Cloud computing: przedsiębiorcy nikt, nigdy nie zwolni z odpowiedzialności za dane, które przetwarza
Robert Lidke: Czy przedsiębiorca, który posiada dane swoich klientów, swoje dane, i umieści je w chmurze, to czy jest zwolniony z odpowiedzialności za bezpieczeństwo tych danych?
Wojciech Ciesielski: Odpowiedź jest mało korzystna dla przedsiębiorcy. Mało korzystna dlatego, że przedsiębiorcy nikt, nigdy nie zwolni z odpowiedzialności za dane, które przetwarza. Oczywiście musi się on poruszać w obrębie obowiązującego prawa. Inne regulacje będą dla podmiotów sektora finansowego, gdzie te regulacje są ostrzejsze niż dla podmiotów, które nie zajmują się na przykład rynkiem finansowym.
Myśląc o dostawcy usług chmurowych mamy takie przekonanie, że całe bezpieczeństwo leży po stronie po stronie dostawcy tych usług. Ale trzeba pamiętać o tym, kupując usługę od dostawcy, że one są realizowane w różnych modelach. Czasami kupujemy tylko platformy systemowe, czasami kupujemy gotowe aplikacje, np. w modelu Software as a Service (SaaS).
I jeżeli odpowiedzialność dostawcy jest limitowana do poziomu, do którego usługa jest realizowana ‒ jeżeli mówimy o dostawcy aplikacji jako usługi ‒ to jego obowiązkiem jest zabezpieczanie danych, które w tej aplikacji są przetwarzane.
Ale już to, jak dane przedsiębiorstwo łączy się z aplikacją, jej użytkownicy, którzy się tam logują, weryfikacja tych użytkowników ‒ to już jest obowiązek przedsiębiorcy.
Jeżeli dany przedsiębiorcy kupuje tylko infrastrukturę, na której stawia własne aplikacje, własne bazy danych, to jego obowiązkiem jest zabezpieczeniem właśnie tej bazy danych, właśnie tej aplikacji przed tym, żeby dane, które są tam przetwarzane były w odpowiedni sposób chronione.
Taki model współdzielonej odpowiedzialności właściwie jest realizowany przez wszystkich dostawców usług w chmurze.
Trochę inaczej sytuacja wygląda w przypadku budowania chmury prywatnej. W tym wypadku pełna odpowiedzialność za przetwarzanie danych leży po stronie przedsiębiorcy, który tę prywatną chmurę zbudował.
Ale skoro ta odpowiedzialność jest współdzielona, to obu stronom powinno zależeć na bezpieczeństwie przetwarzanych danych. Jak wtedy musi wyglądać współpraca między dostawcą chmury i firmą, która powierza tam dane?
‒ Dostawca chmury powinien jasno komunikować, gdzie kończy się jego odpowiedzialność i powinien być odpowiedzialny za to, żeby dane, które są składowane, czy też infrastruktura, którą oferuje, aplikacja, którą oferuje ‒ żeby była w odpowiedni sposób zabezpieczona.
Tutaj analitycy przewidują, że w perspektywie najbliższych kilku lat właściwie większość incydentów bezpieczeństwa, nawet 95%, będzie wynikało z błędów użytkowników chmury, a nie dostawców.
Dostawcy usług chmurowych są tego świadomi i potrafią w odpowiedni sposób zabezpieczyć to, co jest obszarem ich odpowiedzialności. Ważne, żeby odpowiednio komunikowali, gdzie kończy się ich odpowiedzialność, a gdzie zaczyna się odpowiedzialność użytkownika usług chmurowych.
Jeśli chodzi o rozwiązania, które mogą pomóc w zakresie zabezpieczenia tych danych, trzeba też wziąć pod uwagę to, że każdy dostawca rozwiązań chmurowych realizuje bezpieczeństwo w swoim zakresie, w trochę inny sposób. Inne są te rozwiązania, choć efekt jest podobny, czy wręcz ten sam. Ale generalnie każdy ma swoje metody i sposoby podejścia. Użytkownik chmury musi zrozumieć to, i dostosować się do tego.
Trudno jest zarządzać bezpieczeństwem usług chmurowych w obrębie przedsiębiorstwa, jeżeli korzystamy z wielu usług. W jednym wypadku jest to aplikacja w modelu chmurowym, w innym jest to infrastruktura w modelu chmurowym. Chcielibyśmy mieć spójne rozwiązanie, które umożliwi analizowanie danych, czy też ocenę stanu bezpieczeństwa w obrębie wszystkich rozwiązań chmurowych, ale także i własnej infrastruktury.
