Regulacje rozproszone, ale obowiązujące
Odpowiedzialność za właściwe funkcjonowanie środowisk chmurowych spoczywa zarówno na ich dostawcach, jak i użytkownikach. Jej zakres i poziom są regulowane przez wiele różnych przepisów. W każdym przypadku trzeba uwzględniać konkretne wymagania prawne.
W kontekście chmury znaczenie ma także Kodeks Cywilny.
Ochrona danych z różnych punktów widzenia
Przy realizacji usług chmurowych należy też zadbać o ochronę danych poufnych. W tym przypadku zastosowanie będą miały zapisy ustawy o zwalczaniu nieuczciwej konkurencji, która określa zasady ochrony tajemnicy przedsiębiorstwa oraz ustawy o ochronie informacji niejawnych. Ta ostatnia ustanawia specjalne warunki przetwarzania informacji niejawnych we wszelkiego rodzaju systemach teleinformatycznych i nakazuje dokonanie ich akredytacji. W sposób bezpieczny muszą być przetwarzane również inne informacje prawnie chronione, w tym tajemnica zawodowa (adwokacka, lekarska) lub telekomunikacyjna.
Oprócz wspomnianych wyżej rodzajów danych poufnych szczególnej ochronie podlegają także dane osobowe. Jej zasady reguluje obowiązujące od 2018 r. unijne Rozporządzenie o ochronie danych osobowych (RODO). Określone w nim wymogi odnoszą się nie tylko do administratorów danych osobowych, lecz również do podmiotów, którym administratorzy powierzyli przetwarzania tych danych, a więc i do operatorów usług chmurowych. Ich obowiązki są zdefiniowane w art. 28 RODO.
Podmiot przetwarzający dane osobowe w imieniu administratora zobowiązany jest przede wszystkim do stosowania odpowiednich do tego celu środków organizacyjnych i technicznych (jak chociażby szyfrowanie czy pseudonimizacja danych). Ostateczna decyzja o wyborze konkretnych rozwiązań zabezpieczających dane należy do operatora po analizie ryzyka związanego z procesem przetwarzania. Przepisy nie pozwalają dostawcom usług przetwarzania danych osobowych na zlecanie zadań podwykonawcom bez uprzedniej zgody administratora tych danych.
Obowiązkiem administratora jest wybór dostawcy usług chmurowych, który jest wiarygodny, rzetelny i gwarantuje poprawne oraz bezpieczne przetwarzanie danych osobowych. Decyzja musi bazować na dokładnie przeprowadzonej analizie ryzyka oraz skrupulatnej ocenie kompetencji podmiotu oferującego usługi w chmurze. Incydent, który zdarzy się operatorowi, będzie miał konsekwencje również dla samego administratora.
Z innych regulacji o charakterze ogólnym zastosowanie w przypadku usług w chmurze będą miały przepisy o ochronie własności intelektualnej. Chodzi w szczególności o sprawdzenie czy licencja na oprogramowanie pozwala na przenoszenie go do środowiska chmurowego, a jeśli tak, to na jakich warunkach.
Od bankowości…
Wśród regulacji branżowych warto zwrócić uwagę na przepisy dotyczące wykorzystania chmury obliczeniowej w bankach. Możliwość taką dopuszcza art. 6 a Prawa bankowego. Wynika z niego, że umowa korzystania przez bank z chmury obliczeniowej jest umową outsourcingową i ma charakter umowy agencyjnej regulowanej przepisami Kodeksu cywilnego. W niektórych przypadkach (w tym „podoutsourcingu”) podpisanie umowy z dostawcą wymagać będzie dodatkowo zezwolenia Komisji Nadzoru Finansowego (KNF).
Niektóre aspekty korzystania z rozwiązań chmurowych zostały określone w wydanej przez KNF Rekomendacji D dotyczącej zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w bankach. Podobna rekomendacja została też wydana dla firm i towarzystw ubezpieczeniowych.
W styczniu 2020 r. Urząd Komisji Nadzoru Finansowego opublikował komunikat dotyczący przetwarzania przez podmioty nadzorowane informacji w chmurze obliczeniowej publicznej lub hybrydowej. Zawiera on przykłady praktycznego rozumienia zagadnień związanych z wykorzystaniem rozwiązań chmurowych na rynku finansowym.
