Informowanie klienta o fizycznej lokalizacji przetwarzanych w chmurze danych.

Czy przetwarzając dane w chmurze powinniśmy żądać od dostawcy informacji w jakiej lokalizacji przetwarzane są nasze dane?

Mamy tu do czynienia z pewną sprzecznością. Korzystający z usług dostarczanych w modelu cloud computing powinni postrzegać chmurę jako zasób nieograniczony, dostępny z dowolnej lokalizacji, niezależny od systemu działającego po stronie klienta. Z drugiej strony, klient żąda podania fizycznej lokalizacji w której przetwarzane są jego dane.

Część dostawców sytuacji protestuje: „Przecież to jest chmura i w jej naturze leży to, że dane mogą być przenoszone pomiędzy lokalizacjami w sposób przeźroczysty dla klienta!”, „Ze względów bezpieczeństwa nie możemy powiedzieć gdzie przetwarzamy dane.”

Czy podanie informacji o lokalizacji centrum przetwarzania może w jakikolwiek sposób obniżyć bezpieczeństwo danych? A może chodzi o to, żeby klient nie był w stanie zweryfikować, że deklarowane zabezpieczenia w rzeczywistości nie istnieją? A może w ogóle nie istnieje centrum przetwarzania, a dane przechowujemy na dysku laptopa u szwagra na strychu? Dostawców twierdzących, że ze względów bezpieczeństwa nie udzielają informacji o miejscu przetwarzania danych skreślam od razu.

Prawdą jest jednak, że możliwość przenoszenia danych pomiędzy lokalizacjami jest charakterystyczna dla chmury. Nie zapominajmy jednak, że to do klienta należy decyzja jak ma wyglądać usługa którą kupuje. Nie możemy przedkładać ideologii chmury nad rzeczywiste oczekiwania klienta. Jeżeli oczekuje on, że będzie miał możliwość weryfikacji fizycznych zabezpieczeń w każdej z deklarowanych przez dostawcę lokalizacji, to dostawca powinien mu to umożliwić.

Zaraz, zaraz… Czy mamy wpuszczać każdego potencjalnego klienta do naszego centrum przetwarzania? Na pewno nie każdego. Ale być może, jeżeli umożliwimy to bardziej znaczącym klientom, pozostałym wystarczy nasza renoma. A jeżeli nie wystarczy? Myślę, że centra przetwarzania muszą znaleźć rozwiązania, pozwalające klientom zweryfikować stosowane zabezpieczenia fizyczne, bez obniżania poziomu bezpieczeństwa. Z mojej strony podpowiedziałbym oparcie się o zaufanie, którym klienci mogą obdarzyć trzecią stronę – dostawcę certyfikatu potwierdzającego spełnianie wymogów normy PN 27001.

Pozostaje jam jeszcze odpowiedzieć na pytanie, czy klientowi w ogóle potrzebna jest informacja o fizycznej lokalizacji jego danych. Spójrzmy najpierw na dane osobowe. To, co klient musi wiedzieć na pewno, to jest czy dane nie są przekazywane do państwa trzeciego (poza Europejski Obszar Gospodarczy). Klient powinien również posiadać informację na temat podpowierzania przetwarzania danych kolejnym podmiotom. W jaki sposób konstruować umowę powierzenia przetwarzania danych osobowych, napiszę innym razem.

Zaleca się, aby klient miał możliwość zweryfikowania stosowanych zabezpieczeń. Oczywiście, jak pisałem wcześniej, nie zawsze jest to możliwe. Decyzja musi być jednak pozostawiona klientowi i zależeć będzie m.in. od jego „apetytu na ryzyko”. Jeden klient zaufa deklaracjom i renomie dostawcy, a inny będzie chciał zweryfikować, czy centrum przetwarzania nie leży przypadkiem na terenach zalewowych.

Opisywany jest wypadek odłączenia przez FBI całego centrum przetwarzania, ponieważ należało zabezpieczyć dane jakiegoś przestępcy, a dostawca nie był w stanie wystarczająco szybko powiedzieć gdzie znajdują się te dane… Czasami może się opłacać wybrać dostawcę, który zarządza systemem w taki sposób, że zawsze wie, w gdzie znajdują się dane konkretnego klienta.

