Podsumowanie stanowiska Polskiej Chmury wobec projektu Standardów Cyberbezpieczeństwa Chmur Obliczeniowych (SCCO)
W odpowiedzi na zaproszenie Ministerstwa Cyfryzacji do uczestnictwa w konsultacjach projektu Standardów Cyberbezpieczeństwa Chmur Obliczeniowych (SCCO) Polska Chmura przedstawiła swoje uwagi. Naszym priorytetem jest zapewnienie suwerenności cyfrowej Polski. W naszej ocenie dokument wymaga szeregu zmian, które zapewnią suwerenność cyfrową państwa oraz uwzględnią interesy polskich przedsiębiorców.
Najważniejsze postulaty:
- Suwerenność danych – dane o kluczowym znaczeniu dla bezpieczeństwa publicznego, dane wrażliwe oraz tajne (z kategorii SCCO2, SCCO3 i SCCO4) powinny być przechowywane wyłącznie w krajowych centrach danych. Umożliwi to ochronę przed ingerencją zagranicznych podmiotów i zabezpieczy integralność państwowych systemów informatycznych. Proponowane brzmienie SCCO umożliwi przekazywanie danych o kluczowym znaczeniu dla kraju poza jego jurysdykcję i nie zapewnia odpowiednich mechanizmów ochrony przed wpływem zagranicznych regulacji (np. Patriot Act, FISA) na dane przechowywane przez globalnych dostawców chmury. Istnieje więc ryzyko dostępu do danych przez służby wywiadowcze państw trzecich w infrastrukturę podmiotów operujących na lokalnych rynkach bądź podmiotów kapitałowo powiązanych z przedsiębiorstwami związanych z tymi rynkami. Działania te polegać mogą choćby na zlecaniu instalowania oprogramowania szpiegującego. Przyjmowanie, że kraje te, pomimo funkcjonowania z Rzecząpospolitą Polską w relacji uznanych na arenie międzynarodowej sojuszy nie będą podejmować się prowadzenia działań wywiadowczych z jednej strony uznane może być w kategoriach naiwności, z drugiej zaś, z uwagi na brak istniejących powszechnie narzędzi, niemożliwym stanie się uznanie takiego twierdzenia za falsyfikowalne – co samo w sobie stanowi asumpt do konieczności dokonania oszacowania ryzyka już na tym etapie prac nad SCCO.
Jednocześnie popieramy przetwarzanie mniej wrażliwych danych administracji publicznej (SCCO1) w centrach zagranicznych.
- Suwerenność prawna wobec podmiotów funkcjonujących na krajowym rynku – Umożliwienie administracji publicznej przekazywania danych kluczowych dla funkcjonowania kraju podmiotom prawa handlowego, na które wpływu nie posiada polski ustawodawca, może rodzić ryzyko dokonywania – zgodnych z lokalnym prawem – przejęć praw własności takich przedsiębiorców przez podmioty pośrednio lub bezpośrednio powiązane z państwami intensyfikującymi działalność wywiadowczą z uwagi na aktualne, dynamicznie zmieniające się uwarunkowania geopolityczne (np. Federacja Rosyjska, czy Chińska Republika Ludowa). Uniemożliwi to podjęcie przez polską władzę wykonawczą odpowiednich przeciwdziałań.
- Suwerenność terytorialna: jurysdykcja i kontrola nad danymi – przetwarzanie krytycznych danych poza terytorium RP może utrudnić nadzór i reakcję na incydenty cyberbezpieczeństwa. Polska Chmura postuluje centralizację danych w kraju, co pozwoli na skuteczniejszą kontrolę i szybsze interwencje w przypadku zagrożeń. Ponadto brak regulacji dotyczących kontroli nad podmiotami przechowującymi kluczowe dane może prowadzić do przejęcia strategicznych firm przez inwestorów powiązanych z państwami o potencjalnie wrogich intencjach.
