Prezentacija objašnjava aktualne probleme sigurnosti osobnih i drugih osjetljivih podataka u cloudu, rađena za Konferenciju FSec 2016 - Varaždin.

1. SIGURNOST OSOBNIH I DRUGIH
OSJETLJIVIH PODATAKA U
CLOUDU - PRAVNI POGLED
DOC. DR. SC. GORAN VOJKOVIĆ, DIPL. IUR.
FAKULTET PROMETNIH ZNANOSTI
ZAGREB

2. CLOUD COMPUTING (ILI
RAČUNALSTVO U OBLAKU)
FSec 2016 2
"Cloud computing" by Sam Johnston -
Created by Sam Johnston using
OmniGroup's OmniGraffle and Inkscape
(includes Computer.svg by Sasa
Stefanovic).

3. DEFINICIJA
• Računarstvo u oblaku (eng. Cloud computing) je
tehnologija koja osigurava fleksibilan, od lokacije
neovisan pristup računarskim resursima koji se
brzo i neprimjetno alociraju i dealociraju prema
potražnji.
• Računarski resursi se apstrahijrau i obično
virtrualiziraju, i korisnicima se isporučuju u vidu
usluga.
• Naplaćivanje, kada je prisutno, obično je bazirano
na korištenju, često u srazmjeru s količinom
uporabljenih resursa.
FSec 2016 3

4. A GDJE JE PROBLEM?
FSec 2016 4

5. DISTRIBUIRANA TEHNOLOGIJA
MA NEMA BOLJEG!
FSec 2016 5

6. PET KLJUČNIH KARAKTERISTIKA
FSec 2016 6
Carnet, Cloud Computing, CARNet,
Zagreb 2010.

7. PODSJETIMO SE! (I)
• Široki mrežni pristup (engl. Broad network access)
predstavlja mogućnosti dostupne putem mreže
kojima se pristupa koristeći standardne
mehanizme.
• Brza elastičnost (engl. Rapid elasticity)
podrazumijeva ubrzano i elastično pokretanje
korisničkih mogućnosti, od strane cloud okruženja.
• Cloud okruženje ima karakteristiku odmjerene
usluge (engl. Measured service) zato što sustavi u
cloud okruženju automatski provjeravaju i
optimiziraju uporabu resursa.FSec 2016 7

8. PODSJETIMO SE! (II)
• Usluga na zahtjev korisnika (engl. On-demand
self-service) označava karakteristiku cloud
okruženja u kojoj korisnik može samostalno
odabrati i pokrenuti određene računalne
resurse.
• Karakteristika udruživanja resursa (engl.
Resource pooling) označava spajanje
računalnih resursa pružatelja usluga, kako bi
se poslužili svi korisnici, koristeći model s više
zakupljenih jedinica (engl. Multi-Tenant
model).
FSec 2016 8

9. NO, KOLIKO JE TO SIGURNO?
• Koliko smo se oslonili na autorski zaštićene
aplikacije i formate trećih kompanija?
• Ili smo provjerili da je format postao „javno
dobro”, kao primjerice PDF/A?
FSec 2016 9
Da li možda imate još uvijek neku disketu s vašim
radovima pisanim u ChiWriteru?

10. TERITORIJALNO OGRANIČENI
PROPISI – PRVI ASPEKT
GRANICA NACIONALNE DRŽAVE JE GRANICA NJENE JURISDIKCIJE
FSec 2016 10

11. SAMO POGLEDAJMO EUROPU…
FSec 2016 11

12. ILI JOŠ GORE, DIO EUROPE S
VLASTITIM PROPISIMA…
FSec 2016 12

13. ILI NEGDJE GDJE SE ZAKON
OPĆENITO DRUGAČIJE
SHVAĆA…
FSec 2016 13

14. NIŠTA BEZ SLA!
• Service-level agreement (SLA) is defined as an
official commitment that prevails between a
service provider and the customer.
• Particular aspects of the service – scope,
quality, availability, responsibilities – are
agreed between the service provider and the
service user.
FSec 2016 14

15. JA IMAM SLA – SVE JE
POKRIVENO UGOVOROM!
• Koliko je ono milijuna spor?
• Cijene međunarodnih arbitražnih sudova su
ogromne:
za sporove do 10 milijuna dolara International
Chamber of Commerce (ICC) uzima nešto
preko 300.000 $.
• Niže cijene nacionalnih arbitraža – pa pazite da
partner ima sjedište u pouzdanoj državi!
FSec 2016 15

16. TERITORIJALNO OGRANIČENI
PROPISI – DRUGI ASPEKT
POSEBAN PROBLEM KOD OSOBNIH PODATAKA
FSec 2016 16

17. KONVENCIJA 108 VIJEĆA EUROPE
• Konvencija za zaštitu osoba glede automatizirane
obrade osobnih podataka i Dodatni protokol uz
konvenciju za zaštitu osoba glede automatizirane
obrade osobnih podataka u vezi nadzornih tijela i
međunarodne razmjene podataka.
• „Opened for signature in Strasbourg on 28 January
1981” (Dodatni protokol 2001.)
• Poglavlje III. - Prekogranični protok podataka
FSec 2016 17

