Облачные сервисы и технологии — невероятно удобный способ хранения и обработки данных вне пределов сети. Доступ к таким хранилищам можно получать в любое время практически из любой точки мира. Но как обстоят дела, если рассматривать использование таких сервисов с правовой стороны?
Давайте разберемся, стоит ли не задумываясь принимать условия лицензионного соглашения таких сервисов, поймем куда могут утекать наши загрузки и выясним, какими принципами и законами должны руководствоваться владельцы таких облаков, чтобы защитить данные своих пользователей.
Пару слов о себе и статье
Возможно, после изучения статьи будет удивительно узнать о том, что я не являюсь дипломированным юристом. Будучи специалистом в сфере информационной безопасности, порой я и сам забываю, что никогда не учился на юридическом. А все из-за того, что организационно-правовое обеспечение информационной безопасности нередко требует не меньших знаний в области права, чем в рамках самой безопасности.
Я начал интересоваться темой облаков чуть больше года назад, когда в России резко возросла необходимость в импортозамещении зарубежных облачных сервисов как для бизнеса, так и для рядовых пользователей. И в своей статье я, по большей части, рассматриваю проблему безопасности сервисов именно с точки зрения такого пользователя. Конечно, мы немного углубимся и в требования к провайдерам, но сделано это, скорее, для целостного понимания картины.
Прошу принять, что в этой статье мне довольно сложно выделить точную аудиторию, потому что у таких сервисов она невероятно обширна. Волей-неволей, но каждый из нас использовал их или хранил там персональные данные.
На мой взгляд, люди технологий выступают здесь примером, на который ориентируются все остальные. Ведь если мы будем пренебрегать изучением договоров, игнорировать вопрос сохранности и конфиденциальности данных, а также продолжим спустя рукава глядеть на то, что провайдер делает с нашей информацией, кто сделает это за нас?
И конечно, мы можем игнорировать проблему обеспечения безопасности облачных хранилищ. Но тогда наши конфиденциальные данные, оказавшиеся в новой базе утечек станут лишь вопросом времени. И едва ли будет важно из какой именно информационной системы выгрузили эти сведения: государственной, частной или коммерческой. Я за что, чтобы защищать их все!
Основная часть
Как облачные хранилища выглядят со стороны закона?
В связи с особенностями таких сервисов, их лицензионное соглашение, как правило, заключается между заказчиком и провайдерами услуг в онлайн-режиме. Вы самостоятельно выбираете: принять условия соглашения, нажать "Я согласен" и стать счастливым пользователем сервиса или не принимать условия и отказаться от использования услуги.
В то же время, сам договор размещен прямо в интернете и позволяет поставщику в любой момент внести изменения без надзора со стороны пользователя. Закон, конечно, устанавливает нормы, посвященные подобным договорам присоединения, но в силу колоссальных временных затрат шансы для появления судебных процессов по подобному изменению соглашения провайдером без уведомления пользователя остаются ничтожными.
А в чем проблема?
Главной проблемой облачного хранилища является вовсе не договор лицензионного соглашения. Ее корень в том, что по своей сути подобные сервисы не способны гарантировать безопасность передачи данных, их безоговорочную сохранность, а также отсутствие доступа к ним третьих лиц из-за разобщенности инфраструктуры и огромного количества пользователей.
Наиболее уязвимыми здесь, конечно, являются каналы передачи в облако, поскольку подобное соединение с сервисами редко обеспечено должным уровнем защиты от перехвата передачи, а то и вовсе выполняется из общественной сети. К этому также добавляются подбор контрольных вопросов учетных записей и методы социальной инженерии, применяемые к пользователю, для осуществления злоумышленником доступа к личному кабинету пользователя. И все это — не затрагивая возможные уязвимости информационной безопасности в инфраструктуре провайдера облака.
А владеет ли информацией пользователь?
Немаловажной проблемой является и недостаточный контроль пользователя над своими данными в облачном хранилище. Так, при удалении файла его копия может оставаться в облаке еще очень продолжительное время. Кажется неожиданным, но и в этому случае применимо выражение "Все что попало в интернет — остается там навсегда".
Кроме того, при размещении в инфраструктуре облака, заказчик не получает гарантий того что сам всегда и безоговорочно будет иметь к ним доступ. Что делать если сведения нужна здесь и сейчас, а сведения об учетной записи утеряны, сервер провайдера выключен на техобслуживание, выведен из строя или с любой из сторон отсутствует доступ к сети. Тут то и нарушаются основные принципы информационный безопасности, а именно — КЦД.
КЦД в информационной безопасности — это конфиденциальность, целостность и доступность информации.
Подобные огрехи упорно пытаются нивелировать так называемыми «Дисклеймерами», в которых владельцы облаков старательно пытаются освободить себя от ответственности при возникновении описанных выше проблем. Однако, все это зависит от юрисдикции в которой функционирует сервис. Так, ссылаясь на статью 9 гражданского кодекса РФ можно определить:
Отказ граждан и юридических лиц от осуществления принадлежащих им прав не влечет прекращения этих прав, за исключением случаев, предусмотренных законом.
