Хмарні обчислення далеко не нова технологія доступу до ІТ сервісів. В перспективі їх використання дозволить створити потужну інформаційно-телекомунікаційну систему, яка стане технологічним рішенням побудови й розвитку нової інфраструктури країни. Останнім часом в Україні намагаються врегулювати відносини пов’язані із функціонуванням систем хмарних обчислень. Необхідність внесення змін до законодавства викликана рядом особливостей зберігання і обробки персональних даних у хмарі, а також порядком підтвердження рівня захисту інформації в системі.
Природа хмари
Згідно з визначенням Національного інституту стандартів і технології (NIST) у США, хмарні обчислення — це модель забезпечення повсюдного та зручного доступу на вимогу, через мережу до спільного пулу обчислювальних ресурсів (наприклад, до комунікаційних мереж, серверів, засобів збереження даних, прикладних програм та сервісів), які можуть бути забезпечені та оперативно надані з мінімальними управлінськими затратами чи зверненням до провайдера послуг. «Хмарою» метафорично називають Інтернет, який приховує всі технічні деталі.
Тобто будь-який технічний пристрій із підключенням до Інтернету зможе виконувати складні обчислення, використовуючи потужності віддаленого сервера, опрацьовувати дані, які зберігаються на цьому сервері. Найвідоміші у світу хмари: Google Docs; Google Cloud Platform; Amazon та Rackspace.
Використання хмарних обчислень в Україні
Переваги даної технології очевидні: економічність, швидкість, еластичність, універсальність доступу. Що ж до недоліків, то на практиці виникає три головні проблеми:
1) постачальник послуг об’єднує ресурси (системи, яких може бути безліч) для обслуговування великої кількості споживачів в єдиний пул для динамічного перерозподілу потужностей. Кожен сервер, який є складовою системи, повинен бути сертифікований у відповідності з законодавством (в окремих випадках, про що йтиметься нижче).
2) фактична незахищеність даних, які обробляються у системі хмарних обчислень.
3) складний характер відносин між користувачем, надавачем та власником систем хмарних послуг.
Пропонуємо перейти до детального аналізу зазначених вище проблемних моментів.
Так, за загальним правилом (відповідно до положень Закону України «Про захист інформації в інформаційно-телекомунікаційних системах») власник системи визначає умови обробки інформації в системі відповідно до договору, укладеного з володільцем такої інформації.
В свою чергу, зазначений вище закон встановлює випадки, коли інформація повинна оброблятися в системі із застосуванням комплексної системи захисту інформації із підтвердженням її відповідності. Такі вимоги встановлюються для:
— державних інформаційних ресурсів;
— інформації з обмеженим доступом.
Таким чином, для створення комплексної системи захисту державних інформаційних ресурсів або інформації з обмеженим доступом використовуються засоби захисту інформації, які мають сертифікат відповідності або позитивний експертний висновок за результатами державної експертизи у сфері технічного та/або криптографічного захисту інформації. Це означає, що для роботи державних інформаційних ресурсів за допомогою хмарних обчислень або для обробки інформації із обмеженим доступом кожному із осередків розміщення інформаційної інфраструктури системи необхідно бути сертифікованим в порядку, встановленому законодавством України.
Частіше ресурси знаходяться поза межами України, тому видати такий сертифікат попросту неможливо, а міжнародний стандарт, відповідність якому встановлена органами іноземної держави, поки не визнається достатнім підтвердженням належного рівня захисту інформації. Більшою мірою зазначене обмеження проявляється щодо розміщення на таких ресурсах інформації з обмеженим доступом, наприклад, конфіденційної.
Другий нюанс про який йтиметься ̶ при використанні сервісів хмари, користувач передає контроль над інформацією провайдеру хмари, що несе в собі додаткові ризики для безпеки інформації. Користувач стає залежним від провайдера хмари та може втратити контроль над інформацією. В такому випадку гостро постає питання порядку витребування інформації у незаконного володільця й відшкодування завданої шкоди за допомогою загальних засобів захисту цивільних прав.
Також закон не містить чіткого підходу до розподілу відповідальності між власником системи і надавачем хмарних послуг за втрату даних або порушення права власності на інформацію, прав інтелектуальної власності користувача, в тому числі і його авторських прав. На сьогодні це положення має бути ключовим у договорі про надання хмарних послуг, в протилежному випадку не уникнути зайвої судової тяганини за позовами до неналежного відповідача.