- Suwerenność funkcjonalna – możliwość prowadzenia audytów – podkreślamy konieczność zapewnienia realnej możliwości przeprowadzania audytów fizycznych i systemowych w centrach danych obsługujących polską administrację publiczną. Globalni dostawcy często uniemożliwiają takie wizyty, co ogranicza skuteczność weryfikacji zabezpieczeń.
W praktyce dostawcy zagraniczni często ograniczają audyty do zdalnych metod weryfikacji, co uniemożliwia przeprowadzenie pełnej, kompleksowej oceny stanu zabezpieczeń, w tym fizycznych aspektów infrastruktury. Brak możliwości fizycznego dostępu do obiektu utrudnia weryfikację stosowanych procedur bezpieczeństwa, takich jak zabezpieczenia fizyczne, kontrola dostępu do pomieszczeń, systemy monitoringu oraz procedury awaryjne. Polscy dostawcy usług chmurowych, działając na rodzimym rynku, umożliwiają klientom przeprowadzenie audytów, często z możliwością fizycznej wizyty w danej lokalizacji, co pozwala na szczegółowe zbadanie wszystkich aspektów bezpieczeństwa, w tym precyzyjną weryfikację stanu technicznego sprzętu i systemów zabezpieczających. Takie podejście gwarantuje pełną przejrzystość i umożliwia dokładną ocenę ryzyka, co jest niezbędne dla budowania zaufania między klientem a dostawcą usług. W sytuacji, gdy zagraniczni dostawcy stosują politykę ograniczania dostępu do swoich centrów danych, istnieje realne ryzyko, że audyty przeprowadzane na odległość nie oddadzą pełnego obrazu stanu zabezpieczeń, co w konsekwencji może prowadzić do nieprawidłowej oceny ryzyka oraz wdrożenia niewystarczających środków ochronnych.
W proponowanych zapisach SCCO brakuje zaleceń regulujących te kwestie.
Za pośrednictwem złożonego w dniu 28 lutego 2025 roku stanowiska Polska Chmura postuluje wprowadzenie zmian do SCCO, które zagwarantują ochronę suwerenności cyfrowej Polski oraz wzmocnią konkurencyjność krajowego rynku dostawców chmury. Kluczowe jest zapewnienie, aby dane administracji publicznej o znaczeniu strategicznym były przechowywane i przetwarzane wyłącznie przez podmioty podlegające krajowej jurysdykcji i nadzorowi.
Pełna treść stanowiska poniżej:
Stanowisko Polskiej Chmury wobec projektu Standardów Cyberbezpieczeństwa Chmur Obliczeniowych, stanowiących akt wykonawczy do uchwały Rady Ministrów w sprawie inicjatywy „Wspólna Infrastruktura Informatyczna Państwa”
Na wstępie Polska Chmura zaznacza, że prace dot. przyjęcia nowego aktu wykonawczego do uchwały Rady Ministrów w sprawie Inicjatywy „Wspólna Infrastruktura Informatyczna Państwa” w treści ustalonej 23 października 2024 roku uchwałą nr 127 Rady Ministrów, zmieniającą uchwałę w sprawie Inicjatywy „Wspólna Infrastruktura Informatyczna Państwa” (dalej: „WIIP”), traktuje jako działania pozytywne, nakierowane na immanentną potrzebę zapewnienia należytego stopnia zabezpieczeń infrastruktury teleinformatycznej Rzeczypospolitej Polskiej. Niezależnie jednak od powyższego, proces ten, celem umożliwienia właściwego wdrażania rozwiązań prawnych wobec możliwych i uzasadnionych, aktualnych rozwiązań technologicznych powinien w dużo szerszym aspekcie opierać się na konsultacjach społecznych, z większym udziałem przedstawicieli krajowego biznesu. W obliczu tego faktu Polska Chmura pragnie wyrazić głębokie ubolewanie nad nieuwzględnieniem Polskiej Chmury przez Ministra Cyfryzacji w konsultacjach, których przedmiotem były prace nad ustanowieniem nowego, na dziś aktualnego brzmienia WIIP, tym bardziej że podmioty zrzeszone w tej organizacji stanowią najbardziej reprezentatywną grupę dla oceny przedmiotowej regulacji.
