Digitalizacija
Programska in razvojna orodja
09.04.2021 07:47
Posodobljeno 4 leta nazaj.

Deli z drugimi:

Share

Tveganja oblačnega shranjevanja (osebnih) podatkov

Oblačne storitve v vseh oblikah so dandanes moderne. V oblaku najdemo gostovanje strežnikov, storitev in celo zlobne programske opreme. Kljub temu pa se je potrebno zavedati, da »oblak« ni nujno vsemogočen, predvsem pa tudi ne nujno skladen.

Avtor: Primož Govekar

Sploh manjša podjetja, ki si niso želela ali zmogla privoščiti primernih strokovnjakov s področja informacijskih in komunikacijskih tehnologij, so že zelo hitro zaznala, da lahko podatke hranijo zunaj svojih strežniških okolij in s tem tveganja – predvsem za izgubo podatkov – prenesejo na zunanje ponudnike, računajoč, da se nič bistvenega ne more zgoditi.

Slabost zgoraj omenjenga razmišljanja so dokazali nedavni dogodki, ko je bilo zaradi požara v strežniškem centru podjetja OVH za nekaj časa prekinjeno delovanje 3,6 milijona spletnih strani, nekateri uporabniki pa so za stalno izgubili vse podatke.

V nadaljevanju ne smemo pozabiti, da je tveganje izgube (kršitve razpoložljivosti) podatkov samo eno od tveganj, ki jih je potrebno upoštevati. Drugi dve skupini tveganj, ki izvirata iz samih vidikov varovanja informacij in bi ju podjetja ob vzpostavljanju kakršnegakoli sistema hrambe podatkov morali upoštevati, sta še tveganji razkritja (izguba zaupnosti) in potvorbe (izguba integritete) informacij oziroma osebnih podatkov.

Četrta skupina tveganj pa je povezana s skladnostjo. Če pri zunanjem ponudniku obdelujemo osebne podatke, je tu seveda najprej skladnost z GDPR ter področno prakso. Ravno na področju skladnosti je bila preteklo leto julija sprejeta pomembna sodba Sodišča EU, ki je razveljavila zasebnostni ščit in s tem močno otežila gostovanje pri ponudnikih, ki imajo svoje centre v ZDA ali pa izvirajo iz ZDA in so (kljub temu da imajo podatkovne centre v EU) zavezani k spoštovanju ameriških predpisov.

Pred najemom si zastavite vsaj štiri vprašanja

Torej ni dovolj, da podjetje zgolj najame prostor pri nekemu ponudniku in »so vsi problemi rešeni«. Odločitev za najem prostora je zadnji korak v zagotavljanju skladnosti in varovanja osebnih podatkov in podjetje mora pred tem preučiti vsaj:

  1. Katere informacije bomo obdelovali pri zunanjem ponudniku in kakšno tveganje za podjetje predstavlja kršitev posameznega vidika varovanja informacij?
  2. Kako bodo informacije varovane na ponudnikovem servisu?
  3. Kako in kam bomo zagotovili varnostno kopijo informacij, ki bodo gostovane pri ponudniku?
  4. Če obdelujete osebne podatke pri ponudniku, ki ni iz EGS, kako bo podjetje zagotovilo skladnost s področno regulativo (GDPR …)?

Ob prvem vprašanju v splošnem velja pravilo, manj je več. Manj informacij, kot se nahaja na ponudnikovem servisu, manj škode bo podjetju verjetno povzročene ob morebitni zlorabi.

Če ne gostujete ravno celega prostora ali fizične omare, je precej verjetno, da bo ponudnik tehnično imel dostop do vašega (navideznega) diska in s tem posledično vseh podatkov. Seveda je mogoče podatke na disku tudi zaklepati, pri tem pa je pomembno vedeti, kdo v resnici ima ključ za njihovo odklepanje.

Nedavna izkušnja z OVH je pokazala, da varnostna kopija, ki se nahaja samo pri ponudniku, ne bo dovolj. Razmislite o variantah, pri tem pa upoštevajte pravilo 3-2-1 in ocene, v kolikšnemm času želite povrniti operativno stanje po morebitnem neljubem dogodku.

Skladnost pa zahteva tudi poznavanje prakse in trenutne situacije obravnave osebnih podatkov. Kot je videti, sta Amazon AWS in platforma Doctolib celo uspela prepričati francosko upravno sodišče, da obdelava ni v nasprotju z odločitvijo Schrems II, vendar so bili ob tem upoštevani precej ostri pogoji, ki jih običajna podjetja proti AWS težko dosežejo.

Tako vprašanj kot tudi možnih odgovorov ob vzpostavljanju gostovanja je seveda še precej več. V odvisnosti od vrste informacij bo podjetje precej verjetno potrebovalo tudi zunanjega strokovnjaka za oceno tveganj in zagotavljanje primernega varovanja osebnih podatkov. Ne boste preveč zgrešili, če bo strokovnjak dokazano in z dolgoletnimi izkušnjami obvladal IT, standard ISO 27001, kakor tudi razširitev tega standarda na področju GDPR in GDPR sam. Še bolje bo, če za njim stoji celotna ekipa in nacionalno priznana poklicna kvalifikacija, kot jo recimo izvaja Info Hiša.

Napačno bi bilo, če bi na osnovi gornjega menili, da se je oblakom potrebno za vsako ceno izogniti in uporabiti zgolj lastne strežniške storitve, saj tudi slednje niso popolne. Vendar o tem več kdaj drugič. (P.R.)


Prijavi napako v članku
Članek je pripravljen v sodelovanju s podjetjem Info Hiša.
Vas zanima več iz te teme?
hramba podatkov

Povezave



Kaj berejo drugi?

Partnerji Računalniških novic Prikaži vse

Zlati partner

Računalniški muzej

Celovška cesta 111, 1000 Ljubljana,
Že od leta 2004 si jemljemo za svoje osnovno poslanstvo opominjanje na informacijsko dediščino. Kot kulturna ustanova s sedežem v Ljubljani, se posvečamo zbiranju, ohranjanju ... Več
Bronasti partner

Agencija POTI – Z znanjem do cilja!

Stegne 7, 1000 Ljubljana, Tel: 01 511 39 21
Agencija POTI – Z znanjem do cilja! Agencija POTI, izobraževalna, svetovalna in založniška družba, si je v več kot 20. letih delovanja, pridobila obilico znanja in izkušenj ... Več

MA-KO d.o.o.

Tovarniška cesta 2b, 5270 Ajdovščina, Tel: 05 368 11 10
Se sprašujete, kako najti najboljšega ponudnika računalniških sistemov in storitev? Kriteriji dolgoletne izkušnje, kakovostne storitve in zadovoljstvo strank takoj obrodijo ... Več
Diamantni partner

Digitalno inovacijsko stičišče Slovenije

Dimičeva ulica 13, 1000 Ljubljana, Tel: 040 606 710