Računarstvo u oblaku

Из Википедије, слободне енциклопедије

Računarstvo u oblaku (engl. Cloud computing) je tehnologija koja obezbeđuje fleksibilan, od lokacije nezavisan pristup računarskim resursima koji se brzo i neprimetno alociraju i dealociraju prema potražnji. Računarski resursi se apstrahuju i obično virtuelizuju, i korisnicima se isporučuju u vidu usluga. Naplaćivanje, kada je prisutno, obično je bazirano na korišćenju, često u srazmeri sa količinom upotrebljenih resursa[1]

Tehnički posmatrano, klaud model u svojoj osnovi ima koncept nezavisnosti od lokacije[2]. Resursi provajdera se dele prema potrebi kako bi uslužili mnogobrojne korisnike, pri čemu se različiti fizički i virtuelni resursi dinamički dodeljuju i preraspoređuju prema zahtevima.

Većina zakonskih pitanja vezana za klaud model proističu iz činjenice da je klaud computing distribuirana tehnologija[3] u nezadrživom naletu na globalnom tržištu[4] u eri teritorijalno ograničenih jurisdikcija. U takvoj situaciji se javljaju problemi u oblastima zaštite podataka,sigurnosti podataka, poverljivosti informacija, zaštite intelektualne svojine, regulisanja prava pristupa podacima od strane organa sprovođenja zakona, zaštitu korisnika od nemara provajdera, pitanja podizvođača usluga koji ne pružaju isti nivo garancija koji je predviđen ugovorom itd[1].

Računarstvo u oblaku i EU regulativa[уреди]

Agencije za sprovođenje zakona i EU[уреди]

Konvencija o visokotehhnološkom kriminalu [5] Saveta Evrope je međunarodni pravni dokument koji ima za cilj postizanje bolje međunarodne saradnje u borbi protiv te vrste kriminala. Države potpisnice implementiraju odredbe konvencije u svojim pravnim sistemima. Neke od tačaka koje se u njoj nalaze direktno ili indirektno uređuju poslovanje provajdera klaud usluga i time se odražavaju i na korisnika. Među njima se nalaze:

  • Ekspeditivno konzerviranje uskladištenih podataka (koje obuhvata članove 16 i 17), odnosi se kako na podatke o saobraćaju tako i na same uskladištene podatke. Za pristup tako uskladištenim podacima neophodna su dodatna ovlašćenja.
  • Izdavanje naredbe (član 18) kojom se licu koje kontroliše podatke, odnosno licu u posedu podataka može narediti da preda podatke među kojima se nalaze podaci o saobraćaju, podaci o pretplatniku (identitet, adresa, broj telefona, listing plaćanja...) ukoliko se oni nalaze u ugovoru, potom podaci o korišćenju usluge( period korišćenja, vrsta usluge...).
  • Pretres i zaplena podataka (član 19) - član koji se odnosi na uskladištene kompjuterskih podataka. Prema ovom članu nalog za pretres i zaplenu moze biti proširen i na sisteme koji nisu inicijalno obuhvaćeni nalogom, ali su dostupni iz početnog sistema, ukoliko postoji osnovana sumnja da se traženi podaci tamo nalaze. Konvencija pruža mogućnost direktnog pristupa javno dostupnim podacima koji se nalaze van teritorije nadležnosti nacionalnih agencija za sprovođenje zakona. Ako ti podaci nisu javno dostupni neophodan je legalan i dobrovoljan pristanak strane koja može da da pristup tim podacima. To je vrlo često provajder klaud usluge, jer on obično u ugovoru sa klijentom ubacuje klauzulu po kojoj može da otkriva podatke trećoj strani pod ugovorom predviđenim okolnostima.[1]
  • Prikupljanje informacija o prometu kompjuterskih podataka u realnom vremenu i Presretanje podataka koji se nalaze u sadržaju elektronskih komunikacija (članovi 20 i 21)- članovi koji omogućavaju nadležnim organima da primoraju davaoca usluga(u našem slučaju klaud provajdera) da sarađuje u prikupljanju podataka o komunikaciji korisnika sa servisom kao i sadržaj te komunikacije u okviru svojih tehničkih mogućnosti. Pritom se davalac usluga obavezuje da takvu saradnju sa nadležnim organima čuva u tajnosti od korisnika.

