Jak bezpiecznie przenieść się do chmury – wymagania prawne

W nowym odcinku z cyklu “Jak bezpiecznie przenieść się do chmury” będziemy opowiadać o tym, jak nie popełnić podstawowych błędów oraz jak zrobić to zgodnie z przepisami prawa, normami i standardami.

GRC – co to takiego

Ryzyko prawne jest ważnym elementem GRC: Governance, Risk Management, Compliance (Ład Korporacyjny, Zarządzanie Ryzykiem, Zgodność). Co to takiego i dlaczego jest ważne? Governance (zarządzanie i nadzór) to zasady, dobre praktyki i normy przyjęte przez daną firmę i określające sposób w jaki organizacja jest zarządzana oraz jak reaguje na ryzyka, jaki poziom ryzyka określa jako akceptowalny oraz jak ryzykami zarządza.

Risk Management (zarządzanie ryzykiem) to metoda zarządzania procesami i zasobami, w której ryzyka są identyfikowane, analizowane oraz przygotowywane są plany przeciwdziałania lub wykorzystania ryzyk. Obszar zarządzania ryzykiem w chmurze będzie zaprezentowany szczegółowo podczas najbliższego webinara, na który zapraszam w poniedziałek 5 marca o 20:00 i wtorek 6 marca o 12:00.

Compliance (zgodność) nazywana jest często zarządzaniem ryzykiem prawnym. Jest to zapewnienie zgodności działalności z regulacjami prawnymi, normami, bądź zestawami zaleceń. W tym artykule skupię się na tym ostatnim obszarze.

Na jakie ryzyka uważać

Wdrożenia chmury może przynieść sporo korzyści: elastyczność i skalowalność zasobów, poprawa dostępności i ciągłości biznesu, redukcja kosztów i złożoności, przesunięcie wydatków na IT z modelu CAPEX (inwestycje) na rzecz OPEX (utrzymanie), przyspieszenie procesów dostarczania zasobów oraz wdrożeń, zwiększona zwinność. Korzystanie z chmury wiąże się także z szeregiem ryzyk i wyzwań technicznych oraz organizacyjno – prawnych, Część z nich jest charakterystyczna dla modelu cloud computing, a część jest nierozerwalnie związana z korzystaniem z technologii teleinformatycznych. Ich specyfika oraz rozmiar zależą przede wszystkim od modelu usług chmurowych ze względu na ich rodzaj (Infrastruktura, Platforma, Oprogramowania jako usługa) i rozmieszczenie (Publiczna, prywatna, współdzielona, hybrydowa). Wśród technicznych ryzyk i zagrożeń można wymienić m.in.:

  • niewłaściwe zarządzanie tożsamością, danymi uwierzytelniającymi i dostępem,
  • niezabezpieczone interfejsy i API,
  • podatności występujące we wszystkich warstwach usług,
  • złośliwe oprogramowanie,
  • ataki APT (tzw. Advanced Persistent Threats),
  • odmowa usługi (DDoS),
  • niewłaściwa separacja sieci,
  • utrata lub wyciek danych,
  • przenaszalność i interoperacyjność,
  • awarie i zakłócenia w dostarczeniu usług.

Te i inne zagrożenia będę prezentował podczas najbliższego webinara poświęconego zarządzaniu ryzykiem w chmurze oraz szczegółowo opisywał w kolejnych artykułach w ramach cyklu.

Istnieje także szereg ryzyk organizacyjno-prawnych związanych z modelem cloud computing. Generalnie możemy podzielić je na:

  • kwestie związane z zagadnieniami prawa,
  • kwestie związane z zapewnieniem zgodności (Compliance),
  • kwestie dotyczące audytu.

Kwestie prawne możemy podzielić na niżej wymienione kategorie, które są ze sobą mocno powiązane:

  • funkcjonalne – dotyczące odpowiedzialności prawnej,
  • jurysdykcyjne – związane z uprawnieniami do rozpoznania i rozstrzygnięcia określonej sprawy,
  • kontraktowe – poruszające zagadnienia zapisów umownych.

