Kiedy słyszymy o bezpieczeństwie danych, szczególnie w kontekście konsumenckim, wielkie koncerny IT są zazwyczaj na cenzurowanym. Nie inaczej jest także w przypadku usług chmurowych. Przez długi czas zastanawiano się nad bezpieczeństwem chmury, zagrożeniami z nią związanymi i problemami, jakie może przynieść w najbliższych latach.
Przez długi czas kwestia bezpieczeństwa danych w chmurze, szczególnie w rozmowach z ekspertami największych dostawców z USA były pomijane lub marginalizowane. Mamy bezpieczny produkt i koniec. Od 2-3 lat zaczęło się to zmieniać, kiedy Ogólne Rozporządzeniem o Ochronie Danych (RODO/GDPR) zaczęło „pojawiać się na horyzoncie”. Fakt, regulacje w USA są przecież inne, ale firmy zza oceanu postanowiły być nieco bardziej wrażliwe w tym temacie.
Przypomnijmy, że rozporządzenie weszło w życie 17 maja 2016 r. Zacznie ono obowiązywać bezpośrednio w krajowych porządkach prawnych od 25 maja 2018 r. Rozporządzenie wiązać będzie wszystkich, którzy przetwarzają dane osobowe w związku z prowadzoną działalnością gospodarczą. Zatem wiele firm zaczęło mocniej wskazywać na kwestię ochrony danych.
- Maj przyszłego roku to moment, w którym europejskie przedsiębiorstwa, administracja i inne organizacje przystąpią do egzaminu dojrzałości. Wchodząca w życie reforma ochrony danych osobowych (rozporządzenie znane jako RODO) przyniesie nowe regulacje dotyczące zarządzania danymi osobowymi zarówno dla wszystkich, którzy oferują swoje usługi lub produkty obywatelom UE, na jej obszarze, jak również poza granicami Unii Europejskiej. Dostosowanie przedsiębiorstw do wymogów dyrektywy będzie wymagało współpracy na wszystkich poziomach organizacji – administracyjnym, prawnym, marketingowo-handlowym oraz informatycznym – zauważa Michał Jaworski, członek zarządu Microsoft.
Warto zauważyć, ze jedną z podstawowych zasad wynikających z rozporządzenia będzie odpowiedzialność podmiotu administrującego danymi za zgodność z obowiązującym prawem oraz zapewnienie bezpieczeństwa tych danych poprzez stosowanie odpowiednich procedur, systemów i polityk.
Kluczowe dla administratora będzie odpowiednie zarządzanie dostępem do danych oraz stałe monitorowanie ewentualnych naruszeń. Nie wywiązywanie się z zasad może narazić na gigantyczne kary, które mogą wynieść aż do 4 proc. całkowitego rocznego światowego przychodu lub do 20 milionów Euro. Dodatkowo, od 25 maja 2018 każdy konsument będzie miał możliwość wystąpienia do sądu z roszczeniami wobec organizacji, która narusza jego prawa i wolności poprzez niewłaściwe przetwarzanie danych osobowych. Scenariusz ten można sobie z łatwością wyobrazić w przypadku niezadowolonych klientów, zdeterminowanych konkurentów a nawet pracowników.
Tak sprecyzowane wymogi musiały stworzyć nowy wymiar dialogu pomiędzy usługodawcami a partnerami - i co ważne konsumentami. Podczas konferencji Veeam – producenta oprogramowania do tworzenia kopii zapasowych danych i odzyskiwania danych oraz dostępności danych w chmurze - w Nowym Orleanie w 2017 roku, eksperci tej firmy wskazywali na potrzebę nowego otwarcia na ewentualne zmiany przepisów, które mają być wprowadzane w UE. Niezależnie od końcowego efektu prac nad RODO firma zapewniała, że na każdym etapie produkty te będą nie tylko bezpieczne, ale i zgodne z wszelkimi wymogami. Również na niedawnej konferencji Microsoft Inspire jednym z tematów paneli konferencyjnych okazało się bezpieczeństwo i GDPR. - Dzięki wdrożonym zaawansowanym technologiom mamy ogromną odpowiedzialność za zapewnienie właściwego stanu bezpieczeństwa cyfrowego, a to zaczyna się od prywatności – wskazywał prezes firmy Microsoft i główny prawnik Brad Smith.