Opracowując niniejsze stanowisko, Polska Chmura kierowała się potrzebą zapewnienia najwyższego poziomu bezpieczeństwa infrastruktury informatycznej Rzeczypospolitej Polskiej, ochrony danych osobowych, przetwarzanych przez podmioty administracji publicznej i bezpieczeństwa świadczenia usługi z zakresu rozwiązań chmurowych, oferowanych przez dostawców tychże usług, przy jednoczesnym zapewnieniu, że przyjmowane rozwiązania prawne oddziaływać będą proaktywnie na krajowy rynek prywatny dostawców usług chmurowych, implikując – bądź wręcz stanowiąc asumpt – do dalszego rozwoju rodzimego rynku. W związku z powyższym, biorąc pod uwagę fundamentalne znaczenie omawianych zagadnień dla bezpieczeństwa państwa, zasad pewności prawa oraz konkurencyjności krajowego rynku IT, Polska Chmura przedstawia swoje stanowisko.
W pierwszej kolejności wskazać należy, że możliwość zapewnienia przez państwo inherentnego jego przeznaczenia w dochowywaniu w należytym bezpieczeństwie przedmiotów, bez zagrożenia na życie społeczne i gospodarcze własnych obywateli, wykonywane może być wyłącznie za pośrednictwem odgórnie opisanych reguł, które już u swej podstawy powinny być nakierowane w głównej mierze na realizowanie interesu państwa. Stąd też Polska Chmura za kluczowe uznaje właściwe i wystarczająco ostre opisanie standardów dla zachowania cyberbezpieczeństwa chmur obliczeniowych w oparciu o następujące uwagi do przedstawionego projektu.
- Suwerenność danych przetwarzanych przez podmioty administracji publicznej
Polska Chmura przyjmuje za główny miernik nośnika potencjalnych niebezpieczeństw możliwość rozszerzenia jurysdykcyjnego oraz terytorialnego przetwarzania danych kluczowych dla znaczenia państwa.
SCCO definiuje 4 kategorie danych państwowych, z rozróżnieniem dostępności i istotności ich charakteru. Niechronione prawnie informacje publiczne stanowią dane kategoryzowane na poziomie SCCO1, dane istotne dla realizacji działań statutowych instytucji administracji publicznej, tajemnice przedsiębiorstw, dane mające charakter wrażliwych – prawnie chronionych informacji, czy w końcu podlegające ustawowej ochronie dane osobowe obywateli, w tym także dane referencyjnych krajowych rejestrów o kluczowym znaczeniu dla bezpieczeństwa publicznego zdefiniowane zostały na poziomie SCCO2. Kategorie SCCO3 oraz SCCO4 obejmują zaś dane chronione klauzulami dostępu – odpowiednio informacje zastrzeżone, dla pierwszej i informacje niejawne, tajne i ściśle tajne dla drugiej.
Polska Chmura, optując za optymalizowaniem kosztów funkcjonowania administracji publicznej, które możliwe jest dzięki rozszerzeniu konkurencyjności rynku usług chmurowych, całkowicie pozytywnie odnosi się do możliwości przetwarzania danych w ośrodkach prowadzonych przez podmioty zagraniczne, w tym w ośrodkach zlokalizowanych poza granicami kraju, z zastrzeżeniem jednak, że będzie to miało miejsce wobec danych o najniższej istotności dla państwa, tj. danych skategoryzowanych na poziomie SCCO1. Jakakolwiek kompromitacja tak prowadzonej bazy danych nie będzie stanowić efektora zagrażającego funkcjonowaniu kraju.
