Amerykańska walka z terroryzmem pokazała niedawno nowe oblicze. Okazało się, że NSA (ang. Agencja Bezpieczeństwa Narodowego) dzięki programowi PRISM posiada dostęp do naszych prywatnych informacji przechowywanych na serwerach Google’a, Microsoftu czy Facebooka. Naturalnie w związku z aferą PRISM pojawiły się więc wątpliwości odnośnie do bezpieczeństwa i prywatności samej chmury obliczeniowej. Jednak niesłusznie. Maciej Kuźniar wyjaśnia, że europejskie chmury obliczeniowe nie są podglądane przez NSA i same w sobie bardzo dobrze chronią prywatność użytkowników, pod warunkiem że wiemy, jak z nich korzystać.
Od 6 czerwca na świecie aż huczy od afery PRISM. Niech huczy, powinno nawet głośniej. Wszystko za sprawką 29-letniego Edwarda Snowdena, długoletniego pracownika amerykańskich agencji wywiadowczych, który ujawnił prasie istnienie gigantycznego rządowego programu inwigilacji obywateli – PRISM. Szokujące informacje wywołały skandal w USA, powszechny strach i oburzenie. Jak inaczej zareagować na informację, że istnieją ludzie, którzy o nas i naszych najbliższych mogą dowiedzieć się absolutnie wszystkiego, nie łamiąc przy tym żadnego prawa?
Program PRISM udostępnia amerykańskiemu wywiadowi dane z sieciowego życia obywateli nie tylko swojego kraju, ale i całego świata. PRISM ma dostęp do serwerów następujących firm: Microsoft (od 2007 roku), Yahoo! (od 2008 roku), Google, Facebook, PalTalk (wszystkie od 2009 roku), YouTube (od 2010 roku), Skype, AOL (obie od 2011 roku) i Apple (koniec 2012 roku). Jedynie Twitter, jako jedna z niewielu korporacji, stawił opór. Sprawdzane są nasze e-maile, hasła wyszukiwane w Google czy rozmowy na Skype’ie. Wysyłając wiadomość o „bombowej zabawie”, powodujemy, że proces inwigilacji naszej osoby zwiększa się kilkukrotnie, ponieważ użyliśmy podejrzanego słowa.
Wszystkie firmy wymienione przez NSA w 41-slajdowej prezentacji oficjalnie zaprzeczyły współpracy. Rzecznik Apple oficjalnie ogłosił, że firma nigdy nie słyszała o programie PRISM, nie udzieliła żadnych informacji i nie udzieli bez nakazu sądowego. Rzecznik Google również zaznacza, że firma intensywnie dba o ochronę danych i wizerunku użytkowników portalu. PRISM, jak się okazuje, nie potrzebuje jednak zgody Google czy Apple, ponieważ w czterech tajnych orzeczeniach sąd zgodził się na dostęp do ogromnych zbiorów danych, podkreślając, że rząd dysponuje odpowiednimi procedurami, które do minimum ograniczą zbieranie informacji na temat obywateli USA bez nakazu.
Finalnie, korporacje ujawniły statystyki zapytań NSA o dane osobiste kont użytkowników i portali. Apple od grudnia 2012 r. do końca maja 2013 r. otrzymał 4-5 tys. zapytań o 9-10 tys. kont albo urządzeń, Microsoft od lipca do grudnia 2012 r. – 6-7 tys. wniosków dotyczących 31-32 tys. użytkowników. Facebook w tym samym czasie – 9-10 tys. zapytań dla 18 – 19 tys. informacji o kontach.
Niektórzy sieją strach
Unia Europejska stara się wydobyć informacje od rządu USA o charakterze działania PRISM, a kierownicy działów technologicznych, programiści i informatycy przekonują, że amerykańska afera może być punktem zwrotnym dla technologii cloud computingu, ponieważ każda z firm, która uległa naciskom rządowych agencji, przetwarza dane właśnie w chmurze obliczeniowej.
„Ludzie są szpiegowani bez ich wiedzy, a osoby nieposiadające amerykańskiego obywatelstwa nie mają żadnych praw, które chroniłyby ich przed inwigilacją ze strony rządu USA. Dlatego coraz bardziej uświadamiam się w przekonaniu, że nasze działania są słuszne” – powiedział Philippe Tavernier, pracownik Numergy, firmy zajmującej się cloud computingiem, która wyraźnie podkreśla odcięcie się od amerykańskich systemów.
Caspar Browden, niezależny adwokat i rzecznik Microsoftu, wyjaśnia, że przed wybuchem afery z PRISM firmy zajmujące się cloud computingiem były w stanie stłumić i rzetelnie wyjaśnić wszelkie obawy co do wirtualnego przechowywania danych, ale teraz przez aferę PRISM wszystko może się zwrócić przeciwko nim.
Zdaniem Vanji Svajcera, Principal Virus Researchera w Sophos, sprawa PRISM nadszarpnęła zaufanie do chmury. Podkreśla on, że największe zagrożenie nie przychodzi od strony cyberprzestępców, lecz od strony państw.
