Zaawansowane podejście do określania odpowiedzialności dostawców usług chmurowych za bezpieczeństwo
Popularne między innymi wśród biegaczy monitory pracy serca (pulsometry) to tylko jeden z przykładów nowoczesnych urządzeń, które rejestrują wrażliwe dane prywatne. Gdy dodać do tego łączność Wi-Fi i usługi lokalizacji GPS, możliwe jest bieżące zapisywanie internetowego rejestru danych dotyczących użytkownika, który może być użyteczny nie tylko dla niego samego, ale również dla szpitali, ubezpieczycieli i innych uczestników łańcucha wartości informacji, zajmujących się przetwarzaniem danych w chmurze. Powszechne korzystanie z usług chmurowych rodzi szereg pytań dotyczących odpowiedzialności za przetwarzanie danych osobowych, na przykład jakie obowiązują procedury postępowania z takimi danymi i jak ustalić, kto ponosi odpowiedzialność za ewentualne problemy. Ponieważ rozwiązania chmurowe są młodą technologią, jak dotąd nie ustalono żadnych oficjalnych zasad odpowiedzialności i przejrzystości działań. "Kluczową kwestią jest tu prywatność danych na poziomie osoby i organizacji", mówi Julie Grady, badaczka w brytyjskim biurze firmy Hewlett Packard Enterprise. "Firmy powinny ponosić odpowiedzialność za bezpieczeństwo swoich danych i zapewnienie odpowiednich środków zaradczych". Określenie ramowych wytycznych odpowiedzialności dla dostawców usług chmurowych było celem zakończonego niedawno projektu badań nad cyberbezpieczeństwem A4CLOUD. Projekt był współfinansowany przez UE, a firma Julie Grady zajmowała się koordynacją prac. Głównym założeniem projektu A4CLOUD było sformułowanie wyprzedzającego podejścia do określania odpowiedzialności w ekosystemach świadczenia usług chmurowych z myślą o wymogach unijnego rozporządzenia o ochronie danych (GDPR), które wejdzie w życie w 2019 r. Przeprowadzono badanie faktycznie stosowanych i zalecanych praktyk w państwach członkowskich i na tej podstawie stworzono szczegółowe listy kontrolne czynności, które dostawcy i użytkownicy usług chmurowych powinni wykonywać w celu zapewnienia przejrzystości i odpowiedzialności w dziedzinie ochrony danych. "Największym wyzwaniem było dla nas pogodzenie i skoordynowanie wymogów technicznych i prawnych. Wdrożenie odpowiednich działań przez firmy zajmujące się usługami chmurowymi będzie trudnym zadaniem", tłumaczy Julie Grady. "Rozporządzenie GDPR będzie dotyczyć wszystkich podmiotów, niezależnie od wielkości. Duże organizacje będą mieć w pewnym stopniu ułatwione zadanie, gdyż dysponują niezbędnymi zasobami i mają doświadczenie w należytym sprawdzaniu zgodności. Dlatego nasze listy kontrolne są kierowane przede wszystkim do MŚP". Odpowiedź na pytanie o istotność różnic w zasadach odpowiedzialności między różnymi państwami członkowskimi nie jest jednoznaczna: "W każdym państwie członkowskim stosowana jest nieco inna interpretacja rozporządzenia. Dotychczas nie zastosowano żadnych poważniejszych sankcji związanych z przetwarzaniem danych i usługami chmurowymi — nikt na poziomie klientów nie został jak dotąd ukarany. Od roku 2019 może to jednak wyglądać zupełnie inaczej, dlatego tak ważne jest stworzenie wytycznych opartych na najlepszych praktykach. Większość przedsiębiorstw nie będzie się tym specjalnie przejmować, dopóki na horyzoncie nie pojawi się perspektywa odpowiedzialności prawnej. Dlatego można śmiało powiedzieć, że nasze prace nad projektem A4CLOUD były zdecydowanie przyszłościowe", podkreśla Julie Grady.
Słowa kluczowe
A4CLOUD, cyberbezpieczeństwo, wytyczne, odpowiedzialność, chmura, ochrona danych
