Poslední dobou se stále častěji setkáváme s požadavkem našich klientů na ošetření problematiky dostupnosti, zálohování a obecně odpovědnosti za data v souvislosti se zabezpečením provozu informačního systému mimo společnost ve virtuálním prostoru. Jde o to, že současné trendy již nějakou dobu směřují k tomu, aby firmy provozovaly své informační systémy mimo své sídlo či provozovnu ve virtuálním cloudovém centru. Je totiž poměrně nákladné (a to i s ohledem na personální kapacity) udržovat v provozu své vlastní hardwarové vybavení o dostatečném výpočetním výkonu, nehledě na jeho pořizovací cenu. Stále častěji tak společnosti využívají služeb cloudových center a své informační systémy provozují v pronajatém virtuálním prostoru. S takovým postupem se samozřejmě pojí mnoho otázek, které je třeba nejprve důkladně zvážit a rovněž i smluvně ošetřit. Jen tak lze riziko budoucích komplikací snížit na minimum. S ohledem na rozsah a komplexnost problematiky se v tomto článku zaměříme na problematiku zodpovědnosti za data a bezpečnosti dat.
Otázka dostupnosti a ochrany dat je také úzce spojena s kybernetickou bezpečností a s tolik diskutovanou a očekávanou změnou (novelou) zákona o kybernetické bezpečnosti v souvislosti s evropskou směrnicí Network and Information System Directive 2 (NIS2), která stanovuje pravidla a požadavky pro oblast kybernetické bezpečnosti a ICT systémů a sítí. Data jsou totiž bezesporu důležitým informačním aktivem (ve smyslu citované novely a směrnice) a již z tohoto pohledu je třeba ve smlouvě s poskytovatelem cloudových služeb minimálně ošetřit důvěrnost, dostupnost a integritu dat.
Byť obecně platí, že data jsou a zůstávají majetkem společnosti, která si virtuální prostor pro provoz svého informačního systému pronajímá, lze jen doporučit tento fakt výslovně ve smlouvě uvést a zdůraznit. V případě jakýchkoli (ekonomických) či jiných problémů společnosti zabezpečující provoz cloudového centra by měla zůstat data zákazníků z právního hlediska nedotčena. To platí zvláště pro případ exekučního i insolvenčního řízení. Data zákazníků na výpočetním zařízení dodavatele (provozovatele cloudového centra) by pro ně měla být vždy k dispozici a právní oporu pro to musí zajišťovat právě smlouva.
Jelikož data každé společnosti nepochybně obsahují její unikátní know-how, informace důvěrného charakteru či obchodní tajemství, je rovněž naprostou nezbytností, aby taková smlouva s dodavatelem obsahovala ustanovení směřující k ochraně a zabránění úniku dat. Každý, kdo poskytuje cloudové služby zákazníkům z podnikatelského sektoru, by měl mít zavedena taková opatření a postupy, aby nedošlo k jakémukoli neoprávněnému přístupu či zneužití v cloudu ukládaných dat. Lze jen doporučit, aby se s těmito opatřeními každý, kdo má zájem o provoz (některého) svého informačních systému v cloudovém centru, předem seznámil a případě i některé klíčové body učinil obsahem uzavírané smlouvy. Splnění povinností směřujících proti únikům dat pak obvykle bývá zajištěno smluvní pokutou v signifikantní výši.
