Skąd się bierze zaufanie w chmurze?

Żeby napić się piwa nie trzeba kupować browaru – ale żeby mieć pewność co do bezpieczeństwa systemu informatycznego nadal lepiej utrzymywać własny dział IT. Prawda? A może tylko nadmierna nieufność? Tak czy tak, wątpliwości związane z bezpieczeństwem danych w chmurze nie są niczym niezwykłym, zarówno wśród drobnych przedsiębiorców jak i menadżerów korporacji. Problem próbują rozwiązać zarówno regulatorzy jak i dostawcy usług chmurowych.

Chmura jak piwo

Migracja do chmury ma wbrew pozorom całkiem sporo wspólnego z… kupowaniem piwa. W obydwu przypadkach, mimo iż konsekwencje nieuczciwości albo nieudolności dostawcy mogą być opłakane, opieramy się na zaufaniu do niego. Z tym że, w przypadku piwa, sprawy zostały uregulowane już jakiś czas temu. Słynne niemieckie prawo czystości piwa pochodzi z XVI wieku, a jego lokalne odpowiedniki obowiązywały od XII wieku. Ta wczesna forma interwencji władzy miała na celu zachowanie pewnego minimalnego poziomu jakości, a nawet bezpieczeństwa (nieuczciwi piwowarzy zastępowali chmiel różnymi mniej lub bardziej jadalnymi składnikami). Co ciekawe, mimo uchylenia wspomnianego przepisu przez Europejski Trybunał Sprawiedliwości w 1987 roku, wielu niemieckich browarników nadal stosuje się do jego zasad. Oczywiście, informując o tym konsumentów dumnym napisem na butelce "Gebraut nach dem deutschen Reinheitsgebot" (niem. „uwarzono zgodnie z niemieckim prawem czystości piwa”).

Jaki ma to związek z chmurą?

Zarówno w przypadku piwa, jak i chmury, klient nie ma zwykle wystarczających kompetencji do ocenienia jakości wybranego produktu. Musi więc kierować się zaufaniem. A zaufanie na rynku ma dwa źródła – regulację (zapewnienie prawnego minimum, wskazanie dostawcom pola do konkurowania) i konkurencję (gdyby nie ona, niemieccy piwowarzy zapomnieliby natychmiast o uchylonym prawie). Z oczywistych względów, zarówno regulacja jak i konkurencja na polu usług chmurowych nie mają tak długiej tradycji jak w przypadku piwa. Wygląda jednak na to, że coś się zaczyna w tej dziedzinie dziać.

Komu można przekazać dane osobowe?

W 2010 roku Komisja Europejska wydała decyzję nt. standardowych klauzul umownych dotyczących przekazywania danych osobowych podmiotom mającym siedzibę poza wspólnotą. Dokument ten zawiera listę zobowiązań, które powinna podjąć firma odbierająca dane osobowe od podmiotu działającego na terenie Unii. Chodzi o to, by zapewnić danym taką samą ochronę jak ta, która wynika z prawa wspólnotowego – nawet, jeśli przechowywane są one przez firmę spoza UE.

Problem ten dotyka dostawców usług chmurowych, spośród których wielu mieści się w USA. Teoretycznie, europejskie firmy, które chciałyby umieścić w chmurze systemy przechowujące dane osobowe (a więc na przykład system CRM zawierający informacje nt. klientów) powinny wybierać partnerów unijnych lub takich, którzy umieszczą w umowie wspomniane klauzule.

Tymczasem, według firmy badawczej IDC, jedynym dużym dostawcą usług w chmurze proponującym tego rodzaju zapisy jeszcze pod koniec 2011 roku był Microsoft. Firma oczywiście nie omieszkała pochwalić się tym faktem, przy okazji mniej lub bardziej bezpośrednio wrzucając kamyczek do ogródka swojego największego konkurenta na polu usług chmurowych, Google. Operator Gmaila odpowiedział w czerwcu tego roku, informując o planach wprowadzenia standardowych klauzul do umów zawieranych z przedsiębiorcami działającymi na terenie UE.

Ochrona danych osobowych to tylko jeden wycinek szerszego problemu bezpieczeństwa danych w chmurze. By zyskać pełne zaufanie klientów, dostawcy usług muszą przestrzegać lokalnych regulacji. A stosowanie standardów bardziej wyśrubowanych niż wymagane przez przepisy może być dla nich istotną przewagą konkurencyjną.