18. ŠTO KAŽE POGLAVLJE III?
• Članak 12.:
• Prekogranični protok osobnih podataka i unutarnje
pravo
• 1. Odredbe koje slijede primjenjuju se na prijenos
preko državnih granica, bilo kojim sredstvom, osobnih
podataka koji su predmet automatizirane obrade ili su
prikupljeni radi takve obrade.
• 2. Stranka ne može, isključivo u svrhu zaštite
privatnosti, zabraniti ili podvrgnuti posebnom
odobrenju prekogranični protok osobnih podataka
usmjeren za područje druge stranke.
• Ali…
FSec 2016 18

19. ŠTO KAŽE POGLAVLJE III? (II)
• 3. Svaka je stranka, međutim, ovlaštena odstupiti od
odredbe stavka 2.:
• a. u onoj mjeri u kojoj njezino zakonodavstvo sadrži posebne
propise za određene kategorije osobnih podataka ili za
automatizirane zbirke osobnih podataka zbog naravi tih
podataka ili tih zbirki, osim ako propisi druge stranke pružaju
jednaku zaštitu,
• b. kad se prijenos obavlja s njezina područja na područje
države koja nije stranka preko područja druge stranke, kako
bi se izbjeglo da se takvim prijenosima zaobiđe
zakonodavstvo stranke navedene na početku ovoga stavka.
FSec 2016 19

20. ŠTO KAŽE POGLAVLJE III? (III)
• Članak 14.
• Pomoć subjektima podataka čije je boravište u
inozemstvu
• 1. Svaka stranka pruža pomoć svakoj osobi čije je boravište u
inozemstvu u ostvarenju prava predviđenih njezinim
unutarnjim pravom kojima se ostvaruju načela izložena u
članku 8. ove Konvencije. (biti upoznat s postojanjem obrade,
dobiti podatke, zatražiti brisanje i sl.)
• 2. Kad takva osoba boravi na području druge stranke, mora
joj se omogućiti podnošenje zahtjeva posredovanjem tijela
koje je ta stranka odredila.FSec 2016 20

21. DIREKTIVA 95/46/EZ
• Članak 1.
• Cilj Direktive
• 1. U skladu s ovom Direktivom, države članice štite
temeljna prava i slobode fizičkih osoba, a posebno
njihova prava na privatnost u vezi s obradom
osobnih podataka.
• 2. Države članice ne ograničavaju, ni zabranjuju
slobodni prijenos osobnih podataka između država
članica iz razloga povezanih sa zaštitom
osiguranom u stavku 1. ovog članka.
FSec 2016 21

22. DIREKTIVA 95/46/EZ (II)
• Podsjetimo se termina termini:
• "nadzornik" znači fizička ili pravna osoba, javno
tijelo, agencija ili bilo koje drugo tijelo koje samo
ili zajedno s drugima utvrđuje svrhu i načine
obrade osobnih podataka; (…)
• "obrađivač" znači fizička ili pravna osoba, javno
tijelo, agencija ili bilo koje drugo tijelo koje
obrađuje osobne podatke u ime nadzornika;
FSec 2016 22

23. DIREKTIVA 95/46/EZ (III)
• Članak 17.
• Sigurnost obrade
• 1. Države članice utvrđuju da nadzornik mora provoditi
odgovarajuće tehničke i organizacijske mjere kako bi zaštitio
osobne podatke od slučajnog ili nezakonitog uništavanja ili
slučajnoga gubitka, izmjene, neovlaštenog otkrivanja ili
pristupa, posebno kada obrada uključuje prijenos podataka
putem mreže, (…)
• 2. Države članice utvrđuju da nadzornik mora, kada se obrada
provodi u njegovo ime, izabrati obrađivača koji daje dovoljna
jamstva u vezi mjera tehničke sigurnosti kojima je uređena
obrada koju je potrebno izvršiti, te da osigura poštivanje tih
mjera.
FSec 2016 23

24. DIREKTIVA 95/46/EZ (IV)
• POGLAVLJE IV. - PRIJENOS OSOBNIH PODATAKA TREĆIM
ZEMLJAMA
• Članak 25.
• Načela
• 1. Države članice osiguravaju da se prijenos osobnih
podataka koji se obrađuju ili koje je potrebno obraditi
nakon prijenosa trećoj zemlji, može izvršiti jedino ako, ne
dovodeći u pitanje nacionalne odredbe donesene u skladu s
drugim odredbama ove Direktive, te treće zemlje osiguraju
odgovarajuću razinu zaštite.
• (…)
FSec 2016 24

25. DIREKTIVA 95/46/EZ (VII)
• Komisija može, utvrditi da treća zemlja temeljem
domaćeg zakonodavstva ili međunarodnih obveza
koje je preuzela, osigurava odgovarajuću razinu
zaštite, za zaštitu privatnog života i osnovnih
sloboda i prava pojedinaca – Zaključak o
prikladnosti.
• Zaključak Europske komisije o prikladnosti ima
obvezujući učinak.
• Zaključak Komisije može imati različiti opseg – za neke
države biti općenit, ali za druge države omogućavati
samo razmjenu osobnih podataka kod međunarodnih
letova.
FSec 2016 25

