Skoncentruj się na bezpieczeństwie w chmurze: strategie, architektury i modele umów w celu ochrony wrażliwych danych firmowych w cyfrowym świecie

Dane to narzędzie współczesnej cyfrowej gospodarki, a także nowe złoto dla firm (sektor prywatny), ale też dla państwa (sektor publiczny). W dzisiejszym cyfrowym świecie pojawia się nieustannie ogromna liczba nowych zbiorów danych, z których wiele trafia do internetu. Niektóre z nich dotyczą danych osobowych, które odzwierciedlają tożsamość cyfrową. Prawdziwą sztuką w firmie jest staranne filtrowanie tych danych, a przede wszystkim ich przechowywanie. Ta krótka praca ma na celu przedstawienie danych w chmurze oraz ich przetwarzania z perspektywy przedsiębiorstwa. Ponadto ta krótka praca pokazuje, jakie rodzaje umów, architektury oraz odpowiednie środki bezpieczeństwa przed cyberatakami stosuje branża, aby zapewnić solidne podstawy dla własnego przetwarzania danych.

Zanim przejdziemy do tematu bezpieczeństwa w chmurze, warto najpierw poznać kilka podstawowych informacji o tzw. „przetwarzaniu w chmurze”, jego działaniu i budowie chmury: „Przetwarzanie w chmurze to model przetwarzania danych, który pozwala w razie potrzeby wygodnie korzystać z wspólnej puli konfigurowalnych zasobów obliczeniowych (np. sieci, serwerów, systemów pamięci masowej, aplikacji i usług) w dowolnym miejscu i czasie za pośrednictwem sieci. Można je udostępniać szybko i przy minimalnym nakładzie administracyjnym lub niewielkiej interakcji z dostawcą usług. Chmurę można wykorzystywać w trzech wariantach (Infrastructure as a Service (IaaS), Platform as a Service (PaaS), Software as a Service (SaaS)). Rodzaj chmury różni się w zależności od sposobu udostępniania (chmura prywatna, chmura społecznościowa, chmura publiczna, chmura hybrydowa).» [1]

W dziedzinie chmury obliczeniowej istnieją różne rodzaje dostarczania usług, czyli sposoby, w jakie dostawcy chmury udostępniają swoje usługi użytkownikom. Istnieją cztery główne modele związane z chmurą obliczeniową:

1. Chmura publiczna

Chmura publiczna umożliwia wszystkim użytkownikom dostęp do zasobów komputerowych, takich jak sprzęt (system operacyjny, procesor, pamięć) lub oprogramowanie (serwer aplikacji, baza danych), na zasadzie abonamentu lub płatności zgodnie z rzeczywistym zużyciem. Praktyczne zastosowania to tworzenie i testowanie aplikacji do zadań krytycznych i niekrytycznych, takich jak udostępnianie plików czy usługi poczty elektronicznej.

2. Chmura prywatna

Chmura prywatna jest zazwyczaj wykorzystywana wyłącznie przez jedną organizację i może być zarządzana wewnętrznie lub przez zewnętrznego dostawcę usług IT. Chociaż chmury prywatne są często droższe od chmur publicznych ze względu na inwestycje w zakup i utrzymanie, skuteczniej odpowiadają na obawy organizacji dotyczące bezpieczeństwa i ochrony danych.

3. Chmura hybrydowa (połączenie fizycznego centrum danych lub zewnętrznej chmury prywatnej i/lub chmury publicznej)

Chmura hybrydowa korzysta zarówno z prywatnej, jak i publicznej infrastruktury chmury. Firmy wybierają ten model, żeby w razie potrzeby szybko rozbudować swoją infrastrukturę IT. Dzięki temu na przykład sklep internetowy może w sezonie świątecznym korzystać z zasobów chmury publicznej, żeby uzupełnić lub odciążyć swoją chmurę prywatną.

4. Chmura społecznościowa

Chmura społecznościowa obsługuje jednocześnie kilka organizacji, które korzystają z zasobów komputerowych. Należą do nich na przykład uniwersytety współpracujące w określonych obszarach badawczych lub podmioty państwowe, takie jak posterunki policji w obrębie jednego powiatu, które dzielą się zasobami. Dostęp do chmury społecznościowej jest ograniczony do członków tej społeczności.