Biorąc pod uwagę kwestie funkcjonalne należy odpowiedzieć sobie na pytania kto jest za co odpowiedzialny, ja czy dostawca usługi? Podam kilka przykładów. Jeśli w ramach usługi chmurowej przetwarzam dane swoich klientów, to kto jest odpowiedzialny za ich zniszczenie lub zabezpieczenie w momencie zakończenia korzystania z usługi? A co w przypadku gdy jesteśmy zobowiązani do informowania organów zewnętrznych w przypadku wystąpienia incydentu bezpieczeństwa? Jaka jest wtedy ścieżka komunikowania? Kolejnym przykładem są wezwania do sądu lub zabezpieczenie materiałów dowodowych. Czy dostawca jest zobowiązany do poinformowania usługobiorcy o prowadzonym wobec niego postępowaniu? Co dzieje się kiedy dzierżawimy zasoby w modelu chmury publicznej, a postępowanie jest prowadzone wobec innego dzierżawcy? Jeśli w ramach postępowania zabezpieczone zostaje infrastruktura, z której my również korzystamy to jak zabezpieczone są nasze interesy? Na podobne pytania należy znaleźć odpowiedzi i zadbać, aby odpowiednie zapisy o odpowiedzialności znalazły się w umowie. Nie jest to proste zadanie, ponieważ duzi gracze na rynku cloud computing, w szczególności dostawcy usług chmury publicznej, podchodzą do kwestii kontraktów wykorzystując swoją silną pozycję. Zapisy umowne są zazwyczaj sformułowane dość lakonicznie, w większości odsyłając do regulaminów przygotowywanych przez dostawcę chmury, które na dokładkę często ulegają zmianie. Umowa ma często charakter jednostronny, zobowiązania są łagodne dla dostawcy i rzadko (jeśli w ogóle) podlega negocjacjom. Standaryzacja i ujednolicenie postanowień kontraktowych powoduje, że w praktyce jedyną decyzją, jaką klient może podjąć w stosunku do umowy dotyczącej cloud computingu jest jej zawarcie lub nie. Taki rodzaj kontraktu określa się mianem umowy adhezyjnej (inaczej umowa przystąpienia), w której najważniejsze warunki określa jeden z kontrahentów, zazwyczaj ekonomicznie silniejszy, często występujący w pozycji „monopolistycznej”, drugi natomiast może je zaakceptować i przystąpić do umowy lub zrezygnować z jej zawarcia. Z tego powodu jeśli chcemy otworzyć rachunek bankowy na wynegocjowanych przez nas warunkach korzystamy z usług bankowości prywatnej. Analogicznie jest w przypadku usług chmurowych. Jeśli nasz biznes wymaga spełnienia specyficznych wymagań prawnych czy bezpieczeństwa, których nie zabezpieczą nam standardowe zapisy umowne, powinniśmy korzystać z usług w formie chmury prywatnej, gdzie dostawcy są bardziej elastyczni w kontekście zmian zapisów kontraktowych.

Jak zadbać o poufność

Kolejnym elementem związanym z zapisami kontraktowymi jest zapewnienie poufności informacji przetwarzanych w ramach usług chmurowych. Jednym z takich powszechnie wykorzystywanym rozwiązaniem jest zawarcie w ramach umowy porozumienia o zachowaniu poufności (ang. Non-Disclosure Agreement, NDA). Zapisy, które należy uwzględnić w NDA to:

  • zdefiniowanie informacji poufnych – najlepiej podać jak najszerszy zakres żeby w miarę możliwości objął wszystkie dane,
  • zapewnienia przez usługodawcę, że przetwarzane w ramach usługi informacje nie będą powielane w szerszym zakresie, niż jest to konieczne dla realizacji umowy, oraz że będą zabezpieczone technicznie przed dostępem niepowołanych osób,
  • uregulowanie skutków wygaśnięcia umowy o świadczenie usług chmurowych w kontekście przetwarzania informacji poufnych,
  • wyłączenie (o ile to możliwe) lub ograniczenie kwestii limitu odpowiedzialności w kontekście poufności.

