Cloud computing: Proč se ho nemusíte obávat?

17.červen 2011 | Autor: Josef Donát

Jedním z nejčastěji skloňovaných výrazů v oblasti informačních technologií se v poslední době stal tzv. cloud computing.

Podstatou cloudových služeb je sdílené využívání IT technologií více uživateli za účelem efektivní utilizace výpočetního výkonu a aplikací. Daní za tuto flexibilitu je, že uživatel služby nemá plně pod kontrolou technologie, které jsou k poskytování služeb využívány. Na co by si měl dávat uživatel cloudových služeb pozor, aby se nemusel tolik obávat bezpečnosti cloud computingu?

1. Znát svá práva

Jakkoliv se to zdá triviální, základem je znát svá práva a povinnosti, tedy mít psanou smlouvu a vědět, co je v ní napsané.

2. Vhodně formulovat smluvní povinnosti

V prostředí cloudu běží technologie na serverech umístěných v různých koutech světa, aplikaci si uživatel spouští stejně jako jakoukoliv známou webovou stránku. Je proto nezbytné dbát zejména na správné formulace smluvních práv a závazků – vezměme si například formulaci „poskytovatel je povinen zajistit, že aplikace bude zákazníkovi dostupná 95 % provozní doby poskytování služby“ a její (zdánlivě vhodnější) alternativu „poskytovatel vyvine maximální úsilí k tomu, aby zákazník mohl aplikaci užívat 99,95 % provozní doby poskytování služby“. V druhém případě sice poskytovatel deklaruje vyšší dostupnost, ale zákazník se svého práva na takovou dostupnost nemusí vždy domoci.

3. Využívat flexibilitu s jistotou

Cloud computing umožňuje flexibilní změny rozsahu poskytovaných služeb v závislosti na aktuálních potřebách uživatele. Pokud si však smluvní strany nestanoví jasná pravidla pro změny parametrů služby, může se zákazníkovi stát, že jeho proaktivní (či naopak méně bystrý) zaměstnanec „vykliká“ v administrátorském rozhraní služby příliš veliký objem služeb, které jsou poskytovatelem okamžitě alokovány a spotřebovány uživateli zákazníka.

Obdobně to platí i pro přidělování uživatelských práv, kdy paradoxně velmi častá porušení bezpečnostních opatření jsou způsobena udělením příliš širokých užívacích práv jednotlivým uživatelům, kteří se tak v systému „omylem“ dostanou i k informacím, které by jim neměly být přístupné.

4. Řídit se správným právem a neporušovat právo jiné

V současné době nejrozšířenější cloudové služby jsou poskytovány nadnárodními IT společnostmi, které obvykle sídlí mimo Českou republiku. Je pak zcela logické, že cloudové smlouvy uzavírané s takovými společnostmi se obvykle budou řídit cizím právním řádem. Kromě poněkud obtížnější vymahatelnosti práva je však pro uživatele relevantní dodržování zákonů platných v České republice.
Typickým příkladem je velmi komplexní právní úprava ochrany osobních údajů zákonem č. 101/2000 Sb., o ochraně osobních údajů. Tento zákon totiž může zásadně rozlišovat, zda se zpracovávané osobní údaje nacházejí na území České republiky anebo mimo území EU. V případě cloudových služeb uživatel mnohdy netuší, kde přesně jsou jeho data uložena, a pokud taková data obsahují i osobní údaje, mohl by tak (byť i nevědomky) porušovat zákony České republiky.

5. Udělat vše pro zabezpečení

Je zjevné, že další daní za flexibilitu je omezená schopnost kontroly nad fyzickým uložením dat a přístupu k nim. Je proto vhodné do cloudové smlouvy vložit taková ustanovení, která z právního pohledu zvýší jistotu a bezpečí zákazníka. Mezi taková ujednání může patřit např. právo zákazníka na bezpečnostní audity, penetrační testy, ISO certifikace poskytovatele či on-line přístup k systémovým informacím a logům.

Cloud není horší než vlastní server

Pokud by snad čtenář nabyl dojmu, že cloudové služby jsou z bezpečnostního či právního hlediska rizikové, opak je pravdou! Jsem přesvědčený, že správná cloudová smlouva ve spojitosti se spolehlivým poskytovatelem cloudových služeb jsou tou optimální kombinací, jak si zákazník může zajistit moderní technologie za zlomek nákladů, které by v porovnání s tradičním způsobem pořizování IT technologií jinak musel vynaložit.