Całkowicie odmienne stanowisko należy jednak przyjąć dla danych objętych kategoriami SCCO2, SCCO3 oraz SCCO4. Z uwagi na fakt, swoją drogą właściwego zdefiniowania w projekcie SCCO, konsekwencji kompromitacji danych ujętych w wyższych kategoriach, przez które rozumie się możliwość nieuprawnionego ujawnienia informacji, nieautoryzowaną modyfikację lub zniszczenie danych o silnych lub katastrofalnych wpływach na operacje organizacyjne, zasoby lub osoby fizyczne, w ocenie Polskiej Chmury interesem państwa jest przyjęcie restrykcyjnych reguł wyboru podmiotów, które dane te będą przechowywać lub przetwarzać.
- Suwerenność jurysdykcyjna danych w kontekście międzynarodowym
Umożliwienie przetwarzania danych skategoryzowanych na poziomie SCCO2 oraz SCCO3 w centrach przetwarzania alokowanych poza terytorium Rzeczypospolitej Polskiej, pomimo faktu, że centra te znajdować się będą na terenie Unii Europejskiej, czy też – po spełnieniu warunków – na terenie Europejskiego Obszaru Gospodarczego, uznać należy za działanie skrajnie nieodpowiedzialne, które bezpośrednio wpływać może na ryzyko utraty integralności powierzanych danych. Ustawodawcy krajów sojuszniczych (funkcjonujących w ramach Unii Europejskiej, bądź też Organizacji Traktatu Północnoatlantyckiego), celem zapewnienia bezpieczeństwa własnej podmiotowości, w tym umożliwienia interoperacyjności działań na arenie międzynarodowej, przyjęli szereg rozwiązań prawnych, które legalizują nieuprawniony odczyt danych. Za formę przykładu posłużyć mogą Stany Zjednoczone Ameryki, które na podstawie Foreign Intelligence Surveillance Act bądź też Patriot Actprzyznały kompetencje służbom wywiadowczym do dokonywania odczytów danych zlokalizowanych na serwerach zewnętrznych dostawców. Podobne rozwiązania znajdują uzasadnienie prawne choćby w Wielkiej Brytanii – na podstawie Investigatory Powers Act, Republice Irlandii – na podstawie Criminal Justice (Surveillance) Act, Francji – na podstawie Loi sur le renseignement. Innymi słowy, mając na względzie możliwie najwłaściwsze uświadomienie niebezpieczeństwa przedmiotu zachodniej legislatury dla suwerenności krajowych danych, za krytyczny czynnik ryzyka należy przyjąć możliwość zalegalizowanej ingerencji służb wywiadowczych państw trzecich w infrastrukturę podmiotów operujących na lokalnych rynkach bądź podmiotów kapitałowo powiązanych z przedsiębiorstwami z tymi rynkami związanymi, którym SCCO – w aktualnie proponowanej treści – umożliwi przekazywanie danych o kluczowym znaczeniu dla kraju. Działania te polegać mogą choćby na zlecaniu instalowania oprogramowania szpiegującego, czy też budowania u podstaw architektury serwerowej w sposób, który taki odczyt danych umożliwi.
Przyjmowanie, że kraje te, pomimo funkcjonowania z Rzecząpospolitą Polską w relacji uznanych na arenie międzynarodowej sojuszy nie będą podejmować się prowadzenia działań wywiadowczych z jednej strony uznane może być w kategoriach naiwności, z drugiej zaś, z uwagi na brak istniejących powszechnie narzędzi, niemożliwym stanie się uznanie takiego twierdzenia za falsyfikowalne – co samo w sobie stanowi asumpt do konieczności dokonania oszacowania ryzyka już na tym etapie prac nad SCCO.