Ale europejskie chmury obliczeniowe nie są podglądane przez NSA!
Firmy wykorzystujące cloud computing i ich klienci za wszelką cenę starają się dowiedzieć, w jakich okolicznościach rząd ma prawo inwigilować dane osobiste swoich obywateli. W sprawę zamieszanych jest jednak kilka państw, a co za tym idzie różnice w międzynarodowych i narodowych prawach. Pojawia się również pytanie, czy amerykański rząd ma prawo do informacji pochodzących zza granicy, pomimo tego, że przechodzą one przez amerykańskie systemy? Wiele dużych korporacji (np. IBM) swoje bazy danych umieszcza za granicą, żeby uniknąć narażenia się na amerykańską inwigilację.
Europejscy deputowani rozpoczęli działania mające na celu zwiększenie ochrony dostępu do baz danych obywateli EU, wykorzystując przy tym wątpliwości i obawy dotyczące PRISM. Starają się o nadzór transferu danych do zagranicznych służb bezpieczeństwa i możliwość zrezygnowania klientów cloud computingu z przechowywania danych w Stanach Zjednoczonych.
Europejskie firmy zajmujące się chmurą obliczeniową również podejmują różne działania mające na celu zaspokojenie potrzeb ich klientów. Niektóre z nich otwarcie informują o finansowaniu przez państwo, np. Cloudwatt albo francuskie Numergy. Niemieckie firmy wykorzystują hasło „Cloud Services: Made in Germany” jako narzędzie marketingowe zapewniające zgodność procedur działania z przepisami krajowymi i odcięcie się od amerykańskiego systemu.
Operatorzy chmur lokalnych, działających w granicach jednego państwa, muszą rozwiązać wiele innych problemów, zanim będą mogli użytkownikom zagwarantować właściwe traktowanie ich danych. To nie tylko kwestia tego, jak dane będą przechowywane, czy jak zabezpieczony będzie dostęp do nich. Trzeba rozwiązać też takie kwestie, które w pierwszej chwili nie są oczywiste: jak chronić się przed przechowywaniem danych naruszających prawo, jak reagować w sytuacji, gdy ujawnienie danych jest wymagane przez prawo (by nie naruszyć przy tym prywatności innych użytkowników), jak pozbywać się danych użytkowników, którzy podziękowali za współpracę, czy też wreszcie, jak edukować użytkowników w zakresie tych wszystkich kwestii.
A tak na marginesie, oczywiście firmy Europejskie także podlegają różnorakim przepisom zobowiązującym ich do określonej współpracy wobec narodowych służb – tego nie ma sensu ukrywać. Różnica polega na tym że europejskie prawo chroni lokalnego obywatela a uprawnienia służb są daleko bardziej ograniczone niż w USA.
Jak to wygląda w polskiej chmurze?
Polska chmura obliczeniowa Oktawave, jak pozostałe systemy europejskie, jest wolna od inwigilacji przez NSA. Żaden element infrastruktury Oktawave nie znajduje się poza Polską, nie ma więc żadnego sposobu, by ktokolwiek mógł wydobyć od nas dane naszych klientów w sposób niezgodny z polskim czy europejskim prawem. Przenosząc swój e-biznes do Oktawave, nie trzeba się martwić o Amerykę i jej prawa. Co innego, jeśli ktoś chciałby korzystać z Amazona czy Azure.
O tym, jak rozwiązaliśmy omawiane kwestie, dowiecie się z naszego regulaminu. W skrócie wystarczy powiedzieć, że nie monitorujemy tego, co przechowujecie na swoich serwerowych instancjach w żaden sposób, nie rezerwujemy sobie też żadnych praw do wykorzystania informacji pozyskanych w trakcie działania wykupionych przez użytkownika usług (jak np. wspomniane Google), ani też nie minimalizujemy „na siłę” naszej odpowiedzialności wobec użytkownika, jak to się zdarza zagranicznym dostawcom.
Regulamin to jedno, a rozwiązania techniczne – drugie. W tej drugiej kwestii zrobiliśmy co było możliwe, by do danych użytkownika nie uzyskał dostępu nikt niepowołany. Dajemy więc do ręki granularny system uprawnień dostępu, pozwalający określić, kto i na jakich warunkach będzie mógł korzystać z usług i danych, wirtualne sieci prywatne, dzięki którym można odizolować najbardziej wrażliwe instancje (np. bazy danych) od sieci publicznej, wykorzystanie bezpiecznych protokołów SSH i RDP do łączenia się z konsolami serwerowych instancji i wymuszanie transmisji danych z i do chmury po szyfrowanych połączeniach SSL.
Ucieczka do Europy
To wszystko pokazuje, że problemem nie jest chmura sama w sobie. Problemem jest amerykańskie ustawodawstwo, któremu podlegają Amazon czy Azure. Być może uniknięcie inwigilacji wiąże się więc ze swego rodzaju „ucieczką” z danymi do europejskich dostawców, tym bardziej, że chmura obliczeniowa jest obecnie jednym z priorytetowych tematów dla całej UE.