18.04.2021

Obowiązki podmiotów świadczących usługi publicznej chmury obliczeniowej w świetle ustawy o krajowym systemie cyberbezpieczeństwa

opublikowano: 2021-03-22 przez: Więckowska Milena

Monika Hordejuk, Piotr Kołodziej

Wprowadzenie
Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/1148 z dnia 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii[1] (dalej: „dyrektywa NIS”) weszła w życie w sierpniu 2016 r.
 

[1] Dz. Urz. UE L 194 z 19.7.2016, s. 1.

Dyrektywę NIS w Polsce wdrożono poprzez ustawę z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa[2] (dalej: „u.k.s.c.”) oraz rozporządzenie Rady Ministrów z dnia 11 września 2018 r. w sprawie wykazu usług kluczowych oraz progów istotności skutku zakłócającego incydentu dla świadczenia usług kluczowych[3].
Z uzasadnienia projektu u.k.s.c.[4] wynika, że Polska dostosowuje swoje ustawodawstwo, aby chronić państwo przed cyberzagrożeniami oraz w wymiarze formalnym implementuje do polskiego porządku prawnego dyrektywę NIS. Celem ustawy jest ustanowienie krajowego systemu cyberbezpieczeństwa, którego podstawowym zadaniem ma być zapewnienie niezakłóconego świadczenia usług kluczowych i usług cyfrowych (np. usługi przetwarzania w chmurze obliczeniowej) oraz osiągnięcie zadowalającego poziomu bezpieczeństwa systemów informacyjnych, za pomocą których powyższe usługi są lub mogą być świadczone.
Przedmiotem rozważań w niniejszym artykule są wynikające z u.k.s.c. obowiązki podmiotów świadczących usługi publicznej chmury obliczeniowej w zakresie zapewnienia bezpieczeństwa i zarządzania ryzykiem. Zostanie w nim m.in. omówione, co ustawodawca rozumie pod pojęciem podmiotu świadczącego usługę publicznej chmury obliczeniowej, a także pod pojęciem usługi chmury obliczeniowej.
Polski ustawodawca wyróżnił wśród dostawców usług dwie zasadnicze grupy, co odzwierciedla zasady przyjęte w dyrektywie NIS. Pierwsza grupa obejmuje operatorów usług kluczowych, zaś druga dostawców usług cyfrowych[5]. Z kolei zgodnie z załącznikiem nr 2 do u.k.s.c. usługą cyfrową jest internetowa platforma handlowa, usługa przetwarzania w chmurze oraz wyszukiwarka internetowa. Usługa przetwarzania w chmurze obliczeniowej jest to usługa umożliwiającą dostęp do skalowalnego i elastycznego zbioru zasobów obliczeniowych do wspólnego wykorzystywania przez wielu użytkowników.
Na pierwszą wyżej wymienioną grupę dostawców zostały nałożone inne, bardziej dotkliwe obowiązki niż na drugą grupę. Motyw 57 preambuły dyrektywy NIS wyraźnie rozgranicza podejście ustawodawcy unijnego w odniesieniu do usług kluczowych i cyfrowych. Zawarte w nim wskazania określają, że państwa członkowskie mają swobodę w identyfikowaniu podmiotów świadczących usługi kluczowe i daje możliwość nakładania większych obowiązków niż wynikających tej dyrektywy[6]. Związane jest to z charakterem świadczonych usług kluczowych, które dyrektywa NIS definiuje jako przyczyniające się do utrzymania krytycznej działalności społeczno-gospodarczej (np. energetyka, transport, bankowość, zdrowie, zaopatrywanie w wodę, infrastruktura cyfrowa[7]). Obowiązki nałożone na dostawców takich usług dotyczą przede wszystkim stosowania zaawansowanych środków bezpieczeństwa, analizy ryzyka, opracowania, stosowania i aktualizowania dokumentacji w zakresie cyberbezpieczeństwa, powołania struktur odpowiedzialnych za cyberbezpieczeństwo (lub podpisania umowy z podmiotem zewnętrznym), audytu oraz obsługi incydentów (art. 8-16 u.k.s.c.).
Obowiązki podmiotu świadczącego usługi cyfrowe, w tym usługi chmury obliczeniowej, są mniej dotkliwe niż obowiązki dostawców usług kluczowych i zostały zdefiniowane w art. 17 ust. 2 oraz 3 u.k.s.c.[8] Przywoływany motyw 57 preambuły dyrektywy NIS deklaruje zharmonizowane podejście wobec dostawców usług cyfrowych na terenie Unii, gdzie reguły postępowania są ustalane na podstawie aktów wykonawczych wydanych do dyrektywy. Art. 16 ust. 10 dyrektywy NIS stanowi wprost, że państwa członkowskie nie powinny nakładać na dostawców usług cyfrowych dodatkowych wymogów w dziedzinie bezpieczeństwa ani zgłaszania incydentów ponad normy określone w dyrektywie NIS oraz wynikających z niej unijnych aktach wykonawczych. Wyjątkiem jest obszar podstawowych interesów państwa, w tym ochrona bezpieczeństwa narodowego, porządku publicznego oraz możliwość prowadzenia postępowań przygotowawczych, wykrywania i ścigania przestępstw[9]. Prawodawca unijny wskazuje też, że ewentualne dodatkowe obowiązki dostawców usług cyfrowych, z których korzystałyby organy administracji publicznej powinny być przedmiotem umów[10], zatem rozszerzanie zakresu obowiązków w regulacjach krajowych byłoby sprzeczne z wytycznymi dyrektywy.
Celem badanego art. 17 ust. 2 oraz 3 u.k.s.c. jest przede wszystkim zapewnienie, a w konsekwencji również utrzymanie określonego stanu bezpieczeństwa. Warto podkreślić, że ustawa nie posługuje się definicją dynamiczną bezpieczeństwa rozumianego jako proces, ale określa je jako stan. Wybór padł zatem na osiągnięte już poczucie bezpieczeństwa, nie zaś na praktyczne podejście odzwierciedlające jego dynamiczny charakter[11].
 