2. Suwerenność prawna wobec podmiotów funkcjonujących na krajowym rynku
Umożliwienie administracji publicznej przekazywania danych kluczowych dla funkcjonowania kraju podmiotom prawa handlowego, na które wpływu nie posiada polski ustawodawca, może rodzić ryzyko dokonywania – zgodnych z lokalnym prawem – przejęć praw własności takich przedsiębiorców przez podmioty pośrednio lub bezpośrednio powiązane z państwami intensyfikującymi działalność wywiadowczą z uwagi na aktualne, dynamicznie zmieniające się uwarunkowania geopolityczne (np. Federacja Rosyjska czy Chińska Republika Ludowa). Uniemożliwi to podjęcie przez polską władzę wykonawczą odpowiednich przeciwdziałań. Warto w tym miejscu wskazać, że wobec spółek działających na podstawie polskiego kodeksu handlowego, zgodnie z ustawą z 24 lipca 2015 roku o kontroli niektórych inwestycji, Rada Ministrów w drodze rozporządzenia uprawniona jest do objęcia podmiotów wymagających szczególnego zabezpieczenia z punktu widzenia bezpieczeństwa publicznego ograniczeniami w sprzedaży praw własności, tj. uprawniona jest ograniczyć możliwość zbywania udziałów lub akcji tych spółek. Działania takie podjęte zostały choćby wraz z końcem 2024 roku, gdy Rada Ministrów podjęła decyzję o zabezpieczeniu możliwości zbycia akcji spółek TVN S.A. oraz Cyfrowy Polsat S.A., uniemożliwiając przejęcie przez fundusz inwestycyjny, który w ocenie Prezesa Rady Ministrów mógł być powiązany z kapitałem zagrażającym bezpieczeństwu krajowemu. Zakres interwencji Rady Ministrów – jak i możliwość prowadzenia uprzedniego monitoringu – wobec spółek zagranicznych nie jest tożsamy, przez co podjęcie działań przynoszących podobny skutek możliwe byłoby jedynie w obliczu skutecznie przeprowadzonych działań dyplomatycznych, o ile te udałoby się zakończyć w oczekiwanym czasie i przy założeniu, że kraj, w którym siedzibę znajduje dany podmiot, dysponuje podobnymi zabezpieczeniami prawnymi z zakresu interwencjonizmu państwowego.
3. Suwerenność terytorialna wobec infrastruktury przesyłowej
Terytorialne rozszerzenie możliwości przetwarzania danych kluczowych dla funkcjonowania państwa, niesie dodatkowe ryzyka. Polska Chmura zwraca uwagę, że przechowywanie takich danych w centrach danych zlokalizowanych poza granicami kraju, np. w państwach Europejskiego Obszaru Gospodarczego, uniemożliwiać będzie prowadzenie scentralizowanego nadzoru oraz dokonywania szybkich interwencji w przypadku zidentyfikowania zagrożeń ze strony intencjonalnych działań zespołów hackerskich powoływanych przez kraje o wrogim nastawieniu do Rzeczypospolitej Polskiej. Lokalne zespoły CSIRT, dysponujące narzędziami analitycznymi, skutecznie – w czasie rzeczywistym – są w stanie monitorować ruch sieciowy i podejmować się odpowiedzi na wykryte anomalie. W przypadku przechowywania danych poza granicami kraju kontrola nad infrastrukturą IT ulegnie istotnemu rozproszeniu, co bezpośrednio przyczyni się do utrudnienia koordynacji działań pomiędzy różnymi jednostkami nadzorczymi, jak również wydłuży sam czas reakcji na incydenty. Rozproszenie odpowiedzialności administracyjnej przyczynić się zaś może do zintensyfikowania się sporów sądowych, czy też utrudni egzekwowanie krajowych norm ochrony danych (w tym ochrony danych osobowych). Z technicznego punktu widzenia, wdrożenie jednolitych systemów monitoringu oraz procedur reagowania na incydenty cybernetyczne jest kluczowe dla zapewniania ciągłości działania państwowej infrastruktury teleinformatycznej. Centralizacja przetwarzania danych na terenie Rzeczypospolitej Polskiej umożliwi wykorzystywanie spójnych systemów takich jak SIEM, IDS czy IPS, co przyczyni się do wzrostu efektywności prowadzonego monitoringu.