Szybko międzynarodowe koncerny zaczęły oferować także wiele udogodnień związanych z GDPR. – Wprowadzamy wiele mechanizmów szyfrowania danych, usługi kontroli dostępu, które pozwalają w niezwykle dokładny sposób zdefiniować, jaki użytkownik ma dostęp, do jakich danych, usługi pokazujące pełną historię interakcji użytkowników z danymi i usługami w chmurze, usługi pozwalające zautomatyzować procesy kontroli zgodności z regulacjami czy też usługę Macie, przy pomocy, której możemy wykryć wśród własnych zasobów dane mające cech danych osobowych i odpowiednio je zabezpieczyć – zauważa Tomasz Starzec z Amazon Web Services Polska
Warto też zauważyć, że rozporządzenie RODO pozwala przedsiębiorcom na przetwarzanie danych osobowych w modelu chmury publicznej, jednocześnie robiąc z dostawców chmury współodpowiedzialnych za ich ochronę – a nie jak dotychczas jedynie za zapewnienie środków organizacyjnych i technicznych.
- Z punktu widzenia biznesu – szczególnie tego, który dopiero rozważa migrację do chmury – ważne jest, więc, aby planować dalsze działania z uwzględnieniem technologii i partnera, który nie tylko pozwoli na optymalne wdrożenie postanowień dyrektywy, ale także, jako dostawca technologii zapewni wsparcie na poziomie wprowadzania i utrzymania warunków zgodności z zapisami RODO. m.in. dzięki stosowaniu odpowiednich kodeksów postępowania czy mechanizmów certyfikacji – dodaje Michał Jaworski z Microsoftu.
Co ważne, dostawcy technologii i chmur, w tym Microsoft nie tylko dostosowują swoje usługi do wymagań RODO, ale dla zapewnienia bezpieczeństwa stosują standardy wynikających zgodne z normami ISO/IEC 27001, ISO/IEC 27017 i ISO/IEC 2018. Co więcej, Microsoft jako dostawca usług w modelu cloud zobowiązuje się kontraktowo do wspierania administratora danych w procesie zapewniania zgodności z RODO.
Trzy podstawowe elementy, których należy spodziewać się po dobrze przygotowanym dostawcy usług chmurowych to
- przygotowanie poszczególnych produktów do RODO i uzupełnienie ich o narzędzia informatyczne pozwalające w łatwy sposób realizować wymagania rozporządzenia
- kontraktowe zapewnienie zobowiązań wynikających z RODO w umowie na usługę chmurową
- dodatkowe usługi i wiedza, którą każdy wdrażający mógłby w praktyce wykorzystać
- Każdy z nich jest niezbędny dla prawidłowego wdrożenia. Pierwszy zapewnia techniczne przygotowanie do przetwarzania oraz odpowiednie narzędzia dla administratora. Drugi to pewność prawna, że administrator danych nie zostanie pozostawiony sam sobie. Trzeci to możliwość wykorzystania doświadczeń i wiedzy dostawcy z wdrażania ochrony danych osobowych w innych organizacjach – podsumowuje Michał Jaworski.
To, jak nowe rozporządzenie będzie działało w praktyce, jakie problemy pojawią się w związku w regulacjami RODO dla firm i czy polskie firmy będą na to przygotowane – dowiemy się za kilka miesięcy. Z punktu widzenia zwykłego Kowalskiego kwestie dotyczące jego danych będą bardziej transparentne i zabezpieczone. Z punktu widzenia firm, które korzystają z usług chmurowych i posiadają oraz przetwarzają dane – nastąpi tak potrzebne uporządkowanie kwestii zarządzania danymi. Najważniejszym aspektem jest jednak to, że dostawcy usług już dziś są gotowi na pomoc w tym zakresie swoim partnerom.