Łamiąc unijne regulacje o ochronie danych osobowych, Waszyngton chce mieć wgląd w informacje, które gromadzimy na zewnętrznych serwerach. Tajemnice polskich firm mogą być zagrożone.

Tworzona pod egidą polskiego rządu publiczna chmura obliczeniowa, w której mają być przechowywane m.in. wrażliwe dane rodzimych firm, miała gwarantować, że cenne informacje nie wpadną w niepowołane ręce. Problem w tym, że partnerem strategicznym Operatora Chmury Krajowej (OChK), instytucji stworzonej przez związane z państwem – bank PKO BP oraz Polski Fundusz Rozwoju (PFR) został Google.

Zawarcie strategicznego partnerstwa z globalnym partnerem ma pomóc polskim firmom we wdrażaniu i wykorzystaniu potencjału, jaki oferują zaawansowane technologie chmury obliczeniowej w biznesie. W Warszawie powstanie tzw. region Google Cloud – hub infrastruktury technicznej i oprogramowania dla całej Europy Środkowo-Wschodniej. W ramach współpracy Google zbuduje on nad Wisłą centra danych. I choć wszystkie strony zapewniają, że pliki magazynowane na polskiej ziemi będą w efekcie tego bezpieczne, nie można spać spokojnie.

CZYTAJ TAKŻE: Furtka do danych, klucz w Ameryce

Klucze do „tylnych drzwi” mają bowiem władze amerykańskie. Wszystko przez przyjęte w USA w ub.r. regulacje Cloud Act (Clarifying Lawful Overseas Use of Data Act), czyli ustawę o „legalnym wykorzystaniu danych za granicą”. Zgodnie z nią Waszyngton, bez potrzeby zawierania bilateralnych porozumień z innymi krajami, może obligować amerykańskich operatorów chmury do udostępnienia gromadzonych tam danych klientów. Wystarczy, że np. FBI takie żądanie umotywuje względami bezpieczeństwa. Dotyczy to chmur nie tylko Google’a, ale też Amazona czy Microsoftu.

Katarzyna Szczudlik, adwokat z kancelarii Wardyński i Wspólnicy, tłumaczy, że Polska bez umowy bilateralnej z USA jest tu bezradna – nie ma możliwości przeciwstawienia się kontrowersyjnym przepisom.

CZYTAJ TAKŻE: Chmura rośnie jak szalona. Kto się liczy?

Choć Polacy sceptycznie podchodzą do magazynowania informacji i plików na zewnętrznych serwerach, możliwość sięgania do nich przez obcy rząd może wyhamować oczekiwany boom na te usługi.

Z rozwiązań chmurowych w Polsce korzysta obecnie tylko 11 proc. przedsiębiorstw, czyli znacznie mniej niż np. w Finlandii (65 proc.) czy Szwecji (57 proc.). Pod tym względem zajmujemy w Europie trzecie miejsce od końca, przed Rumunią i Bułgarią.

Wartość rynku chmurowego w naszym kraju sięga ok. 1 mld zł, ale – wedle optymistycznych prognoz – w ciągu czterech lat może się podwoić.

Nadzieją szyfrowanie

Fakt, że produkty Google’a zostaną włączone do oferty OChK, niekoniecznie powinien cieszyć rodzimych przedsiębiorców, o ile zależy im na bezwzględnej ochronie firmowych tajemnic. Zgodnie z amerykańskimi regulacjami Cloud Act tamtejsi operatorzy chmurowi muszą bowiem w określonych przypadkach na wezwanie amerykańskich służb udostępniać dane klientów magazynowane nawet na serwerach poza USA.

CZYTAJ TAKŻE: Polski biznes boi się chmury. Złodzieje danych zacierają ręce

Roman Młodkowski, dyrektor strategii Operatora Chmury Krajowej (OChK), uspokaja: gdy klient potrzebuje absolutnej pewności, że dane podlegają wyłącznie polskiej jurysdykcji, OChK oferuje własną infrastrukturę. – Jeśli klient chce podnieść poziom bezpieczeństwa, może posługiwać się kluczami szyfrowymi, które są w jego posiadaniu, i ani my, ani nasi partnerzy nie będą w stanie udostępnić tych kluczy żadnym władzom – wyjaśnia.

W polskiej centrali Google’a twierdzą, że koncern wyznaje zasadę: żądania instytucji rządowych w sprawie dostępu do danych klientów winny być kierowane bezpośrednio do nich. – Cloud Act nie zmienia naszego stanowiska – mówi Adam Malczak, menedżer ds. komunikacji w Google’u.

Dodaje, że tak jak wszystkie firmy technologiczne, Google otrzymuje wnioski o dostęp do danych od instytucji na całym świecie. – Stanowczo bronimy prywatności danych naszych klientów – podkreśla.