Różnice między obszarami geograficznymi

Specyfika chmury dotycząca rozproszonego środowiska bez barier geograficznych i granic państwowych powoduje, że kwestie dotyczące jurysdykcji nabierają dużego znaczenia. Dostawcy i usługobiorcy działają często w wielu regionach objętych różnymi regulacjami prawnymi. W wielu przypadkach lokalnie obowiązujące prawa (krajowe, międzynarodowe, ze względu na obszar gospodarczy itp.) mogą stać ze sobą w konflikcie. Jurysdykcja dla umowy pomiędzy stronami może być różna niż lokalizacja którejkolwiek z nich. Wiele państw zabrania lub ogranicza możliwość transferu określonego typu danych podlegających ochronie (głównie ze względu na prywatność) poza granice swojego kraju lub obszaru gospodarczo-politycznego, w których funkcjonują. W większości przypadków przesyłanie danych jest możliwe tylko w przypadku zapewnienia adekwatnego poziomu zabezpieczenia danych i praw osoby lub podmiotu, których te dane dotyczą. W zależności od kraju definicje adekwatności poziomu zabezpieczeń mogą się różnic i być bardzo złożone i restrykcyjne. Poniżej kilka przykładów regulacji prawnych dotyczących ochrony danych w różnych rejonach globu.

Chiny

Wraz z rozwojem gospodarczym także ustawodawstwo w Chinach nabrało tempa, aby nadążyć ze zmianami technologicznymi. Jedna z głównych ustaw Cyber Security Law nadzoruje działania operatorów sieciowych oraz infrastruktury krytycznej. W maju 2017 roku chińskie władze zaproponowały zabezpieczenia dla transgranicznego transferu istotnych i osobowych informacji (Measures on the Security of Cross-Border Transfers of Personal Information and Important Data). Obecnie dokument jest oceniany i komentowany przed formalnym opublikowaniem.  Akt Cyber Security Law nakłada na operatorów między innymi następujące obowiązki:

  • zaprojektowanie i wdrożenia wymaganych zabezpieczeń,
  • opracowanie planów awaryjnych,
  • wsparcie odpowiednich organów rządowych w śledztwach i postępowaniach,
  • informowanie użytkowników o znanych podatnościach i błędach i raportowanie ich do odpowiednich organów.

Ponadto prawo obejmuje warunki lokalizowania danych osobowych i innych danych istotnych, które ograniczają ich przechowywanie na terytorium Chińskiej Republiki Ludowej.

Rosja

Rosyjskie prawo zawiera znaczące ograniczenia dla przetwarzania danych, wymagając uzyskania wcześniejszych zgód. Najważniejszym aspektem przetwarzania danych osobowych obywateli rosyjskich są zapisy dotyczące ich lokalizacji Od września 2015 firmy są zobowiązane do ich przechowywania w granicach terytorium Federacji Rosyjskiej. Roskomnadzor (rosyjski odpowiednik naszego GIODO i UKE) wyegzekwował prawo i zablokował dostęp do portalu LinkedIn, który nie posiadał centrum danych na terenie Rosji. Dodatkowo Roskomnadzor administruje tzw. internetową czarną listą, która przedstawiana jest jako środek do ochrony przed publikacją treści w szczególności zawierających przemoc, dziecięcą pornografię, gloryfikujących zażywanie narkotyków oraz opisujących metody samobójstwa. W 2013 roku wprowadzono poprawki umożliwiające blokowanie treści związanych z ekstremizmem, nawołujących do nielegalnych spotkań i nienawiści oraz innych działań zakłócających ustalony porządek. Jak widać zapisy pozwalają organom rządowym na ich szeroką interpretację.

Stany Zjednoczone

Ze względu na sektorowe podejście USA mają setki federalnych, stanowych i lokalnych regulacji. W rezultacie organizacje prowadzące interesy, zbierające lub przetwarzające dane w Stanach Zjednoczonych podlegają wielu aktom prawnym dotyczącym ochronie prywatności i bezpieczeństwa informacji. Dla przykładu ochronę danych finansowych (bankowych, ubezpieczeniowych, maklerskich) regulują m.in. zapisy ustawy Gramm-Leach-Bliley Act (GLBA), medycznych i zdrowotnych ustawy Health Insurance Portability and Accountability Act (HIPAA), danych kartowych standard Payment Card Industry Data Security Standard (PCI DSS). Nakładają one na podmioty przetwarzające tego typu dane wiele obowiązków związanych z ich bezpieczeństwem m.in. minimalne wymagania bezpieczeństwa (także dla podwykonawców), informowanie o zaistniałych incydentach i raportowanie tych przypadków do odpowiednich instytucji. Znajomość i zrozumienie tych regulacji jest kluczowe zarówno dla dostawców jak i odbiorców w kontekście odpowiedzialności za ich przestrzeganie i podejmowania odpowiednich działań. W USA grożą wysokie kary pieniężne za złamanie prawa, a koszty sądowe i oraz odszkodowań w wyniku wszczętych procesów też mogą być znaczące.