Uwagi do definicji pojęcia „cyberbezpieczeństwo” zawartej w u.k.s.c.
Przy transpozycji dyrektywy NIS do polskiego systemu prawnego polski ustawodawca zdecydował się na zastąpieniu terminu „bezpieczeństwo sieci i systemów informatycznych” zastosowanego w dyrektywie terminem cyberbezpieczeństwa. W literaturze wskazywano na niedoskonałości wynikające z odmiennego zdefiniowania obydwu terminów, polegającego na m.in. zawężeniu pojęcia cyberbezpieczeństwa (art. 2 pkt 4 u.k.s.c.) oraz pominięciu kwestii odniesienia do poziomu zaufania, które pojawia się w dyrektywie NIS[12]. W art. 4 pkt 2 dyrektywy NIS prawodawca europejski określa bezpieczeństwo jako odporność na działania naruszające 1) dostępność, 2) autentyczność, 3) integralność lub 4) poufność danych lub związanych z nimi usług. Oznacza to, że naruszenie dowolnego z tych atrybutów bezpieczeństwa[13] będzie równoważne naruszeniu bezpieczeństwa. Polski ustawodawca w art. 2 pkt 4 u.k.s.c. wskazuje, że cyberbezpieczeństwo stanowi odporność na działania naruszające dostępność, autentyczność, integralność i poufność danych lub związanych z nimi usług. Wynikałoby stąd, że tak zdefiniowane cyberbezpieczeństwo jest naruszone w przypadku, kiedy ww. atrybuty są naruszone jednocześnie. Prowadziłoby to do interpretacji, że np. wyciek poufnych danych na skutek uzyskania nielegalnego dostępu do systemu nie stanowiłby naruszenia tak rozumianego cyberbezpieczeństwa w przypadku, gdyby nie towarzyszyło mu jednoczesne naruszenie dostępności dla podmiotów uprawnionych[14]. Nie miałoby znaczenia, że mogły nastąpić jednoczesne działania naruszające integralność i autentyczność danych dotyczących konfiguracji, uprawnień lub dzienników infiltrowanych systemów[15], umożliwiając w ten sposób realizację złożonego scenariusza infiltracji lub dalszego ataku.
W naszej ocenie poruszone wyżej wątpliwości w stosunkowo niewielkim stopniu dotykają dostawców ustaw cyfrowych. Polski ustawodawca wprost określa ich obowiązki w art. 17 ust. 2 oraz art. 18 ust. 3 u.k.s.c., odsyłając do postanowień rozporządzenia wykonawczego Komisji (UE) 2018/151, które z kolei odwołuje się do definicji sieci i systemów informatycznego oraz ich bezpieczeństwa zawartych w dyrektywie NIS. Stanowi to przesłankę do przyjęcia, że mówiąc o cyberbezpieczeństwie na gruncie u.k.s.c. w odniesieniu do dostawców usług cyfrowych, w istocie należy się odnosić do pojęcia bezpieczeństwa sieci i systemów informatycznych zdefiniowanego w dyrektywie NIS. Dyskusja o pojęciu cyberbezpieczeństwa na gruncie u.k.s.c. w odniesieniu do dostawców usług kluczowych wykracza znacznie poza zakres tego artykułu.
Należy jednocześnie wskazać, że prawodawca unijny wprowadził pojęcie cyberbezpieczeństwa w rozporządzeniu (UE) 2019/881[16]. Rozporządzenie to wprowadza unormowania w dziedzinie certyfikacji produktów i usług informacyjno-komunikacyjnych (ICT) pod kątem cyberbezpieczeństwa, odwołując się do trzonu definicji sieci i systemów, ich bezpieczeństwa i incydentów naruszających bezpieczeństwo określonych w dyrektywie NIS. Definicja cyberbezpieczeństwa z art. 2 pkt 1 rozporządzenia (UE) 2019/881 określa je jako działanie ochronne (czyli proces) chroniący nie tylko systemy, lecz także ich użytkowników i osoby trzecie przed zagrożeniami rozumianymi jako okoliczności, zdarzenia lub działania o działaniu szkodliwym, zakłócającym lub o innym niekorzystnym wpływie na ww. systemy lub osoby. Jednak termin cyberbezpieczeństwa na gruncie rozporządzenia (UE) 2019/881 nie ma będzie miał zastosowania dla dalszych rozważań, gdyż wychodzi poza zakres obowiązków określonych w u.k.s.c. oraz dyrektywie NIS.
 