Waszyngton może obligować amerykańskich operatorów chmury do udostępnienia gromadzonych tam danych klientów

Zdaniem Adama Malczaka wszystkie informacje przechowywane i przetwarzane w Google Cloud są zawsze prywatne i bezpieczne: – Udostępniamy klientom narzędzia zarządzania i monitorowania dostępu do tych danych. Mogą też wybierać spośród wielu różnych sposobów szyfrowania, w tym takich, gdzie Google nie ma w żadnym momencie dostępu do kluczy umożliwiających ich odszyfrowanie. Żaden rząd nie ma też dostępu do danych za pośrednictwem tzw. backdoora – podkreśla Malczak.

CZYTAJ TAKŻE: Hakerzy złamali WhatsAppa. Który rząd za tym stoi?

Jednak Katarzyna Szczudlik, adwokat z kancelarii Wardyński i Wspólnicy, nie ma wątpliwości, że na wezwanie amerykańskich służb zgodnie z Cloud Act, spółki chmurowe z tego kraju będą przekazywać dane. – Na taki transfer może nie mieć wpływu nawet fakt, że np. firma chmurowa działająca w Polsce stworzy tu odrębną spółkę. Ze względu na powiązania kapitałowe i specyfikę usług ciężko wyobrazić sobie sytuację, w której Google miałby odmówić podporządkowania się Cloud Act i uniemożliwił dostęp do danych – zaznacza mecenas. Według niej Google, który będzie miał regionalny hub chmurowy nad Wisłą, przekazując dane zgodnie z regułami Cloud Act, przy niespełnieniu szczególnych warunków wskazanych w samym unijnym rozporządzeniu o ochronie danych osobowych (RODO), może dopuścić się złamania przepisów.

Konflikt z RODO

Cloud Act co do zasady wydaje się być sprzeczny z RODO. – W tym także z motywem 115. preambuły [tego europejskiego rozporządzenia – red.], ponieważ dopuszcza transgraniczne stosowanie ustawodawstwa państwa obcego, co może prowadzić do uniemożliwienia zapewnienia ochrony danych osobowych – wyjaśnia Katarzyna Szczudlik.

CZYTAJ TAKŻE: Gejowski portal zagrożeniem dla bezpieczeństwa USA

Dobrym rozwiązaniem może okazać się podpisanie umowy bilateralnej z USA na kanwie Cloud Act, tak jak zrobiła to Wielka Brytania. Tak przynajmniej twierdzi Chester Wisniewski, principal research scientist w brytyjskiej firmie Sophos z branży cyfrowej ochrony danych. – Korzyści są oczywiste w przypadku przyspieszenia uzasadnionych wniosków organów ścigania z krajów, które zawarły porozumienia z USA. Cloud Act umożliwia władzom Stanów Zjednoczonych uzyskanie dostępu do danych, jeżeli są przechowywane przez amerykańskie firmy poza krajem. Ale to działa także w drugą stronę, w przypadku krajów, które zawarły porozumienie – zaznacza.

OPINIA

Robert Paszkiewicz, dyrektor sprzedaży, OVHcloud, Polska

Operatorom chmury z USA Cloud Act może utrudnić biznes. Tak się stanie, gdy podmioty z UE nie będą chciały ryzykować ujawnienia danych i zrezygnują z ich usług. Dla europejskich operatorów to szansa na wzrost biznesu, bo nie podlegając tej jurysdykcji, zyskują solidny argument sprzedażowy. Decyzja klientów zależy od ich stosunku do kwestii ujawnienia danych. Jeśli skorzystamy z zasobów amerykańskiego operatora, istnieje ryzyko ich transferu. Co więcej, Cloud Act i RODO stoją wobec siebie w opozycji. W Cloud Act nie ma np. precyzyjnej definicji poważnego przestępstwa i bezpieczeństwa publicznego, które rzekomo ma chronić nowe prawo. Ale są zapisy umożliwiające zawieranie przez USA specjalnych umów w celu szybkiego uzyskania dostępu do danych z pominięciem drogi sądowej.

Eksterytorialne ręce Waszyngtonu

Amerykańskim operatorom chmury Waszyngton może wydać nakaz wydania danych klientów, nawet gdy znajdują się one poza terytorium USA. Takie reguły wprowadziła w marcu ub.r. ogłoszona przez prezydenta Donalda Trumpa ustawa Overseas Use of Data Act, czyli Cloud Act. O regulacji, która wzbudza uzasadnione kontrowersje za Atlantykiem i w Europie, w Polsce praktycznie się nie mówi. A to poważne zagrożenie w kontekście ochrony wolności obywatelskich i przepisów RODO. Chodzi w praktyce o eksterytorialność prawa amerykańskiego i zapisy legitymizujące dostęp organów ścigania z USA do naszych prywatnych danych z chmurowych serwerów, jeśli zachodzi prawdopodobieństwo, że mogą one stanowić dowody w poważnych przestępstwach. Brytyjczycy już podpisali z USA bilateralną umowę, która daje im możliwość blokowania tych zapędów. Teraz przymierza się do niej również Australia.