Dostawcy i użytkownicy usług chmurowych powinni w swojej działalności uwzględniać także regulacje o charakterze pozaprawnym. Należą do nich wszelkiego rodzaju standardy, normy (w tym normy ISO), rekomendacje oraz zbiory dobrych praktyk. Dookreślają one wskazane na poziomie ustawowym wymagania i zasady korzystania z systemów teleinformatycznych.
W branży finansowej funkcjonuje kilka tego typu opracowań. Związek Banków Polskich przygotował standard wdrożeń przetwarzania informacji w chmurze. Również Polska Izba Ubezpieczeń przyjęła podobny standard dla firm ubezpieczeniowych. Swoje standardy i wytyczne pod adresem rozwiązań chmurowych mają również inne środowiska zawodowe. Na przykład na zlecenie Okręgowej Izby Radców Prawnych w Warszawie został opracowany Standard przetwarzania informacji w chmurze obliczeniowej przez radców prawnych. Natomiast Krajowa Izba Radców Prawnych przyjęła wytyczne CCBE, czyli Wytyczne Rady Adwokatur i Stowarzyszeń Prawniczych Europy w zakresie korzystania przez prawników z usług pracy w chmurze.
…po sektor publiczny
W szczególny sposób regulowane jest wykorzystanie rozwiązań chmurowych w sektorze publicznym. Przy zamawianiu i kontraktowaniu tego typu usług podstawowe znaczenie ma Prawo zamówień publicznych. Dopuszcza ono możliwość przetwarzania danych w chmurze. W myśl jego zapisów zamówienie na takie usługi jest standardowym zamówieniem publicznym. Przy ich kontraktowaniu przez instytucje publiczne zastosowanie mają też inne przepisy, jak na przykład rozporządzenie Rady Ministrów w sprawie Krajowych Ram Interoperacyjności czy rozporządzenie Ministra Cyfryzacji w sprawie szczegółowych warunków organizacyjnych i technicznych, jakie powinien spełniać system teleinformatyczny służący do uwierzytelniania użytkowników.
W 2020 roku Ministerstwo Cyfryzacji, w ramach Narodowych Standardów Cyberbezpieczeństwa, opublikowało także dokument Standardy Cyberbezpieczeństwa Chmur Obliczeniowych (SCCO). Definiują one cztery poziomy bezpieczeństwa przetwarzanych informacji determinujące stosowanie poszczególnych modeli chmur obliczeniowych w sektorze publicznym. Natomiast na zlecenie Kancelarii Prezesa Rady Ministrów zostały opracowane wytyczne dla administracji publicznej w zakresie wykorzystania usług chmurowych w sektorze usług publicznych.
Do tego w ramach Wspólnej Infrastruktury Informatycznej Państwa (WIIP) działa System ZUCH (Zapewnienia Usług Chmurowych). To platforma informatyczna, za pośrednictwem której organy administracji publicznej mogą wyszukiwać i pozyskiwać usługi chmurowe zweryfikowane pod względem bezpieczeństwa. Zawiera ona również wskazówki, które pomagają ocenić przydatność technologii chmurowych w sektorze publicznym.
Podobne artykuły
Infrastruktura w modelu usługowym: czy i kiedy?
Kolejną rewolucją w branży IT – niemalże na miarę chmury – miała być dostępność zaawansowanych rozwiązań infrastrukturalnych w formie usługi rozliczanej abonamentowo. Oferta ta w niektórych krajach została przyjęta nadspodziewanie dobrze, ale wygląda na to, że w Polsce jeszcze na nią za wcześnie.
Platforma cyberbezpieczeństwa dla dostawców usług
Acronis umożliwia partnerom MSP świadczenie zaawansowanych usług, których celem jest ochrona zasobów IT. Mogą zapewnić swoim klientom backup rozszerzony o przywracanie pracy po wystąpieniu awarii, zabezpieczenie EDR, likwidację źródeł wycieku wrażliwych danych i zarządzanie maszynami.
Usługi cyberbezpieczeństwa: ostatnia deska ratunku
Nakłady ponoszone przez firmy na systemy bezpieczeństwa IT są niewspółmierne do osiąganych rezultatów. Jedną z przyczyn jest deficyt specjalistów, a remedium mogą stanowić usługi.