Wszystkie teksty umieszczane na Linkedin lub naszych stronach internetowych są naszą opinią. Prosimy nie traktować ich jako porady prawnej w konkretnej sprawie, ponieważ konkretna sprawa zawsze wymaga indywidualnej analizy.
Magazyn Rzeczpospolita opisał, jak to FBI będzie kontrolować polskie dane za pomocą Cloud Act. Problem niebłahy, ale chyba zbyt publicystycznie podkręcony.
Straszenie wilkiem z lasu, pytanie tylko, czy jest tam wilk i czy jest aż tak straszny. Ale przynajmniej artykuł wywołuje dyskusję o chmurze, więc OK. Nie wiem, na ile FBI jest realnym problemem polskiego przedsiębiorcy, ale jestem przekonany, że polityka migracji do chmury powinna skłaniać do namysłu. Dla wielu z nas chmura to jedyna rozsądna droga usprawnienia procesów biznesowych, stąd potrzeba raczej poważnej dyskusji niż prostego straszenia.
Tak, jest taka ustawa. W konkretnych przypadkach, co do konkretnego podmiotu (nie generalnie, nikt na podstawie tych przepisów nie może sobie „przeglądać” serwerów), zasadniczo za zgodą sądów, władze USA mogą uzyskać nakaz udostępnienia danych, nawet jeżeli takie dane są trzymane poza granicą USA. Jest to pokłosie m.in sporu MS z władzami, w którym MS skutecznie zaskarżał takie próby. Ustawa jest, praktyki brak, więc nie wiemy jak realnie jest groźna (zwłaszcza, że zapewne duże firmy zaskarżą nakazy i będziemy sądownie sprawdzać, czy Cloud Act dotyczy np. spółek córek). Ale nie można wykluczyć, że służby USA będą w określonych sytuacjach z tego korzystać, do własnego rozważenia pozostawiam, na ile jest to dla nas bezpośrednio niepokojące. Ogólnie – owszem jest, jak wiele regulacji, taki świat, wolelibyśmy inaczej, ale wpływ mamy na to niewielki.
Cloud Act to jeden klocków, który pokazuje, że chmura nie jest prosta. Pokazuje też jak wrażliwa jest lokalizacja danych. Warto zauważyć, że to problem szerszy niż USA – trzymając dane we Francji czy Singapurze tamtejsze władze też mogą mieć w określonych przypadkach dostęp do naszych danych. A w Polsce taki dostęp ma państwo polskie. Oczywiście USA, jak to USA, idą dalej, pewnie niejeden kraj tak by chciał, ale to USA kontroluje największych dostawców chmury.
Jeżeli ktoś realnie obawia się reakcji służb państwa trzeciego, to pozostaje albo stricte lokalna chmura, albo brak chmury, albo super mocne szyfrowanie, z nadzieją że NSA nie potrafi go złamać (swoją drogą każdy duży dostawca chmury daje odpowiednie narzędzia).
No i przede wszystkim kluczowy jest namysł jakie dane (klasyfikacja!), jak zabezpieczone, do jakiego dostawcy przekazujemy. Warto prześledzić wytyczne KNF – banki i ubezpieczyciele są chyba chmurowo przeregulowani, ale wiele obserwacji Komisji jest trafnych (w tym te o lokalizacji).
Bardzo inteligentnie z chmury przy JPK korzystało Ministerstwo Finansów, więc mamy kilka przykładów, że nawet przy danych wrażliwych da się tym zarządzić. Wszelkie rozwiązania „bilokalizacyjne” (dane trzymane lub przetwarzane w Polsce, szyfrowane kopie dla bezpieczeństwa poza) też są warte rozwagi, zwłaszcza że powstają polskie podmioty świadczące takie usługi, jak wspomniana w artykule Chmura Krajowa. Jeżeli artykuły o FBI skłonią nas do takiej analizy, świetnie.
Artykuł Rzeczpospolitej nie poruszył – w mojej opinii – super istotnego zjawiska, czyli aplikacji. Jak przejdziemy z poziomu danych na SaaS, może okazać się, że własne szyfrowanie za pomocą własnego klucza jest trudne lub wręcz niemożliwe. To wyzwanie dla użytkowników facebooka, trello, o355, gmail, salesforce i miliona innych rozwiązań. Problem dla części organizacji może być realny, tylko nie zawsze istnieje sensowna alternatywa. Aplikacje i takie rozwiązania są wszędzie, od iphone po polityków i nie wierzę, że można z nich zrezygnować. Tutaj porada korzystania z lokalnych rozwiązań ma ograniczone zastosowanie, choć taki lokalny, polski Google (czy inny gracz, oby ich było jak najwięcej) może pomóc (dane tylko na terytorium RP, jeżeli tego wymagamy).
Ciekawy jest też wątek RODO.
Gdzieś między słowami odczytuję, może niezamierzony przez Rzeczpospolitą, komunikat, że Cloud Act jest „ważniejszy” od RODO i „łamie” RODO. To dwie niezależne regulacje, które mogą być ze sobą sprzeczne, jak wiele innych. Klasyczna niekompatybilność. Z perspektywy europejskiej ważne jest, że przekazanie danych osobowych na podstawie Cloud Act prawie na pewno będzie naruszeniem RODO. Ze wszystkimi tego konsekwencjami dla dostawcy chmury, od roszczeń po 4% obrotu.
Temat na dłuższą analizę, ale trudno będzie administratorowi zarzucić tutaj naruszenie prawa, on będzie miał prawidłową umowę z dostawcą. Nie wiem jak z tego wybrną dostawcy, ale nie jest tak, że Cloud Act zwolni ich z konsekwencji.
Bardzo dobrze, że na temat chmury zaczyna się poważna dyskusja (swoją drogą linki do innych artykułów oraz przedstawione w artykule infografiki pokazują, jakim zagrożeniem może być brak chmury). Mamy z nią trylion różnych problemów, od jednostronnych umów po cloud acty, więc dobrze o tym pisać i rozmawiać. Ale nie trywializować, sprowadzając problem do mitycznego backdooru za pomocą którego FBI od rana do wieczora ogląda nasze dane.