4. Suwerenność funkcjonalna – audyty klienckie
Równocześnie należy zwrócić uwagę na praktyki utrudniania przeprowadzania audytów klienckich przez głównych zagranicznych dostawców usług chmurowych, którzy w przeciwieństwie do swoich krajowych odpowiedników uniemożliwiają dokonywanie fizycznych wizyt w konkretnych lokalizacjach swoich centrów danych. W praktyce dostawcy zagraniczni często ograniczają audyty do zdalnych metod weryfikacji, co uniemożliwia przeprowadzenie pełnej, kompleksowej oceny stanu zabezpieczeń, w tym fizycznych aspektów infrastruktury. Brak możliwości fizycznego dostępu do obiektu utrudnia weryfikację stosowanych procedur bezpieczeństwa, takich jak zabezpieczenia fizyczne, kontrola dostępu do pomieszczeń, systemy monitoringu oraz procedury awaryjne. Polscy dostawcy usług chmurowych, działając na rodzimym rynku, umożliwiają klientom przeprowadzenie audytów, często z możliwością fizycznej wizyty w danej lokalizacji, co pozwala na szczegółowe zbadanie wszystkich aspektów bezpieczeństwa, w tym precyzyjnej weryfikacji stanu technicznego sprzętu i systemów zabezpieczających. Takie podejście gwarantuje pełną przejrzystość i umożliwia dokładną ocenę ryzyka, co jest niezbędne dla budowania zaufania między klientem a dostawcą usług. W sytuacji, gdy zagraniczni dostawcy stosują politykę ograniczania dostępu do swoich centrów danych, istnieje realne ryzyko, że audyty przeprowadzane na odległość nie oddadzą pełnego obrazu stanu zabezpieczeń, co w konsekwencji może prowadzić do nieprawidłowej oceny ryzyka oraz wdrożenia niewystarczających środków ochronnych. W efekcie praktyka ta nie tylko zwiększa ryzyko naruszenia danych, ale także wpływa negatywnie na konkurencyjność rynku, gdyż przedsiębiorstwa korzystające z usług takich dostawców mogą być zmuszone do ponoszenia dodatkowych kosztów związanych z koniecznością stosowania bardziej rygorystycznych zabezpieczeń, aby zrekompensować brak możliwości przeprowadzenia pełnego audytu. Polska Chmura do rozważenia pozostawia także fakt multiplikacji skali kosztów prowadzenia audytów klienckich, w przypadku umożliwienia powyższego przez podmioty zagraniczne. Dokonywanie audytów poza granicami kraju wiązać się będzie z koniecznością pokrywania kosztów delegacji zagranicznych, które odbywać będą audytorzy, względnie zaś wiązać się będzie z koniecznością prowadzenia ich przez zagraniczne firmy audytorskie.
W tym miejscu wartym zaznaczenia jest fakt, że uzasadnione ograniczenia przepływu usług, za który Polska Chmura przyjmuje powyższy abstrakt, nie stoją w sprzeczności z prawem unijnym, w szczególności z art. 56 Traktatu o Funkcjonowaniu Unii Europejskiej. Stanowić o tym może choćby orzecznictwo Trybunału Sprawiedliwości Unii Europejskiej, który niejednokrotnie podnosił, że Państwa Członkowskie Unii Europejskiej uprawnione są do ograniczenia prawa do przepływu usług, o ile znajduje to uzasadnienie względami porządku publicznego, czy bezpieczeństwa wewnętrznego (vide: wyrok Trybunału Sprawiedliwości Wspólnot Europejskich z 14 października 2004 rok o sygn. akt: C-36/02, czy też wyrok Trybunału Sprawiedliwości Unii Europejskiej z 19 grudnia 2012 roku o sygn. akt: C-577/10). Tym samym, zasadnym wydaje się kierowanie tymi kryteriami w trakcie ustanawiania ostatecznej wersji SCCO.
