Osobiście uważam, iż nieufność wobec chmury jest nieuzasadniona, zaś przemawia za tym twierdzeniem kilka istotnych argumentów. Po pierwsze, większość solidnych dostawców rozwiązań w chmurze opiera swoje systemy o centra danych, które są doskonale chronione – częstokroć zdecydowanie lepiej niż systemy własne (szczególnie w firmach z sektora MSP) – i geograficznie rozproszone.
Bardzo niewielu klientów Amazon, Microsoft czy wręcz naszego rodzimego Comarchu stać na stworzenie tak zaawansowanych data centers na własny użytek. O bezpieczeństwo dbają również mniejsi dostawcy - za przykład posłużyć może firma ISIWIS, której zabezpieczenia posiadają certyfikat PSF wydany przez władze Luksemburga, jeden z najbardziej wymagających i szanowanych atestów na świecie. Utrzymywanie danych we własnych serwerach przypominać może więc w pewnym sensie sytuację, w której firma przechowuje swoje aktywa we własnym sejfie zamiast w banku.
Po drugie, skala rozwiązań w chmurze skutecznie niweluje ryzyko przeglądania danych pojedynczych klientów przez dostawców. Wg. informacji firmy Amazon, na jej rozwiązania hostingowe w chmurze codziennie decyduje się 80 tysięcy nowych klientów. Tego rodzaju liczby gwarantują, iż prawdopodobieństwo tego, że pracownicy Amazonu inwigilują klientów są minimalne. Podobnie sytuacja wygląda u większości dostawców cloud computing, gdyż tylko firmy dysponujące dużymi pulami klientów są w stanie finansowo udźwignąć utrzymywanie infrastruktury, o którą chmura się opiera.
Rzeczywistym ryzykiem, które należy za to brać pod uwagę rozpoczynając przygodę z chmurą, jest ryzyko prawne. Istotnych kwestii do rozważenia jest wiele. Jednym z najważniejszych z nich jest problem przetwarzania danych osobowych. Przetwarzanie danych osobowych w chmurze jest najczęściej incydentalne, lecz pozostaje właściwie nie do uniknięcia, natomiast rygorystyczne przepisy dotyczące ochrony danych osobowych powodują, iż zarówno odbiorca, jak i dostawca narażeni są na ryzyka zarówno cywilno-prawne, jak i prawno-karne.
Ustawa o ochronie danych osobowych z 1997 roku oraz unijna dyrektywa, na kanwie której powstała polska ustawa, nakładają na podmioty zaangażowane w przetwarzanie danych osobowych rozliczne nakazy i zakazy dotyczące poziomów zabezpieczeń, praw dostępu i obowiązków rejestracji zbiorów. Przepisy te nie są dostosowane do w wysokim stopniu zautomatyzowanego i zglobalizowanego modelu chmury, co dodatkowo utrudnia ich stosowanie. Polscy i europejscy ustawodawcy wyjątkowo nieufnie podeszli również wobec wysyłania danych osobowych poza granice Unii - bez konieczności przechodzenia przez biurokratyczne piekło, dane tego rodzaju wysyłać można do kilku wybranych państw, których przepisy dot. ochrony danych sensytywnych Komisja Europejska uznała za wystarczająco surowe. Nie znajdziemy wśród nich najbardziej popularnych lokalizacji dużych data centers - USA, Indii czy Chin i innych krajów Azji Południowo-Wschodniej.
Stwarza to pewne problemy natury strategicznej globalnym dostawcom usług w chmurze, takim jak Microsoft, Google czy Amazon, lecz również międzynarodowym korporacjom, posiadającym chmury prywatne (systemy cloud computing stworzone wyłącznie na potrzeby konkretnej organizacji), których fizyczne serwery zlokalizowane są poza granicami Unii. Wprawdzie istnieją metody prawne pozwalające na obejście tych restrykcji (np. stosowanie tzw. modelowych klauzul umownych Komisji Europejskiej lub amerykańskich certyfikatów Safe Harbor), generują one dodatkowe koszta i przedłużają proces wdrażania chmury.
Obowiązek przestrzegania tych przepisów spoczywa zarówno na dostawcy, jak i odbiorcy usług w chmurze. Wynika to z faktu, iż zarówno podmiot przetwarzający dane osobowe (dostawca), jak i „administrator danych osobowych” (zazwyczaj - odbiorca) odpowiedzialni są za legalność przetwarzania danych osobowych. Wprawdzie cywilnoprawne konsekwencje niespełnienia wymogów prawa wiąże się jedynie z (relatywnie) niskimi karami finansowymi, prawno-karne konsekwencje są znacznie bardziej motywujące do traktowania tego problemu z należytą powagą - administrator danych, którym najczęściej jest członek wyższej kadry menadżerskiej w strukturach odbiorcy, może nawet zostać pozbawiony wolności.
Przykład: Grupa kapitałowa FEBC z siedzibą w Luksemburgu posiada spółki zarejestrowane w rozlicznych krajach Unii Europejskiej oraz kolejną spółkę FEBC India w New Delhi. Zarząd FEBC w Luksemburgu decyduje się na wdrożenie w całej strukturze korporacyjnej systemu informatycznego służącego do zarządzania relacjami z klientami (CRM); system ten ma być osadzony w prywatnej chmurze obliczeniowej, która fizycznie oparta będzie na serwerach znajdujących się w siedzibie spółki FEBC India. Wszystkie bazy klientów zostaną osadzone właśnie w tym systemie.
Przeciętna baza klientów zawiera rozliczne dane osobowe- np. imiona i nazwiska czy numery identyfikacyjne przedstawicieli klientów. W konsekwencji, dane osobowe przedstawicieli klientów europejskich spółek FEBC zostaną przesłane do Indii. Żeby proces ten był zgodny z prawem, FEBC India musi zawrzeć umowy dot. przetwarzania danych osobowych zawierające klauzule modelowe UE z każdą europejską spółką wchodzącą w skład grupy FEBC. Umowy te nałożą na FEBC India obowiązek stosowania poziomów zabezpieczeń odpowiadających rygorystycznym wymogom europejskim.
Abstrahując jednak od tych komplikacji, chmurę obliczeniowa uznać należy za rozwiązanie przyszłościowe. W pewnym sensie jest ona tym, do czego zawsze starałem się dążyć nadzorując informatyzację w bankach - rozwiązaniem, które pozwala na zakup tych, i tylko tych narzędzi, których akurat dana organizacja potrzebuje. Informatyzacja nie jest bowiem celem przeciętnego przedsiębiorstwa, lecz tylko narzędziem pozwalającym na usprawnienie jego działania.
***
Jeśli chcielibyście Państwo otrzymywać powiadomienia o nowych wpisach, zapraszam do skorzystania z subskrypcji RSS lub newslettera! |
Brak komentarzy:
Prześlij komentarz