Společnosti RAC, Mainstream a Pierstone zpracovaly na podzim roku 2016 modelovou analýzu rizik ukazující, že nejrozšířenější spisovou službu Gordic GINIS lze provozovat v orgán veřejné moci cloudovém prostředí Microsoft Azure i se zahrnutím osobních údajů (v souladu s podmínkami nařízení GDPR i „starého“ zák. č. 101), a to i jako významný systém dle zákona 181/2014 o kybernetické bezpečnosti. Všechna identifikovaná a aplikovatelná rizika jsou pokryta příslušnými bezpečnostními opatřeními na straně cloudu Azure, resp. na straně aplikace GINIS. Studie formuluje i zbytková rizika, která je nutno pokrýt při implementaci na straně vlastní organizace.
Níže je ke stažení dokument, který detailně popisuje analýzu rizik provozování spisové služby GINIS v Microsoft AZURE konkrétního státního podniku, jehož tehdejší vedení udělalo odvážné rozhodnutí a přesunulo spisovou službu do veřejného cloudu. Obecná tvrzení o nízké úrovni bezpečnosti cloudů neměla při tomto rozhodování místo. Bez ohledu na předsudky bylo rozhodnutí založeno na konkrétních informacích o bezpečnostních parametrech cloudového řešení.
Hlavním cílem analýzy bylo identifikovat a ohodnotit rizika spojená s využitím spisové služby Gordic GINIS v cloudovém prostředí Azure a určit míru jejich pokrytí bezpečnostními opatřeními. Do rozsahu analýzy byla zahrnuta i cloudová služba Office 365, kterou daná organizace státní správy rovněž využívá.
Zákony a standardy zohledněné při analýze:
- Zákon č. 181/2014 Sb., o kybernetické bezpečnosti
- Vyhláška č. 316/2014 Sb., o bezpečnostních opatřeních
- Zákon č. 101/2000 Sb., o ochraně osobních údajů
- Zákon č. 499/2004 Sb. o archivnictví a spisové službě
- EU GDPR - Nařízení Evropského parlamentu a rady (EU) 2016/579 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů
- ISO/IEC 27001:2013
- ISO/IEC 27005:2011
- ISO/IEC 27017:2015
- ISO/IEC 27018:2014
Postup analýzy
V prvním kroku analýzy byly stanoveny její základní cíle. Následně byla identifikována aktiva, která souvisí s používáním spisové služby GINIS v cloudovém prostředí Azure a byla ohodnocena z pohledu dopadu jejich narušení bezpečnosti státního podniku. Ve třetím kroku byla určena míra pravděpodobnosti, že dojde k realizaci daného rizika. Poté byla na základě dříve stanovené velikosti dopadů a pravděpodobnosti vypočtena velikost jednotlivých rizik. V posledních krocích byla stanovena míra pokrytí jednotlivých rizik u poskytovatele cloudové služby, dodavatele GINIS a státního podniku a posouzena velikost rizik po aplikaci bezpečnostních opatření.
V rámci zjištění stavu pokrytí jednotlivých rizik u cloudové služby O365 a spisové služby Gordic GINIS v cloudovém prostředí Microsoft Azure byla identifikovaná a hodnocená rizika vztažena na uvedené dvě služby a stanoven stav jejich pokrytí ze strany provozovatele, společností Microsoft, Gordic a organizace státní správy. Stav pokrytí jednotlivých rizik opatřeními je detailně rozpracován ve zprávě o analýze. Rovněž bylo s ohledem na zavedená opatření revidováno hodnocení velikosti pravděpodobnosti, dopadů a rizik.
Azure a Office 365 pokrývají 97 % rizik identifikovaných v rámci analýzy. Zbývající 3 % rizik jsou na poskytovatele cloudové služby neaplikovatelná, viz úvodní obrázek.
Analýza legislativních požadavků
Součástí analýzy bylo také vyhodnocení, zda jsou smluvní ustanovení a technická specifikace služeb (včetně technické dokumentace) Azure a O365 v souladu s vybranými legislativními požadavky vztahujícími se na zpracování osobních údajů a dokumentů v rámci spisové služby v cloudovém prostředí. I přesto, že nebyl analyzován úplný výčet legislativních požadavků, které se na využití cloud computingu pro zajištění cloudové služby vztahují, byla vyhodnocena důležitá ustanovení týkající se ochrany osobních údajů se zaměřením na obsah smlouvy o zpracování osobních údajů mezi zákazníkem z veřejného sektoru a společnosti Microsoft a požadavků stanovených obecně na zajišťování spisové služby.
U každého požadavku bylo následně uvedeno, zda a jakým způsobem je daný požadavek v cloudovém prostředí Azure pokryt podle Podmínek pro služby online platných k 1. listopadu 2016, které stanoví podmínky pro užívání služeb online, včetně Microsoft Azure. Smluvní vztah mezi společností Microsoft a zákazníky není stanoven pouze těchto Podmínek, ale také v dalších dokumentech, např. Master Business and Services Agreement, Enterprise Agreement, Enterprise Enrollment for Server and Cloud a další.
V identifikovaných případech bylo posuzováno, zda ustanovení smluvní dokumentace reflektují vybrané legislativní požadavky, a jakým způsobem je legislativní požadavek zajištěn z technického hlediska a do jaké míry je služba Microsoft Azure schopná tyto legislativní požadavky splnit. Zároveň bylo ve vybraných případech provedeno posouzení, zda legislativní požadavky nejsou pokryty technickými specifikacemi služeb či zda tyto požadavky lze pokrýt na aplikační úrovni.
I spisovka může být v cloudu
Analýza prokázala, že je zcela v souladu s relevantní legislativou provozovat ve veřejném cloudu nejen spisovou službu, ale i další aplikace. Toto tvrzení je platné pro státní sektor i komerční firmy. Samozřejmě existuje specifická odvětvová regulace například pro bankovní nebo energetický sektor, nicméně pokud se vezmou v úvahu konkrétní podmínky a opatření cloudových služeb, tak prakticky neexistuje aplikace, která by nemohla být provozována v cloudu. Bezpečnostní opatření cloudových poskytovatelů jsou v mnoha případech na vyšší úrovni než státní či komerční serverovny a diskuse o tom, že administrátoři Amazonu či Googlu si o víkendech prohlíží česká data, patří spíše na venkovská pískoviště.
