《企業(yè)網(wǎng)D1Net》10月4日訊
這個(gè)星期,歐盟委員會(huì)(EC)和信息專員辦公室(ICO)都就云計(jì)算安全發(fā)布了指導(dǎo)方針。
前者是關(guān)于確保理解和給予足夠清晰,以及利用財(cái)務(wù)效益,而ICO的指導(dǎo)方針則是關(guān)于提醒企業(yè)在進(jìn)一步追尋云計(jì)算時(shí)別忘了對(duì)個(gè)人數(shù)據(jù)的責(zé)任。
ICO說,即使相關(guān)公司已經(jīng)將個(gè)人數(shù)據(jù)遷移到云網(wǎng)絡(luò)供應(yīng)商處,也仍熱富有照看個(gè)人數(shù)據(jù)的責(zé)任。ICO說至于究竟有多少企業(yè)根本沒有意識(shí)到他們就算將個(gè)人數(shù)據(jù)移交給云網(wǎng)絡(luò)供應(yīng)商也仍然負(fù)有責(zé)任,實(shí)在令人擔(dān)心。
Simon Rice博士——ICO技術(shù)政策顧問,同時(shí)也是這些方針的作者——如此說道:“關(guān)于外包數(shù)據(jù)的法律十分清晰。作為一個(gè)企業(yè),你對(duì)于保證你的數(shù)據(jù)安全毫無疑問負(fù)有責(zé)任。你可以外包一些數(shù)據(jù)處理過程,正如云計(jì)算中的那樣,但是那些數(shù)據(jù)被用作何事、獲得怎樣的保護(hù),仍然是你的責(zé)任。”
“對(duì)于一個(gè)組織來說,若認(rèn)為這些指導(dǎo)方針只是將一些數(shù)據(jù)存在不同處的一些工作,就實(shí)在太天真了。只要牽涉到個(gè)人信息的地方,賭注都很高,而ICO已經(jīng)表明了它將在堅(jiān)決反對(duì)那些不符合數(shù)據(jù)保護(hù)法的人。”
去年Field Fisher律師事務(wù)所的合伙人Stewart Room告訴SC雜志,數(shù)據(jù)保護(hù)指令的變化將包括一個(gè)“綁定安全處理器規(guī)則”,即數(shù)據(jù)所有者將不會(huì)承擔(dān)經(jīng)云供應(yīng)商之手造成的損失。
他說:“如果你外包給一個(gè)已認(rèn)證的公司,一旦他們損害到你的數(shù)據(jù),你不用自己承擔(dān)責(zé)任。我相信這對(duì)于那些至今為止依然對(duì)云端第三方責(zé)任以及安全性感到擔(dān)憂的企業(yè)采用云服務(wù)而言,將是重要的一步。”
Vormetric公司歐洲、中東、非洲地區(qū)副總裁Paul Ayers說,這些指導(dǎo)方針對(duì)于全體范圍內(nèi)的企業(yè)數(shù)據(jù)保護(hù)責(zé)任以及可能伴隨數(shù)據(jù)不恰當(dāng)管理接踵而至的危險(xiǎn)來說,均是一個(gè)及時(shí)的提醒。
他說,“一些一廂情愿的公司相信,利用云就能給自己擺脫掉保護(hù)數(shù)據(jù)安全性的責(zé)任。但是事實(shí)并非如此。公司們?nèi)砸心芰Υ_定他們的數(shù)據(jù)托管于何處以及哪些數(shù)據(jù)保護(hù)政策于此相關(guān)。
“云在敏捷度和成本節(jié)省前景方面提供了明顯的優(yōu)勢(shì),但是,擁有數(shù)據(jù)的企業(yè)作為最終義務(wù)所在地,必須擁有數(shù)據(jù)安全性的所有權(quán)。當(dāng)涉及到公有云中的敏感數(shù)據(jù)時(shí),企業(yè)是最終負(fù)責(zé)的,且需要進(jìn)行盡職調(diào)查。”
信息安全論壇(ISF)的全球總裁Steve Durbin說,這些指導(dǎo)方針是一個(gè)提醒,提醒企業(yè)(而非服務(wù)供應(yīng)商)早涉及到云時(shí),對(duì)保護(hù)數(shù)據(jù)負(fù)有責(zé)任。
“作為結(jié)果,企業(yè)在將其移到云端之前需要評(píng)估所有數(shù)據(jù)的敏感性,并確保恰當(dāng)?shù)陌踩Wo(hù)措施已經(jīng)到位,”他說。
“我們建議組織首先開發(fā)一個(gè)云安全架構(gòu),詳細(xì)說明他們的數(shù)據(jù)將如何被使用,納入安全性控制,這在符合最新的使用諸如實(shí)時(shí)審計(jì)、加密和身份訪問管理政策等功能的隱私法案時(shí)會(huì)用得上。”
“其次,因?yàn)樵朴?jì)算供應(yīng)商都是外部供應(yīng)商,組織在和他們合作時(shí)就需要考慮許多的關(guān)鍵因素,例如誰有權(quán)訪問數(shù)據(jù)日志,以及誰將最終擁有這些信息。等等。”
一個(gè)外包云計(jì)算的關(guān)鍵領(lǐng)域是要確定你所外包的公司和你兼容的且經(jīng)同樣的風(fēng)險(xiǎn)評(píng)估的。如ICO所言,企業(yè)仍舊對(duì)遵循數(shù)據(jù)保護(hù)法律負(fù)有責(zé)任,即使這些數(shù)據(jù)已被服務(wù)供應(yīng)商所照管。
