Maciej Kuźniar: Chmury dobrze chronią prywatność, pod warunkiem, że wiesz o co w nich chodzi

Z naszego doświadczenia wynika, że dla większości przedsiębiorców myślących o przeniesieniu swojego e-biznesu w chmurę podstawowym problemem nie są wcale kwestie techniczne. Czy chodzi o internetowy sklep, serwis rezerwacyjny czy system CRM – z perspektywy aplikacji chmura jest takim samym środowiskiem uruchomieniowym, jak tradycyjny serwer. Problem tkwi w czymś innym. Gdzie fizycznie znajdują się dane, gdy wgrane już zostaną do chmury? Czy wrażliwe informacje, takie jak dane osobowe klientów, nie trafią czasem w niepowołane ręce? Czy nie będzie problemów z instytucjami takimi jak GIODO czy UOKiK, jeśli okaże się, że to wszystko jest gdzieś poza Polską? A jeśli już dane są poza Polską, to czy nie podlegają czasem innemu prawodawstwu?

To nie są pytania wyssane z palca. Zdarza się, że podczas różnych konferencji menedżerowie i szefowie firm opowiadają nam ciekawe historie. Na przykład o tym, że słyszeli, że „chmura to cały Internet”, więc obawiają się, że przenosząc swoje serwisy internetowe i aplikacje do Oktawave, udostępnią dane całemu Internetowi. Inni z kolei czytali coś o prawie, które pozwala amerykańskim władzom na dowolne naruszenia prywatności obywateli państw Unii Europejskiej – i boją się, że mogą zostać pociągnięci do odpowiedzialności za taki wyciek danych tutaj w Polsce. Dlatego też nie możemy przemilczeć tej kwestii.

Chmury obliczeniowe wywodzą się z USA. Tam znajdują się siedziby firm, które grają pierwsze skrzypce na rynku cloud computing – Amazon, Google, Microsoft czy Rackspace. Od czasu zamachu z 9/11 i rozpoczęcia w Stanach Zjednoczonych wojny z terroryzmem, administracja USA robi co może, by zyskać nowe uprawnienia w zakresie inwigilacji nie tylko swoich obywateli, ale też i mieszkańców innych krajów.

Złą sławą okryta jest ustawa US PATRIOT ACT, która m.in. pozwala amerykańskim służbom specjalnym na uzyskanie dostępu do dowolnych danych przechowywanych na serwerach amerykańskich dostawców usług internetowych (przy jednoczesnym zakazie informowania ich, że dane takie zostały wydane). Z kolei ustawa FISAAA otwarcie pozwala amerykańskim służbom na szpiegowanie obywateli Unii Europejskiej poprzez przechwytywanie wszelkich form ich komunikacji (i to bez nakazu sądowego).

Gdy zapyta się amerykańskiego dostawcę usług internetowych, jak to ma się do praw Unii Europejskiej, na której terenie też przecież działa, zwykle wskaże na program ramowy US-EU Safe Harbor, pozwalający firmom z USA na uzyskanie zgodności z europejskimi wymogami dotyczącymi danych osobowych, w szczególności dyrektywą 95/46/EC. To prawda, oficjalnie w ten sposób regulowane są kwestie ochrony prywatności użytkowników z Unii Europejskiej, ale czy oznacza to, że US Safe Harbor faktycznie chroni ich prywatność?

Nie nam o tym rozstrzygać – możemy tylko wskazać na to, że eksperci wielokrotnie krytykowali zarówno kształt tego programu, jak i jego procedury wykonawcze. Co gorsza zaś, do tej pory odpowiednie urzędy UE nie wypowiedziały się w kwestii wejścia w życie poprawek do wspomnianej ustawy FISAAA (w szczególności sekcji 1881a), pozwalającej na masowe podsłuchy osób zamieszkałych poza USA i gromadzenie ich danych, przechowywanych w obsługiwanych przez amerykańskich operatorów usługach internetowych – w tym chmurach obliczeniowych.

Jak więc widzicie, zarówno w świetle europejskiego, jak i polskiego prawa, trzymanie serwisów internetowych i aplikacji – szczególnie takich, które przetwarzają dane określane jako wrażliwe – w należących do amerykańskich operatorów chmurach obliczeniowych, może być problemem.

Ale uwaga! To nie nasz problem. Żaden element infrastruktury Oktawave nie znajduje się poza Polską, nie ma więc żadnego sposobu, by ktokolwiek mógł wydobyć od nas dane naszych klientów w sposób niezgodny z polskim czy europejskim prawem. Przenosząc swój e-biznes do Oktawave, nie musicie się martwić o Amerykę i jej prawa. Co innego, jeśli korzystacie lub chcielibyście korzystać z Amazona czy Azure.