W przypadku chmur publicznych koszty dla użytkownika końcowego są zazwyczaj niskie i nie wymagają większych inwestycji. Z kolei chmury prywatne wymagają wprawdzie inwestycji, ale zasadniczo pozwalają zaoszczędzić w porównaniu z kosztami eksploatacji własnej infrastruktury . Chmury prywatne zapewniają też większe wsparciew zakresie bezpieczeństwa i zgodności z przepisami niż chmury publiczne. Dlatego niektóre organizacje używają chmur prywatnych do przechowywania danych i aplikacji o znaczeniu krytycznym lub wrażliwych, a chmury publiczne do podstawowych zadań, takich jak tworzenie aplikacji, środowiska testowe i usługi pocztowe. [2]

Rozwiązanie chmury hybrydowej świetnie nadaje się do zmniejszenia ryzyka cyberataku lub jego dywersyfikacji. Zapewnia większą kontrolę nad własnym bezpieczeństwem w porównaniu z samym korzystaniem z chmury publicznej. Ponadto infrastruktura chmury hybrydowej pozwala na wdrożenie indywidualnych standardów bezpieczeństwa oraz dostosowanieoprogramowania na serwerach prywatnych. Takie rozdzielenie zwiększa niezawodność systemów i ułatwia ocenę sytuacji w przypadku problemów systemowych.

Dodatkowo jest to bardziej opłacalne niż kupowanie i utrzymywanie serwerów na miejscu. [3]

Modele architektury usług chmurowych

Biorąc pod uwagę te zalety rozwiązania chmury hybrydowej, od zwiększonej kontroli bezpieczeństwa po lepszą niezawodność, warto zrozumieć różne architektury usług w chmurze. Te architektury, a mianowicie Infrastructure as a Service (IaaS), Platform as a Service (PaaS) i Software as a Service (SaaS), oferują różne poziomy świadczenia usług i określają różne zakresy odpowiedzialności za zgodność z przepisami.

1. Infrastructure as a Service (IaaS)

Dostawcy IaaS zapewniająpodstawową infrastrukturę obliczeniową, pamięć masową i sieć, a także hiperwizor do wirtualizacji. Użytkownicy są odpowiedzialni za tworzenie i zarządzanie instancjami wirtualnymi, instalację systemów operacyjnych, udostępnianie aplikacji i danych oraz całą konfigurację. IaaS jest interesujące zarówno dla małych firm, jak i dla MŚP. Łatwa obsługa infrastruktury chmurowej, której nie musisz samodzielnie obsługiwać, to opłacalna alternatywa dla kupowania własnego sprzętu.

Przykłady: DigitalOcean, AWS, Azure, Google Compute Engine, Hetzner Cloud

2. Platform as a Service (PaaS)

Dostawcy PaaS rozszerzają stos aplikacji bardziej niż w przypadku IaaS, dodając systemy operacyjne i oprogramowanie pośredniczące (np. bazy danych). Użytkownicy skupiają się bardziej na tworzeniu aplikacji. Platforma zarządza infrastrukturą bazową.

Przykłady: AWS Elastic Beanstalk, Google App Engine.

3. Oprogramowanie jako usługa (SaaS)

Dostawcy SaaS oferują kompletny stos aplikacji. Użytkownicy mogą uzyskać dostęp do w pełni hostowanej aplikacji za pośrednictwem przeglądarki internetowej. Zarządzanie obciążeniami i zasobami IT leży całkowicie w gestii dostawcy SaaS, podczas gdy użytkownicy mają wyraźną kontrolę nad danymi tworzonymi przez aplikację.

Przykłady: Salesforce, Dropbox, Google Workspace, aBusiness Suite [4]

Chmura w prawie umów

Umowy SaaS nie zostały dotychczas wyraźnie uregulowane przez ustawodawcę. Na razie umowę SaaS można prawnie zaklasyfikować jedynie jako umowę mieszaną, zawierającą elementy umów o świadczenie usług, umów o dzieło oraz umów najmu. Obowiązujące prawo zależy zatem od konkretnego etapu świadczenia usług przewidzianego w umowie. Główny element umowy SaaS leży głównie w prawie najmu, bo udostępnianie oprogramowania najlepiej porównać do przekazania rzeczy w ramach najmu. Ponieważ oprogramowanie nie jest traktowane jako „rzecz” w rozumieniu prawa najmu, obecnie panuje pogląd, że umowy SaaS stanowią udostępnienie do użytku na czas określony. Jest to zgodne z przepisami i celem, jaki realizuje prawo najmu. [5]

Umowy PaaS w dużej mierze opierają się na umowach o gwarantowanym poziomie usług (SLA), które określają minimalny zakres usług oraz prawa i obowiązki obu stron umowy.

