Bezpieczeństwo chmur obliczeniowych zależy od samych jej użytkowników. Należy pilnować, by w umowach z dostawcą tej usługi znalazły się odpowiednie klauzule dotyczące ochrony danych oraz ich transparentności. Dobrym kryterium wyboru chmury są jej certyfikaty. Zarówno Komisja Europejska, jak i polscy regulatorzy nie chcą tworzyć osobnego prawa dla tego typu usług.
– Nie będzie na razie odrębnych przepisów prawnych dotyczących chmur obliczeniowych. Przepisy, które dotyczą szczególnie danych osobowych, już są stosowane. Dodatkowo Komisja Europejska zaleca dodatkowe klauzule umowne i certyfikaty – wyjaśnia w rozmowie z agencją informacyjną Newseria Xawery Konarski, partner w kancelarii Traple Konarski Podrecki i Wspólnicy.
Jak wyjaśnia Konarski, chmury obliczeniowe to przyszłość. Tego nie kwestionuje nikt ani w Komisji Europejskiej, ani wśród polskich regulatorów. Dzięki nim firmy mogą zmniejszyć koszty, a do tego zyskać dostęp do usług, które inaczej byłyby poza ich zasięgiem. Ta wygoda niesie jednak ze sobą zagrożenia.
Według użytkowników dwa podstawowe ryzyka związane z chmurami obliczeniowymi dotyczą bezpieczeństwa danych oraz transparentności. To pierwsze ma wymiar zarówno cyfrowy (dane mogą być wykradzione), jak i fizyczny (dane mogą ulec zniszczeniu). Z kolei transparentność dotyczy przede wszystkim wymiaru geograficznego, powierzając swoje dane firmie świadczącej usługę chmury obliczeniowej, czasem trudno zorientować się, gdzie fizycznie znajdują się serwery z danymi.
– Nie oznacza to, że chmura obliczeniowa nie jest w jakiś sposób regulowana tym, co już obecnie mamy w prawie, chodzi tu zarówno o prawo polskie, jak i o unijne – zastrzega Konarski.
Ekspert podkreśla, że Polska, uczestnicząc w pracach na forum europejskim, od dawna bierze udział w regulacji chmury. Większość zasad to nie twarde prawo, a jedynie zbiór zaleceń.
– Komisja Europejska i polscy regulatorzy, szczególnie Generalny Inspektor Ochrony Danych Osobowych, limitują ryzyko na dwa sposoby. Po pierwsze treść umów – na stronach GIODO czy innych regulatorów znajdują się wzorce klauzul, które powinny się znaleźć w umowie, np. dotyczących tego, jak często powinny być robione kopie naszych danych – wyjaśnia Konarski.
Takie klauzule – wprawdzie nieobowiązkowe, ale coraz częściej stosowane – zabezpieczają użytkowników chmur przed utratą danych. Czasem mogą one być przechowywane tylko w jednym miejscu i brak kopii zapasowej zagroziłby dalszemu funkcjonowaniu danego przedsiębiorstwa.
Jeszcze lepszą gwarancją bezpieczeństwa dla użytkowników chmur obliczeniowych są certyfikaty firm je dostarczających. Zapewniają one, że dany podmiot przestrzega odpowiednich standardów.
– Są certyfikaty powszechnie uznanych organizacji światowych, które od lat takie usługi świadczą i które mogą stwierdzić, czy dana polityka zarządzania danymi, np. w Wietnamie, czyli tam, gdzie raczej nie pojedziemy ani my, ani nasza firma consultingowa, działa zgodnie ze standardami przyjętymi powszechnie. Na pewno certyfikacja jest przyszłością – prognozuje Konarski.
Ekspert zwraca uwagę na to, że teraz to od klientów zależy, czy wymagają od dostawców chmur obliczeniowych certyfikatów, ale w przyszłości niewykluczone, że obowiązek ich stosowania wprowadzi Komisja Europejska.
Konarski dodaje, że cała dyskusja toczy się przy braku ścisłej definicji tego, czym jest chmura obliczeniowa. Niektórzy zwracają uwagę na różnice w znaczeniu oryginalnego angielskiego terminu „cloud computing” i polskiego odpowiednika, czyli chmury obliczeniowej. Konarski podkreśla jednak, że precyzyjna definicja nie jest potrzebna i że potrzebują jej nie prawnicy, a jedynie osoby zajmujące się budowaniem systemów zarządzania danymi.