Zwłaszcza, jeżeli mówimy o rozwiązaniach, w których mamy chmury hybrydowe, a to jest częstym przypadkiem. Wtedy bardzo istotne jest to, żeby rozwiązania bezpieczeństwa, które są implementowane, żeby potrafiły zrozumieć specyfiki poszczególnych rozwiązań chmurowych, dostosować się, zaadaptować używając odpowiednich konektorów do tego, co oferuje chmura.
Kolejny poziom to jest kwestia zapewnienia szerokiego bezpieczeństwa. Czyli stosowanie odpowiedniej segmentacji w sieciach. I tych własnych, i tych, które są dostarczane w modelu chmurowym. To stosowanie rozwiązań zabezpieczających przed związanymi z tym zagrożeniami, ochrona aplikacji webowych itd.
I ostatni poziom trzeci, to jest poziom, na którym istotne są narzędzia pozwalające analizować to, co się dzieje, ewentualne incydenty, mieć pełen wgląd gdzie dane przepływają, jak są składowane, kto ich dotyka. Ale też, żeby mieć narzędzie, które umożliwi raportowanie zgodności z obowiązującymi regulacjami.
Takie trzy poziomy, nazywam je filarami czyli odpowiednia integracja, szerokie bezpieczeństwo i zarządzanie/monitorowanie są kluczowe. Zarówno do tego, żeby zapewnić bezpieczeństwo przy pozyskiwaniu usług chmurowych, i żeby mieć kompleksowe rozwiązanie, które daje też możliwość tego, aby przyszłości jakieś inne rozwiązanie adaptować do swojej organizacji.
Czytaj także: IT@BANK 2019: seniorzy w call center wolą boty niż ludzi
Brzmi to wszystko skomplikowanie i właśnie oznacza, że przedsiębiorcy powinni mieć po swojej stronie fachowców, informatyków, którzy rozumieją jak działa chmura, może też zespoły prawne, które pomogą im „ogarnąć” problem. Ale przecież z usług chmurowych mogą także korzystać mniejsze przedsiębiorstwa, których nie stać na zatrudnienie tego typu fachowców.
‒ Zgadza się. Rzeczywiście, transformacja cyfrowa, której chmura publiczna, chmura prywatna czy połączenie tych dwóch światów jest istotnym elementem, wymaga też budowania nowych kompetencji.
W niektórych wypadkach mówimy o specjalistach bezpieczeństwa, którzy muszą rozumieć jak zabezpieczać własne środowisko, ale też jak zabezpieczyć środowisko chmurowe. Jak spowodować, żeby te światy za sobą połączyć. W transformacji cyfrowej migracja do chmury też wymaga budowania zupełnie nowych kompetencji, jeśli chodzi o rozwój aplikacji.
Teraz takim podstawowym trendem, o którym mówimy, jest przeniesienie tego, co mamy u siebie ‒ do chmury. Ale tak naprawdę, i to się coraz częściej dzieje, są budowane aplikacje od razu pod kątem wykorzystania w chmurze.
One też wymagają trochę innego myślenia o tym, jak zabezpieczyć dane, jak te aplikacje powinny funkcjonować. To jest to spore wyzwanie, jeśli mówimy o budowaniu kompetencji. To kwestie prawne, odpowiedzialności i przenoszenia danych.
To także pytanie, kto powinien mieć dostęp do tych danych. Czy podmioty uprawnione krajów, gdzie są siedziby dostawców usług powinny mieć dostęp do danych, które przynależą do zupełnie innego kraju?
Także jest sporo wyzwań. Myślę, że takie ciała jak KNF, który reguluje, czy też stara się regulować te zagadnienia na pewno w przypadku sektora finansowego pomaga. Jeżeli mówimy o mniejszych podmiotach, gdzie nie ma regulatora, czy też nie ma tych kompetencji, to na pewno jest wskazana jakaś racjonalność, ocena pewnego ryzyka.
Trochę świat nam się zmienia i chociażby wprowadzenie regulacji dotyczących ochrony danych osobowych wymusza na przedsiębiorcach analizę ryzyka.
I myślenie w kategoriach analizy ryzyka: wprowadzenie moich danych do danego dostawcy chmury ‒ jaka jest jego reputacja, czy tam zdarzały się jakieś problemy, co rynek mówi o tego typu rzeczach. Na pewno trzeba się temu przyglądać.
Czytaj także: IT@BANK 2019: jak samodzielnie przeprowadzić transformację we własnej firmie?