Ochrona danych i bezpieczeństwo danych odgrywają kluczową rolę, bo w usługach PaaS często przetwarzane są dane wrażliwe. Umowa musi zawieraćjasne postanowienia dotyczące ochrony danych osobowych. Ponadto konieczne jest określenie w umowie, kto jest właścicielem praw własności intelektualnej do stworzonych aplikacji, przy czym zazwyczaj użytkownik zachowuje prawo własności do aplikacji, a dostawca zachowuje prawo własności do platformy. [6]

Podsumowanie

Niezależnie od tego, czy chodzi o startup, firmę venture capital, małe lub średnie przedsiębiorstwo, czy też większą firmę, bezpieczeństwo w chmurze ma kluczowe znaczenie dla każdego przedsiębiorstwa.

Warto zwrócić uwagę nie tylko na to, z jakimi dostawcami chmury chcesz współpracowaćjako firma , ale teżna to , jakie warunki są przy tym ustalane.

W ostatecznym rozrachunku za bezpieczeństwo nie odpowiada wyłącznie dostawca usług chmury, ale równie ważną rolę w kwestii bezpieczeństwa chmury odgrywają pracownicy firmy.

Konieczne jest regularne inwestowanie w szkolenia i podnoszenie świadomości pracowników, aby mieć pewność, że dysponują oni niezbędną wiedzą na temat zasad i procedur bezpieczeństwa. Aby jednak w pełni wykorzystać potencjał chmury, firmy powinny inwestować zarówno w utrzymanie własnych systemów lub systemów partnerów zewnętrznych, jak i w rekrutację nowych pracowników IT. W ten sposób firma może zapewnić bezpieczeństwo systemów, a tym samym zwiększyć zadowolenie klientów, co w dłuższej perspektywie poprawi jej wizerunek.

Dużym problemem przy wyborze zewnętrznego dostawcy chmury zawsze była zależność od zagranicznych dostawców i ich przepisów dotyczących ochrony danych. Firmy radzą sobie z tym wyzwaniem, stosując takie środki jak dokładna weryfikacja polityki prywatności, hybrydowe rozwiązania chmurowe w celu minimalizacji ryzyka, ocena środków bezpieczeństwa i certyfikatów dostawców, oceny wpływu na ochronę danych, regularne monitorowanie i audyty, a także przygotowanie na ewentualne naruszenia ochrony danych. Strategie różnią się w zależności od wielkości i branży firmy, ale wszystkie mają na celu zapewnienie zgodności z przepisami o ochronie danych i zminimalizowanie potencjalnych zagrożeń związanych z korzystaniem z zewnętrznych usług w chmurze.

Bibliografia

Przetwarzanie w chmurze
https://www.swissbanking.ch/de/themen/digitalisierung-innovation-cyber-security/cloud-computing

Model wdrażania w chmurze (2014)
https://www.sciencedirect.com/topics/computer-science/cloud-deployment-model

Zrozumieć chmurę – wiesz, czym jest chmura publiczna, a czym chmura hybrydowa? (2023)
https://www.speechlive.com/at/blog/die-cloud-verstehen-wissen-sie-was-eine-public-cloud-und-was-eine-hybride-cloud-ist

Czym jest IaaS? Definicja i ciekawostki
https://bsh-ag.de/it-wissensdatenbank/iaas-infrastructure-as-a-service/

Platforma jako usługa (PaaS) (2022)
https://www.computerweekly.com/de/definition/Platform-as-a-Service-PaaS

Na co warto zwrócić uwagę przy tworzeniu umów SaaS (2022)
https://www.top.legal/wissen/saas-vertraege

Umowy Platform-as-a-Service (PaaS): przewodnik (2023)
https://www.anwalt.de/rechtstipps/platform-as-a-service-vertraege-paas-vertraege-ein-leitfaden-216904.html