Не стоит забывать и о законе «О защите прав потребителей», который всегда стоит брать во внимание при оказании услуг на возмездной основе. Все это влечет последствия как для провайдера, так и для пользователя хранилища.
А если сервис зарубежный?
Тут все становится гораздо интереснее!
Если сервис функционирует за пределами РФ, то одна из сторон — заказчик или провайдер облачных услуг – является иностранной. Это значит что объект в связи с которым возникают возмездные отношения — программное обеспечение и вычислительные мощности или серверы находятся заграницей. А уже это значит, что все юридические факты таких правоотношений имеют действие там, за рубежом.
Так что деятельность провайдера облачных услуг, что действия пользователя по размещению в облаке информации будут попадать под разные юрисдикции. А установления разных юрисдикций, в свою очередь, могут не совпадать или даже иметь противоречащие друг другу параграфы и статьи. При возникновении разбирательств придется учитывать правовые нормы сразу нескольких государств. И это будет отнюдь не просто.
Ведь первые проблемы ждут вас уже на этапе подачи искового заявления. Нужно будет выбрать сразу из нескольких вариантов подачи: по месту нахождения истца, по месту нахождения ответчика, по месту расположения серверной инфраструктуры, адресу осуществления деятельности или месту, из которого осуществили доступ к облаку.
Это разрешает нам сделать вывод о том, что решение подобных трансграничных споров будет непростым, если вообще возможным в текущих реалиях. А часто отстающее законодательство разных государств в отношении облачных технологий еще больше усугубит возникающие сложности в течении процесса.
В России все проще (не для операторов)
Во время выбора облака стоит учитывать территориальные ограничения на обработку и хранение данных, действующие в РФ.
Больше всего нас интересуют:
В рамках обработки и хранения ПДн:
-
Федеральный закон №152 говорит, что хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации должно осуществляться с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 настоящего Федерального закона.
Так как подобные сервисы в большинстве своем и используются для хранения персональных данных они попадают под это ограничение.
Что же касается органов государственной власти и государственных и муниципальных информационных систем:
-
Федеральный закон №149 обязывает, чтобы все технические средства государственных органов, органов местного самоуправления, государственных и муниципальных унитарных предприятий, государственных и муниципальных учреждений целиком и полностью находились на территории Российской Федерации.
Минкомсвязь России ведет реестр мест расположения технических средств ИС и контролирует выполнение предъявленных требований.
-
Приказ ФСТЭК №17 гласит, что все государственные и муниципальные информационные системы должны быть аттестованы.
Если информационная система расположена в зарубежном облаке или центре обработки данных — аттестовать ее не получится.
Правда, в нашем законодательстве существуют и требования, предъявляемые к заказчику.
В соответствии с Постановлением Правительства №1119 заказчик должен:
Выявить типы угроз безопасности персональных данных;
Установить необходимый уровень защищенности для конкретных ПДн;
Подобрать средства защиты информации.
А приказ ФСТЭК №17 обязывает его:
Классифицировать информационную систему в рамках требований, предъявляемых к защите информации;
Найти угрозы БИ, которые могут привести к нарушению безопасности информации и, основываясь на них, разработать соответствующую модель угроз;
Выявить требования к системе защиты информации.
На что обратить внимание в договоре?
Подытоживая правовую секцию статьи, рассмотрим список пунктов, на которые стоит обратить внимание при принятии условий договора использования облачного сервиса:
Указаны ли технические характеристики. Например: уровень сервиса, устанавливающий качественное описание предоставляемой пользователю услуги;
Присутствует ли ответственность за неработоспособность сервера. При этом обращайте внимание как на временное, так и постоянное отсутствие доступа;
Указано ли местонахождение аппаратуры и есть ли у оператора обязанности по сохранению и восстановлению информации (к примеру, резервное копирование данных), а также какие наступают последствия их несоблюдения;
Прописана ли обязанность провайдера хранилища сохранять конфиденциальность данных пользователей и защищать эти данные. В том числе с использованием криптографии и шифрования;
Какие последствия и основания для расторжения договора (обязан ли оператор стереть информацию после прекращения действия договора; существует ли срок для удаления информации; а если сведения не удаляются, то как оператор может использовать их в дальнейшем);
Какие последствия наступают при неоплате услуг (форматирование информации, приостановка и блокирование доступа и др.).
Выводы
В заключении хотелось бы пояснить, что облачные сервисы и технологии - это неизбежная часть нашей жизни, с которой большинство из нас сталкивается ежедневно.
Своей статьей я не призываю бойкотировать такие хранилища. Я лишь прошу всех с умом подходить к выбору провайдера облачных технологий: лучше, если он будет отечественным. Всегда анализируйте условия договора, его пункты, обязанности сторон и ответственность в случае их нарушения. А также разумно оценивайте риски безопасности информации и возможные последствия утраты данных во время использования таких сервисов.
Надеюсь, именно эту мысль вы и смогли почерпнуть для себя в моей первой статье.