczesnym
zredukowania kosztów w sektorze IT.
Czynności wykonywane w „chmurze” charakteryzują się pracą
przy użyciu aplikacji i usług używanych przy pomocy Internetu, a
nie jak dotychczas wykorzystując aplikacje instalowane lokalnie na
komputerze. Istotną różnicą jest to, że wszystkie czynności
[Wybierz datę]
wykonywane są na serwerze, a dokładnie w sieci serwerów
mieszczącym się w tzw. Data center (centrum obliczeniowym),
w związku z tym wszystkie pliki przechowywane są na zdalnym
serwerze, a nie na komputerze. Rozlokowanie centrów
przetwarzania danych w chmurze na obszarze całego świata pozwala
na nieograniczony, międzynarodowy i elastyczny model
przetwarzania danych w chmurze, który łączy się z modelem
udostępniania klientowi zgromadzonych przez niego danych.
Źródło: https://pl.wikipedia.org/wiki/Chmura_obliczeniowa
Proces przetwarzania danych nie ma miejsce na naszym
komputerze a w chmurze, stąd nie ma potrzeby przenoszenia plików
pomiędzy komputerami. Komputer staje się narzędziem dostępu do
chmury, przy pomocy konta użytkownika, umożliwiającą kontrolę
dostępu. Odbiorca ponosi koszty dostępu do interesującej go usługi,
np. arkusza kalkulacyjnego, jednocześnie redukuje koszt nabycia
licencji czy potrzebę instalowania i administrowania
oprogramowania. Płacąc za możliwość korzystania z arkusza
kalkulacyjnego, użytkownik nie musi być świadom sposobu realizacji
usługi, nie odpowiada również za aspekt techniczny jej
funkcjonowania.
1
[Wybierz datę]
System ten wywołuje wiele obiekcji, poprzez to, że firma dokonuje
przeniesienia swoich danych (tajemnice przedsiębiorstwa, know-how, dane
osobowe) do struktury, nie będąc jednocześnie ich właścicielem. Utracenie
nadzoru nad tym, co nie stanowi naszej własności związane jest z
niepewnością i ryzykiem, szczególnie w obliczu postępu technologicznego i
braku uregulowań prawnych. Obecnie nie istnieją regulacje, które
usystematyzowałyby istnienie i działanie chmur obliczeniowych, a zawarcie
umowy o świadczenie tego typu usług ma charakter outsourcingu.
Przedmiot umowy nie jest sprecyzowany, ze względu na nieokreśloną i
niejasną formę. Kodeks cywilny stosuje przepisy o umowie zlecenie (art
750 k. c.), lecz w sytuacji, gdy administrator danych osobowych będzie
chciał posłużyć się „chmurą” stosuje się przepisy ustawy o ochronie
danych osobowych, która zakłada w tym obszarze zawarcie umowy
powierzenia przetwarzania danych (art. 31). Dotąd starania
ustawodawców skoncentrowane były na aktach prawa miękkiego, z
powodu tego, iż przetwarzanie danych w chmurze bazuje na przekazie
przy wykorzystaniu Internetu, obejmując duże grypy działów prawa mi. in.
autorskiego, własności intelektualnej i przemysłowej, pracy lub też
ochrony: danych osobowych, baz danych, know-how, praw człowieka.
Wiele przepisów powyższych praw uzależnione jest od informacji/danych
podlegających przetwarzaniu, stąd też przepisy ustawowe muszą
uwzględniać liczne odesłania i przepisy już obowiązujące. Poddaje się
rozważaniu czy takie uregulowania są niezbędne, tym bardziej, że rynek i
organizacje uzupełniają pojawiające się braki.
24 kwietnia 2012 r. Międzynarodowa Grupa Robocza powołana ds.
Ochrony Danych w Telekomunikacji przedstawiła dokument roboczy
tzw. Memorandum Sopockie (dostęp:
http://www.giodo.gov.pl/plik/id_p/2689/j/pl/) obejmujący zagadnienie
przetwarzania danych przy wykorzystaniu „chmury”.
Dokument opisuję sytuację, w której administrator danych i
przetwarzający dane korzystający z danego pasma usług „chmury”
uzależnieni są od różnych przepisów o ochronie danych. Grupa opracowała
dokument w odniesieniu do firm i jednostek publicznych, korzystających z
tego typu usług, dla których memorandum winno stanowić ważną lekturę
istniejących zagrożeń.
Poddając je analizie w kontekście przepisów prawa i ocenie prawników czy
specjalistów ds. bezpieczeństwa danych można wyodrębnić pięć
najważniejszych grup ryzyk towarzyszącym usługom „chmury
obliczeniowej”:
1. Administrator danych będący użytkownikiem usług w chmurze nie
2
[Wybierz datę]
dostrzega naruszeń w zakresie poufności, integralności i dostępności
danych, co może skutkować naruszeniem uregulowań zapewniających
ochronę danych i prywatności.
2. Transfer danych może nie zapewniać właściwej ich ochrony.
3. Firma świadcząca usługi outsorcingu może korzystać z usług
podwykonawców (podprzetwarzających), przez co określenie, który
podmiot ponosi odpowiedzialność, stanie się skomplikowane.
