Varnost podatkov v oblaku: smernice urada IP

Evropska komisija, veliki ponudniki infotehnoloških storitev in novomedijska podjetja že nekaj let predstavljajo računalništvo v oblaku kot »novo veliko reč«. Vendar prinašajo oblačne storitve tudi tveganja, opozarjajo pri informacijskem pooblaščencu.

Komisarji napovedujejo nova delovna mesta, oblačni podjetniki obljubljajo velike prihranke, za uporabnike svetovnega spleta in pametnih mobilnikov je oddaljeno shranjevanje podatkov (fotografij, elektronskih pisem, ...) samoumevna sestavina uporabniške izkušnje. Tveganj se zavedajo le redki.

Pravila in priporočila glede oblačne varnosti še niso jasno določena. Novo evropsko direktivo o varstvu podatkov čakajo pred sprejemom in uvedbo številna dodatna usklajevanja, saj imajo članice EU različne poglede na informacijsko varnost. Ameriška podjetja (Microsoft, Google, ...) želijo z lobiranjem doseči ohlapnejšo zakonodajo, ki bi jim omogočala izvoz »evropskih« podatkov in shranjevanje na ameriških strežnikih.

Med tehnološkimi velikani pa poslovne priložnosti iščejo tudi manjši ponudniki, ki stranke privabljajo predvsem z nizkimi cenami oblačnih storitev (pisarno, elektronsko pošto, upravljanjem s podatki o strankah, trgovino, ...).

Kljub tej neurejenosti so pri informacijskem pooblaščencu skupaj s partnerji pripravili smernice glede varstva podatkov pri računalništvu v oblaku, v katerih so razložili najpomembnejše (minimalne) zakonodajne zahteve, ki jih morajo upoštevati ponudniki in najemniki oblačnih storitev. Poleg smernic so pripravili tudi kontrolni seznam za oceno tveganj in pomoč revizorjem, ki ocenjujejo varnost informacijskih sistemov.

»Tudi če podatke zaupate ponudniku oddaljenega gostovanja, ste zanje še vedno odgovorni vi,« je povedal namestnik pooblaščenke Andrej Tomšič na javni predstavitvi smernic. Zato bi se moral vsak najemnik oblačnih storitev dobro pozanimati, kje bodo shranjeni uporabniški podatki (v Sloveniji, ZDA, na Kitajskem), kako bodo varovani in komu jih bo gostitelj še posredoval (ali izvažal).

Hkrati je treba s pogodbo določiti tudi druge obveznosti ponudnika: da podatkov ne sme obdelovati za lastne potrebe, da mora preprečevati nepooblaščen dostop in poskrbeti, da bodo podatki zares izbrisani, če se odločimo za menjavo ponudnika.

Pri pooblaščencu opozarjajo, da je na trgu veliko podjetij, ki ne izpolnjujejo vseh zahtev slovenske zakonodaje, zato upajo, da jih bo večja ozaveščenost uporabnikov prisilila k transparentnejšemu poslovanju. Naši neuradni pogovori z mladimi spletnimi podjetniki pa kažejo, da se z zasebnostnimi predpisi pri zasnovi oblačnih poslovnih modelov skoraj ne ukvarjajo, saj je njihovim strankam za zasebnost še precej - vseeno.