Czy mogę przetwarzać w chmurze publicznej informacje niejawne?
Przetwarzanie informacji niejawnych w systemach teleinformatycznych wymaga spełnienia specjalnych warunków (zgodnie z ustawą o ochronie informacji niejawnych). W praktyce oznacza to, że przetwarzanie informacji niejawnych w chmurze publicznej może być poważnie utrudnione, jeśli w ogóle możliwe.
Systemy teleinformatyczne, które przetwarzają informacje niejawne – muszą mieć akredytację udzielaną, jeśli informacje są oznaczone klauzulą „zastrzeżone”, przez kierownika jednostki. Informacje niejawne z klauzulą „poufne” lub wyższą – muszą mieć akredytację Agencji Bezpieczeństwa Wewnętrznego lub Służby Kontrwywiadu Wojskowego.
Tymczasem wykorzystanie rozwiązań chmury publicznej powoduje wiele problemów, które mogą ograniczać możliwość przetwarzania informacji niejawnych. Dotyczy to m.in.:
- kontroli nad infrastrukturą – większość dostawców rozwiązań chmurowych dysponuje rozproszoną infrastrukturą, a zarządzanie nią pozostaje całkowicie w gestii dostawcy. Usługobiorcy natomiast najczęściej nie mają możliwości analizy sposobu funkcjonowania infrastruktury, faktycznej lokalizacji zasobów czy ich fizycznych zabezpieczeń
- architektury i mechanizmów działania chmury publicznej – korzystający z chmury nie mają dostępu do informacji o stosowanych formach zabezpieczeń informatycznych, technikach szyfrowania, mechanizmach rozpoznawania oraz usuwania błędów czy incydentów
- modyfikowania i rozwijania oprogramowania budującego chmurę – usługobiorca rozwiązań chmurowych może korzystać z oprogramowania, ale nie ma wpływu na jego zmianę czy rozwój, a tym samym może tylko w ograniczony sposób reagować na ryzyka, które występują, gdy oprogramowanie jest modyfikowane
- usuwania danych – o ile postanowienia umowne to przewidują, usługobiorca może żądać od dostawcy usług, by usunął informacje z zasobów w chmurze, jednak w praktyce kontrolowanie procesu usuwania tych informacji oraz śladów po nich jest ograniczone
- testów i audytów – możliwość przeprowadzania testów i audytów najczęściej ogranicza się do funkcjonalności, które oferuje usługobiorca poprzez udostępniany przez niego interfejs. Nie ma możliwości audytowania i testowania oprogramowania dostawcy, które jest podstawą rozwiązań chmurowych.
Autor: Szymon Sankiewicz
Artykuły powiązane:
Materiały
Budowa prywatnej chmury administracji publicznejStandard API dla udostępniania danych
Podstawa prawna
Opinia prawna w przedmiocie dopuszczalności używania w jednostkach administracji publicznej rozwiązania chmurowego w modelu SaaS wspierającego komunikację wewnętrzną i zarządzanie dokumentami w zakresie prac wewnętrznych i projektów ministerstwa, opracowana przez kancelarię Maruta Wachta sp. j.
Ustawa z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych