Stale rozwijające się serwery w chmurze będą teraz mieć lepszą, przygotowującą je na przyszłe zagrożenia ochronę
Prywatność i uwzględnianie bezpieczeństwa na etapie projektowania leżą u podstaw RODO. Na papierze wszystko wydaje się proste: rozporządzenie nakłada na firmy i organizacje przechowujące dane użytkowników obowiązek wdrażania w nowych projektach informatycznych zasad określonych w RODO już na pierwszych etapach prac koncepcyjnych, ale postępujący wykładniczo rozwój zdecentralizowanych usług sieciowych oraz ich stale postępujące zmiany mogą spowodować, że koncepcja wdrażania rozwiązań związanych z prywatnością w fazie projektowania szybko trafi do kosza. Eliot Salant, kierownik projektów w laboratoriach badawczych IBM w Hajfie, stara się zapewnić działające obejście tego problemu. Dlatego powstał projekt RESTASSURED (Secure Data Processing in the Cloud). „Zapewnienie ochrony danych oraz zgodności z regulacjami dotyczącymi prywatności w sferze cyfrowej w środowisku chmurowym to niemałe wyzwanie. Chmura publiczna nie cieszy się zaufaniem, pod względem geograficznym jest bardzo rozproszona, operuje w systemie wielopodmiotowym, w którym dane nie należą ani do dostawcy usług w chmurze, ani do podmiotu zarządzającego obliczeniami. Na dokładkę tak usługi w chmurze, jak i jej infrastruktura ulegają ciągłym i dynamicznym zmianom”. Pozostaje zastanowić się, co robić dalej? „Musimy zacząć korzystać z mechanizmów i komponentów struktury chmurowej umożliwiających wykrywanie i przewidywanie potencjalnych pogwałceń prywatności oraz zapobieganie im podczas pracy, a także z nowych technik zabezpieczania danych odłożonych w środowisku chmury”, mówi Salant.
Pięć kluczowych innowacji
Projekt RESTASSURED ma stanowić pomoc dla administratorów danych, czyli podmiotów prawnie odpowiedzialnych za określanie powodów przetwarzania danych oraz procedur ich przetwarzania i jednoczesne zapewnianie zgodności z regułami dotyczącymi ochrony danych. W tym celu pracujący nad nim zespół skoncentrował się na pięciu głównych obszarach wprowadzania innowacji. Po pierwsze zaproponowano użycie nowych rozwiązań sprzętowych, na przykład narzędzi do szyfrowania AMD SEV czy Intel SGX, które zapewnią bezpieczne enklawy do prowadzenia operacji obliczeniowych. Po drugie opracowano szyfrowanie plików Apache Parquet, co umożliwia znaczne usprawnienie przechowywania danych i przeprowadzania zapytań z zakresu analizy danych big data. Ponadto zespół skoncentrował swoje działania na środkach oceny zgodności bezpieczeństwa danych w działających już systemach, automatycznym zarządzaniu ryzykiem i wdrożeniu „lepkich” polityk, które definiowałyby zasady dostępu do danych, ich wykorzystania i przechowywania. „Wszystkie te kwestie mają ogromne znaczenie”, zauważa Salant. „Użycie »lepkich« polityk może na przykład pomóc w utworzeniu decyzyjnych punktów polityk i punktów egzekwowania polityk, które pozwolą uregulować przepływ danych między aplikacjami w chmurze. Jednocześnie silna ochrona danych, jaką oferuje zarówno modułowe szyfrowanie plików Parquet, jak i bezpieczne enklawy sprzętowe, może pomóc w zapewnieniu bezpiecznego, dobrze uregulowanego przepływu danych w środowiskach chmurowych w Europie”. Salant utrzymuje, że modułowe szyfrowanie plików Parquet to najważniejsze osiągnięcie zespołu pracującego nad projektem. Społeczność Apache Parquet przyjęła już to rozwiązanie jako oficjalną normę, dzięki czemu trafiło ono do wielu produktów firmy IBM.
Rzeczywiste przypadki testowe
Rozwiązania zaproponowane w ramach projektu RESTASSURED zostały gruntownie przetestowane w obszarze opieki społecznej oraz ubezpieczenia typu „Pay as You Drive” (ile jeździsz, tyle płacisz). „Przypadek użycia z zakresu opieki społecznej bazuje na rzeczywistej ofercie produktów partnera projektu, firmy Oxford Computer Consultants (OCC). Chcieliśmy zobaczyć, jak przenieść do chmury produkt, który uwzględnia zarówno potrzeby wolontariuszy udzielających pomocy, jak i osób, które o nią proszą”, wyjaśnia Salant. „Wyraźne wyróżnienie ról wymagało ścisłego egzekwowania dostępu do danych w oparciu o rolę. Jednocześnie OCC przejawiło znaczne zainteresowanie mechanizmami zautomatyzowanego zarządzania ryzykiem opracowanymi w trakcie trwania projektu RESTASSURED, zarówno w zakresie przeanalizowania produktu, z którego korzystają obecnie, jak i ustalenia implikacji wprowadzenia tego produktu do środowiska chmurowego”. Z kolei przypadek ubezpieczenia „Pay as You Drive” dotyczy już telematyki transportu. Dane osobowe w urządzeniach IoT są gromadzone lokalnie, a następnie przesyłane do chmury, co przekłada się na konieczność stosowania ograniczeń RODO dotyczących ich przetwarzania, a także ograniczeń dotyczących samych danych, gdy pojazd je przekazujący będzie przekraczać granice kolejnych państw. Projekt zakończył się w grudniu 2019 roku, ale nie oznacz to końca rozwoju zapoczątkowanych w jego ramach koncepcji. Prace nad modułowym szyfrowaniem plików Parquet są prowadzone w ramach szeregu innych projektów programu Horyzont 2020, a kilku partnerów projektu RESTASSURED zaproponowało już uruchomienie kolejnego – o nazwie FogProtect (Protecting Sensitive Data in the Computing Continuum). Projekt FogProtect ma ruszyć pod koniec 2022 roku.
Słowa kluczowe
RESTASSURED, IBM, chmura, RODO, dane big data, analiza, zgodność, ochrona danych, IoT