Godine 2008. godine usvojene su Smernice za saradnju u borbi protiv visokotehnološkog kriminala između organa za sprovođenje zakona i provajdera za pružanje usluga na internetu[6]. Te smernice podstiču agencije na međudržavnu saradnju obeshrabrujući direktne kontakte između agencija i inostranih provajdera.

Odnos između konvencije o visokotehnološkom kriminalu i ostalih evropskih zakona[уреди]

Konvencija o visokotehnološkom kriminalu se odnosi na "davaoce usluga", međutim evropski zakoni ne tretiraju sve provajdere usluga podjednako. Evropski zakoni razlikuju usluge iz oblasti elektronske komunikacije(ECS) i usluge informacionog društva(ISS)[7]. Usluge klaud provajdera u većini slučajeva spadaju u ISS usluge, uključujući PaaS, SaaS, IaaS. ISS usluge su regulisane Direktivom za elektronsku trgovinu [8].

Direktiva o privatnosti komunikacije[9] reguliše presretanje i nadzor nad klaud provajderima (član 15,stav 1).

Direktiva o zadržavanju podataka[10] nameće obaveze provajderima da čuvaju podatke o upotrebi svojih servisa.

Direktiva o zaštiti podataka[уреди]

Evropski parlament je 1995. godine usvojio Direktivu o zaštiti podataka[11], kojom se štite lični podaci građana Evropske unije i reguliše njihova obrada. Član 2 te direktive definiše lične podatke kao "bilo kakvu informaciju koja se odnosi na identifikovanu osobu ili osobu čiji se identitet moze odrediti".

Direktiva o zaštiti podataka nameće dužnosti i obaveze učesnicima u obradi podataka, među kojima se izdvajaju, prema ulozi koju imaju u obradi podataka, kontrolor i obrađivač. Kontrolor je fizičko ili pravno lice koje određuje svrhu i sredstva obrade ličnih podataka. Obrađivač je fizičko ili pravno lice koje vrši obradu podataka po nalogu kontrolora. Direktiva 95/46/EC se primenjuje kako u slučaju kada je kontrolor ustanovljen u EU, tako i u slučaju kada kontrolor nije pripadnik EU ali prilikom obrade ličnih podataka koristi opremu koja se nalazi na teritoriji EU.

Mere za zaštitu podataka[уреди]

U pružanju usluga klaud računara javljaju se dva oprečna zahteva, jedan za lakom dostupnošću podataka i dobrim performansama, i drugi za integritetom podataka. Direktiva 95/46/EC, član 17, zahteva od kontrolora da „implementira adekvatne tehničke i organizacione mere kako bi zaštitio lične podatke od nehotičnih ili nelegalnih oštećenja ili gubitka, izmene, neovlašćenog objavljivanja ili pristupa, a posebno gde obrada uključuje i prenos podataka preko mreže...“.

Prenos podataka u zemlje van Evropske ekonomske oblasti - EEA[уреди]

Direktiva 95/46/EU zabranjuje transfer ličnih podataka u one zemlje koje ne obezbeđuju adekvatan nivo zaštite a u skladu sa članom 25,stav 2. Da bi se takav transfer obavio, subjekat na koga se lični podaci odnose mora prethodno da da nedvosmislen pristanak da se transfer obavi. U suprotnom transfer mora da poštuje procedure opisane članom 26. Taj član obuhvata „modele ugovora za prenos ličnih podataka u treće zemlje“, među koje spadaju i „principi sigurne luke“[12] koji se odnose na transfer podataka na teritoriju SAD.

Pravni odnos između provajdera klaud usluga i korisnika[уреди]

Većina zakonskih pitanja vezana za klaud model proističu iz činjenice da je klaud computing distribuirana tehnologija u eri teritorijalno ograničenih jurisdikcija. U takvoj situaciji se javljaju brojna zakonska pitanja kojih korisnici treba da budu svesni kako se ne bi našli u neravnopravnoj pravnoj poziciji.