Ostatecznie to klient podejmuje decyzję, czy zaakceptować ryzyka związane z korzystaniem z usługi hostingu czy też usługi w modelu cloud computing. Problemem niejednokrotnie okazuje się brak świadomości istnienia tych ryzyk. Pewną pomocą mogą stanowić dokumenty:

 

 

 

Chmura obliczeniowa – Panacea czy Pandora?

Czy chmura obliczeniowa jest panaceum na wszelkie problemy bezpieczeństwa? A może jest współczesną puszką Pandory?

Zachęcamy do zapoznania się z tekstem „Wybrane problemy przetwarzania danych osobowych w chmurze obliczeniowej” opublikowanym w wydanej przez Krajowe Stowarzyszenie Ochrony Informacji Niejawnych książce z materiałami pokongresowymi „IX Kongresu Ochrony Informacji Niejawnych, Biznesowych i Danych Osobowych”

Z tekstu dowiecie się Państwo m.in. jakie warunki należy spełnić, by zgodnie z prawem i zapewniając odpowiedni poziom bezpieczeństwa przetwarzać dane osobowe w chmurze oraz jak skonstruować umowę powierzenia na potrzeby korzystania z chmury lub hostingu. Materiał został opracowany na podstawie doświadczeń firmy proInfoSec.

Orzecznictwo

Prawidłowa interpretacje przepisów dotyczących ochrony danych osobowych nastręcza wiele problemów. Niejednokrotnie, nie możemy ufać nawet uznanym autorytetom, publikującym swoje opinie w coraz większej ilości książek i poradników. Cóż z tego, że publikacji jest coraz więcej, skoro wyrażane w nich opinie te są nieraz sprzeczne ze sobą, albo co gorsza – z orzeczeniami sądów. Nic więc dziwnego, że najlepszym źródłem informacji bywają orzeczenia sądów oraz decyzje i sprawozdania Generalnego Inspektora.

Poniżej, krótką listę źródeł w których można rozpocząć przeglądanie:

 

IT Security Management GIGACON 2012 już za nami…

Czy warto uczestniczyć w bezpłatnych konferencjach? Przyznam się, że często miewam opory przed poświęceniem czasu i spędzeniem kolejnego dna na słuchaniu powtarzanych w kółko, tych samych marketingowych frazesów.

Tym razem jednak pozytywnie się zaskoczyłem (i nie tylko dlatego, że pierwszą z prezentacji przedstawiałem ja ;)). Organizatorom udało się w znaleźć złoty środek pomiędzy różnymi zagadnieniami – tymi bardziej technicznymi, tymi bliższymi zarządzaniu bezpieczeństwem i tymi dotyczącymi danych osobowych.

Niemały udział w powodzeniu konferencji mieli prowadzący prezentacje – nie było mowy o tym, żeby chociaż na chwilę oderwać się od tematu i „odpłynąć” myślami.

To że Pan Krzysztof Wagner z TÜV NORD przykuje naszą uwagę, było oczywiste. Ale sprawienie, że będę z zainteresowaniem po raz kolejny słuchać w jaki sposób radzić sobie z nadmiarem ciepła w DataCenter wymagało już wyjątkowych umiejętności prelegenta. Pan Michał Pyter z APC dał radę :).

Ale to wszystko nie spowodowałoby, żeby tak dobrze wspominał konferencję, gdyby pozostali prelegenci nie stali na równie wysokim poziomie.

Zapraszam Was do dzielenia się opiniami na temat konferencji.

Zgodnie z obietnicą Organizatorów, prezentacje można pobrać ze strony – http://gigacon.org/itsec/2012

Jarosław Żabówka

Gdzie znajdę materiały na temat bezpieczeństwa informacji?

W Internecie można znaleźć mnóstwo materiałów na temat bezpieczeństwa informacji i normy ISO 27001. Jak dla mnie jest to wręcz klęska urodzaju – materiałów jest tak dużo, że można stracić tygodnie na poszukiwaniu czegoś wartościowego i oryginalnego. Na kolejnych stronach powielane są te same informacje, a opanowane przez pozycjonerów Google nie pomagają nam w jakiś szczególny sposób wyszukać użytecznych informacji.

Moim, subiektywnym zdaniem warto zaglądać na strony: