Rośnie świadomość przedsiębiorstw i administracji publicznej co do korzyści z wdrożenia modelu chmurowego, a ostatnie tygodnie i kryzys wywołany pandemią powinny uświadomić ostatnich nie uświadomionych. Nie zmienia to faktu, że migracja do chmury, nawet tylko wybranych obszarów IT, to wielowymiarowe przedsięwzięcie dotykające wielu aspektów działalności organizacji, począwszy od strategii i kultury.

Oczywiście z faktu rosnącej świadomości nie należy wyciągać pochopnych wniosków. Nadal jest wiele pracy do wykonania wspólnie z podmiotami w zakresie edukacji. Co jednak nie mniej ważne szybka ewolucja samej technologii jak i otoczenia biznesowego czy prawnego sprawia, że wszyscy – nawet doświadczeni gracze rynkowi – muszą wciąż stawać naprzeciw nowym wyzwaniom dostosowując się do nowych okoliczności i aktualizując swoją wiedzę. Cieszy włączanie się w edukację i rozwój rynku chmurowego w Polsce firm i organizacji stanowiących różne elementy chmurowej układanki: kancelarie prawne specjalizujące się w umowach chmurowych i ryzyku kontraktowym, firmy doradcze czy organizacje branżowe – jak ZBP i Forum Technologii Bankowych w przypadku sektora finansowego. Warto przywołać tutaj inicjatywę PolishCloud Academy, która ma promować i edukować w zakresie rozwiązań chmury obliczeniowej w sektorze bankowym.

Również w sektorze administracji publicznej obserwujemy działania zmierzające do wprowadzenia możliwości korzystania z usług chmurowych przez ten sektor w sposób bezpieczny, kontrolowany i w zakresie dopuszczalnym przez prawo. Ma to umożliwić uruchamiana platforma ZUCH czyli system Zapewnienia Usług Chmurowych. Rozwiązanie to, będące efektem m.in. Uchwały Rady Ministrów WIIP (Wspólna Infrastruktura Informacyjna Państwa) z września 2019 r. oraz specustawy o przeciwdziałaniu COVID-19 zostało częściowo uruchomione (wersja Beta umożliwia m.in. rejestrację dostawców) i ma udostępniać kupującym możliwość zapoznania się z szeroką gamą oferowanych przez zweryfikowanych dostawców usług świadczonych z chmury obliczeniowej lub usług wsparcia związanych z chmurą obliczeniową.

Chmura ≠ technologia

Postrzeganie chmury przede wszystkim przez pryzmat technologii jest najczęściej powodem bądź poważnych problemów organizacji migrującej do chmury swoją infrastrukturę bądź nawet porażki i wycofania się z projektu. Przejście na model chmury obliczeniowej nie może być celem samym w sobie a umocowanym w strategii biznesowej ponieważ transformacja dotyka niemal wszystkich obszarów organizacji. Stąd rozpatrując ryzyka związane z adopcją modelu chmurowego należałoby uwzględnić cztery sfery działalności, którymi są: organizacja, prawo, technologia i kompetencje. Pominięcie lub niedoszacowanie znaczenia którejkolwiek z nich to niemal pewny przepis na problemy.

– Kilka lat doświadczeń we wdrożeniach chmurowych w Polsce pokazuje, że największe wyzwania stoją w firmach po stronie organizacyjnej – twierdzi Michał Jaworski, Członek Zarządu w polskim oddziale Microsoft – Technologia jest do opanowania najszybciej, wymagania regulacyjne z większym wysiłkiem, ale też nie jest to mission impossible. Natomiast podchodzenie do chmury tak jak robiliśmy to przez lata do inwestycji we własną infrastrukturę to potencjalny zwiastun problemów.

Rezydencja – gdzie są moje dane?

Rezydencja, czyli miejsce przechowywania danych (lokalizacja), odnosi się do sytuacji, w której podmiot – przedsiębiorstwo lub organ administracji publicznej – określa, że dane są przechowywane w wybranym przez niego miejscu geograficznym, zwykle uwarunkowanym prawnie, regulacyjnie bądź poprzez polityki wewnątrz organizacji.

Temat ten nabiera coraz większego znaczenia z uwagi na ustawodawstwo (RODO) i w konsekwencji prawa przysługujące osobom fizycznym w zakresie wykorzystania ich danych przez firmy zarówno w na terenie Unii Europejskiej, jak i poza nią. Przedsiębiorstwa międzynarodowe przetwarzające dane muszą zapewnić prywatność i bezpieczeństwo, jeśli są one udostępniane bądź przetwarzane za granicą. Również zrozumienie wymagań prawnych dotyczących przechowywania danych w danym kraju ma zasadnicze znaczenie dla spełnienia standardów prywatności i bezpieczeństwa danych.