Korisnici treba da razumeju da se usluge koje im provajderi pružaju obavljaju na različitim lokacijama u različitim trenucima, kao i da zahtevi i ograničenja pristupu podacima koje imaju agencije za sprovođenje zakona značajno variraju od zemlje do zemlje. Informacije i lični podaci se prebacuju sa servera na server i korisnik gubi kontrolu nad time gde će podaci biti pohranjeni kao i znanje gde se oni u datom trenutku nalaze.

Korisnik može izuzetno da u ugovoru koji sklapa sa svojim provajderom specificira lokaciju na kojoj želi da se njegovi podaci/resursi nalaze, ali samo u određenim okvirima i uz dodatne troškove.

Korisnici, znajući da zavise od provajdera, nerado poveravaju svoje podatke i poslovne procese provajderima ukoliko im oni ne pruže adekvatne garancije, kako pravne tako i tehničke prirode. Takve garancije postaju deo ugovora koji obe strane potpisuju. Te garancije mogu da uključuju interoperabilnost usluga jednog provajdera sa ostalima, mogućnost bezbolne promene provajdera bez ugovornih ograničenja, garancije o regionalnom čuvanju podataka kojim se zadržava okvirna kontrola nad skladištenjem podataka itd.

Zbog ovih i sličnih teškoća, razvio se i CAMM (engl. Common Assurance Maturity Model)[13] koji nastoji da bude poslovni barometar kojim bi korisnici merili i upoređivali različite aspekte pouzdanosti provajdera klaud usluga.

Uslovi korišćenja - sadržaj ugovora između klaud provajdera i korisnika usluga[уреди]

Brojne nedorečenosti koje su nastale usled složenosti problema koji proističu iz upotrebe klaud computing tehnologije u raznolikim zakonskim okvirima navela je korisnike i provajdere klaud usluga da mnoga od pitanja rešavaju direktno kroz klauzule ugovora koje potpisuju. Dokumenti koji se javljaju kao sastavni delovi ugovora dolaze u različitim formama.

Sastavni delovi ugovora[уреди]

Uslovi korišćenja (odredbe i uslovi) je dokument ili skup dokumenata koji sadrži odredbe kojima se uređuje pravni odnos između korisnika i provajdera klaud usluge.

Uslovi korišćenja obično sadrži sledeće dokumente:

  • Odredbe pružanja usluge - ToS (engl. Terms of Service) - dokument koji specificira vezu između korisnika i provajdera. On obično sadrži komercijalne odredbe ukoliko se usluga plaća, i uključuje pravne klauzule poput izabranog prava i "disclaimer" odredbi. Ovaj dokument tipično referencira ostale dokumente koje sadrži T&C.
  • Dogovor o nivou pružanja usluge - SLA (engl. Service Level Agreement)- dokument koji specificira nivo usluge koji provajder nastoji da pruži svojim korisnicima zajedno sa predviđenim procesom za kompenzaciju korisnika ako se taj nivo ne ispuni. SLA se kao dokument javlja samo kod usluga koje se plaćaju.
  • Politika o privatnosti - (engl. Privacy Policy) - dokument koji opisuje pristup provajdera prema upotrebi i zaštiti korisnikovih ličnih podataka. Često sadrži i odredbe vezane za zaštitu podataka.
  • Politika o dozvoljenoj upotrebi pruženih usluga -(engl. Acceptable Use Policy)- dokument koji specificira dozvoljene i zabranjene načine upotrebe pružene usluge.

Nekoliko velikih provajdera, poput Gugla i Majkrosofta, nudi T&C koji je prilagođen lokalno važećim zakonima, što je kao opcija rezervisano samo za velika ekonomska tržišta.[1]

Bitne klauzule koje se nalaze u ugovoru[уреди]

Godine 2010. QMUL (engl. Cloud Legal Project) Centra za studije komercijalnog prava na Londonskom univerzitetu je sproveo opsežno istraživanje[1] standardnih ugovora koje provajderi nude svojim korisnicima. Istraživanje je grupisalo usluge u ponudi na besplatne/komercijalne, potom prema prirodi usluge na softverske, platformske i infrastrukturne usluge (SaaS, PaaS i IaaS).

