SIGURNOST OSOBNIH I DRUGIH OSJETLJIVIH PODATAKA U … · •Niže cijene nacionalnih arbitraža...
Transcript of SIGURNOST OSOBNIH I DRUGIH OSJETLJIVIH PODATAKA U … · •Niže cijene nacionalnih arbitraža...
SIGURNOST OSOBNIH I DRUGIH OSJETLJIVIH PODATAKA U CLOUDU -PRAVNI POGLED
DOC. DR. SC. GORAN VOJKOVIĆ, DIPL. IUR.
FAKULTET PROMETNIH ZNANOSTI
ZAGREB
CLOUD COMPUTING (ILI RAČUNALSTVO U OBLAKU)
FSec 2016 2
"Cloud computing" by Sam Johnston - Created
by Sam Johnston using OmniGroup's
OmniGraffle and Inkscape (includes
Computer.svg by Sasa Stefanovic).
DEFINICIJA
• Računarstvo u oblaku (eng. Cloud computing) je tehnologija
koja osigurava fleksibilan, od lokacije neovisan pristup
računarskim resursima koji se brzo i neprimjetno alociraju i
dealociraju prema potražnji.
• Računarski resursi se apstrahijrau i obično virtrualiziraju, i
korisnicima se isporučuju u vidu usluga.
• Naplaćivanje, kada je prisutno, obično je bazirano na
korištenju, često u srazmjeru s količinom uporabljenih resursa.
FSec 2016 3
A GDJE JE PROBLEM?
FSec 2016 4
DISTRIBUIRANA TEHNOLOGIJA
MA NEMA BOLJEG!
FSec 2016 5
PET KLJUČNIH KARAKTERISTIKA
FSec 2016 6Carnet, Cloud Computing, CARNet, Zagreb 2010.
PODSJETIMO SE! (I)
• Široki mrežni pristup (engl. Broad network access) predstavlja
mogućnosti dostupne putem mreže kojima se pristupa koristeći
standardne mehanizme.
• Brza elastičnost (engl. Rapid elasticity) podrazumijeva ubrzano
i elastično pokretanje korisničkih mogućnosti, od strane cloud
okruženja.
• Cloud okruženje ima karakteristiku odmjerene usluge (engl.
Measured service) zato što sustavi u cloud okruženju automatski
provjeravaju i optimiziraju uporabu resursa.
FSec 2016 7
PODSJETIMO SE! (II)
• Usluga na zahtjev korisnika (engl. On-demand self-service)
označava karakteristiku cloud okruženja u kojoj korisnik
može samostalno odabrati i pokrenuti određene
računalne resurse.
• Karakteristika udruživanja resursa (engl. Resource
pooling) označava spajanje računalnih resursa pružatelja
usluga, kako bi se poslužili svi korisnici, koristeći model s
više zakupljenih jedinica (engl. Multi-Tenant model).
FSec 2016 8
NO, KOLIKO JE TO SIGURNO?
• Koliko smo se oslonili na autorski zaštićene aplikacije i
formate trećih kompanija?
• Ili smo provjerili da je format postao „javno dobro”, kao
primjerice PDF/A?
FSec 2016 9
Da li možda imate još uvijek neku disketu s vašim radovima pisanim
u ChiWriteru?
TERITORIJALNO OGRANIČENI PROPISI – PRVI ASPEKT
GRANICA NACIONALNE DRŽAVE JE GRANICA NJENE JURISDIKCIJE
FSec 2016 10
SAMO POGLEDAJMO EUROPU…
FSec 2016 11
ILI JOŠ GORE, DIO EUROPE S VLASTITIM PROPISIMA…
FSec 2016 12
ILI NEGDJE GDJE SE ZAKON OPĆENITO DRUGAČIJE SHVAĆA…
FSec 2016 13
NIŠTA BEZ SLA!
• Service-level agreement (SLA) is defined as an official
commitment that prevails between a service provider and
the customer.
• Particular aspects of the service – scope, quality,
availability, responsibilities – are agreed between the
service provider and the service user.
FSec 2016 14
JA IMAM SLA – SVE JE POKRIVENO UGOVOROM!
• Koliko je ono milijuna spor?
• Cijene međunarodnih arbitražnih sudova su ogromne:
za sporove do 10 milijuna dolara International Chamber
of Commerce (ICC) uzima nešto preko 300.000 $.
• Niže cijene nacionalnih arbitraža – pa pazite da partner
ima sjedište u pouzdanoj državi!
FSec 2016 15
TERITORIJALNO OGRANIČENI PROPISI – DRUGI ASPEKT
POSEBAN PROBLEM KOD OSOBNIH PODATAKA
FSec 2016 16
KONVENCIJA 108 VIJEĆA EUROPE
• Konvencija za zaštitu osoba glede automatizirane obrade
osobnih podataka i Dodatni protokol uz konvenciju za zaštitu
osoba glede automatizirane obrade osobnih podataka u vezi
nadzornih tijela i međunarodne razmjene podataka.