– Od lokalizacji danych zaczynamy niemal każdą dyskusję o chmurze. Ludzie nie mogą uwierzyć, że ani RODO, ani inne akty prawne nie nakazują utrzymywania danych w granicach Rzeczpospolitej – śmieje się Jaworski – Kiedy uświadamiają sobie, że Dublin i Lublin są tak samo dobrą lokalizacją i to samo mówią regulatorzy zaczyna się normalna rozmowa. Natomiast lokalizacja i bliskość do datacenter nabierze znaczenia kiedy połączy się chmurę z przepustowością 5G. No, ale to już zupełnie inna historia… – dodaje.

Sektory regulowane – ryzyko wzrasta

Ramy prawne w jakich poruszają się organizacje z branż regulowanych można podzielić na cztery grupy. Pierwsza to ogólne uwarunkowania ustawowe na poziomie państwa lub regionu (jak Europejski Obszar Gospodarczy – EOG), które dotyczą wszystkich podmiotów przetwarzających dane. Takim aktem jest oczywiście Rozporządzenie o Ochronie Danych Osobowych (RODO) znane również na terenie UE pod nazwą GDPR (General Data Protection Regulation). Drugą grupą są uwarunkowania szczegółowe odnoszące się do poszczególnych branż, mające na celu regulację przetwarzania danych i ich ochronę z punktu widzenia potrzeb i zagrożeń specyficznych dla danego sektora. Przykładami dla odpowiednich segmentów rynku mogą być ustawa o krajowym systemie cyberbezpieczeństwa, ustawa o informatyzacji, prawo bankowe czy ustawa o prawach pacjenta. Kolejnym poziomem są mocniej lub słabiej egzekwowane zalecenia tzw. soft-law. W przypadku branży finansowej kluczowym dokumentem w zakresie przetwarzania w chmurze jest Komunikat UKNF. Ostatnia grupa to wewnętrzne polityki korporacyjne definiujące co wolno a czego nie na poziomie grupy kapitałowej i obowiązujące najczęściej globalnie.

Krokiem otwierającym możliwość szacowania ryzyka związanego z migracją do chmury publicznej, który powinien mieć miejsce jeszcze przed podjęciem się przez organizację projektu przygotowawczego, jest klasyfikacji danych.

– Proces klasyfikacji informacji i ich oceny musi odpowiadać na dwa podstawowe pytania: czy przetwarzanie określonych informacji w chmurze obliczeniowej jest zgodne z prawem oraz czy jest zgodne z wewnętrzną, świadomą polityką organizacji, która akceptuje fakt, że informacje będą przetwarzane w środowisku, nad którym kontrola jest w wielu aspektach ograniczona. – uważa Marcin Białkowski, Head of Risk & Cloud Services w kancelarii Maruta Wachta. – Regulacje prawne zarówno sektora finansowego jak i publicznego dopuszczają wprost możliwości przetwarzania informacji w usługach chmurowych i podobnie opisują zakresy wymagań, które muszą zostać spełnione.

Natomiast ocena ryzyka dla organizacji jest niezależna od zero-jedynkowej dopuszczalności, gdyż bierze pod uwagę wiele innych czynników składających się na wartość danych oraz stopień awersji do ryzyka. – Zupełnie innym zagadnieniem jest, czy organizacja świadomie chce przenieść swoje zasoby informacyjne do chmury. – wyjaśnia Marcin Białkowski. – I w tym kontekście biznesowa wartość posiadanych informacji oraz ich wolumen silnie wpływa na szacowanie ryzyka i sam proces zarządzania zidentyfikowanym ryzykiem, ponieważ inny poziom ryzyka będzie w sytuacji pilotażowego wdrożenia na bazie kilkudziesięciu klientów, a inny, gdy usługa przetwarza całą bazę klientów dużego banku. Dlatego projekty migracyjne muszą uwzględniać docelowe lub co najmniej rosnące wolumeny danych zarówno w kontekście zagrożeń technologicznych jak i organizacyjnych. – dodaje.

