Cloudové služby sa stali prirodzenou súčasťou fungovania verejnej správy. Umožňujú rýchle nasadenie riešení, flexibilitu a často aj úsporu nákladov. Zároveň však prinášajú zásadnú zmenu. Informačné systémy a údaje už nie sú fyzicky pod priamou kontrolou organizácie.

Jednotný metodický rámec (JMR) sa na cloud pozerá pragmaticky. Nepovažuje ho za problém, ale za prostredie, ktoré musí byť riadené, kontrolované a najmä zmluvne ošetrené. Ak tieto základy chýbajú, cloud sa rýchlo stáva zdrojom bezpečnostných aj právnych rizík.

Cloud nie je len technológia, ale zmluvný vzťah

Jednou z najčastejších chýb pri využívaní cloudových služieb je spoliehanie sa na všeobecné obchodné podmienky poskytovateľa. Tie však spravidla:

• neriešia špecifiká verejnej správy,
• neobsahujú konkrétne bezpečnostné záväzky,
• neposkytujú jasné záruky pri incidente, kontrole alebo audite.

Bezpečnosť cloudu sa preto začína už pri obstarávaní a uzatváraní zmluvy, nie až pri technickej prevádzke služby.

Bezpečnostné požiadavky, ktoré musia byť jasné

Medzi základné oblasti, ktoré by mali byť vždy predmetom rokovania s poskytovateľom cloudovej služby, patrí najmä to, kde sú údaje uložené a spracúvané, ako sú riadené prístupy a identity, akým spôsobom sa oznamujú bezpečnostné incidenty, ako je riešené zálohovanie a obnova dát a čo sa stane s údajmi po ukončení služby.

Tieto požiadavky nemajú zostať len všeobecnými vyhláseniami. Musia byť konkrétne, merateľné a vymáhateľné, aby mala organizácia reálnu kontrolu nad tým, čo sa s jej údajmi deje.

Checklist ako praktický nástroj, nie formalita

Praktickým pomocníkom pre organizácie je checklist bezpečnostných požiadaviek na cloudové služby. Pomáha porovnávať ponuky rôznych poskytovateľov, identifikovať slabé miesta ešte pred podpisom zmluvy a pravidelne overovať, či poskytovateľ plní dohodnuté záväzky.

Checklist umožňuje posunúť sa od marketingových tvrdení k overiteľným faktom, ktoré je možné preukázať aj pri kontrole alebo audite.

Cloud pod kontrolou aj počas prevádzky

Bezpečnosť cloudu sa nekončí podpisom zmluvy. Organizácia by mala mať prehľad o používaných cloudových službách, pravidelne kontrolovať plnenie bezpečnostných požiadaviek a vedieť si vyžiadať dôkazy o ich dodržiavaní.

Aj keď cloudovú službu technicky prevádzkuje dodávateľ, zodpovednosť za údaje a služby zostáva vždy na strane organizácie.

Menej rizika, viac istoty

Správne nastavený cloud:

• znižuje riziko bezpečnostných incidentov,
• uľahčuje zvládnutie kontrol a auditov,
• poskytuje vedeniu organizácie istotu, že cloud je využívaný zodpovedne.

Cloud vo verejnej správe nie je otázkou technológií. Je to otázka jasných pravidiel, zmluvných záväzkov a kontroly.

Praktický infobox

5 otázok, ktoré by si mala organizácia položiť pri cloude

1. Vieme presne, aké cloudové služby používame a na čo? Alebo sa niektoré služby používajú „popri oficiálnych systémoch"?
2. Máme v zmluve jasne definované bezpečnostné požiadavky? Alebo sa spoliehame len na všeobecné podmienky poskytovateľa?
3. Vieme, kde sú naše údaje uložené a kto k nim má prístup? Máme to zmluvne aj prakticky pod kontrolou?
4. Máme dohodnuté oznamovanie incidentov a postup pri ich riešení? Vieme, čo sa dozvieme a v akom čase?
5. Vieme, čo sa stane s údajmi po ukončení služby? Máme garantovaný návrat dát alebo ich bezpečné vymazanie?