Rezultati istraživanja su pokazali da se u ugovorima koje provajderi nude svojim korisnicima tipično nalaze klauzule koje dovode korisnika u nepovoljan položaj. Među njima su i sledeće klauzule:

  • Asertacija o važećem zakonu - odredba koja navodi da se ugovor štiti zakonima određene jurisdikcije. Tipično je u pitanju jurisdikcija u kojoj provajder ima svoje sedište. Neki od većih provajdera mogu specificirati da se različiti legalni sistemi primenjuju u zavisnosti od lokacije korisnika. Od 31 provajdera 15 je navelo zakon neke od država SAD, 4 je naznačilo engleske zakone kao vazeće, tri kompanije su navele da važi pravni sistem korisnika usluge. 10 od 31 provajdera je prilagodilo T&C engleskim zakonima ukoliko je korisnik sa teritorije Engleske.
  • Jurisdikcija - izbor mesta na kome se rešavaju sporovi između korisnika i provajdera. Tipično se bira jurisdikcija kompatibilna sa odabranim legalnim sistemom.
  • Arbitraža - kao što je slučaj i u drugim vrstama komercijalnih ugovora, T&C moze predložiti ili čak zahtevati komercijalnu arbitražu kao alternativu parničenju. 7 od 31 analiziranih ugovora je sadržalo neku vrstu klauzule kojom bi se nametnula arbitraža. Među njima ADrive, Nirvanix i Zoho zahtevaju da se sve žalbe korisnika rešavaju tim putem. IBM i Microsoft (za svoj servis LiveMesh) nameću arbitrazu za korisnike u nekim zemljama ali ne i u drugim. IBM za svoj Smart Business Cloud nameće arbitražu za Kinu, zemlje istočne Evrope i zemlje bivšeg Sovjetskog saveza. Zaključak „QMUL“ centra je da se čini da je takva odredba odraz nepoverenja ili nepoznavanja pravnih sistema tih država.
  • Prihvatljiva upotreba - klauzule kojima provajderi nastoje da se zaštite od odgovornosti proistekle od ponašanja svojih korisnika. Skup aktivnosti koji se zabranjuje odredbama ovog tipa uključuje spam, prevare, kockanje, hostovanje obscenog sadržaja, ili sadržaja koji podstiče diskriminaciju ili mrznju. Neki idu korak dalje i zabranjuju neke specifične aktivnosti. ElasticHosts zabranjuje upotrebu svojih servisa u kritičnim aplikacijama u kojima bi otkaz servisa mogao da prouzrokuje telesne povrede ili gubitak života. S druge strane Fejsbuk zabranjuje osuđivanim seksualnim prestupnicima da koriste usluge te kompanije[14].
  • Promene u odredbama ugovora- jedno od otkrića koje izaziva zabrinutost je da 13 od 31 provajdera koji su bili predmet istraživanja, u T&C uključuju odredbe prema kojima im je dopušteno da menjaju odredbe ugovora pukim objavljivanjem ažurirane verzije ugovora na njihovim sajtovima. Jedan od primera za to je ZumoDrive kompanije Zecter[15]. Ako su u pitanju usluge koje se naplaćuju, korisnicima se pruža mogućnost da raskinu ugovor ukoliko im izmene ugovora nisu prihvatljive. Epl navodi da zadržava prava da izmeni T&C ali da će o tome obavestiti svoje korisnike mejlom.
  • Integritet podataka - većina provajdera ne samo da je izbegla odredbe kojima bi garantovala sigurnost i integritet korisnikovih podataka, nego poriče i svaku odgovornost za te podatke. Najveći deo kompanija u svojim ugovorima jasno daje do znanja da krajnja odgovornost za očuvanje poverljivosti i integriteta korisnikovih podataka leži upravo na samom korisniku. Kompanije poput Microsoft-a preporučuju korisnicima da enkriptuju podatke smeštene na njihovim klaud serverima ili da je korisnikova odgovornost da bekapuje podatke.[16]
  • Očuvanje podataka - jedno od bitnijih pitanja za korisnike je šta ce se desiti sa njihovim podacima nakon sto se okonča saradnja sa provajderom. Prvo pitanje se odnosi na to da li će korisnik imati priliku da pristupi podacima nakon što se ugovor okonča, a drugo na to da li će provajder pružiti neke garancije da će se poverljivi podaci izbrisati. Kompanije poput Amazona i Zektera navode da ce podaci biti sačuvani tokom grejs perioda od 30 dana nakon obostranog raskida ugovora. Međutim takva klauzula ne mora da važi ukoliko je ugovor raskinut zbog povrede AUP (engl. Acceptable Use Policy). Druga grupa kompanija, poput Epla sa svojom uslugom MobileMe, podatke briše odmah nakon raskida ugovora. Ovakva politika moze oštetiti korisnike kojima je bespravno raskinut ugovor.
  • Otkrivanje podataka - odnosi se na odredbe koje opisuju okolnosti pod kojima provajderi mogu trećoj strani otkriti informacije o korisniku usluge kao i podatke koje taj korisnik skladišti na provajderovim serverima. Svi provajderi navode da će otkriti sve podatke ukoliko prime važeći sudski nalog. SalesforceCRM navodi da će korisnik biti unapred obavešten o takvom zahtevu za podacima osim ukoliko takvo obaveštavanje nije zabranjeno. Međutim, brojni provajderi izlaze u susret i neformalnim zahtevima poznatih nacionalnih agencija za sprovođenje zakona, ili zahtevima u slučaju da postoji neposredna opasnost po nečiji život.[17]

