ФБР у польській хмарі: дані польських компаній під загрозою?

ФБР у польській хмарі: дані польських компаній під загрозою?

Попри порушення правил ЄС щодо захисту персональних даних, Вашингтон хоче мати доступ до інформації, яку європейці зберігають на зовнішніх серверах. Таємниці польських компаній можуть бути під загрозою.

Громадська хмара даних, яка створюється під егідою польського уряду для зберігання конфіденційних даних вітчизняних компаній, мала гарантувати, що цінна інформація не потрапить у чужі руки. Проблема полягає в тому, що стратегічним партнером Національного хмарного оператора (OChK), установи, створеної державним банком PKO BP та Польським фондом розвитку (PFR), є Google.

Стратегічне партнерство з глобальним гравцем мало допомогти польським компаніям у впровадженні та використанні потенціалу, який пропонують передові хмарні технології в бізнесі. У Варшаві буде створено Google Cloud region – центр технічної інфраструктури та програмного забезпечення для всієї Центральної та Східної Європи. У рамках співпраці Google побудує в Польщі центри даних. І хоча всі сторони запевняють, що файли, які зберігатимуться в Польщі, у результаті будуть безпечними, це не привід для спокою.

Адже ключ від «задніх дверей» має американська влада. Все у зв’язку з ухваленим у США минулого року «хмарним законом» (Clarifying Lawful Overseas Use of Data Act), тобто законом про «легальне використання даних за кордоном». Згідно з ним, Вашингтон може вимагати від американських хмарних операторів надання доступу до зібраних за кордоном даних клієнтів без необхідності укладати двосторонні угоди з цими країнами. Достатньо буде, щоб, наприклад, ФБР обґрунтувало запит міркуваннями безпеки. Це стосується не лише хмар Google, а й таких операторів, як Amazon чи Microsoft.

Катажина Щудлік, адвокатка з канцелярії «Wardyński i Wspólnicy», пояснює, що Польща без двосторонньої угоди зі США безпорадна, тому немає жодного способу протистояти суперечливим положенням.

Хоча поляки скептично ставляться до зберігання інформації та файлів на зовнішніх серверах, можливість використання даних іноземними урядами може стримати очікуваний бум на ці послуги.

Зараз хмарними рішеннями користуються лише 11 % підприємств, тобто значно менше, ніж, наприклад, у Фінляндії (65 %) або Швеції (57 %). Польща займає в Європі третє місце з кінця, випередивши лише Румунію та Болгарію.

Вартість хмарного ринку в Польщі складає приблизно 1 млрд злотих, але за оптимістичними прогнозами ця сума може подвоїтися за чотири роки.

НАДІЯ НА ШИФРУВАННЯ

Той факт, що продукція Google буде включена у пропозицію OChK, не обов’язково має потішити польських підприємців, якщо вони піклуються про абсолютний захист секретів компанії. Відповідно до положень американського «хмарного закону», місцеві оператори хмарних сервісів повинні у певних випадках на вимогу американських служб надати дані клієнтів, що зберігаються навіть на серверах за межами США.

Роман Млодковський, директор стратегії Оператора національної хмари (OChK), запевняє: коли клієнту потрібна абсолютна впевненість, що дані підлягають лише польській юрисдикції, OChK пропонує власну інфраструктуру. «Якщо замовник хоче підвищити рівень безпеки, він може використовувати ключі шифрів, які будуть у нього. Тоді ані ми, ані наші партнери не зможуть надати ці ключі будь-яким органам влади», – пояснює він.

У польській штаб-квартирі Google заявляють, що компанія дотримується принципу: запити державних установ щодо доступу до даних клієнтів повинні бути адресовані безпосередньо їм. «Cloud Act не змінює нашої позиції», – каже Адам Мальчак, менеджер з питань комунікації Google.

Він додає, що, як і всі технологічні компанії, Google отримує запити на доступ до даних від установ у всьому світі. «Ми рішуче захищаємо конфіденційність даних наших клієнтів», – наголошує він.

Вашингтон може зобов’язати американських хмарних операторів надати доступ до даних клієнтів, що зберігаються у хмарах.

За словами Адама Мальчака, вся інформація, що зберігається та обробляється в Google Cloud, завжди є приватною та безпечною. «Ми надаємо клієнтам інструменти для управління та контролю доступу до цих даних. Вони також можуть вибрати різні методи шифрування, включаючи ті, що не дають Google доступу до ключів для їх розшифрування. Жоден уряд не має доступу через так званий бекдор», – підкреслює Мальчак.

Однак Катажина Щудлік, адвокатка з канцелярії «Wardyński i Wspólnicy», не сумнівається, що на вимогу служб США, відповідно до нового закону, хмарні компанії з цієї країни надаватимуть дані. «На таку передачу може не вплинути навіть той факт, що компанія, яка працює в Польщі, створить тут окрему фірму. Через капітал та специфіку послуг важко уявити ситуацію, в якій Google міг би відмовитися виконувати Cloud Act та заборонив доступ до даних», – наголошує юристка. За її словами, Google, який матиме регіональний хмарний вузол у Польщі, передаючи дані згідно з Cloud Act, не виконавши конкретні положення, визначені в Регламенті ЄС про захист персональних даних (GDPR), може порушити цей документ.

КОНФЛІКТ ІЗ GDPR

Cloud Act загалом суперечить GDPR. «Зокрема, і мотиву 115 преамбули [Європейського розпорядження], оскільки дозволяє транскордонне застосування закордонного законодавства, яке може вести до порушення захисту персональних даних», – пояснює Катажина Щудлік.

Розв’язанням може стати підписання двосторонньої угоди зі США на підставі Cloud Act, як це зробила Велика Британія. Принаймні, так вважає Честер Віснєвський, головний науковий співробітник британської компанії Sophos із галузі захисту цифрових даних.

«Переваги очевидні для прискорення обґрунтованих запитів правоохоронних органів із країн, які уклали угоди зі США. Cloud Act дозволяє владі США отримувати доступ до даних, якщо вони зберігаються американськими компаніями за межами країни. Але це також працює в іншу сторону для країн, у яких є угода», – вказує він.

Джерело: Rzeczpospolita