Slovenija: Kakšne so smernice varovanja osebnih podatkov v oblaku?
Kategorija: Slovenija | Datum objave: Monday, 18. 06. 2012 | Avtor: Barbara KvasUrad informacijske pooblaščenke je med prvimi v Evropi izdal smernice glede varstva osebnih podatkov pri računalništvu v oblaku. To lahko poslovanje poceni, prinaša pa številna tveganja.
Skoraj vsakdo že uporablja neko različico zastonjske elektronske pošte. Naj bo to Googlova, Microsoftova ali tretja – zelo enostavno in prikladno je imeti vedno na voljo dostop do pošte le z zagonom brskalnika in vpisom gesla.
Pri tem vsak uporabnik zaupa vsebino svoje zaupne komunikacije, svojih zasebnih pogovorov in osebnih podatkov podjetju, ki skrbi za e-poštno storitev. Zaupa mu, da podatkov ne bo razširjal. Izvajalcu mora zaupati, da bo podatke med pošiljanjem šifriral, sicer jih lahko skoraj kdor koli prestreže. Z računalniško storitvijo v oblaku je veliko poudarka na zaupanju.
“Računalništvo v oblaku zagotovo bo zaživelo, ampak skupaj moramo zgraditi zaupanje vanj. Zaupanje je temelj – vanj morajo zaupati naročniki, zaupanja si želijo ponudniki in ne nazadnje tudi nadzorni organi,” je na novinarski konferenci povedal namestnik informacijskega pooblaščenca Andrej Tomšič.
Niso pa računalništvo v oblaku le elektronska pošta in ni vedno zastonj. Je vse bolj razširjena storitev, ki uporabniku omogoča, da želene podatke in dokumente naloži na oddaljeni strežnik, s tem pa pri delu ni več omejen le na določen računalnik, temveč lahko do podatkov dostopa in jih obdeluje praktično kjer koli.
Zaradi velikega zmanjšanja stroškov za programsko in strojno opremo je ta možnost še posebej privlačna za podjetnike, ki tako najemajo storitve v oblaku pri vse bolj širokem krogu ponudnikov. S tem pa se pojavijo številna tveganja – iz oblaka se lahko izvije nevihta neprijetnosti.
Zato so na slovenskem uradu informacijskega pooblaščenca skupaj s tremi partnerji pripravili smernice za računalništvo v oblaku. Z njimi želijo opozoriti na prednosti in tveganja ter dvigniti stopnjo ozaveščenosti zlasti pri manjših upravljavcih osebnih podatkov, da sprejemajo tehtne in informirane odločitve.
Upravljavci osebnih podatkov v Sloveniji so zavezani slovenski zakonodaji. Tudi če te zbirke predajo v hrambo izvajalcu storitve v oblaku, so zanje še vedno odgovorni. Še več, če je izvajalec storitve iz t. i. tretjih držav (držav izven EU, razen ZDA, Švice, Hrvaške in Makedonije), potrebuje dovoljenje informacijske pooblaščenke.
“Marsikateri ponudnik ni dovolj transparenten”
Informacijski pooblaščenec namreč ugotavlja, da marsikateri ponudnik storitev v oblaku ni dovolj transparenten in svojim strankam ne pove, kje bodo pravzaprav njihovi osebni podatki, kako bodo zavarovani, ali se bodo prenašali v tretje države, kjer morda veljajo drugačni režimi varstva podatkov.
“Brez teh podatkov lahko upravljavci pogosto sprejmejo napačne odločitve in prevzemajo nase določena tveganja, za katera pa lahko tudi odgovarjajo,” je povedal Tomšič.
V smernicah so tako izpostavljeni trije večji sklopi, na katere je treba biti pozoren – vprašanja glede ureditve pogodbenih razmerij med naročniki in ponudniki o obdelavi osebnih podatkov, vprašanja informacijske varnosti in vprašanje prenosa podatkov v tretje države.
V uradu priporočajo, da se še pred začetkom hrambe pripravi natančna pogodba, ki vključuje natančno določitev namena hrambe, natančen sistem varovanja podatkov in določilo, da mora ponudnik po prenehanju storitve vse podatke vrniti ter kopije izbrisati.
Kot urad pojasnjuje v smernicah, hrambe podatkov pač ne morete nadzorovati sami. Na strežnikih, kjer bodo hranjeni, so lahko “sosedje” s podatki drugih uporabnikov, kar lahko potencialno vpliva tudi na vaše.
“Pomembno je tudi tveganje glede vašega dostopa do svojih podatkov v primeru, da ponudnik preneha poslovati ali spremeni svoje pogoje poslovanja (npr. prične zaračunavati veliko višjo ceno). Boste dobili dostop do svojih podatkov ali boste prisiljeni uporabljati storitev v drugačnih pogojih? Kaj se zgodi, ko želite prenehati s sodelovanjem – vam bo ponudnik oblaka vrnil vaše podatke ter jih izbrisal iz svojih strežnikov ali se bodo čez dve leti znašli javno dostopni na spletu?” so se vprašali v uradu.
V kakšne težave lahko padejo uporabniki računalništva v oblaku, kaže primer storitve Megaupload. Pod obtožbami kršitev avtorskih pravic je ameriški FBI dosegel, da so spletne strani, kjer je (svoje in tuje) podatke hranilo milijone ljudi, zamrznili. Ogromne količine podatkov so tako ostale v oblaku, kjer jim zdaj grozi izbris. Med njimi so tako podatki posameznikov kot podjetij.
V smernicah, ki jih je izdal urad, so se posebej posvetili nasvetom prav za podjetja. V pomoč tistim, ki menijo, da je oblak prava rešitev zanje, so oblikovali tudi tako imenovani kontrolni seznam, s katerim lahko preverijo, ali ponudnik izpolnjuje vsaj minimalne zahteve zakonodaje, ki jih morajo upoštevati, preden svoje podatke prenesejo k ponudniku oblačne rešitve.
V pomoč revizorjem informacijskih sistemov
Na konferenci je tako spregovoril tudi Boštjan Kežmah, nekdanji predsednik Slovenskega odseka ISACA, ki podeljuje med drugim mednarodni naziv revizorja informacijskih sistemov, ter član odbora odseka preizkušenih revizorjev informacijskih sistemov, ki deluje v okviru Slovenskega inštituta za revizijo. Po njegovih besedah bodo smernice pomagale tudi omenjenim revizorjem informacijskih sistemov pri tem, da bodo zastavili takšna “sodila”, ki so skladna z zahtevami informacijskega pooblaščenca. Revizije informacijskih sistemov sicer v Sloveniji niso obvezne, običajno se izvajajo v okviru notranjih revizij, zanje se odločajo zlasti banke.
Smernice tudi za certifikacijski program
Damir Savanović iz združenja CSA je poudaril, da so smernice nastajale tudi s pomočjo smernic in kontrolnega seznama CSA ter da bodo te krovne smernice, ki jih posamezne države prilagodijo svojim lokalnim specifikam, v prihodnosti uporabili za oblikovanje odprtega certifikacijskega programa.
Oblak prinaša nove industrije, nova delovna mesta
Dalibor Baškovč iz Zavoda e-Oblak pa je ob vsem tem poudaril, da računalništvo v oblaku prinaša nove storitve in industrije, želja EU-ja pri tem pa je med drugim ustvarjanje novih delovnih mest. Zato se oblaki širijo, a je zato toliko pomembneje opozoriti zasebne in poslovne uporabnike na tveganja.
Vir: RTV Slovenija