Начебто, Закон України «Про захист інформації в інформаційно-телекомунікаційних системах» обов’язок із забезпечення захисту інформації в системі покладає на власника системи, однак надавач хмарних послуг інсталює на ІТ ресурси власника власне програмне забезпечення. Якщо несанкціоновані дії у системі відбудуться через недоліки цього ПЗ, то власник системи не буде нести відповідальність перед користувачем, оскільки відсутня вина як умова цивільно-правової відповідальності.
Хмарне майбутнє
На сьогодні користувачі з обережністю ставляться до використання систем хмарних обчислень, у зв’язку із побоюваннями втрати важливої інформації. Однак, ця проблема може бути вирішена на законодавчому рівні, шляхом удосконалення правого регулювання.
Директива ЄС 95/46/EC забороняє передачу персональних даних в інші країни поза Європейським Союзом, які не пропонують «адекватний рівень захисту», що начебто створює додаткові гарантії збереження конфіденційної інформації в таємниці. В той же час, вимога заважає оперативному впровадженню хмарних обчислень, оскільки наслідком відсутності рішення Європейської комісії про адекватний рівень захисту даних в певній країні є потреба введення додаткових заходів захисту системи в цій державі при надходженні персональних даних із 28 країн Європи. Рішення Європейської комісії приймається за результатами комплексної процедури перевірки усіх нюансів передачі даних: законодавства країни, професійних правил, які виконуються, ступені безпеки тощо.
Цим та рядом інших актів встановлюються безліч стандартів, спричиняється зарегульованість діяльності інформаційних систем. За підсумками звіту Cloud Standards Coordination на кінець 2013 року нараховувалось близько 50 чинних стандартів, які стосувались сфери хмарних обчислень. Європейська Комісія змушена була розробити стратегію «Розкриття потенціалу хмарних обчислень в Європі» і зараз намагається подолати чисельні вимоги до безпеки баз даних знизивши чи взагалі прибравши їх, фактично знизивши й рівень безпеки інформаційних систем.
В Україні використання систем хмарних обчислень регулюється загальними нормами законів про інформацію та її захист і положеннями приватного права. В свою чергу, у Верховній Раді України 24 березня 2016 року зареєстровано Проект Закону «Про внесення змін до деяких законодавчих актів України щодо обробки інформації в системах хмарних обчислень», який має виправити ситуацію із розпоряджанням інформацією.
Із прийняттям вказаного проекту можна говорити про гарантії захисту інформації та забезпечення виконання належним чином обов’язку із її зберігання провайдером шляхом запропонованого у вказаному Проекті переліку чисельних істотних умов, які мають міститись у договорі між надавачем хмарних послуг та володільцем інформації або власником системи. Головними із них є: порядок отримання володільцем інформації або власником системи інформації, яка оброблялась в системі хмарних обчислень, у випадку припинення надання хмарних послуг; порядок видалення інформації із системи хмарних обчислень; відповідальність сторін договору.
На початковому етапі такі зміни матимуть позитивний ефект, забезпечать зрозумілі для користувача механізми цивільного впливу на власника системи або провайдера, навіть після припинення його діяльності з надання хмарних послуг. За такої моделі регулювання збільшується обсяг обов’язків покладених на суб’єктів, чим створюються гарантії для користувача, але гнучкість приватних угод дозволить контролювати вид та розмір відповідальності без зайвих обтяжень надавача хмарних послуг.
Суттєве нововведення стосується й сертифікації. Проект робить можливим підтвердження Належного рівня захисту інформації в системі хмарних обчислень іноземним органом/організацією з оцінки відповідності та іноземним органом з акредитації, який є стороною угоди про визнання Міжнародного форуму з акредитації або Європейської кооперації з акредитації.
В майбутньому було б добре продовжити розвивати законодавство в напрямку популяризації хмарних систем, їх використання без остережень, а саме: посилити вимоги до тих з них, які використовуються державними органами, запровадити відповідальність державного органу за зберігання персональних даних і службової інформації в хмарі, визначити особливості надання адміністративних послуг за допомогою хмарних обчислень. Усе це створить правовий фундамент для розбудови якісно нової інформаційної інфраструктури країни.
Отже, хмарні обчислення – наступний етап інформаційного розвитку людства. В Україні досі залишається відкритим процес формування нормативно-правової бази врегулювання відносин з приводу їх використання. Досі для появи на теренах нашої держави послуг з надання хмарних сервісів вистачало лише договірного регулювання, однак для їх вдосконалення і подальшого поширення в українське законодавство мають бути внесені зміни з обов’язковим врахуванням розвитку хмарних технологій.