Jak zabezpieczyć się przed ryzykiem wycieku danych w przypadku korzystania z usług w chmurze?

Związku z rosnącą popularnością korzystania z usług chmurowych podmioty objęte KSC (operatorzy usług kluczowych i dostawcy usług cyfro­wych), jak również inni przedsiębiorcy zainteresowani wykorzystaniem chmury w swojej działalności powinni w sposób szczególny zabezpieczyć się przed wyciekiem danych gromadzonych za pomocą tej metody agregowania informacji w przedsiębiorstwie. Rozwiązania chmurowe są w sposób szczególny narażone na potencjalne ataki, niebezpieczne zwłaszcza w kontekście kradzieży danych osobowych.

W tym celu warto rozważyć wdrożenie następujących przykładowych środków technicznych i organizacyjnych:

  • stosowanie oprogramowania szyfrującego, uwierzytelniającego, monitorującego potencjalne zagrożenia oraz antywirusowego,
  • kontrolowanie dostępu przez nadawanie stosownych do zajmowanego stanowiska (bądź posiadanych kompetencji) uprawnień dostępu,
  • tworzenie backupów (kopii zapasowych) systemu/danych,
  • przygotowanie dokumentacji wewnętrznej w przedsiębiorstwie, która będzie regulowała zasady korzystania z rozwiązań chmurowych, w tym polityki bezpieczeństwa informacji, instrukcji obsługi oprogramowania,
  • wymaganie od pracowników okresowej zmiany haseł do usług chmurowych, przy czym hasła dostępu powinny posiadać określoną, utrudniającą jego „złamanie” strukturę (wykorzystanie znaków specjalnych oraz małych i dużych liter w haśle),
  • organizowanie szkoleń z zakresu bezpiecznej obsługi systemu dla użytkowników.

Odnośnie środków prawnych, jakie powinni podjąć przedsiębiorcy, najistotniejszą kwestią zdaje się być zawarcie z dostawcami oprogramowania chmurowego tzw. umów SLA (Service-Level Agreement). Na ich podstawie dostawcy
zobowiązują się do zapewnienia i utrzymania określonego w umowie poziomu usługi informatycznej świadczonej jego odbiorcy.

W ramach umów SLA (w praktyce nazywanych również umowami o świadczenie usług utrzymania) – obok postanowień podstawowych typu: ustalenie specyfikacji oraz parametrów oprogramowania komputerowego, do których utrzymania zobowiązuje się jego dostawca, okreś­lenie tzw. dostępności oprogramowania chmurowego (tj. czasu nieprzerwanego działania serwisu), raportowanie i monitoring świadczonych usług SLA, tryb zgłaszania wady i czas ich diagnostyki oraz naprawy (często zależny od charakteru i istotności błędu) – w kontekście ochrony przed wyciekiem danych warto zadbać o:

  • wdrożenie procedur tzw. eskalacji błędów, tj. monitorowania oraz automatycznego przesyłania informacji o błędach (w szczególności błędach w zakresie bezpieczeństwa) bezpośrednio do dostawcy rozwiązania chmurowego, z pominięciem w tym zakresie pośrednictwa usługobiorcy,
  • zobowiązanie dostawcy do regularnego udostępniania tzw. update-ów (aktualizacji) lub patchy („łatek”) w celu uniknięcia „luk” bezpieczeństwa rozwiązań opartych na chmurze,
  • zobowiązania odnośnie zasad ciągłości działania oprogramowania chmurowego, w tym tworzenia kopii zapasowych (backupów) oraz określenia czasu ich przywracania.

Przedsiębiorcy (w tym operatorzy usług kluczowych, jak i dostawcy usług cyfrowych) powinni również pamiętać o wyborze takiego dostawcy usług chmurowych, którego serwery znajdują się w państwach należących do EOG. W innym przypadku w ramach przekazywania danych osobowych dostawcy w związku z korzystaniem z usług chmurowych przedsiębiorcę będą obowiązywać także przepisy Rozdziału V RODO regulujące szczególne zasady przekazywania tych danych do państw trzecich (tj. właśnie spoza EOG).