• „Opened for signature in Strasbourg on 28 January 1981”
(Dodatni protokol 2001.)
• Poglavlje III. - Prekogranični protok podataka
FSec 2016 17
ŠTO KAŽE POGLAVLJE III?
• Članak 12.:
• Prekogranični protok osobnih podataka i unutarnje pravo
• 1. Odredbe koje slijede primjenjuju se na prijenos preko državnih
granica, bilo kojim sredstvom, osobnih podataka koji su predmet
automatizirane obrade ili su prikupljeni radi takve obrade.
• 2. Stranka ne može, isključivo u svrhu zaštite privatnosti, zabraniti ili
podvrgnuti posebnom odobrenju prekogranični protok osobnih
podataka usmjeren za područje druge stranke.
• Ali…
FSec 2016 18
ŠTO KAŽE POGLAVLJE III? (II)
• 3. Svaka je stranka, međutim, ovlaštena odstupiti od odredbe stavka
2.:
• a. u onoj mjeri u kojoj njezino zakonodavstvo sadrži posebne propise za
određene kategorije osobnih podataka ili za automatizirane zbirke osobnih
podataka zbog naravi tih podataka ili tih zbirki, osim ako propisi druge
stranke pružaju jednaku zaštitu,
• b. kad se prijenos obavlja s njezina područja na područje države koja nije
stranka preko područja druge stranke, kako bi se izbjeglo da se takvim
prijenosima zaobiđe zakonodavstvo stranke navedene na početku ovoga
stavka.
FSec 2016 19
ŠTO KAŽE POGLAVLJE III? (III)
• Članak 14.
• Pomoć subjektima podataka čije je boravište u inozemstvu
• 1. Svaka stranka pruža pomoć svakoj osobi čije je boravište u inozemstvu u
ostvarenju prava predviđenih njezinim unutarnjim pravom kojima se
ostvaruju načela izložena u članku 8. ove Konvencije. (biti upoznat s
postojanjem obrade, dobiti podatke, zatražiti brisanje i sl.)
• 2. Kad takva osoba boravi na području druge stranke, mora joj se
omogućiti podnošenje zahtjeva posredovanjem tijela koje je ta stranka
odredila.
FSec 2016 20
DIREKTIVA 95/46/EZ
• Članak 1.
• Cilj Direktive
• 1. U skladu s ovom Direktivom, države članice štite temeljna
prava i slobode fizičkih osoba, a posebno njihova prava na
privatnost u vezi s obradom osobnih podataka.
• 2. Države članice ne ograničavaju, ni zabranjuju slobodni
prijenos osobnih podataka između država članica iz razloga
povezanih sa zaštitom osiguranom u stavku 1. ovog članka.
FSec 2016 21
DIREKTIVA 95/46/EZ (II)
• Podsjetimo se termina termini:
• "nadzornik" znači fizička ili pravna osoba, javno tijelo,
agencija ili bilo koje drugo tijelo koje samo ili zajedno s
drugima utvrđuje svrhu i načine obrade osobnih podataka;
(…)
• "obrađivač" znači fizička ili pravna osoba, javno tijelo,
agencija ili bilo koje drugo tijelo koje obrađuje osobne
podatke u ime nadzornika;
FSec 2016 22
DIREKTIVA 95/46/EZ (III)
• Članak 17.
• Sigurnost obrade
• 1. Države članice utvrđuju da nadzornik mora provoditi odgovarajuće
tehničke i organizacijske mjere kako bi zaštitio osobne podatke od
slučajnog ili nezakonitog uništavanja ili slučajnoga gubitka, izmjene,
neovlaštenog otkrivanja ili pristupa, posebno kada obrada uključuje
prijenos podataka putem mreže, (…)
• 2. Države članice utvrđuju da nadzornik mora, kada se obrada provodi u
njegovo ime, izabrati obrađivača koji daje dovoljna jamstva u vezi mjera
tehničke sigurnosti kojima je uređena obrada koju je potrebno izvršiti, te da
osigura poštivanje tih mjera.
FSec 2016 23
DIREKTIVA 95/46/EZ (IV)
• POGLAVLJE IV. - PRIJENOS OSOBNIH PODATAKA TREĆIM ZEMLJAMA
• Članak 25.
• Načela
• 1. Države članice osiguravaju da se prijenos osobnih podataka koji se
obrađuju ili koje je potrebno obraditi nakon prijenosa trećoj zemlji, može
izvršiti jedino ako, ne dovodeći u pitanje nacionalne odredbe donesene u
skladu s drugim odredbama ove Direktive, te treće zemlje osiguraju
odgovarajuću razinu zaštite.
• (…)
FSec 2016 24
DIREKTIVA 95/46/EZ (VII)
• Komisija može, utvrditi da treća zemlja temeljem domaćeg
zakonodavstva ili međunarodnih obveza koje je preuzela,
osigurava odgovarajuću razinu zaštite, za zaštitu privatnog
života i osnovnih sloboda i prava pojedinaca – Zaključak o
prikladnosti.
