Firmy komercyjne i administracja publiczna przekonują się do chmury

Do chmury użytkowników zachęca elastyczność rozwiązań i niższe koszty ich użytkowania. Wiedza na temat bezpieczeństwa danych i zastosowania systemów w cloudzie jest jednak niewystarczająca. Osoby odpowiedzialne w firmach za bezpieczeństwo często podkreślają, że potrzebują więcej szczegółowych informacji od dostawców, wytycznych i rekomendacji ze strony właściwych agend rządowych oraz dialogu branżowego.

Kwestie zgodnego z wymaganiami prawnymi i zasadami bezpiecznego wykorzystania publicznej chmury obliczeniowej były głównym tematem konferencji Trusted Cloud Day 2015, która odbyła się 26 listopada w Warszawie. W dyskusjach na temat rozwiązań chmurowych uczestniczyli prawnicy, eksperci branżowi, użytkownicy oraz firmy rozważające ich zastosowanie.

Eksperci podkreślali, że chmura jest bezpieczna, jednak wiedza firm na ten temat jest wciąż zbyt mała. Wzrostowi zaufania do cloudu sprzyjać będą też odpowiednie regulacje prawne, bo dziś obowiązujące nie nadążają za rozwojem technologii.

– Kiedy dostawcy technologii rozmawiają ze swoimi klientami, często koncentrują się na dwóch rzeczach: technologii i ekonomii, czyli czy dane rozwiązanie pomoże coś zrobić szybciej i lepiej oraz czy będzie tańsze. Chmura wymaga jednak również dyskusji o wymaganiach organizacyjnych i prawnych – mówi agencji Newseria Biznes Michał Jaworski, członek zarządu Microsoft. – W tej chwili to się wydaje być jedną z najważniejszych rzeczy. Na końcu zawsze pojawia się jednak pytanie: czy technologia, którą stosuję, jest zgodna z prawem? Czy nie narażam mojej firmy lub klientów mojej firmy, powierzając im przetwarzanie naszych danych?”.

Podstawową kwestią jest ochrona danych osobowych. Regulacji dotyczących samej chmury nie ma, ale jest szereg wytycznych (np. GIODO), którymi powinien się kierować przedsiębiorca użytkujący rozwiązania chmurowe. Muszą one jednak być zgodne z ogólnymi wymogami dotyczącymi ochrony danych.

– Chmura jest legalna, co do tego nie ma wątpliwości, ale musi wpasować się w regulacje, które są nieco archaiczne, bo pochodzą jeszcze z lat 90. – podkreśla Bartosz Marcinkowski, partner w kancelarii Domański Zakrzewski Palinka.

Eksperci oceniają, że regulacje nie nadążają za rozwojem technologii.

– Duże nadzieje wiążemy z samoregulacją, autocertyfikacją i działaniem we współpracy z organami administracji. Niespecjalnie czekamy na to, że przyjdzie ustawodawca i samodzielnie wprowadzi w pełni elastyczne regulacje, dostosowane do rozwoju technologii. Widzimy jednak sposoby na rozwiązywanie pewnych istotnych problemów prawnych – mówi Marcinkowski.

Kwestie bezpieczeństwa danych mają szczególne znaczenie w wymiarze międzynarodowym. 6 października br. Trybunał Sprawiedliwości UE zanegował program „bezpieczna przystań” (umowa safe harbour między UE a USA z 2000 roku), dotyczący transferu danych osobowych do USA. Trybunał wskazał, że dane osobowe europejskich firm nie są w Stanach Zjednoczonych dostatecznie zabezpieczone.

– Zwłaszcza w przypadku administracji publicznej mamy do czynienia z danymi poufnymi. Mogą być to np. dane skarbowe. Wiemy, że różnego rodzaju służby, wykazały to nie tylko rewelacje Edwarda Snowdena, mają dostęp i zawsze będą miały dostęp, również na poziomie Unii Europejskiej, do tego rodzaju danych. Są na to jednak rozwiązania – mówi Xawery Konarski z kancelarii prawnej Traple Konarski Podrecki i Wspólnicy.

Jak podkreśla, chodzi nie tylko o uregulowanie tego przepisami prawa. Od strony prawnej dostawcy tacy jak Microsoft stosują standardowe klauzule umowne zatwierdzone przez Komisję Europejską, które zgodnie z polskim prawem zapewniają odpowiedni poziom ochrony. Jeszcze bardziej istotna wydaje się jednak strona technologiczna, to wykorzystanie odpowiednich metod zabezpieczania danych.

– Prawników wyręczają w pewnym stopniu informatycy i ogromny postęp technologiczny. W tym momencie dane mogą być szyfrowane, mogą być dzielone, czyli ryzyko dostępu do danych technologicznie może nie istnieć. Dane mogą być przechowywane w różnych lokalizacjach, ale bez możliwości dostępu ze strony osób, które zawiadują np. serwerowniami – wyjaśnia Konarski.

Przedsiębiorcy zdają sobie sprawę z tego, że infrastruktura chmurowa jest bardziej odporna na awarię, a koszty jej zabezpieczenia przerzucane są na dostawcę usługi. Dlatego eksperci prognozują, że wraz z rosnącymi kosztami zapewnienia bezpieczeństwa IT firmy będą coraz chętniej decydować się na rozwiązania cloudowe.