Digitalizacija
09.04.2021 07:47
Posodobljeno 4 meseci nazaj.

Deli z drugimi:

Share

Tveganja oblačnega shranjevanja (osebnih) podatkov

Oblačne storitve v vseh oblikah so dandanes moderne. V oblaku najdemo gostovanje strežnikov, storitev in celo zlobne programske opreme. Kljub temu pa se je potrebno zavedati, da »oblak« ni nujno vsemogočen, predvsem pa tudi ne nujno skladen.

Avtor: Primož Govekar

Sploh manjša podjetja, ki si niso želela ali zmogla privoščiti primernih strokovnjakov s področja informacijskih in komunikacijskih tehnologij, so že zelo hitro zaznala, da lahko podatke hranijo zunaj svojih strežniških okolij in s tem tveganja – predvsem za izgubo podatkov – prenesejo na zunanje ponudnike, računajoč, da se nič bistvenega ne more zgoditi.

Slabost zgoraj omenjenga razmišljanja so dokazali nedavni dogodki, ko je bilo zaradi požara v strežniškem centru podjetja OVH za nekaj časa prekinjeno delovanje 3,6 milijona spletnih strani, nekateri uporabniki pa so za stalno izgubili vse podatke.

V nadaljevanju ne smemo pozabiti, da je tveganje izgube (kršitve razpoložljivosti) podatkov samo eno od tveganj, ki jih je potrebno upoštevati. Drugi dve skupini tveganj, ki izvirata iz samih vidikov varovanja informacij in bi ju podjetja ob vzpostavljanju kakršnegakoli sistema hrambe podatkov morali upoštevati, sta še tveganji razkritja (izguba zaupnosti) in potvorbe (izguba integritete) informacij oziroma osebnih podatkov.

Četrta skupina tveganj pa je povezana s skladnostjo. Če pri zunanjem ponudniku obdelujemo osebne podatke, je tu seveda najprej skladnost z GDPR ter področno prakso. Ravno na področju skladnosti je bila preteklo leto julija sprejeta pomembna sodba Sodišča EU, ki je razveljavila zasebnostni ščit in s tem močno otežila gostovanje pri ponudnikih, ki imajo svoje centre v ZDA ali pa izvirajo iz ZDA in so (kljub temu da imajo podatkovne centre v EU) zavezani k spoštovanju ameriških predpisov.

Pred najemom si zastavite vsaj štiri vprašanja

Torej ni dovolj, da podjetje zgolj najame prostor pri nekemu ponudniku in »so vsi problemi rešeni«. Odločitev za najem prostora je zadnji korak v zagotavljanju skladnosti in varovanja osebnih podatkov in podjetje mora pred tem preučiti vsaj:

  1. Katere informacije bomo obdelovali pri zunanjem ponudniku in kakšno tveganje za podjetje predstavlja kršitev posameznega vidika varovanja informacij?
  2. Kako bodo informacije varovane na ponudnikovem servisu?
  3. Kako in kam bomo zagotovili varnostno kopijo informacij, ki bodo gostovane pri ponudniku?
  4. Če obdelujete osebne podatke pri ponudniku, ki ni iz EGS, kako bo podjetje zagotovilo skladnost s področno regulativo (GDPR …)?

Ob prvem vprašanju v splošnem velja pravilo, manj je več. Manj informacij, kot se nahaja na ponudnikovem servisu, manj škode bo podjetju verjetno povzročene ob morebitni zlorabi.

Če ne gostujete ravno celega prostora ali fizične omare, je precej verjetno, da bo ponudnik tehnično imel dostop do vašega (navideznega) diska in s tem posledično vseh podatkov. Seveda je mogoče podatke na disku tudi zaklepati, pri tem pa je pomembno vedeti, kdo v resnici ima ključ za njihovo odklepanje.

Nedavna izkušnja z OVH je pokazala, da varnostna kopija, ki se nahaja samo pri ponudniku, ne bo dovolj. Razmislite o variantah, pri tem pa upoštevajte pravilo 3-2-1 in ocene, v kolikšnemm času želite povrniti operativno stanje po morebitnem neljubem dogodku.

Skladnost pa zahteva tudi poznavanje prakse in trenutne situacije obravnave osebnih podatkov. Kot je videti, sta Amazon AWS in platforma Doctolib celo uspela prepričati francosko upravno sodišče, da obdelava ni v nasprotju z odločitvijo Schrems II, vendar so bili ob tem upoštevani precej ostri pogoji, ki jih običajna podjetja proti AWS težko dosežejo.

Tako vprašanj kot tudi možnih odgovorov ob vzpostavljanju gostovanja je seveda še precej več. V odvisnosti od vrste informacij bo podjetje precej verjetno potrebovalo tudi zunanjega strokovnjaka za oceno tveganj in zagotavljanje primernega varovanja osebnih podatkov. Ne boste preveč zgrešili, če bo strokovnjak dokazano in z dolgoletnimi izkušnjami obvladal IT, standard ISO 27001, kakor tudi razširitev tega standarda na področju GDPR in GDPR sam. Še bolje bo, če za njim stoji celotna ekipa in nacionalno priznana poklicna kvalifikacija, kot jo recimo izvaja Info Hiša.

Napačno bi bilo, če bi na osnovi gornjega menili, da se je oblakom potrebno za vsako ceno izogniti in uporabiti zgolj lastne strežniške storitve, saj tudi slednje niso popolne. Vendar o tem več kdaj drugič. (P.R.)

Vas zanima več iz te teme?
hramba podatkov

Prijavi napako v članku

Partnerji Računalniških novic Prikaži vse

Zlati partner

SOPHOS d.o.o.

Germova ulica 9, 8000 Novo mesto, Tel: 07 393 56 00
Podjetje Sophos je sinonim za zagotavljanje IT varnosti in varovanje podatkov za podjetja. Danes njihovi izdelki varujejo več kot 240.000 podjetij in 100 milijonov uporabnikov. Zaupajo ... Več
Zlati partner

Endava

, ,
Srebrni partner

LESTRA d.o.o.

Vaška pot 17c, 1235 Radomlje, Tel: 01 563 60 60
Vodilni na področju trženja projektorjev – strokovno svetovanje, izposoja, montaža in servis Z več kot 30-letnimi izkušnjami in najboljšo izbiro projekcijske opreme za vas. V ... Več
Diamantni partner

ISF TEAM d.o.o.

Ulica Jožeta Jame 14, 1210 Ljubljana Šentvid, Tel: 070 420 063
ISF Team poskrbi za zanesljivo zaščito vašega računalniškega sistema Kako poskrbeti za zanesljivo zaščito računalniških sistemov? Za ustrezno varnostno zaščito in kar ... Več