26. TKO STVARNO DRŽI NAŠE
PODATKE?
FSec 2016 26

27. NE, U IRSKOJ JE SAMO SJEDIŠTE
ZA EUROPU (NISKI POREZI)!
FSec 2016 27

28. GDJE JE TAJ OBLAK?
FSec 2016 28

29. ŠTO AKO NETKO ZLORABI NAŠE
PODATKE?
• Kaznena odgovornost podrazumijeva biće
kaznenog djela, skup obilježja za postojanje
kaznenog djela predviđenih zakonom; opis
kaznenog djela s kojima se u zakonu,
apstraktno, obilježuje neko ljudsko ponašanje
kao kriminalno.
• Izvor: http://proleksis.lzmk.hr/3736/
FSec 2016 29

30. UJEDNAČAVANJE KAZNENIH
ZAKONODAVSTAVA
• Veliki iskorak:
Convention on
Cybercrime Vijeća
Europe
• Ukupno 49
ratifikacija – velik dio
svijeta i dalje nema
ujednačeno
zakonodavstvoFSec 2016 30

31. PRINCIP „SIGURNE LUKE” –
SJEDINJENE DRŽAVE
• While the United States and the EU share the goal of
enhancing privacy protection for their citizens, the
United States takes a different approach to privacy from
that taken by the EU.
• In order to bridge these differences in approach and
provide a streamlined means for U.S. organizations to
comply with the Directive, the U.S. Department of
Commerce in consultation with the European
Commission developed a "safe harbor" framework and
this website to provide the information an organization
would need to evaluate – and then join – the U.S.-EU
Safe Harbor program. (izvor: export.gov)
FSec 2016 31

32. ŠTO SE DOGODILO SA
„SIGURNOM LUKOM SAD”
KADA JE LJUBAV PRESTALA…
FSec 2016 32

33. UPUTA ZA USA KOMPANIJE KOJE
ŽELE NA POPIS:
• If your organization decides to join:
• Bring your organization's policies and practices into
compliance with the requirements outlined in Helpful Hints on
Self-Certifying Compliance with the U.S.-EU Safe Harbor
Framework.
• Review the Information Required for Self-Certification.
• Complete and submit the Certification Form.
• Upon receipt of your organization’s self-certification
submission and corresponding processing fee, the
submission will be reviewed for completeness. If and
when the submission is deemed complete, it will be
posted to the U.S.-EU Safe Harbor List, available on this
website.
FSec 2016 33

34. „SIGURNA LUKA” – IZVAN SNAGE
FSec 2016 34

35. NEKI PRIMJERI IZ PRAKSE
FSec 2016 35

36. NA POVJERENJE?
• Google Drive:
• Is my organization compliant with the European
Commission Directive on Data Protection if we use
Google Apps?
• Google adheres to the U.S. Safe Harbor Privacy
Principles of Notice, Choice, Onward Transfer, Security,
Data Integrity, Access and Enforcement, and is
registered with the U.S. Department of Commerce’s
Safe Harbor Program.
• Generally, an organization must decide whether its use
of Google Apps is compliant with any regulations it may
be subject to.
FSec 2016 36

37. SMJEŠTAJ U EU-ČLANICI
• CloudMe:
• „Security and privacy of our customers data is a top
priority for us. CloudMe in contrast to most cloud
storage companies, run and operate our own data
center and hardware.
• All located in the country of Sweden, within the
European Union and protected by strong EU privacy
laws.”
FSec 2016 37

38. KRIPTIRANJE PODATAKA NA
RAZINI KLIJENTA
• SpiderOak:
• Zero Knowledge means we know nothing about the
encrypted data you store on our servers.
• This unique design means nothing leaves your
computer until after it is encrypted and is never
decrypted until it is unlocked with your password on
your computer.
FSec 2016 38

39. I NE ZABORAVITE…
• Većina projekata traži da se po završetku istog
podaci vrate vlasnicima podataka.
• Nuditelji cloud usluga u pravilu – još neko
vrijeme čuvaju vaše podatke.
• Jeste li sigurni da su ih i nakon tog vremena
izbrisali?
FSec 2016 39

40. ZAKLJUČNO…
• Postojeći pravni okvir rađen je prije razdoblja brzog
Interneta i cloud okruženja.
• Potrebna je nova regulacija koja će uzeti u obzir:
• Cloud okruženje za rad
• Cloud okruženje za spremanje podataka
• Odgovornost za podatke koji se nalaze u nekoliko država.
• Pitanja nadzora i moguće zloporabe komunikacijskih kanala
(npr. dvije osobe u Hrvatskoj komuniciraju preko stranog mail
servera).
• Nadzor nad reklamama i ponudama cloud usluga.
• Američko-europski trgovinski sporazum.
FSec 2016 40

41. HVALA NA PAŽNJI!
goran.vojkovic@fpz.hr
FSec 2016 41