Rizici i preporuke[уреди]

Bezbednost[уреди]

Jednostavno, sve vrste bezbednosnih mera su jeftinije kada su implementirane u većem obimu. Zbog toga isti iznos ulaganja u bezbednost donosi bolju zaštitu. Ovo uključuje svih vrsta odbrambenih mera kao što su filtriranje, nadzor upravljanja, poboljšanje instanci virtuelnih mašina i hipervizora, itd. Ostale prednosti uključuju: više lokacija, EDGE mrežama (ili sadržaj koji se obrađuju bliže svojoj nameni), pravovremenost odgovora, do incidenata, pretnja menadžment.

Bezbednost je prioritet za mnoge kupce, mnogi od njih će napraviti izbor kupovine na osnovu ugleda za poverljivosti, integriteta i otpornosti, kao i bezbednosnih službi u ponudi provajdera. Ovo je jak drajver klaud provajderima kako bi poboljšali bezbednost.[18]

Pravna pitanja[уреди]

  • I. pet ključnih pravnih pitanja su identifikovana kao zajednička svim scenarijima: 1. Zaštita podataka, 2. Poverljivost, 3. intelektualna svojina, 4. profesionalna nemarnost, 5. autsorsing usluge i promene u kontroli.
  • II. Većina identifikovanih problema nisu jedinstvena za računarstvo u oblaku. Korisnicima usluga računarskog oblaka može biti od pomoći da koriste pravnu analizu koja se može primeniti na druge Internet servise kao osnovu na kojoj baziraju svoju pravnu analizu rizika.
  • III. Verujemo da će potencijalni korisnici usluga računarstva u oblaku biti prilično zabrinuti zbog pitanja vezanih za zaštitu podataka. Shodno tome, u ovoj pravnoj analizi se treba fokusirati na ovim pitanjima detaljnije nego o drugima.
  • IV. Iako se postavlja pet ključnih pravnih pitanja, tema koja je konzistentna u svim scenarijima i u svim razgovorima o računarskom oblaku je potreba za provajdere računarskog oblaka da imaju veoma detaljne i specifične ugovore i druge sporazume i obelodanjivanje za kupce da pažljivo pregledaju ove ugovore.
  • V. Pre sagledavanja pravnih detalja treba napomenuti da su kupci klaud provajdera promenljivog tipa (od privatnih do javnih lica) i veličinu (od malih i srednjih preduzeća do velikih kompanija) i na taj način i poziciju u pregovaranju. Ovo je veoma relevantno sa pravne tačke gledišta, jer će odnos između klaud provajdera i njihovih klijenata uglavnom biti regulisan putem ugovora. Zbog nedostatka posebnih propisa, recipročne obaveze i obaveze će biti izložene u standardnim ili opštim uslovima koje je jednostrano sačinio klaud provajder, a ni jednostavno prihvaćen od strane kupaca bez modifikacije ili po dogovoru u konkretnim ugovorima.[19]