4. Odbiorca chmury może ponieść straty, ze względu na brak kontroli nad
danymi i w procesie przetwarzania danych. Największe niebezpieczeństwo
stanowi sytuacja, w której firma świadcząca tego typu usługi lub jej
podwykonawca wykorzystają do własnych interesów dane administratora
danych bez uprzedniej jego zgody.
5. Administrator danych lub podmioty trzecie pozbawione będą możliwości
właściwej kontroli firm outsorcingowych.
Pomimo tych niebezpieczeństw liczne przedsiębiorstwa podejmują
decyzję o przekazaniu swoich baz danych do chmury obliczeniowej. Jedną
z zalet przetwarzania danych w tym modelu jest wzrost skuteczności
wykorzystania aktywów, przy jednoczesnej redukcji kosztów nie tylko w
obszarze struktury i utrzymania zaplecza IT, personalnych lub energii.
Zmniejszyć ryzyko można odpowiednio formułując umowę o świadczenie
usług w modelu chmury obliczeniowej, która powinna uwzględniać
właściwe klauzule umowne, dające możliwość przeniesienia danych i
monitorowania ich, przy zapewnieniu właściwego poziomu ochrony
danych. Dostarczenie usług powinno gwarantować, że proces usunięcia
danych osobowych znajdujących się na dyskach czy innych nośnikach
danych można sprawnie zrealizować.
Należy zapewnić, aby nikt poza użytkownikiem danych w chmurze
nie miał do nich dostępu. Dane te powinny zostać zaszyfrowane.
Przepisy umowy powinny zagwarantować właściwe tworzenie i
dokonywanie zapisów kopii zapasowych w zabezpieczonych miejscach oraz
powinny wdrożyć system przejrzystości lokalizacji, w których dane
podlegają procesowi przechowywania i przetwarzania. Umowa powinna
zawierać klauzulę zakazu wykorzystania danych administratora do
własnych celów przez dostawcy usług i jego podwykonawcą. Istotne jest
ustalenie zasad rozwiązania umowy i odebrania przesłanych danych.
Zastosować trzeba praktyki dające możliwość respektowania przez
usługobiorcę chmury regulacji prawa niezbędnych ze względu na dane,
które zostały usytuowane w strukturze chmury obliczeniowej, tj. przepisów
ochrony danych osobowych, prawa bankowego.
3
[Wybierz datę]
Komisja Nadzoru Finansowego wpływająca na zakres umów
outsorcingowych chmur podejmuje czynności monitorujące rynek
finansowy. Nowy model przetwarzania danych bazujący na komunikacji
internetowej, którą należy właściwie uregulować w zakresie dostępności
usług i możliwych przerw w ich dostawie. Wielu świadczeniodawców
dysponuje własnym zapleczem, w obszarze dostępu do Internetu, co
jednocześnie może oddziaływać na sferę ekonomiczną, ale również może
stwarzać sytuację uzależnienia od usługodawcy.
Przedsiębiorca ponosi odpowiedzialność za przekazanie danych
zgodnie z przepisami prawa krajowego i unijnego. Istotną rolę spełnia tu
administrator danych na podstawie ustawy o ochronie danych osobowych.
Postęp technologiczny nie ochroni nas przed wszystkimi
niebezpieczeństwami, stąd tak ważny staje się czynnik ludzki. Użytkownik
usług zawartych w chmurze zobowiązany jest wykorzystywać właściwe
narzędzia zabezpieczenia danych. Nieustanna kontrola bezpieczeństwa
informacji nie powinna być uzależniona od tego czy organizacja dysponuje
własną infrastrukturą, czy wykorzystuje zdalny dostęp do danych.
Zgodnie z przewidywaniami zainteresowanie opisanym modelem
biznesowy wzrasta. Pomimo tego outsourcing bazujący na chmurze
obliczeniowej wymusza sformułowania pewnych reguł, szczególnie w
obszarze prawa umów.
4
[Wybierz datę]
Cezary Stanek – ekspert z zakresu kontroli
zarządczej i ochrony danych osobowych,
wykładowca, audytor.
Wieloletni praktyk z kontroli zarządczej oraz
specjalista w zakresie postępowania
z ryzykiem, a w szczególności identyfikacji
ryzyka w administracji samorządowej
oraz ocenie prawidłowości i skuteczności zastosowanych
środków w zakresie ochrony przetwarzanych danych
osobowych.
Absolwent Wyższej Szkoły Ekonomii i Administracji na kierunku
Administracja Samorządowa oraz Podyplomowych Studiów Ochrony
Danych Osobowych Wydział Prawa i Administracji Uniwersytetu
Łódzkiego. Administrator Bezpieczeństwa Informacji, specjalista w
zakresie ochrony danych osobowych oraz ekspert KRI.
Pasjonat wdrożeń systemów zarządzania oraz dostosowywania
procedur by były użyteczne i proste. Wdrożeniowiec systemy
ograniczającego odpowiedzialność dla administratorów danych oraz
pracowników – Kryptos24.
Inne umiejętności:
• audytor wewnętrzny systemów zarządzania bezpieczeństwem,
• główny specjalista bezpieczeństwa i higieny pracy,
Zapraszam do odwiedzenia naszej strony www.eszkolenie.eu
SELENE CONSULTING
Spółka z ograniczoną odpowiedzialnością, Spółka Komandytowa
Aleja Józefa Piłsudskiego 10a
44-335 Jastrzębie-Zdrój
tel.: 665-242-474
e-mail: [email protected]
5