CyberbezpieczeństwoPolecane tematy

Jak chronić dane przechowywane w chmurze

PRISM być może spowodował to, że europejskie firmy zaczęły zastanawiać się nad przeniesieniem “wrażliwych” danych od dostawców amerykańskich, do europejskich. Ale są i inne obawy związane z przechowywaniem danych w chmurze.

Ostatnio zadano mi pytanie, jak podejść do rozwiązań cloud computing w kontekście obowiązku zachowania tajemnicy radcowskiej/adwokackiej. Co się stanie, gdy np. prokurator przyjdzie do firmy, na której serwerach przechowywane są dokumenty prawników i zażąda wglądu w nie? Może są już jakieś rozwiązania? Może da się to zastrzec w umowie – dostęp do danych tylko za zgodą ich właściciela? Ogólne wskazówki, w zakresie zachowania tajemnicy danych przechowywanych w chmurze wydało CCBE, ale nie rozwiewa to wątpliwości osoby, która mnie o to zapytała…

Umowa z dostawcą usług cloud computing daje poczucie spełnienia prawnikom. “Od strony praktycznej pozostaje jedynie silne szyfrowanie. Jeśli przechowujemy jawnie dokumenty, nie ma żadnej gwarancji, że ktoś ich nie czyta, nawet niechcący” – komentuje Andrzej Sobczak, IT Professional Project Manager & Information Security Consultant ISO27001.

Dokumenty objęte tajemnicą adwokacką/radcowską powinny być przechowywane, co do zasady na serwerze znajdującym się w siedzibie kancelarii. Życie przynosi jednak w tym zakresie wyzwania. Jak np. przechowywać zasoby związane z projektami realizowanymi w ramach konsorcjum przez dwie kancalarie, aby obie miały komfort dostępu do wspólnych zasobów?” – zastanawia się Maciej Potoczny, IP/IT lawyer, partner w kancelarii Porwisz i Partnerzy – Adwokaci i Radcowie Prawni.

„Moim zdaniem prawnicy, których obowiązują określone przepisami prawa zasady przestrzegania tajemnicy zawodowej, czyli adwokaci i radcy prawni, nie powinni przechowywać danych w chmurze. Jest tak z powodu gwarancji dotyczących przeszukania w siedzibie kancelarii. Dane przechowywane w chmurze nie są tymi gwarancjami objęte. Silne szyfrowanie tego aspektu formalnego nie załatwia, a to, co zaszyfrowano można odszyfrować. Przechowywanie danych w chmurze oznacza na dziś pozbawienie ich gwarancji służących zapewnieniu poszanowania zasad dotyczących tajemnicy adwokackiej i radcowskiej przez policję i prokuraturę” – dodaje.

Moim zdaniem nie ma specjalnych gwarancji dotyczących przeszukania w siedzibie kancelarii poza zapisami w kodeksach etycznych, które nie wiążą służb. Obszerne opracowanie tej kwestii przygotowali radcy prawni. Dlatego też ja nie widzę przeszkod, aby korzystać z chmury – pod warunkiem stosowania zabezpieczen. Nawiasem mowiąc – Blackberry (i pewnie inne podobne sysemy) to także chmura – wszystkie maile przechodzą przez serwery RIM. Czy przeszkadza to prawnikom w korzystaniu w praktyce z tego rozwiązania?” – Tomasz Zalewski, IP, E-business & Public Procurement, partner w kancelarii Wierzbowski Eversheds.

“W powołanym materiale, znajdującym się na stronie OIRP w Krakowie, jest powołana podstawa prawna, która wiąże każdego, kto przeprowadza przeszukanie. Jest to art. 224 par. 2 k.p.k. Na jego podstawie radca prawny obowiązany jest żądać, zgodnie z art. 18 KERP udziału przedstawiciela samorządu w przeszukaniu” – odpowiada Maciej Potoczny.

Natomiast każdy dostęp do danych (także poprzez ich odszyfrowanie) wymaga jakiejś formy dostępu do nośnika, na którym je utrwalono. Tylko w przypadku nośników przechowywanych w siedzibie kancelarii lub przy sobie (w domu), radca prawny ma kontrolę nad legalnym dostępem do tych nośników i może udostępniać je zgodnie z obowiązującymi go zasadami.

Co do poczty, to KERP przewiduje wykorzystywanie środków przekazu, które nie gwarantują zachowania poufności w przekazaniu informacji objętych tajemnicą zawodową, o ile klient został o tym powiadomiony” – dodaje.

Co do poczty wiele zależy od tego czy jest używana do przesyłania dokumentów jako załączników czy tylko do informowania o ich pojawieniu się w bezpiecznym repozytorium, jako osobnej aplikacji do zarządzania dokumentami. W kwestii przeszukania: istotne jest czy mowa o przeszukaniu fizycznym – nośnik z danymi – czy udostępnieniu ‘wszystkich posiadanych dokumentów’. To drugie nie implikuje wymogu fizycznego przechowywania w kancelarii. Zaś dostęp do fizycznego nośnika nie implikuje dostępności do treści dokumentów. To nie jest proste” – mówi Jaroslaw Zelinski, business and systems modeling, analysis, design expert.

Więcej w dyskusji na Grupie na LinkedIn – IT Professionals in Poland.

Tagi

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *