www.sudovyshnyalyceum.info - Зберігання даних

Зберігання даних у хмарному сховищі

Зберігання даних у хмарному сховищі: що робити у разі витоку конфіденційної інформації?

Тема хмарних технологій в сучасному світі набуває дедалі більше обертів. Хмарні системи дозволяють зберігання, обробку та використання даних на дистанційно розташованих комп’ютерах з доступом через Інтернет. Це відносно недорогий та зручний спосіб зберігання інформації, з мінімальними витратами для компаній і бізнесу.

Як захистити конфіденційні дані, що робити у разі витоку даних з конфіденційною інформацією та як регулюється робота з персональними даними законодавством — проаналізував Максим Войнов, юрист Центру стратегічних справ Української Гельсінської спілки з прав людини.

Хмарні сховища

Перше комерційне сховище з’явилося в 1994 році (PersonaLink Services network від AT&T), із того часу при використанні хмарного сховища інформація зберігається у зовнішнього постачальника послуг, наприклад, корпорації Майкрософт. Такий постачальник встановлює і обслуговує все апаратне і програмне забезпечення, а споживач отримує доступ до цих служб і керує своїм обліковим записом в Інтернеті.

Компанії малого, середнього і великого бізнесу переводять свою діяльність у хмарне сховище, що є найкращим сучасним рішенням і дозволяє найбільш ефективно використовувати технічний й економічний потенціал держави, підприємств та приватних осіб, з мінімальними витратами на хмарні технології.

Однак, користувачі хмарних сховищ не завжди правильно налаштовують хмари та бази даних, що призводить до викрадення персональних даних шахраями. Це може завдати значної шкоди як пересічним громадянам, так і великим компаніям. Більше мільйона додатків для мобільних пристроїв, деякі з яких використовують загальнодоступні хмарні сервіси, розголосили конфіденційну інформацію про своїх користувачів внаслідок неправильного налаштування хмарних сховищ.

Викрадення та витік даних

Найбільш поширеною загрозою для хмарних технологій є витік даних. Кіберзлочинці отримують несанкціонований доступ до хмарної мережі і можуть використати інформацію з неї для копіювання і передачі персональних даних зацікавленим особам. Втрата інформації з хмарних сховищ приводить до великих штрафів для бізнесу, до репутаційної шкоди та втрати довіри клієнтів.

В Європі діють суворі норми GDPR — General Data Protection Regulation, які були розроблені з метою спонукання організацій підвищити безпеку даних в хмарних сховищах. Цей регламент запроваджує нові принципи обробки персональних даних та встановлені нові гарантії їх захисту. Вимоги передбачають не тільки накладання багатомільйонних штрафів, але й повідомлення про будь-яке порушення протягом 72 годин з моменту виявлення.

У разі витоку інформації захистити власника бази даних і гарантувати справедливе відшкодування можуть закріплені належним чином юридичні гарантії збереження даних. Вони надають користувачу хмарного сховища можливість безпечно користуватися всіма перевагами сервісу, розуміючи наявність відповідальності з боку власника (оператора) сховища даних. Відповідальність оператора сервісу має бути пов’язана з дієвим механізмом відшкодування заподіяних збитків та оперативного відновлення пошкодженої інформації і стану її захищеності, щоб гарантувати інтереси користувача.

Попри це кількість інцидентів щодо викрадення персональних даних із хмарних сховищ продовжує зростати. Зокрема у період з травня 2018 року до січня 2021 року в країнах ЄС сталося понад 280 тис. інцидентів, пов’язаних із витоком особистих даних користувачів.

Один з найбільш серйозних випадків щодо витоку даних клієнтів стався у 2018 році в однієї з найбільших готельних мереж у світі Marriott International, що було пов’язане з базою даних бронювання Starwood, і під загрозою опинилося до 383 мільйонів клієнтів.

Серед викраденої інформації були персональні дані клієнтів мережі: їх імена, поштові адреси, номери телефонів, адреси електронної пошти, паспортні дані, інформація про обліковий запис SPG, дати народження, номери платіжних карт та дані щодо їх терміну дії. Ці відомості могли бути використані для фішингових атак, шахрайства з кредитними картами та ідентифікаційними даними.

Компанія зазнала збитків у розмірі близько 72 мільйонів доларів США, однак 71 мільйон було відшкодовано страхуванням. Проте, Marriott все ще може отримати чималий штраф у розмірі 99 мільйонів фунтів стерлінгів (123 мільйонів доларів США) від британського органу із захисту даних.

Яка юрисдикція судів щодо порушень

Інтернет не має меж і є транскордонним елементом. Це означає, що інформація з Інтернету перетинає багато кордонів. Тому постає питання, який суд може здійснювати юрисдикцію щодо Відповідача по справі, який перебуває або проживає в іншій країні, не там, де була подана скарга про злочин або цивільно-правове порушення, скоєні через Інтернет.

Хмарні технології ставлять низку викликів і перед кримінальним правосуддям, зокрема, щодо застосовного законодавства та повноважень щодо правозастосування. До таких проблем належать незалежність від місця знаходження, яка є ключовою характеристикою хмарних технологій. Тому для органів кримінального правосуддя часто неочевидно, в якій юрисдикції зберігаються дані або який правовий режим застосовується до них. Постачальник хмарних послуг може мати головний офіс в одній державі і застосовувати до хмарних даних правовий режим іншої, тоді як самі дані зберігаються в третій.

Цілком ймовірно, що постачальник хмарних послуг систематично переміщує дані, щоб запобігти доступу до них органів кримінального правосуддя. Можна стверджувати, що юрисдикцію може визначати місцезнаходження штаб-квартири постачальника послуг, місцезнаходження даних і сервера, законодавство держави, в якій підозрюваний підписався на послугу, місцезнаходження чи громадянство підозрюваного.

Для цілей захисту даних у державах-членах ЄС юрисдикція визначається місцезнаходженням контролера даних, а не місцезнаходженням міжнародної штаб-квартири компанії, яка надає хмарні послуги, місцезнаходженням серверів, місцезнаходженням клієнтів або іншими критеріями.

Спірні питання щодо порушень у сфері хмарних технологій в першу чергу мають вирішуватись національними судами, які застосовують відповідні принципи міжнародного приватного права з питання юрисдикції, і такі питання зазвичай не стосуються Європейського Суду з прав людини. Цей принцип був визначений в справі Премініни проти Росії (скарга № 44973/04, 10 лютого 2011 року), коли цивільна справа розглядалась російськими судами, і компетенція національних судів не була оскаржена в ЄСПЛ. Так само, ніхто не поставив під сумнів компетентність судів Туреччини у прийнятті рішення заборонити доступ до сайтів Google та всіх інших сайтів цієї системи у справі (Ахмет Їлдірім проти Туреччини, № 3111/10, § 67, ЄСПЛ 2012).

Законодавство про хмарні сховища потрібно державі, щоб гарантувати своїм споживачам співробітництво лише з надійними постачальниками послуг, тому що держави мають і позитивні зобов’язання, які є невід’ємною частиною ефективного забезпечення недоторканості особистого і сімейного життя особи. Держава може нести відповідальність за поведінку третіх сторін, що здійснюють зберігання інформації в хмарних сховищах.

Відповідно до Угоди про асоціацію з ЄС, Україна взяла на себе зобов’язання привести своє національне законодавство у відповідність до вимог GDPR. Частина європейських вимог так чи інакше вже фігурує в українських законах, проте вони є не чітко визначеними та потребують уточнень.