Obowiązki dostawcy usługi przetwarzania w chmurze w świetle art. 17 u.k.s.c.
Definicja chmury obliczeniowa nie została transponowana do u.k.s.c., choć jej określenie występuje w art. 4 pkt 19 dyrektywy NIS. Dyrektywa NIS określa chmurę obliczeniową w sposób opisowy jako „usługę cyfrową umożliwiającą dostęp do skalowalnego i elastycznego zbioru zasobów obliczeniowych do wspólnego wykorzystywania”. Taki dostęp zazwyczaj ma miejsce na podstawie umowy o świadczenie usług w chmurze obliczeniowej[17], która powinna zawierać m.in. zasady podziału odpowiedzialności (pomiędzy dostawcą a użytkownikiem) w odniesieniu do bezpieczeństwa informacji. Trzeba podkreślić dość szczególny charakter definicji usługi chmury obliczeniowej z dyrektywy NIS, gdyż jej literalna interpretacja oznaczałaby usługi, które (1) wykazują cechy skalowania i elastyczności, a (2) obsługująca je infrastruktura jest współużytkowana z innymi odbiorcami. Motyw 17 preambuły dyrektywy NIS dodatkowo zawęża tę interpretację podkreślając jej zastosowanie do usług, które mogą być dynamicznie skalowane poprzez przydział zasobów niezależnie od ich lokalizacji geograficznej. Należy podkreślić, że dla dużej części usług chmury publicznej oferowanej przez wielu dostawców możliwy jest (i często konieczny) wybór lokalizacji geograficznej (tzw. regionu), w którym może odbywać się przetwarzanie. W takich przypadkach odbiorca usługi może np. zawęzić możliwości uruchomienia usług świadczonych przez dostawcę publicznej chmury obliczeniowej do jednej lub kilku wskazanych ośrodków na terenie UE, np. w scenariuszach bardzo wysokiej odporności na awarie i zdarzenia mające charakter rozległej katastrofy. Ponadto, niektóre usługi publicznej chmury obliczeniowej mogą być oferowane na infrastrukturze dedykowanej dla odbiorcy. Nie zachodzi wówczas kolejna przesłanka, jaką jest współużytkowanie infrastruktury, choć efektem mogą być potencjalnie mniejsze możliwości skalowania bądź elastyczności w stosunku do modelu współdzielonego czy w skali regionu przetwarzania, czy w skali globalnej, na której operuje usługodawca. O tej ostatniej skali wyraźnie stanowi motyw 17 preambuły dyrektywy NIS, precyzując przedmiot jej zastosowania w odniesieniu do chmury obliczeniowej.
Uwagi wymaga też pojęcie zasobu obliczeniowego zastosowanego w definicji dyrektywy NIS (art. 4 pkt 19). Nie ulega wątpliwości, że obejmuje ona infrastrukturę obliczeniową udostępnianą jako usługę. Objęcie tym pojęciem funkcjonalności realizowanych przez wyspecjalizowane oprogramowanie użytkowe bądź narzędziowe uruchamiane przez dostawcę chmury publicznej wymaga przyjęcia, że funkcje te także stanowią zasób obliczeniowy. Jest to zgodne z motywem 17 preambuły dyrektywy NIS, który wyjaśnia, że zasób obliczeniowy obejmuje także aplikacje i usługi. W związku z tym można wywodzić, że dotyczy ona każdego typu usług publicznej chmury, niezależnie czy są określane jako IaaS, PaaS i SaaS. Ww. typy usług zostaną omówione poniżej.
Do podstawowych obowiązków dostawcy usługi przetwarzania w chmurze obliczeniowej należy podjęcie właściwych i proporcjonalnych środków uwzględniających różne poziomy ryzyka oraz wymienione w art. 17 ust. 2 u.k.s.c.: 1) bezpieczeństwo systemów informacyjnych i obiektów, 2) obsługa incydentów, 3) ciągłość działania, 4) monitorowanie, audyt i testowanie oraz 5) zgodność z międzynarodowymi normami.
Bezpieczeństwo systemów i obiektów, o których mowa w art. 17 ust 2 pkt 1 u.k.s.c. (a także art. 16 ust. 1 lit. a dyrektywy NIS), zgodnie z art. 2 ust. 1 rozporządzenia wykonawczego Komisji (UE) 2018/151 obejmuje takie elementy jak:
  • systematyczne zarządzanie sieciami i systemami informacyjnymi, co oznacza mapowanie systemów informacyjnych oraz ustanowienie zestawu odpowiednich polityk w zakresie zarządzania bezpieczeństwem informacji, w tym analiz ryzyka, zasobów ludzkich, bezpieczeństwa operacji, architektury bezpieczeństwa, zabezpieczenia danych i zarządzania cyklem życia systemu oraz, w stosownych przypadkach, szyfrowania i zarządzania nim;
  • bezpieczeństwo fizyczne i środowiskowe, które oznacza dostępność zestawu środków mających na celu ochronę bezpieczeństwa sieci i systemów informacyjnych dostawców usług cyfrowych przed szkodami z zastosowaniem całościowego podejścia do kwestii zagrożeń opartego na analizie ryzyka, które uwzględnia np. awarie systemu, błędy ludzkie, działania złośliwe bądź zjawiska naturalne;
  • bezpieczeństwo dostaw, które oznacza ustanowienie oraz utrzymywanie odpowiednich polityk w celu zagwarantowania dostępności oraz, w stosownych przypadkach, identyfikowalności krytycznych dostaw wykorzystywanych do świadczenia usług;
  • kontrole dostępu do sieci i systemów informacyjnych, co oznacza dostępność zestawu środków, które mają zagwarantować, że dostęp fizyczny i dostęp logiczny do sieci i systemów informacyjnych, w tym administracyjne bezpieczeństwo sieci i systemów informacyjnych, są uprawnione i ograniczone w oparciu o wymogi dotyczące prowadzenia działalności i bezpieczeństwa[18].
Zgodnie z motywem 46 dyrektywy NIS bezpieczeństwo systemów, które są wykorzystywane do świadczenia usług cyfrowych, obejmuje swym zakresem również bezpieczeństwo danych przechowywanych, przekazywanych i przetwarzanych.
W przypadku obsługi incydentów (art. 17 ust. 2 pkt 2 oraz art. 16 ust. 1 lit. b dyrektywy NIS) środki, które powinien podjąć dostawca usługi przetwarzania w chmurze obliczeniowej zgodnie z art. 2 ust. 2 rozporządzenia wykonawczego Komisji (UE) 2018/151, obejmują:
  • utrzymywanie i testowanie procesów oraz procedur wykrywania w celu zapewnienia terminowej i odpowiedniej wiedzy na temat nietypowych zdarzeń;
  • procesy i polityki dotyczące zgłaszania incydentów oraz identyfikowania niedociągnięć i słabych punktów w jego systemach informacyjnych;
  • reagowanie zgodnie z ustanowionymi procedurami oraz składanie sprawozdań z wyników przedsięwziętych środków;
  • ocenę powagi danego incydentu, dokumentowanie wiedzy uzyskanej z analizy incydentów oraz gromadzenie odpowiednich informacji, które mogą stanowić dowody i wspierać proces ciągłego doskonalenia.
Kolejny obowiązek, wymieniony w art. 17 ust. 2 pkt 3 oraz art. 16 ust. 1 lit. c dyrektywy NIS, to zarządzanie ciągłością działania. Zarządzanie ciągłością działania zgodnie z art. 2 ust. 3 rozporządzenia wykonawczego Komisji (UE) 2018/151 oznacza zdolność organizacji do utrzymania lub, w razie potrzeby, przywrócenia realizacji usług na uprzednio określonych dopuszczalnych poziomach, po wystąpieniu zakłócenia, i obejmuje:
  • ustanowienie i stosowanie planów awaryjnych w oparciu o analizę wpływu na działalność w celu zapewnienia ciągłości usług świadczonych przez dostawców usług cyfrowych, co jest oceniane i testowane w regularnych odstępach czasu, np. przez ćwiczenia;
  • zdolności w zakresie przywracania gotowości do pracy po katastrofie, które są oceniane i testowane w regularnych odstępach czasu, np. przez ćwiczenia.
Monitorowanie, audyt i testowanie, o których mowa w art. 17 ust. 2 pkt 4 u.k.s.c. oraz art. 16 ust. 1 lit. d dyrektywy NIS, obejmują zgodnie z art. 2 ust. 4 rozporządzenia wykonawczego Komisji (UE) 2018/151 ustanowienie i utrzymywanie polityk w zakresie:
  • przeprowadzania zaplanowanej sekwencji obserwacji lub pomiarów w celu dokonania oceny, czy sieci i systemy informacyjne działają zgodnie z zamierzeniem;
  • inspekcji i weryfikacji mających na celu sprawdzenie, czy stosuje się normę lub zbiór wytycznych, czy rejestry są dokładne, a także czy realizowane są cele w zakresie efektywności i skuteczności;
  • procesu mającego na celu ujawnienie wad mechanizmów bezpieczeństwa sieci i systemów informacyjnych, które służą ochronie danych i utrzymaniu funkcjonalności zgodnie z zamierzeniem. Tego rodzaju proces obejmuje procesy techniczne i personel zaangażowany w przepływ operacji.
Kolejny atrybut, którym muszą cechować się mające zapewnić cyberbezpieczeństwo środki podejmowane przez dostawcę usługi przetwarzania w chmurze obliczeniowej, został wymieniony w art. 17 ust. 2 pkt 5 u.k.s.c. oraz w art. 16 ust. 1 lit. e dyrektywy NIS. Przepisy stanowią, że podejmowane przez dostawców środki powinny uwzględniać najnowszy stan wiedzy, a przede wszystkim być zgodne z normami międzynarodowymi, czyli normami przyjętymi przez międzynarodową jednostkę normalizacyjną (np. organizacje ISO[19] i IEC[20]). Art. 19 dyrektywy NIS dopuszcza stosowanie również europejskich lub uznanych międzynarodowych norm i specyfikacji mające znaczenie dla bezpieczeństwa sieci i systemów informacyjnych, w tym już istniejących norm krajowych. Należy zwrócić uwagę na adaptację norm rodziny ISO/IEC 27000 (bezpieczeństwo informacji) przez wielu dostawców usług chmury publicznej i certyfikację świadczonych usług przez autoryzowane zewnętrzne podmioty. Dotyczy to m.in. norm ISO/IEC 27001 (wymagania i standardy zarządzania bezpieczeństwem informacji), ISO/IEC 27017 (praktyka zabezpieczeń dla środowisk przetwarzania w chmurze w oparciu o ISO/IEC 27002 – praktyczne zasady zabezpieczania informacji) oraz ISO/IEC 27018 (praktyczne zasady ochrony danych identyfikujących osoby przez podmioty świadczące usługi publicznej chmury obliczeniowej). Dostawcy wdrażają również dodatkowe normy i standardy, które mają zasięg regionalny, krajowy lub dotyczą specyficznego rodzaju przetwarzanej informacji (np. karty płatnicze). Wykonują także certyfikację świadczonych usług, gdy wymagana przepisami deklaracja zgodności dostawcy nie jest wystarczająca dla osiągnięcia założonych celów biznesowych.
Warto zaznaczyć, że rodzaje środków bezpieczeństwa, które zostały wskazane w rozporządzeniu wykonawczym Komisji (UE) 2018/151, mogą być modyfikowane przed dostawcę usługi przetwarzania w chmurze obliczeniowej. Sposób modyfikacji jest uzależniony nie tylko od charakteru świadczonych usług oraz ich rodzaju, ale również od specyfikacji oraz okoliczności, w których usługi są świadczone. Nie należy zapominać, że przy określaniu proporcjonalnych i właściwych środków podejście do bezpieczeństwa powinno być systematyczne i oparte na analizie ryzyka[21].
Dalsze obowiązki dostawcy usługi przetwarzania w chmurze obliczeniowej zostały wyartykułowane w kolejnej jednostce redakcyjnej. Zgodnie z ust. 3 art. 17 u.k.s.c. dostawca chmury podejmuje środki zapobiegające i minimalizujące wpływ incydentów na usługę cyfrową w celu zapewnienia ciągłości świadczenia usługi przetwarzania w chmurze. Dopuszczone zostały zatem przez ustawodawcę warunki naruszenia stanu bezpieczeństwa. Dostawca chmury obliczeniowej został zobowiązany do zapobiegania, ale i minimalizowania skutków powstałych zakłóceń, które tworzą zagrożenie dla poufności, integralności, dostępności oraz autentyczności przetwarzanych danych lub usług oferowanych przez systemy informacyjne[22].
 
