Jednym z podstawowych ryzyk wskazywanych przy okazji omawiania problematyki cloud computingu jest bezpieczeństwo danych. Co ciekawe, w praktyce może się okazać, że wbrew wszelkim pozorom przetwarzanie w chmurze może zapewnić nam lepszą ochronę tajemnic przedsiębiorstwa niż tradycyjne sposoby.
Tajemnica przedsiębiorstwa to jedno z zagadnień, które regularnie pojawia się w ramach spraw z zakresu własności intelektualnej. Czasami jest to wręcz pierwsze zagadnienie, z którym trzeba się uporać, zanim dotrzemy do właściwego problemu – mam na myśli umowy o zachowaniu poufności (zwane często NDA – non disclosure agreements), których podpisanie jest warunkiem przejścia do omawiania meritum współpracy.
Jednak jednym z podstawowym problemów z umowami dotyczącymi zachowania poufności jest trudność w zapewnieniu ich przestrzegania. W praktyce bowiem niezwykle trudno jest udowodnić naruszenie postanowień takiej umowy. A nawet jeśli uda się tego dowieść, to o ile w umowie nie przewidziano kar umownych, zwykle trzeba się ograniczyć do roszczeń o charakterze niemajątkowym ze względu na trudności z wykazaniem szkody (pomijam problematykę odpowiedzialności karnej).
NDA – magiczne zaklęcia
Wynika to z tego, że ochrona tajemnicy przewidziana w takich umowach polega zwykle wyłącznie na zobowiązaniu osób, które weszły w posiadanie tajemnicy przedsiębiorstwa, do jej przestrzegania. Ochrona ta ma zatem charakter wyłącznie formalny – polega ona w dużej mierze na założeniu, że skoro dana osoba jest zobowiązana do przestrzegania poufności informacji, to niezależnie od tego, że taką informację posiada, nie wykorzysta jej w sposób zabroniony umową.
Taki formalny charakter mają np. postanowienia umowy przewidujące obowiązek zniszczenia poufnych danych po zakończeniu współpracy – w praktyce nigdy nie mamy pewności, czy dane zostały zniszczone, ufamy jednak, że skoro osoba zobowiązana do zachowania tajemnicy oświadczyła, że nośniki z informacjami poufnymi zniszczyła, to nawet, jeśli tego nie zrobiła, to co najmniej z obawy przed odpowiedzialności prawną nie wykorzysta tych informacji.
Postanowienia takie mają zatem charakter magicznego zaklęcia.
Jest to zatem sytuacja, w której może dojść do rozdźwięku między formalnie prawidłowo sformułowaną i zawartą umową a możliwością zapewnienia faktycznego jej przestrzegania.
Najlepszym zatem rozwiązaniem jest takie udostępnianie informacji poufnych, aby ograniczyć do minimum możliwość ich skopiowania. I tu pojawia się przetwarzanie w chmurze.
O ile po przekazaniu dokumentu lub wysłaniu e-maila z poufną informacją tracimy nad nią kontrolę i nie wiemy, co dalej się będzie z nią działo (może zostać skopiowana, może zostać dalej przekazana), to jeśli zamiast tego udostępnimy tę informację na serwerze w chmurze, to zazwyczaj:
- będziemy wiedzieć, kiedy i kto miał do tej informacji dostęp
- możemy decydować, kto ma dostęp do informacji oraz jaki jest zakres dostępu (odczyt, edycja etc.)
- będziemy mogli w dowolnej chwili odebrać tej osobie dostęp do takiej informacji.
Jakie narzędzia mogą być w tym celu wykorzystane? W zasadzie dowolne, od Dropboxa po rozmaite korporacyjne rozwiązania.
Chmura rozleniwia naruszycieli
Oczywiście także w takim przypadku może się zdarzyć, że odbiorca takich informacji będzie skrupulatnie kopiować na swój dysk informacje udostępnione mu w chmurze (o ile są one udostępniane w sposób umożliwiający takie skopiowanie).
Z moich doświadczeń jednak wynika, że zazwyczaj do naruszenia tajemnicy przedsiębiorstwa dochodzi w rezultacie nieporozumień lub konfliktów np. pomiędzy stronami umowy. Jeśli w momencie ich wystąpienia od razu odbierzemy drugiej stronie prawo dostępu do danych objętych tajemnicą, to zwykle nie zdąży ona nawet ich skopiować – do chwili konfliktu nie miała bowiem zazwyczaj powodu, aby to robić, gdyż praca na materiałach znajdujących się w chmurze jest po prostu wygodniejsza. W takiej sytuacji ochrona tajemnicy przedsiębiorstwa jest po prostu skuteczna.
I tak oto okazuje się, że to, co w teorii jest ryzykowne, zdaje egzamin praktyczny.
Podobnie jest w sytuacjach, w których myli się ryzyka formalne z ryzykami realnymi. Wówczas można się nadal zastanawiać się, jakie jest np. ryzyko dotyczące możliwości dostępu usługodawcy do naszych danych na serwerze i z tego tylko powodu rezygnować z tej możliwości udostępniania naszych tajemnic, a w międzyczasie przesyłać te nasze tajemnice jako załącznik do zwykłego, nieszyfrowanego maila.
Nie namawiam oczywiście do rezygnacji z podpisywania umowy o zachowaniu poufności. Namawiam jedynie do zmiany sposobu jej rozumienia i wykonywania.