Koneckonců úniky citlivých dat se staly realitou a z větší části to je způsobeno nedbalostí vlastních zaměstnanců. Úniky citlivých informací mohou, kromě poškození dobrého jména firmy, vést ke ztrátě konkurenčních výhod. Důsledkem pak může být odliv zákazníků nebo nepříjemné sankce od klientů za nedodržování uzavřených dohod či od státních úřadů, pokud půjde například o únik osobních dat. Odhaduje se, že jen v loňském roce se potýkalo s únikem citlivých informací kolem třiceti procent tuzemských firem.
Velcí a skutečně dobří poskytovatelé cloudových služeb proto mají doslova životní zájem na co nejlepším zabezpečení, aktuálním softwaru a poskytují i smluvní garance. Navíc disponují nástroji a fungujícími procesy pro prosazení zabezpečení do praxe – například k datům zákazníků smí přistupovat jen povolané osoby. Tak či tak, pokud jde o firemní data, je rozumné je přenášet k poskytovateli šifrovaně. Poskytovatelé cloudových služeb pak sami trvale sledují aktuální bezpečnostní hrozby a snaží se odhalovat i potenciální slabá místa, která ještě nebyla útočníky zneužita. Je to v jejich vlastním zájmu - jediný únik dat by je totiž mohl navždy zničit.
Dodavatelé cloudových technologií jsou pod velkým tlakem zákazníků a státních regulačních orgánů, aby plnili požadavky na bezpečnost dat. Z principu cloudu ale plyne, že zákazník nemá přímý vliv na bezpečnost (za kterou ale sám zodpovídá svým zákazníkům) a může se stát, že se bude i těžko domáhat kontroly smluvně deklarované bezpečnosti. Poskytovatelé cloudu často prokazují deklarované parametry bezpečnosti absolvováním auditu, ale jen málokterý poskytovatel nechá zákazníky nahlédnout „do vnitřností“ firmy a procesů.
Bezpečnost dat má ještě jeden, legislativní rozměr, který zajímá hlavně státní orgány, a to ochranu osobních údajů. Ochrana osobních údajů znamená ochranu jednotlivce před zneužitím dat vztahujících se k němu samotnému či ke skupině osob (sem spadají například zákaznická, osobní, dodavatelská či smluvní data).
Zatímco v Evropské unii jsou úřady povinny zajistit ochranu osobních dat a jejich zpracování je povoleno jen se souhlasem dotyčného jedince, v USA je právo na soukromou sféru uznáváno jen některými státy. A jde spíše o výjimku než pravidlo. V EU se ochrana osobních údajů řídí směrnicí 95/46/ES, která definuje minimální standardy pro členské státy. V České republice je právo na ochranu soukromí upraveno mj. zákonem o ochraně osobních údajů (ZOOÚ) doplněným o zákon o elektronických komunikacích (ZEK). Směrnice EU říká, že předávání osobních dat do třetích zemí je povoleno pouze v případě, že daný stát zaručí „přiměřenou úroveň ochrany“. A protože Spojené státy nemají standard pro ochranu osobních údajů, který by podle EU zaručoval onu „přiměřenou“ úroveň ochrany, nesmí se tato data automaticky předávat do USA. U amerických firem působících v EU je ale situace výrazně komplikovanější. Důvodem je přitom zákon Patriot Act, který zavazuje americké firmy (tj. i ty působící v Česku!) k předávání informací o zákaznících federálním úřadům (v rámci ochrany proti terorismu a další trestné činnosti). Americké firmy jsou za určitých okolností povinny předat informace o svých zákaznících, i když tito zákazníci mají sídlo mimo USA. Výjimkou jsou firmy, které se zaváží k dodržování principů SHP (Safe Harbor Principles), čímž dávají souhlas k dodržování standardů odpovídajícím evropským standardům ochrany osobních údajů. Problém u většiny firem z USA je však prosazení tohoto závazku do reality.
Velcí američtí poskytovatelé otevřeně přiznávají, že nemohou zabránit federálním úřadům v přístupu k datům jejich zákazníků (i datům uloženým mimo území Spojených států). Google veřejně deklaroval, že umožňuje, aby data posbíraná na evropských serverech byla přístupná americkým úřadům, a že již několikrát předal data evropských uživatelů americkým úřadům.
Je proto nanejvýš namístě se při volbě poskytovatele cloudu zajímat nejen o technologickou stránku věci, ale i o tu legislativní, abyste se nevědomky nedopouštěli porušování našich zákonů.

Zdeněk Lejsek
Autor článku působí ve společnosti T-Systems Czech Republic.