II. Konieczność dookreślenia treści SCCO
- Nieostrość terminologiczna
Przechodząc do kolejnych aspektów proponowanej treści SCCO, Polska Chmura dostrzega niedostateczny sposób określenia terminologii dotyczącej wpływów na bezpieczeństwo danych, przez co należy rozumieć brak jednoznacznych definicji dla kategorii takich jak wpływ ograniczony, silny i katastrofalny (bądź odwołań do definicji zawartych w innych aktach prawnych). Stwarza to realne ryzyko uznaniowości, które może skutkować arbitralnym stosowaniem norm ochrony danych oraz niejednolitym egzekwowaniem przepisów. Brak wyraźnie opisanych kryteriów oceny wpływu na bezpieczeństwo prowadzi do rozbieżności w interpretacji ryzyka oraz do niepewności prawnej i faktycznej, co w efekcie może negatywnie wpłynąć na bezpieczeństwo całego systemu ochrony danych osobowych oraz stabilności funkcjonowania polskiego rynku usług chmurowych. SCCO zawiera szereg wytycznych dotyczących wymagań bezpieczeństwa dla systemów chmurowych, niemniej
w części poświęconej określaniu atrybutów bezpieczeństwa dla systemów chmurowych oraz kategorii wpływu na bezpieczeństwo informacji brakuje precyzyjnych definicji, które umożliwiałyby jednoznaczną ocenę ryzyka. Brak sprecyzowania co dokładnie oznacza wpływ ograniczony, silny czy katastrofalny pozostawia duże pole interpretacji dla jednostek odpowiedzialnych za ocenę ryzyka. Takie rozwiązanie może skutkować tym, że same zdarzenia będą kwalifikowane w różny sposób w zależności od subiektywnej oceny konkretnego podmiotu, co zwiększa ryzyko dyskrecjonalnych decyzji i sprzyja braku jednolitości stosowanych norm bezpieczeństwa.
W kontekście rozporządzenia, do którego odwołuje się SCCO, tj. rozporządzenia Rady Ministrów z 31 października 2018 roku w sprawie progów uznania incydentu za poważny, należy podkreślić, że choć dokument ten precyzyjnie definiuje, co stanowi incydent poważny, pozostawia on inne kategorie wpływu na bezpieczeństwo bez klarownych wytycznych. Taka sytuacja jest niebezpieczna, gdyż w efekcie całościowa ocena ryzyka opiera się na niepełnych kryteriach, co może skutkować błędną kwalifikacją zagrożeń i niewłaściwym doborem środków zaradczych. W praktyce oznacza to, że incydenty, które nie spełniają kryteriów incydentu poważnego, mogą być oceniane w sposób subiektywny, a ich wpływ na bezpieczeństwo może być różnie interpretowany.
W obliczu powyższych przesłanek postulatem Polskiej Chmury jest wprowadzenie precyzyjnych, jednoznacznych definicji wpływu na bezpieczeństwo danych osobowych, aby zminimalizować ryzyko uznaniowości oraz zapewnić jednolite i przewidywalne stosowanie przepisów ochrony danych. Zachowując przy tym właściwą proporcję pomiędzy szczegółowością tych definicji a ich otwartym ujęciem, dzięki czemu możliwe będzie efektywne zarządzanie ryzykiem, przy jednoczesnym zapewnieniu stabilności i bezpieczeństwa systemu ochrony danych w Polsce.
2. Niejednoznaczność normatyw stosowania klucza głównego
Kolejnym aspektem, który w nienależycie lakoniczny sposób został opisany w SCCO jest kwestia zdefiniowania przypadków, w których dane mogą być odszyfrowywane za pomocą klucza głównego, będącego w posiadaniu dostawcy usług chmury obliczeniowej. Brak jednoznacznego uregulowania tej kwestii niesie za sobą istotne ryzyko uznaniowości na etapie zawierania umów pomiędzy dysponentem danych a podmiotem świadczącym usługi chmurowe.