• Zaključak Europske komisije o prikladnosti ima obvezujući učinak.
• Zaključak Komisije može imati različiti opseg – za neke države biti
općenit, ali za druge države omogućavati samo razmjenu osobnih
podataka kod međunarodnih letova.
FSec 2016 25
TKO STVARNO DRŽI NAŠE PODATKE?
FSec 2016 26
NE, U IRSKOJ JE SAMO SJEDIŠTE ZA EUROPU (NISKI POREZI)!
FSec 2016 27
GDJE JE TAJ OBLAK?
FSec 2016 28
ŠTO AKO NETKO ZLORABI NAŠE PODATKE?
• Kaznena odgovornost podrazumijeva biće kaznenog
djela, skup obilježja za postojanje kaznenog djela
predviđenih zakonom; opis kaznenog djela s kojima se u
zakonu, apstraktno, obilježuje neko ljudsko ponašanje kao
kriminalno.
• Izvor: http://proleksis.lzmk.hr/3736/
FSec 2016 29
UJEDNAČAVANJE KAZNENIH ZAKONODAVSTAVA
• Veliki iskorak: Convention
on Cybercrime Vijeća
Europe
• Ukupno 49 ratifikacija –
velik dio svijeta i dalje
nema ujednačeno
zakonodavstvo
FSec 2016 30
PRINCIP „SIGURNE LUKE” –SJEDINJENE DRŽAVE
• While the United States and the EU share the goal of enhancing
privacy protection for their citizens, the United States takes a
different approach to privacy from that taken by the EU.
• In order to bridge these differences in approach and provide a
streamlined means for U.S. organizations to comply with the Directive,
the U.S. Department of Commerce in consultation with the European
Commission developed a "safe harbor" framework and this website
to provide the information an organization would need to evaluate –
and then join – the U.S.-EU Safe Harbor program. (izvor: export.gov)
FSec 2016 31
ŠTO SE DOGODILO SA „SIGURNOM LUKOM SAD”
KADA JE LJUBAV PRESTALA…
FSec 2016 32
UPUTA ZA USA KOMPANIJE KOJE ŽELE NA POPIS:
• If your organization decides to join:
• Bring your organization's policies and practices into compliance with the
requirements outlined in Helpful Hints on Self-Certifying Compliance with
the U.S.-EU Safe Harbor Framework.
• Review the Information Required for Self-Certification.
• Complete and submit the Certification Form.
• Upon receipt of your organization’s self-certification submission and
corresponding processing fee, the submission will be reviewed for
completeness. If and when the submission is deemed complete, it will
be posted to the U.S.-EU Safe Harbor List, available on this website.
FSec 2016 33
„SIGURNA LUKA” – IZVAN SNAGE
FSec 2016 34
NEKI PRIMJERI IZ PRAKSE
FSec 2016 35
NA POVJERENJE?
• Google Drive:
• Is my organization compliant with the European Commission Directive
on Data Protection if we use Google Apps?
• Google adheres to the U.S. Safe Harbor Privacy Principles of
Notice, Choice, Onward Transfer, Security, Data Integrity, Access
and Enforcement, and is registered with the U.S. Department of
Commerce’s Safe Harbor Program.
• Generally, an organization must decide whether its use of Google
Apps is compliant with any regulations it may be subject to.
FSec 2016 36
SMJEŠTAJ U EU-ČLANICI
• CloudMe:
• „Security and privacy of our customers data is a top priority for
us. CloudMe in contrast to most cloud storage companies, run and
operate our own data center and hardware.
• All located in the country of Sweden, within the European Union
and protected by strong EU privacy laws.”
FSec 2016 37
KRIPTIRANJE PODATAKA NA RAZINI KLIJENTA
• SpiderOak:
• Zero Knowledge means we know nothing about the encrypted
data you store on our servers.
• This unique design means nothing leaves your computer until
after it is encrypted and is never decrypted until it is unlocked
with your password on your computer.
FSec 2016 38
I NE ZABORAVITE…
• Većina projekata traži da se po završetku istog podaci
vrate vlasnicima podataka.
• Nuditelji cloud usluga u pravilu – još neko vrijeme čuvaju
vaše podatke.
• Jeste li sigurni da su ih i nakon tog vremena izbrisali?
FSec 2016 39
ZAKLJUČNO…
• Postojeći pravni okvir rađen je prije razdoblja brzog Interneta i cloud
okruženja.
• Potrebna je nova regulacija koja će uzeti u obzir:
• Cloud okruženje za rad
• Cloud okruženje za spremanje podataka
• Odgovornost za podatke koji se nalaze u nekoliko država.
• Pitanja nadzora i moguće zloporabe komunikacijskih kanala (npr. dvije
osobe u Hrvatskoj komuniciraju preko stranog mail servera).
• Nadzor nad reklamama i ponudama cloud usluga.
• Američko-europski trgovinski sporazum.
FSec 2016 40
HVALA NA PAŽ[email protected]
FSec 2016 41