Unia Europejska

Trzy główne akty regulują kwestie ochrony danych w Unii Europejskiej – General Data Protection Regulation (GDPR), Dyrektywa 2002/58/WE parlamentu europejskiego i Dyrektywa NIS.

General Data Protection Regulation czyli RODO (Rozporządzenie Ogólne o Ochronie Danych Osobowych) to temat nośny i odmieniony przez wszystkie przypadki z powodu dotkliwych kar jakie nakłada regulator, a których wysokość sięgać może do 20 milionów euro lub 4% całkowitego, globalnego obrotu osiągniętego przez organizację w poprzednim roku obrotowym. W kontekście usług chmurowych sprawy się jeszcze bardziej komplikują i nabierają większych rumieńców. Ze względu na skalę tematu i wpływu na usługi chmurowe, zapewnieniu zgodności z wytycznymi mitycznego już RODO poświęcony będzie kwietniowy webinar „GDPR (RODO) w chmurze”.

Dyrektywa 2002/58/WE Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 r. w sprawie przetwarzania danych osobowych oraz ochrony prywatności w sektorze komunikacji elektronicznej (Dyrektywa o ochronie prywatności i komunikacji elektronicznej) zobowiązuje państwa członkowskie do zapewnienia ekwiwalentnego stopnia ochrony podstawowych praw i wolności osób fizycznych, a w szczególności prawa do prywatności w odniesieniu do przetwarzania danych osobowych w sektorze komunikacji elektronicznej oraz do zapewnienia swobodnego przepływu tych danych osobowych we wspólnocie.

Dyrektywa NIS ogranicza się do dwóch typów podmiotów: tzw. operatorów usług kluczowych (przedsiębiorców z sektorów energetyki, transportu, bankowości i infrastruktury rynków finansowych, służby zdrowia, zaopatrzenia w wodę pitną, infrastruktury cyfrowej) oraz dostawców usług cyfrowych (internetowych platform handlowych, wyszukiwarek internetowych, usług przetwarzania w chmurze). Państwo członkowskie musi wyznaczyć tzw. organy właściwe, których zadaniem będzie nadzór nad operatorami usług kluczowych i dostawcami usług cyfrowych. Organy te powinny mieć również możliwość uzyskania od operatorów i dostawców informacji o bezpieczeństwie oraz powinny przeprowadzać audyty bezpieczeństwa.

Podsumowanie

Zlecenie usługi outsourcingowej jaką jest de facto korzystanie z usługi chmurowej nie zwalnia z odpowiedzialności ze spełnienia obowiązujących regulacji. Odbiorcy usług powinni znać i zrozumieć prawne konsekwencje przetwarzania danych w zależności od tego gdzie te dane są przetwarzane przez dostawcę. W przypadku gdy nasz biznes nakłada na nas obowiązek spełnienia wielu wymagań regulacji prawnych, norm i standardów przeanalizujmy czy dostawca zapewnia taki sam poziom zabezpieczeń w ramach świadczonych usług. Zadbajmy o odpowiednie zapisy w umowie (o ile to możliwe) określające obowiązki obu stron, sprawdźmy czy dostawca definiuje warunki i zasady świadczenia usług w sposób przejrzysty i zrozumiały. Przed podpisaniem kontraktu najlepszą praktyką jest ocena dostawcy i jego możliwości do spełnienia oczekiwanych przez nas wymagań bezpieczeństwa. Pomocne mogą się okazać tutaj certyfikaty poświadczające spełnienia wymagań norm czy standardów np. ISO 27001, SOC1, SOC2, PCI DSS. Dodatkowo Cloud Security Alliance przygotował wiele narzędzi ułatwiających ocenę dostawcy i jego zgodność ze standardami m.in. Cloud Control Matrix czy Consensus Assessment Initiative.

 

Facebooktwittergoogle_pluslinkedin
Facebooklinkedin

Skomentuj