Usługa chmury obliczeniowej w dyrektywie NIS a klasyczne rozumienie chmury obliczeniowej
Zgodnie z definicją przyjętą przez amerykańską agencję NIST[23] w 2011 r., która stanowi zwięzły model odniesienia zaadaptowany przez podmioty świadczące usługi chmury obliczeniowej[24], pod pojęciem chmury obliczeniowej rozumie się usługę, która umożliwia powszechny i łatwy dostęp „na żądanie” do współdzielonych zasobów obliczeniowych z wykorzystaniem sieci i możliwie niezależnie od urządzenia końcowego odbiorcy usługi. Interakcja z dostawcą usługi powinna być minimalna, możliwie zautomatyzowana, zarówno przy rozpoczęciu jak i zakończeniu korzystania z usługi chmury obliczeniowej. Zasoby powinny być udostępniane i zwalniane w krótkim czasie, zaś ich wykorzystanie zasobów być mierzone i rozliczane adekwatnie do stopnia ich użycia. Jako zasoby obliczeniowe można rozumieć m.in. sieci, serwery, pamięć masową, aplikacje i inne usługi[25], choć według definicji NIST nie jest to lista zamknięta. Trudności w sformułowaniu ogólnej definicji chmury są podniesione np. w komunikacie Komisji Europejskiej dotyczącym potencjału wykorzystania chmury obliczeniowej w Europie. Komisja wskazała też na zbyt abstrakcyjny charakter definicji NIST preferując opis za pomocą cech charakterystycznych[26].
Jednak definicja określona w art. 4 pkt 19 dyrektywy NIS oraz opisana w motywie 17 wykazuje pewne cechy zbieżne z definicją NIST. Zalicza się do nich ogólne pojęcie zasobu obliczeniowego udostępnianego jako usługa chmury, elastyczność polegająca na szybkim przydziale i zwalnianiu udostępnionych zasobów w zależności od potrzeb oraz szerokie współdzielenie zasobów obliczeniowych pomiędzy różnych odbiorców usług. Nie wprowadza ona podziału na usługi typu IaaS, PaaS i SaaS (odpowiednio: infrastruktura jako usługa, ang. Infrastructure as a Service, platforma jako usługa, ang. Platform as a Service oraz aplikacja jako usługa, ang. Software as a Service), który jest fundamentalnym elementem definicji NIST, traktując wszystkie typy usług jednolicie. Istotną różnicą jest też podejście do lokalizacji geograficznej. NIST opisując cechę współdzielenia zasobów wyraźnie dopuszcza, by usługa mogła mieć przypisaną lokalizację np. na poziomie kraju, stanu czy ośrodka przetwarzania danych. Ponadto definicja NIST obejmuje dodatkowe modele uruchomienia chmury – oprócz chmury publicznej przewiduje m.in. chmurę prywatną czy chmurę hybrydową.
W związku z tym definicję chmury obliczeniowej określonej w dyrektywie NIS można wyrażać w kategoriach pojęć definicji NIST jako usługi (1) chmury publicznej (2) realizującej usługi typu IaaS, PaaS lub SaaS, (3) bez możliwości wskazania czy ograniczania lokalizacji ośrodków obliczeniowych, w których są realizowane jej usługi (4) spełniającą kryterium współdzielenia infrastruktury z innymi usługobiorcami oraz (5) elastyczności w „nieograniczonym” skalowaniu pozwalającego na szybki przydział zasobów w granicach możliwości całej infrastruktury usługodawcy i późniejszego ich zwolnienia.
 
