Tveganja oblačnega shranjevanja (osebnih) podatkov

Avtor: Primož Govekar

Sploh manjša podjetja, ki si niso želela ali zmogla privoščiti primernih strokovnjakov s področja informacijskih in komunikacijskih tehnologij, so že zelo hitro zaznala, da lahko podatke hranijo zunaj svojih strežniških okolij in s tem tveganja – predvsem za izgubo podatkov – prenesejo na zunanje ponudnike, računajoč, da se nič bistvenega ne more zgoditi.

Slabost zgoraj omenjenga razmišljanja so dokazali nedavni dogodki, ko je bilo zaradi požara v strežniškem centru podjetja OVH za nekaj časa prekinjeno delovanje 3,6 milijona spletnih strani, nekateri uporabniki pa so za stalno izgubili vse podatke.

V nadaljevanju ne smemo pozabiti, da je tveganje izgube (kršitve razpoložljivosti) podatkov samo eno od tveganj, ki jih je potrebno upoštevati. Drugi dve skupini tveganj, ki izvirata iz samih vidikov varovanja informacij in bi ju podjetja ob vzpostavljanju kakršnegakoli sistema hrambe podatkov morali upoštevati, sta še tveganji razkritja (izguba zaupnosti) in potvorbe (izguba integritete) informacij oziroma osebnih podatkov.

Četrta skupina tveganj pa je povezana s skladnostjo. Če pri zunanjem ponudniku obdelujemo osebne podatke, je tu seveda najprej skladnost z GDPR ter področno prakso. Ravno na področju skladnosti je bila preteklo leto julija sprejeta pomembna sodba Sodišča EU, ki je razveljavila zasebnostni ščit in s tem močno otežila gostovanje pri ponudnikih, ki imajo svoje centre v ZDA ali pa izvirajo iz ZDA in so (kljub temu da imajo podatkovne centre v EU) zavezani k spoštovanju ameriških predpisov.

Pred najemom si zastavite vsaj štiri vprašanja

Torej ni dovolj, da podjetje zgolj najame prostor pri nekemu ponudniku in »so vsi problemi rešeni«. Odločitev za najem prostora je zadnji korak v zagotavljanju skladnosti in varovanja osebnih podatkov in podjetje mora pred tem preučiti vsaj:

1. Katere informacije bomo obdelovali pri zunanjem ponudniku in kakšno tveganje za podjetje predstavlja kršitev posameznega vidika varovanja informacij?
2. Kako bodo informacije varovane na ponudnikovem servisu?
3. Kako in kam bomo zagotovili varnostno kopijo informacij, ki bodo gostovane pri ponudniku?
4. Če obdelujete osebne podatke pri ponudniku, ki ni iz EGS, kako bo podjetje zagotovilo skladnost s področno regulativo (GDPR …)?

Ob prvem vprašanju v splošnem velja pravilo, manj je več. Manj informacij, kot se nahaja na ponudnikovem servisu, manj škode bo podjetju verjetno povzročene ob morebitni zlorabi.

Če ne gostujete ravno celega prostora ali fizične omare, je precej verjetno, da bo ponudnik tehnično imel dostop do vašega (navideznega) diska in s tem posledično vseh podatkov. Seveda je mogoče podatke na disku tudi zaklepati, pri tem pa je pomembno vedeti, kdo v resnici ima ključ za njihovo odklepanje.

Nedavna izkušnja z OVH je pokazala, da varnostna kopija, ki se nahaja samo pri ponudniku, ne bo dovolj. Razmislite o variantah, pri tem pa upoštevajte pravilo 3-2-1 in ocene, v kolikšnemm času želite povrniti operativno stanje po morebitnem neljubem dogodku.

Skladnost pa zahteva tudi poznavanje prakse in trenutne situacije obravnave osebnih podatkov. Kot je videti, sta Amazon AWS in platforma Doctolib celo uspela prepričati francosko upravno sodišče, da obdelava ni v nasprotju z odločitvijo Schrems II, vendar so bili ob tem upoštevani precej ostri pogoji, ki jih običajna podjetja proti AWS težko dosežejo.

Tako vprašanj kot tudi možnih odgovorov ob vzpostavljanju gostovanja je seveda še precej več. V odvisnosti od vrste informacij bo podjetje precej verjetno potrebovalo tudi zunanjega strokovnjaka za oceno tveganj in zagotavljanje primernega varovanja osebnih podatkov. Ne boste preveč zgrešili, če bo strokovnjak dokazano in z dolgoletnimi izkušnjami obvladal IT, standard ISO 27001, kakor tudi razširitev tega standarda na področju GDPR in GDPR sam. Še bolje bo, če za njim stoji celotna ekipa in nacionalno priznana poklicna kvalifikacija, kot jo recimo izvaja Info Hiša.

Napačno bi bilo, če bi na osnovi gornjega menili, da se je oblakom potrebno za vsako ceno izogniti in uporabiti zgolj lastne strežniške storitve, saj tudi slednje niso popolne. Vendar o tem več kdaj drugič. (P.R.)