在其他相關(guān)新聞中,EC發(fā)布了關(guān)于云計(jì)算中數(shù)據(jù)所有權(quán)的指導(dǎo)方針。它說,它最新的策略是創(chuàng)建一個(gè)“針對(duì)云計(jì)算的單一規(guī)則,直到2020年使歐盟GDP每年增長(zhǎng)€1600億。”
EC說,盡管云計(jì)算被大規(guī)模使用,無論是經(jīng)由社會(huì)化媒體還是存儲(chǔ)或者通過節(jié)省辦公空間和減少對(duì)室內(nèi)IT支持團(tuán)隊(duì)的需要,歐盟還沒有獲得云計(jì)算的全部潛力,許多業(yè)務(wù)都因數(shù)據(jù)安全的不確定性或者因在不同云供應(yīng)商之間轉(zhuǎn)移數(shù)據(jù)而推遲。
它提出了一個(gè)戰(zhàn)略,用一套將通過歐洲企業(yè)促進(jìn)云計(jì)算使用的單一規(guī)則。它說這將能:確保用戶能夠從一個(gè)云端轉(zhuǎn)移數(shù)據(jù)至另一個(gè)云端或干脆撤出數(shù)據(jù);提供一個(gè)歐盟范圍的對(duì)值得信任的云供應(yīng)商的認(rèn)證;同樣地推出針對(duì)云計(jì)算的“模型合同”,使法律責(zé)任更清晰。最終,它引進(jìn)了一個(gè)公共部門和行業(yè)之間識(shí)別需求且確保歐洲IT部門能夠滿足的“歐洲云伙伴關(guān)系”。
EC的策略文件包括3個(gè)關(guān)鍵體制能發(fā)揮作用的領(lǐng)域:標(biāo)準(zhǔn);服務(wù)水平協(xié)議;公共部門經(jīng)歐洲云伙伴關(guān)系的采用。
Fiberlink的信息安全官David Lingenfelter說:“這是一個(gè)持續(xù)驗(yàn)證,云計(jì)算并不只是一個(gè)可行的技術(shù)解決方案,還是一個(gè)關(guān)于互聯(lián)網(wǎng)和通訊在未來幾年將怎樣進(jìn)步的堅(jiān)實(shí)基礎(chǔ)。”
“隨著歐盟連續(xù)發(fā)力并采納這種集成云計(jì)算策略的通訊方式,他已經(jīng)開始想更進(jìn)一步在整個(gè)歐盟范圍采納云服務(wù)敞開大門。”
Michel Robert ,英國圖案管服務(wù)提供者M(jìn)D——Claranet說,該報(bào)告應(yīng)強(qiáng)烈建議云供應(yīng)商給予他們的客戶對(duì)于他們的數(shù)據(jù)將托管在何處以及何時(shí)可能在本地設(shè)備上托管他們的數(shù)據(jù)有一個(gè)清晰的理解。
“在數(shù)據(jù)位置上沒有明確性,在云中保持并增強(qiáng)信用將會(huì)越來越難。我們期待并希望歐盟委員會(huì)能促進(jìn)鼓勵(lì)服務(wù)供應(yīng)商在其運(yùn)營(yíng)地使用國內(nèi)數(shù)據(jù)中心,對(duì)他們的客戶要實(shí)現(xiàn)數(shù)據(jù)存儲(chǔ)地的透明,”他說。
數(shù)據(jù)保護(hù)專家,國際法律事務(wù)所TaylorWessing的合伙人Vinod Bange說,很難看出這些計(jì)劃怎樣針對(duì)云計(jì)算的挑戰(zhàn)提出新鮮的解決方案。
Bange 說:“一些措施是受歡迎的,比如安全標(biāo)準(zhǔn)認(rèn)證,鼓勵(lì)歐盟數(shù)據(jù)保護(hù)改革逐漸加速”。但是,簡(jiǎn)單指向諸如綁定企業(yè)規(guī)則(BCR)這樣的數(shù)據(jù)保護(hù)方案并不是最好的解決方法。事實(shí)是,從一開始就實(shí)施BCR方案,并以監(jiān)管機(jī)構(gòu)批準(zhǔn)給它“生命”結(jié)束,可能需要花上數(shù)年才能實(shí)現(xiàn)。
“新思維會(huì)歡迎這些,例如允許云BCR方案在早期程序中已經(jīng)被視為充分——比如諸如安全性認(rèn)證這樣的關(guān)鍵里程碑一旦實(shí)現(xiàn)。比起其他,這將更快地提供更多的不違反數(shù)據(jù)法律的確定性”
本周宣布的聲明表明云計(jì)算安全的困境可能行將結(jié)束。有一個(gè)來自ICO 和EC的識(shí)別,已經(jīng)存在,人們也正在做這件事,所以下一個(gè)挑戰(zhàn)是在一個(gè)監(jiān)管框架內(nèi)來做,且企業(yè)和用戶都能理解他們?cè)谧龅氖隆?/p>
ICO指導(dǎo)方針很簡(jiǎn)單,就是指導(dǎo)方針,但是因?yàn)樗辉偈?ldquo;沒牙的老虎”,它的建議應(yīng)該被考慮。至于EC,其計(jì)劃經(jīng)常不得不經(jīng)歷一個(gè)無邊的殺人機(jī)器,其中可能會(huì)有一些難以辨認(rèn)的不同出現(xiàn)。