Współdzielona odpowiedzialność dostawców usługi przetwarzania w chmurze i ich obiorców za bezpieczeństwo
Klasyczna definicja NIST wprowadziła[27] szereg pojęć zaadaptowanych bądź poszerzonych w normie technicznej ISO/IEC 17788, opisującej terminologię dotyczącą przetwarzania w chmurze oraz normie ISO/IEC 17789, opisującej architekturę odniesienia dla przetwarzania w chmurze obliczeniowej. Ponadto, wskazywana wcześniej norma ISO/IEC 27017 jest sformułowana na gruncie tych norm. Choć ich omówienie wykracza poza ramy niniejszego artykułu, warto zaznaczyć podstawowe kwestie mające wpływ na bezpieczeństwo przetwarzania w chmurze w rozumieniu u.k.s.c. oraz dyrektywy NIS.
Norma ISO/IEC 17789 określa katalog czynności dostawcy usług przetwarzania w chmurze związanych z bezpieczeństwem (pkt 8.3.2 normy). Należą do nich zarządzanie bezpieczeństwem i ryzykiem (pkt 8.3.2.17), projekt i implementacja ciągłości usług (pkt 8.3.2.18) oraz zgodność regulacyjna (pkt 8.3.2.19). W szczególności dostawca usług chmury obliczeniowej powinien zdefiniować polityki bezpieczeństwa informacji, określić istniejące ryzyka oraz zaprojektować i wprowadzić w życie stosowne środki kontrolne. W postanowieniach ww. normy dostrzeżono, że zarządzanie ryzykiem bezpieczeństwa przez dostawcę ma związany z tym koszt i dostawca usług chmury obliczeniowej może podjąć decyzję biznesową o ograniczeniu zakresu zarządzanego ryzyka. Zarządzanie obszarami ryzyka leżącymi poza odpowiedzialnością dostawcy usług powinno być przekazane do ich odbiorców i powinno być wynikać z umowy o świadczeniu usług przetwarzania (pkt 8.3.2.17 normy ISO/IEC 17789).
Norma ISO/IEC 17789 określa współdzielenie odpowiedzialności pomiędzy dostawcę usług przetwarzania w chmurze obliczeniowej i jej odbiorców (pkt 8.5.12.2) jako fundamentalny obszar bezpieczeństwa. W jego rozwinięciu przyjęto, że stosowanie adekwatnych środków kontrolnych i mechanizmów ochrony powinno być realizowane przez strony najwłaściwsze do ich wykonania, co z kolei powinno być poprzedzone staranną analizą. Wskazano ponadto, że różne kategorie usług mogą mieć pod tym względem różne charakterystyki i konieczne jest zdefiniowanie oraz udokumentowanie zakresu odpowiedzialności współdzielonej pomiędzy stronami dla poszczególnych usług.
Jednym z elementarnych obszarów bezpieczeństwa jest ochrona informacji składowanej w chmurze obliczeniowej poprzez szyfrowanie. Norma ISO/IEC 17789 (pkt 8.5.12.5) wyraźnie rozróżnia warianty podziału odpowiedzialności w zależności strony, która zarządza kluczami szyfrującymi. Zarządzanie kluczami przez dostawcę chmury obliczeniowej implikuje jego większą odpowiedzialność, z drugiej strony taki scenariusz może być nieakceptowalny przez potencjalnego odbiorcę usług. W takim przypadku potencjalny odbiorca usług w chmurze powinien wybierać usługi, które dają możliwość zarządzania kluczami szyfrującymi, lub zapewnić, że wszystkie wrażliwe dane będą składowane w chmurze obliczeniowej po uprzednim zaszyfrowaniu przez systemy, które taki odbiorca kontroluje. Z kolei dostawca usług chmury obliczeniowej może nie świadczyć usług, w których odpowiedzialność za zarządzanie kluczami szyfrującymi dane odbiorcy leży po stronie dostawcy.
Punkt 8.5.12.4 normy ISO/IEC 17789 wskazuje, że na aspekty bezpieczeństwa usług chmury obliczeniowej istotnie wpływa tryb jej uruchomienia. Zaakcentowane zostało różnicowanie między chmurę prywatną dedykowaną dla organizacji usługobiorcy według definicji z normy ISO/SEC 17788 punkt 6.5 oraz chmurę publiczną wg tej samej normy, odzwierciedlającej w tym aspekcie klasyczną definicję opublikowaną przez NIST w 2011 r. Trzeba zauważyć, że wiele usług dostępnych w chmurze publicznej może być uruchamianych na infrastrukturze sprzętowej dedykowanej odbiorcy. Co więcej, w pewnych przypadkach jest możliwe świadczenie usług chmury publicznej na dedykowanej infrastrukturze sprzętowej zainstalowanej w ośrodkach przetwarzania wskazanych i nadzorowanych przez ich odbiorcę. W tym ostatnim przypadku określenie i ochrona granic dostępu sieciowego do usług przetwarzania oraz zarządzanie bezpieczeństwem fizycznym będzie należeć do zakresu odpowiedzialności odbiorcy usługi, a nie jej dostawcy. Dlatego wymaga podkreślenia, że granica między chmurą publiczną i prywatną może nie być tak jednoznaczna jak przedstawiono w definicji NIST i normach ISO/IEC 17788 oraz 17789. Wykształcenie nowych trybów dostarczania usług chmury publicznej, które zawierają elementy typowe dla chmury prywatnej, jest jednym z obserwowanych kierunków zachodzących zmian.
Z kolei pkt 8.5.12.3 normy ISO/IEC 17789 wskazuje, że usługi typu IaaS oraz SasS charakteryzują się odmiennymi metodami dostępu oraz odmiennymi operacjami zarządzania, które implikują różniące się między sobą ryzyka i płaszczyzny potencjalnego ataku. W związku z tym ww. norma zaleca wzięcie pod uwagę typu usług przy zarządzaniu bezpieczeństwem przetwarzania w chmurze obliczeniowej. Naszym zdaniem rekomendacja ta trafnie wymienia źródła odmiennego podejścia do usług, jednak uogólniona konkluzja polegająca na różnicowaniu ich wyłącznie pod kątem typu usługi (IaaS, PaaS, SaaS, inne) może się okazać nazbyt daleko idąca. Przykładowo, istnieją usługi typu PaaS, które jednocześnie udostępniają metody zarządzania lub dostępu typowe dla usług typu IaaS, co może być skutkiem decyzji dostawcy usług przetwarzania w chmurze obliczeniowej odpowiadającego na zapotrzebowanie rynku. W takim przypadku zarządzanie bezpieczeństwem powinno uwzględnić faktyczną charakterystykę usługi w miejsce uogólnionych zasad wynikających z przyjętych ram klasyfikacyjnych. Systemy funkcjonujące w chmurze publicznej mogą się składać z wielu usług o różnej charakterystyce, które można zaklasyfikować jako IaaS (np. maszyny wirtualne, zasoby dyskowe, elementy sieci itd.) lub PaaS (np. silniki baz danych, narzędzia do tworzenia i uruchomienia aplikacji, integracji itd.) Z kolei odbiorcy usług typu SaaS często korzystają z dodatkowych usług typu PaaS lub IaaS, gdyż wykorzystywana funkcjonalność aplikacyjna rzadko występuje samoistnie i musi zostać zintegrowana z innymi systemami.
Na koniec warto przedstawić przypadek pokazujący, że choć należy doceniać omawiane modele za ich cechy systematyzujące i porządkujące, to jednak czasem mogą się one okazać zbyt uproszczone. Kluczowym założeniem modelu NIST oraz norm ISO/IEC 17788/17789 jest odseparowanie odbiorcy usługi typu IaaS od zarządzania infrastrukturą sprzętową i współdzieleniem zasobów obliczeniowych, co leży w gestii dostawcy usług chmury obliczeniowej, używającego w tym celu np. mechanizmu wirtualizacji[28]. Doświadczenie z podatnością odkrytą w 2018 r. pokazuje, że stosowana powszechnie architektura sprzętowa i korzystające z niej mechanizmy wirtualizacji mogą okazać się niedoskonałe, a użytkownik jednej maszyny wirtualnej mógłby próbować odczytu zawartości pamięci innej maszyny (uruchomionej przez innego użytkownika) na tym samym komputerze. W tym przypadku jedyne dostępne usunięcie podatności zależało nie tylko od działań dostawcy usług chmurowych, poprzez zastosowanie odpowiednich poprawek do oprogramowania wirtualizacji leżącego w ich gestii. Pełne rozwiązanie wymagało także akcji ze strony odbiorców usług chmury obliczeniowej i zainstalowania poprawek do systemów operacyjnych uruchamianych w usługach typu IaaS będących w zakresie ich odpowiedzialności[29]. Co więcej, odbiorcy usług uruchomionych na dedykowanej infrastrukturze byli w mniejszym stopniu wyeksponowani na tamto zagrożenie[30].
 
