Czy przetwarzając dane w chmurze powinniśmy żądać od dostawcy informacji w jakiej lokalizacji przetwarzane są nasze dane?
Mamy tu do czynienia z pewną sprzecznością. Korzystający z usług dostarczanych w modelu cloud computing powinni postrzegać chmurę jako zasób nieograniczony, dostępny z dowolnej lokalizacji, niezależny od systemu działającego po stronie klienta. Z drugiej strony, klient żąda podania fizycznej lokalizacji w której przetwarzane są jego dane.
Część dostawców sytuacji protestuje: „Przecież to jest chmura i w jej naturze leży to, że dane mogą być przenoszone pomiędzy lokalizacjami w sposób przeźroczysty dla klienta!”, „Ze względów bezpieczeństwa nie możemy powiedzieć gdzie przetwarzamy dane.”
Czy podanie informacji o lokalizacji centrum przetwarzania może w jakikolwiek sposób obniżyć bezpieczeństwo danych? A może chodzi o to, żeby klient nie był w stanie zweryfikować, że deklarowane zabezpieczenia w rzeczywistości nie istnieją? A może w ogóle nie istnieje centrum przetwarzania, a dane przechowujemy na dysku laptopa u szwagra na strychu? Dostawców twierdzących, że ze względów bezpieczeństwa nie udzielają informacji o miejscu przetwarzania danych skreślam od razu.
Prawdą jest jednak, że możliwość przenoszenia danych pomiędzy lokalizacjami jest charakterystyczna dla chmury. Nie zapominajmy jednak, że to do klienta należy decyzja jak ma wyglądać usługa którą kupuje. Nie możemy przedkładać ideologii chmury nad rzeczywiste oczekiwania klienta. Jeżeli oczekuje on, że będzie miał możliwość weryfikacji fizycznych zabezpieczeń w każdej z deklarowanych przez dostawcę lokalizacji, to dostawca powinien mu to umożliwić.
Zaraz, zaraz… Czy mamy wpuszczać każdego potencjalnego klienta do naszego centrum przetwarzania? Na pewno nie każdego. Ale być może, jeżeli umożliwimy to bardziej znaczącym klientom, pozostałym wystarczy nasza renoma. A jeżeli nie wystarczy? Myślę, że centra przetwarzania muszą znaleźć rozwiązania, pozwalające klientom zweryfikować stosowane zabezpieczenia fizyczne, bez obniżania poziomu bezpieczeństwa. Z mojej strony podpowiedziałbym oparcie się o zaufanie, którym klienci mogą obdarzyć trzecią stronę – dostawcę certyfikatu potwierdzającego spełnianie wymogów normy PN 27001.
Pozostaje jam jeszcze odpowiedzieć na pytanie, czy klientowi w ogóle potrzebna jest informacja o fizycznej lokalizacji jego danych. Spójrzmy najpierw na dane osobowe. To, co klient musi wiedzieć na pewno, to jest czy dane nie są przekazywane do państwa trzeciego (poza Europejski Obszar Gospodarczy). Klient powinien również posiadać informację na temat podpowierzania przetwarzania danych kolejnym podmiotom. W jaki sposób konstruować umowę powierzenia przetwarzania danych osobowych, napiszę innym razem.
Zaleca się, aby klient miał możliwość zweryfikowania stosowanych zabezpieczeń. Oczywiście, jak pisałem wcześniej, nie zawsze jest to możliwe. Decyzja musi być jednak pozostawiona klientowi i zależeć będzie m.in. od jego „apetytu na ryzyko”. Jeden klient zaufa deklaracjom i renomie dostawcy, a inny będzie chciał zweryfikować, czy centrum przetwarzania nie leży przypadkiem na terenach zalewowych.
Opisywany jest wypadek odłączenia przez FBI całego centrum przetwarzania, ponieważ należało zabezpieczyć dane jakiegoś przestępcy, a dostawca nie był w stanie wystarczająco szybko powiedzieć gdzie znajdują się te dane… Czasami może się opłacać wybrać dostawcę, który zarządza systemem w taki sposób, że zawsze wie, w gdzie znajdują się dane konkretnego klienta.
Ostatecznie to klient podejmuje decyzję, czy zaakceptować ryzyka związane z korzystaniem z usługi hostingu czy też usługi w modelu cloud computing. Problemem niejednokrotnie okazuje się brak świadomości istnienia tych ryzyk. Pewną pomocą mogą stanowić dokumenty:
- The Notorious Nine Cloud Computing Top Threats in 2013.
- Opinia Grupy Roboczej Art. 29 ds. Ochrony danych 5/2012 w sprawie przetwarzania danych w chmurze obliczeniowej.
- „Memorandum z Sopotu” – stanowisko w sprawie przetwarzania danych osobowych chmurze opracowane przez w tzw. Grupę Berlińską.
- ENISA – Critical Cloud Computing.
- Dekalog Chmuroluba.