Sceptyczni Czytelnicy pewnie teraz się uśmiechną pod nosem – jak to, wystarczy się odciąć od USA, by móc zagwarantować użytkownikom właściwą ochronę prywatności? Oczywiście tak nie jest.

Operatorzy chmur „lokalnych”, działających w granicach jednego państwa, muszą rozwiązać wiele innych problemów, zanim będą mogli użytkownikom zagwarantować właściwe traktowanie ich danych. To nie tylko kwestia tego, jak dane będą przechowywane, czy jak zabezpieczony będzie dostęp do nich. Trzeba rozwiązać też takie kwestie, które w pierwszej chwili nie są oczywiste: jak chronić się przed przechowywaniem danych naruszających prawo, jak reagować w sytuacji, gdy ujawnienie danych jest wymagane przez prawo (by nie naruszyć przy tym prywatności innych użytkowników), jak pozbywać się danych użytkowników, którzy podziękowali za współpracę, czy też wreszcie, jak edukować użytkowników w zakresie tych wszystkich kwestii.

O tym, jak rozwiązaliśmy niektóre z tych kwestii, możecie się dowiedzieć z naszego Regulaminu – mamy nadzieję, że przejrzystego i możliwego do przeczytania przez każdego, nie tylko prawników. Te kilkanaście stron to niewiele w porównaniu do np. ilości tekstu, z którym powinien zapoznać się użytkownik Dokumentów Google (przynajmniej pięć długich dokumentów, z których każdy linkuje do jeszcze innych dokumentów).

Zauważycie więc w naszym Regulaminie, że stawiamy dość rygorystyczne wymogi, co do przestrzegania prawa przez użytkowników w zakresie korzystania z usług Oktawave (cóż, nie chcemy być czymś w rodzaju Chomika), gwarantując poza tym całkowitą neutralność w kwestii przechowywania i wykorzystania danych – nie monitorujemy tego, co przechowujecie na swoich serwerowych instancjach w żaden sposób, nie rezerwujemy sobie też żadnych praw do wykorzystania informacji pozyskanych w trakcie działania wykupionych przez użytkownika usług (jak np. wspomniane Google), ani też nie minimalizujemy „na siłę” naszej odpowiedzialności wobec użytkownika, jak to się zdarza zagranicznym dostawcom.

Regulamin to jedno, a rozwiązania techniczne – drugie. W tej drugiej kwestii zrobiliśmy co było możliwe, by do danych użytkownika nie uzyskał dostępu nikt niepowołany. Dajemy więc do ręki granularny system uprawnień dostępu, pozwalający określić, kto i na jakich warunkach będzie mógł korzystać z usług i danych, wirtualne sieci prywatne, dzięki którym można odizolować najbardziej wrażliwe instancje (np. bazy danych) od sieci publicznej, wykorzystanie bezpiecznych protokołów SSH i RDP do łączenia się z konsolami serwerowych instancji i wymuszanie transmisji danych z i do chmury po szyfrowanych połączeniach SSL. Być może w przyszłości, jeśli okaże się to potrzebne, wprowadzimy jeszcze inne sposoby zabezpieczeń.

Jednego jednak nie możemy zagwarantować: świadomości użytkownika. Aby te wszystkie zabezpieczenia działały, tak jak powinny, użytkownik musi zdawać sobie sprawę z tego, jak powinien korzystać z wykupionych u nas usług (np. jak budować sieci prywatne czy szyfrować dane). Od razu takiego wykształconego użytkownika zapewne mieć nie będziemy, ale liczymy, że budowana przez nas baza wiedzy na temat Oktawave stanie się z czasem miejscem, w którym będziecie mogli znaleźć kompleksowe porady, także w kwestii ochrony swojej prywatności i bezpieczeństwa.

PS Zachęcamy Czytelników Spider’s Web do zadawania pytań i pogłębiania wiedzy. Jesteśmy tutaj, by pomóc Wam w adopcji optymalnych i oszczędnych rozwiązań dla Waszych projektów.

Maciej Kuźniar - dyrektor projektu Oktawave. Pasjonat technologii związanych z przetwarzaniem i przechowywaniem danych, posiadający 10 lat doświadczenia w pracy dla klientów klasy enterprise (banki, telekomy, fmcg). Autor koncepcji technologicznie wspierających rozwój startupów oraz rozwiązań architektonicznych gwarantujących wysokie HA i SLA dla systemów IT.