Podsumowanie
W naszej ocenie uciążliwość obowiązków nałożonych przez art. 17 ust. 2 i 3 u.k.s.c. na dostawców usług przetwarzania w chmurze jest umiarkowana. Dostawcy certyfikują swoje usługi pod kątem zgodności z normami międzynarodowymi (co do zasady obejmującymi swoim zakresem również obowiązki wymienione w u.k.s.c.) niezależnie od tego, czy dana usługa cyfrowa mieści się w definicji z dyrektywy NIS.
Warto również wspomnieć, że Komisja Europejska prowadzi obecnie zaawansowane prace nad przygotowaniem dyrektywy NIS2, która zmieni klasyfikację chmury obliczeniowej. Przebiegają one w ramach standardowego procesu REFIT, mającego za zadanie ocenę i doskonalenie prawa pochodnego UE. Chmura docelowo ma stać się usługą kluczową (obok np. usług finansowych, energetycznych czy infrastruktury łączności), a w konsekwencji na jej operatora zostaną nałożone kolejne obowiązki.
 
Monika Hordejuk
radca prawny w ING Banku Śląskim S.A.
Piotr Kołodziej
architekt IT w Oracle Polska Sp. z o.o.
 

[2] Dz. U. z 2018 r. poz. 1560, ze zm.

[3] Dz. U. z 2018 r. poz. 1806, ze zm.

[4] Uzasadnienie do projektu ustawy o krajowym systemie cyberbezpieczeństwa, https://legislacja.rcl.gov.pl/docs//2/12304650/12466714/12466715/dokument314520.pdf, s. 3 (dostęp: 10.11.2020).

[5] Dostawcą usługi cyfrowej jest osoba prawna albo jednostka organizacyjna nieposiadająca osobowości prawnej, mająca siedzibę lub zarząd na terytorium Rzeczypospolitej Polskiej albo przedstawiciela mającego jednostkę organizacyjną na terytorium Polski, świadcząca usługę cyfrową. Szerzej na temat definicji i statusu dostawcy usługi cyfrowej zob. np. A. Gryszczyńska, Komentarz do art. 17 [w:] K. Czaplicki, G. Szpor (red.), Ustawa o krajowym systemie cyberbezpieczeństwa. Komentarz, Warszawa 2019.