Pravne preporuke evropske komisije[уреди]

• pojedinim pitanjima vezanim za Direktivom o zaštiti podataka i preporuka Član 29 Zaštita podataka Radna grupa; • klaud provajder ima obavezu da obaveste svoje klijente na bezbednost podataka i njihovo kršenje; • rizici računarskog oblaka i preporuke informacione sigurnosti kako odgovornošću olakšica za posrednika koji proističu iz Direktive eCommerce koji važe za klaud provajdere; • kako najbolje da podrži minimalne standarde o zaštiti podataka i programa sertifikacije privatnosti zajedničkih svim državama članicama.[20]

Pravne preporuke[уреди]

Većina pravnih pitanja koja su uključena u računarstvo u oblaku će trenutno biti rešen u toku evaluacije ugovora (tj. prilikom poređenja između različitih provajdera) ili pregovora. Strane u ugovoru treba da obrate posebnu pažnju njihovim pravima i obavezama vezanim za obaveštenja o prekršaje u bezbednosti, prenosa podataka, stvaranje izvedenih radova, promena kontrole, kao i pristup podacima od strane subjekata za sprovođenje zakona. Jer se može koristiti za autsorsivanje unutrašnje infrastrukture, i prekid te infrastrukture mogu da imaju široki spektar dejstva, stranke bi trebalo pažljivo razmotriti da li standardna ograničenja o odgovornosti adekvatno predstavljaju alokacije odgovornosti. Pravni presedan i propisi adresa bezbednosni problemi specifični za računarki oblak, kupci i klaud provajderi treba da izgleda u smislu njihovog ugovora za efikasno rešavanje bezbednosnih rizika.

Reference[уреди]

  1. ^ а б в г д "Contracts for Clouds: Comparison and Analysis of the Terms and Conditions of Cloud Computing Services Queen Mary School of Law Legal Studies Research Paper No. 63/2010“, pristupljeno 19. маја 2012.
  2. ^ "Location independence in the cloud not always a good thing“, pristupljeno 19. маја 2012.
  3. ^ "Cloud Computing: Distributed Internet Computing for IT and Scientific Research, Dikaiakos, M.D. Univ. of Cyprus, Nicosia, Cyprus, Sept.-Oct. 2009 “, pristupljeno 19. маја 2012.
  4. ^ "Cloud Computing Takes Off Market Set to Boom as Migration Accelerates, Morgan Stanley Research“, pristupljeno 19. маја 2012.
  5. ^ "Konvencija o visokotehnološkom kriminalu", pristupljeno 19. маја 2012.
  6. ^ "Guidelines for the cooperation between law enforcement and internet service providers against cybercrime", pristupljeno 19. маја 2012.
  7. ^ "Law enforcement agencies access rights to your cloud data", pristupljeno 19. маја 2012.
  8. ^ "Directive 2000/31/EC ('Directive on electronic commerce')", pristupljeno 19. маја 2012.
  9. ^ "Directive on privacy and electronic communications"
  10. ^ "Data retention directive", pristupljeno 19. маја 2012.
  11. ^ [http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:31995L0046:EN:HTML "Directive 95/46/EC (Directive on protection of individuals with regard to the processing of personal data and on the free movement of such data)"], pristupljeno 19. маја 2012.
  12. ^ "U.S.-EU Safe Harbor"“, pristupljeno 20. маја 2012
  13. ^ "Common Assurance Maturity Model", pristupljeno 19. маја 2012.
  14. ^ "Facebook Statement of Rights and Responsibilities“, pristupljeno 20. маја 2012.
  15. ^ "ZumoDrive Terms of Service“, pristupljeno 20. маја 2012.
  16. ^ "Microsoft SQL Azure Cloud database Terms of Use", pristupljeno 19. маја 2012.
  17. ^ "Facebook data use policy", pristupljeno 19. маја 2012.
  18. ^ "Bezbednost u cloud computing-u", pristupljeno 20. маја 2012
  19. ^ "Cloud Computing Risk Assessment", pristupljeno 20. маја 2012.
  20. ^ "Evropska komisija", pristupljeno 20. маја 2012

Vidi još[уреди]

Spoljašnje veze[уреди]