Przetwarzanie danych w środowiskach chmurowych stanowi nieodzowny element nowoczesnej gospodarki cyfrowej. Jednakże w obliczu rosnących zagrożeń cybernetycznych oraz coraz bardziej złożonych systemów informatycznych, konieczne jest stosowanie rygorystycznych norm dotyczących ochrony danych. SCCO, jako narzędzie zapewniające jednolite wymagania dla usług chmurowych, powinno zawierać precyzyjne postanowienia dotyczące sposobu zarządzania kluczami prywatnymi. W szczególności, dyspozycja dotyczące kluczy prywatnych, która brzmi, że klucze prywatne używane do szyfrowania powinny być znane tylko odbiorcy usług chmur obliczeniowych, powinna zostać uzupełniona o wytyczne określające, w jakich przypadkach możliwe jest użycie klucza głównego przez dostawcę usług chmurowych, a także, dla jakich kategorii danych – według klasyfikacji SCCO – takie rozwiązanie może być dopuszczalne.
Polska Chmura, analizując ryzyko wynikające z zastosowania klucza głównego, wskazuje, że zastosowanie takiego mechanizmu powinno być ograniczone wyłącznie do danych o najniższym poziomie ochrony, czyli danych sklasyfikowanych jako SCCO1. Kategorie te obejmują informacje, które nie są prawnie chronione ani nie wymagają szczególnych zabezpieczeń, gdyż ich ujawnienie nie niesie ze sobą znaczących konsekwencji dla bezpieczeństwa państwa, czy prywatności obywateli. Przetwarzanie tych danych często dotyczy informacji publicznych, takich jak dane o charakterze informacyjnym, które mogą być udostępniane w sposób kontrolowany i nie narażają odbiorców na ryzyko utraty poufności. Dlatego też, w przypadku SCCO1, zastosowanie klucza głównego, przy zachowaniu ścisłej, kontrolowanej procedury uzgodnionej z odbiorcą usług, może być uzasadnione. Procedura ta powinna obejmować m.in. audyt użycia klucza, potwierdzenie zgodności procedur z obowiązującymi normami bezpieczeństwa oraz regularne testowanie systemów zabezpieczających.
Dla danych skategoryzowanych na poziomie SCCO2 i wyższym, których charakter jest zdecydowanie bardziej wrażliwy, konieczne jest stosowanie wyraźnie opisanych dedykowanych procedur, a w skrajnych przypadkach wyłącznie prywatnych (indywidualnych) kluczy, które ograniczają ryzyko masowego ujawnienia informacji w przypadku kompromitacji jednego elementu systemu zabezpieczeń.
III. Wnioski
Podsumowując przytoczone w niniejszym stanowisku argumenty, Polska Chmura w wyraźny sposób apeluje o ograniczenie terytorialnego i jurysdykcyjnego przetwarzania tych kategorii danych, których ujawnienie, modyfikacja lub usunięcie doprowadzić może do ograniczenia funkcjonalności krajowych systemów administracyjnych, a w najgorszym przypadku zaś do zagrożenia suwerenności kraju. Ponadto postulujemy dookreślenie treści SCCO, dzięki czemu możliwym będzie uznanie, że dokument ten w realny sposób stanowić będzie zbiór wytycznych, na których opierać się mają instytucje administracji publiczne w trakcie zawierania umów z zakresu świadczenia usług chmurowych.
Niezależnie od powyższego, głównym kryterium zmian nie powinna być wyłącznie chęć optymalizacji kosztów administracyjnych, a przede wszystkim zabezpieczenie suwerenności cybernetycznej Rzeczypospolitej Polskiej na kolejne lata.