Podejście oparte na ryzyku

Przetwarzanie danych w chmurze i wykorzystanie najnowszych technologii umożliwia przedsiębiorstwom utrzymanie się na czele stawki czy nawet zdystansowanie rywali biznesowych w erze dominacji technologii informatycznych. Wprowadza jednak także wiele nowych rodzajów ryzyka. Nowych w porównaniu z tradycyjnymi modelami operacji on-premises. Według Cloud Security Alliance, dziewięć kluczowych zagrożeń związanych z przetwarzaniem w chmurze to: naruszenia integralności i wycieki danych, utrata danych, przejęcie konta, niezabezpieczone interfejsy API, ataki DDoS, nieuprawniony dostęp użytkowników, nadużycia usług w chmurze, niedostateczny proces due dilligence oraz problemy związane z technologią współdzieloną. Dobrze zdefiniowane ramy oceny ryzyka oraz oparte na ryzyku podejście do adopcji przetwarzania w chmurze przez organizację pomaga zminimalizować te zagrożenia i umożliwia przedsiębiorstwom spójne i bezpieczne wdrażanie modelu chmurowego.

– Każdy projekt migracji chmurowej opiera się na szacowaniu ryzyka. Problem w tym, że weryfikacja umowy czy regulaminów nie wystarcza. Konieczna jest kompleksowa analiza prawna, technologiczna i organizacyjna, która dotyka zarówno zagadnień zgodności dostawcy usług chmurowych z regulacjami i branżowymi standardami (vide komunikat chmurowy UKNF dla sektora finansowego czy standardy cyberbezpieczeństwa dla sektora publicznego), ale także przygotowania podmiotu korzystającego z usług (choćby zapewnienie właściwych kompetencji technicznych). – uważa Marcin Białkowski.

Największym wyzwaniem dla większości firm może być obecnie niedostateczna wiedza co do charakteru posiadanych danych w rozumieniu omawianych wcześniej regulacji. Wspomniana klasyfikacja danych przed przystąpieniem do wdrażania chmury jest niezbędna aby przeprowadzić odpowiednią ocenę ryzyka. Ponadto w celu zachowania poufności i integralności danych organizacje muszą zwiększyć środki ochrony z wykorzystaniem narzędzi zapobiegania wyciekom danych, szyfrowania danych, uwierzytelniania wieloskładnikowego czy filtrowania (jak np. identyfikacji danych osobowych w dokumentach nieustrukturyzowanych). Konieczne jest również przygotowanie procesu wyboru dostawców chmury, kierując się w nim zgodnością z RODO pod względem gwarancji posiadania przez dostawcę wiedzy fachowej, wiarygodności i zasobów jak i zgodnością ze standardami branżowymi, przede wszystkim norm ISO/IEC czy też SOC1 i SOC2.

– O ile weryfikacja prawna może być w niektórych przypadkach procesem powtarzalnym, o tyle szacowanie ryzyka technologicznego czy organizacyjnego jest silnie zależne o rodzaju przetwarzanych informacji, konfiguracji usług i wymaga odniesienia do wielu źródeł rzetelnej, sprawdzonej wiedzy, referencji, benchmarków, analizy przyczyn i następstw, itd. – zaznacza Marcin Białkowski. – A to wymaga wysiłku, umiejętności planowania i zdolności do ciągłej weryfikacji zgodności (samych zmian w usługach chmurowych trzech głównych dostawców jest kilkaset miesięcznie, tu także rolę odgrywają zmiany umów, z reguły kilka rocznie). W tym kontekście Risk Based Approach to złożony system, w którym certyfikaty ISO i oświadczenia dostawców są ledwie pomocą, a nie podstawą weryfikacji zagrożeń i oceny ryzyka. – podsumowuje.

Risk Based Approach (RBA) – podejście oparte na ryzyku, które zostało wprowadzone przez RODO w największej ogólności czerpie z dziedzin zarządzania projektami IT oraz strategii zarządzania ryzykiem i ma zastosowanie w wielu dziedzinach związanych z compliance, jak np. przeciwdziałanie praniu brudnych pieniędzy w sektorze bankowym. W tabeli 1 prezentujemy przykład podejścia wykorzystujący zarządzanie ryzykiem w projektach wg PMI, ale można stosować też inne ramy, jak Risk Management Framework dla systemów IT opublikowany przez amerykański NIST. RBA pozwala, w przeciwieństwie do podejścia legalistycznego, na holistyczne ujęcie ryzyk uwzględniając różnorodność sytuacji jak i zmienną rzeczywistość technologiczną.

Tabela 1 Cztery etapy procesu zarządzania ryzykiem w RBA, przykład w oparciu o zarządzanie ryzykiem w projektach wg standardu PMI.

Ustanowienie solidnych fundamentów ograniczania ryzyka wykorzystania chmury pozwala organizacjom działać bardziej bezpiecznie i świadomie. Jednak konieczna jest ciągła ocena i ograniczanie ryzyka – pamiętajmy, że Risk Based Approach nie kończy się wraz z zakończeniem migracji do chmury, powinno być stałym składnikiem zarządzania całością IT w organizacji, nie ograniczając się do chmury.