[6] W motywie 53 preambuły dyrektywy NIS unijny prawodawca wskazuje, że ustawodawstwo krajowe powinno unikać nakładania nieproporcjonalnie wysokich obciążeń finansowych i administracyjnych zarówno na dostawców usług kluczowych, jak i dostawców usług cyfrowych.

[7] Infrastruktura cyfrowa ma odmienne znaczenie niż usługi cyfrowe. Załącznik nr 2 do u.k.s.c. oraz załącznik I do dyrektywy NIS wskazują, że obejmuje ona krytyczne elementy publicznego Internetu działające na terenie kraju niezbędne do transmisji danych na jego obszarze oraz w komunikacji z globalnym Internetem.

[8] Obowiązki związane z identyfikacją i obsługą incydentów zostały umieszczone przez ustawodawcę w kolejnej, dość obszernej jednostce redakcyjnej, tj. art. 18 u.k.s.c., i nie będą przedmiotem rozważań w niniejszym artykule.

[9] Art. 1 ust. 6 oraz art. 16 ust. 10 dyrektywy NIS.

[10] Motyw 54 preambuły dyrektywy NIS.

[11] S. Koziej, Bezpieczeństwo: istota, podstawowe kategorie i historyczna ewolucja, „Bezpieczeństwo Narodowe” II-2011/18, s. 19-20.

[12] F. Radoniewicz, Przepisy ogólne [w:] W. Kitler, J. Taczkowska-Olszewska, F. Radoniewicz (red.), Ustawa o krajowym systemie cyberbezpieczeństwa. Komentarz, Warszawa 2019, s. 31-33.

[13] Pojęcia dostępności, autentyczności, integralności, poufności nie są określone ani w u.k.s.c., ani w dyrektywie NIS, ale zdefiniowane w normach ISO/IEC 27000:2018 lub PN-EN ISO/IEC 27000:2020-07.

[14] Takie działanie stanowi przestępstwo w myśl art. 2 i 3 Konwencji Rady Europy o cyberprzestępczości (Dz. U. z 2015 r. poz. 728), a w Polsce jest zagrożone karą na mocy art. 267 Kodeksu karnego.

[15] Przestępstwo w myśl art. 4 i 5 Konwencji Rady Europy o cyberprzestępczości oraz przynajmniej jedno z przestępstw zagrożonych karą na podstawie art. 268, art. 268a, art. 269 lub art. 269a Kodeksu karnego.

[16] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2019/881 z dnia 17 kwietnia 2019 r. w sprawie ENISA (Agencji Unii Europejskiej ds. Cyberbezpieczeństwa) oraz certyfikacji cyberbezpieczeństwa w zakresie technologii informacyjno-komunikacyjnych oraz uchylenia rozporządzenia (UE) nr 526/2013 (akt o cyberbezpieczeństwie) (Dz. Urz. UE L 151 z 7.6.2019, s. 15).

[17] Zob. A. Krasuski, Ochrona danych osobowych w chmurze obliczeniowej, LEX/el. 2018.

[18] Zob. art. 2 rozporządzenia wykonawczego Komisji (UE) 2018/151 (Dz. Urz. UE L 26 z 31.1.2018, s. 48).

[19] Międzynarodowa Organizacja Normalizacyjna, ang. International Organization for Standardization (ISO).

[20] Międzynarodowa Komisja Elektrotechniczna, ang. International Electrotechnical Commission (IEC).

[21] Zob. motyw 2 preambuły rozporządzenia wykonawczego Komisji (UE) 2018/151.

[22] J. Taczkowska-Olszewska, Obowiązki dostawców usług cyfrowych [w:] W. Kitler, J. Taczkowska-Olszewska, F. Radoniewicz (red.), Ustawa o krajowym systemie cyberbezpieczeństwa…, s. 160.

[23] National Institute of Standards and Technology (NIST), agencja Departamentu Handlu USA.

[24] NIST, Special Publication 800-145, The NIST Definition of Cloud Computing, Gaithersburg 2011, s. 2-3.

[25] Pojęcie usługi w tym kontekście może się wydawać niezbyt jasne. Naszym zdaniem może być ono dorozumiane na podstawie znaczenia, w jakim może występować w architekturze rozwiązań informatycznych. Znaczenie „usługi” można rozszerzać jako wyspecjalizowane realizowane programowo operacje przetwarzania, które będą stanowić komponent większych systemów.

[26] Komunikat Komisji do Parlamentu Europejskiego, Rady, Europejskiego Komitetu Ekonomiczno-Społecznego i Komitetu Regionów, Wykorzystanie potencjału chmury obliczeniowej w Europie, COM(2012) 529 final, s. 3.

[27] Wraz z: NIST, Special Publication 800-146, Cloud Computing Synopsis and Recommendations, Gaithersburg 2012; NIST, Special Publication 500-292, NIST Cloud Computing Reference Architecture, Gaithersburg 2011.

[28] W przypadku maszyn (komputerów) wirtualnych stosowane jest oprogramowanie znane pod nazwą hypervisor, pozwalające m.in. na uruchomianie wielu maszyn wirtualnych korzystających z zasobów obliczeniowych jednego fizycznego komputera.

[29] Ch. Dotson, Bezpieczeństwo w chmurze, Warszawa 2020, s. 8-9 i 31-32.

[30] Ibidem, s. 34.

Prawo i praktyka

Przygody Radcy Antoniego

Odwiedź także

Nasze inicjatywy