Dalším důležitým smluvním parametrem je dostupnost dat, jakož i celého externě provozovaného informačního systému. Dostupnost (uptime) dat či obecně nějaké služby definuje část smlouvy obchodně/smluvně zpravidla označovaná jako SLA (Service Level Agreement). Právní pojem dostupnost, který by měl být ve smlouvě definován, vyjadřuje poměr doby provozu vůči celkové době v daném období. Počítá se v procentech a zpravidla v minutách za daný měsíc. Může, ale nemusí, zahrnovat plánované výpadky určené na údržbu či pravidelné aktualizace výpočetního zařízení. To by mělo být ve smlouvě jednoznačně uvedeno. Důležitá je otázka sankcí za nedodržení parametrů dostupnosti. Sankce mohou být buď v podobě shora uvedené smluvní pokuty, nebo třeba formou slevy z ceny poskytovaných služeb. V každém případě platí, že sankce by měly být takové, aby motivovaly dodavatele služby k řádnému plnění svých smluvní povinností. Snahou poskytovatelů zase naopak je, aby výše sankcí nepřesahovala cenu poskytovaných služeb. Toto kritérium pochopitelně není relevantní pro zákazníka. Z pohledu zákazníka je naopak důležité, aby sankce korespondovala s výší případné škody, jež mu může v důsledku nedostupnosti dat vzniknout.
Popřípadě lze shora popsané obecné kritérium dostupnosti ve smlouvě ještě doplnit o další dva parametry, a sice o tzv. maximální dobu obnovy (RTO – Recovery Time Objective), která udává, jak dlouho může maximálně trvat obnovení systému do funkčního stavu po výpadku, anebo tzv. maximální ztrátu dat (RPO – Recovery Point Objective), jenž určuje, kolik dat může být maximálně ztraceno při výpadku nebo havárii. S využitím těchto v pravdě spíše technických než právních parametrů lze prostřednictvím vhodně nastavené smlouvy dosáhnout optimálního technického řešení na míru pro každého zákazníka, který se rozhodne svěřit svá data provozovateli cloudové služby. Pochopitelně je třeba mít na paměti, že v případě havárie či závady obnova nějakou dobu trvá a vždy jsou ztracena nějaká data.
Právě otázka zničení či ztráty dat je dalším klíčovým bodem, který nesmí ve smlouvě o zajištění provozu informačního systému v cloudu chybět. Každý takový dokument musí obsahovat informace o zálohování. Tedy jakým způsobem a jak často budou data a jednotlivé instalace v cloudu zálohovány. Časové intervaly zálohování dat je třeba nastavit či dohodnout tak, aby odpovídaly charakteru provozu dané společnosti. Je vždy důležité přemýšlet nad tím, jak maximálně stará musí být poslední dostupná záloha, kterou lze v případě problému použít, aby se minimalizoval výpadek provozu, a tedy i finanční ztráty zákazníka. Každá společnost by se v této souvislosti měla před uzavřením smlouvy zajímat o to, jak má dodavatel ošetřen systém redundance (vícenásobného ukládání) či zrcadlení dat na jiné (záložní) zařízení. Může totiž dojít nejen ke zničení serveru, ale také k poškození (v důsledku např. požáru) celého cloudového centra. Pro tento případ by měly být provozní a záložní servery fyzicky odděleny (umístěny v jiných lokalitách). Rovněž by měl mít každý dodavatel k dispozici vhodné řešení při výpadku dodávky elektrické energie.
Problematika ukládání dat v cloudu je však mnohem složitější, než jak bylo nastíněno shora. Existují totiž některé vysoce regulované či kritické sektory mající přísná legislativní pravidla pro ukládání dat, jež mohou omezit nebo zcela vyloučit využití veřejného cloudu (např. z důvodu národní bezpečnosti).
Zcela okrajově lze také zmínit otázku tzv. suverenity dat (Data Sovereignty). Suverenita dat znamená, že data podléhají zákonům a regulacím země, ve které jsou fyzicky uložena. Jinými slovy, pokud jsou data uložena na serverech v určitém státě, spadají pod legislativu tohoto státu, i když jejich vlastníkem je zahraniční subjekt.
Prakticky vše shora uvedené platí pro smlouvu i v případě, když se (což je v současnosti také poměrně běžné) společnost rozhodne outsourcovat nejen výpočetní zařízení (hardware), ale i samotný informační systém jako takový (SaaS – Software as a Service).
Tento článek nemá ambici vyčerpávající způsobem obsáhnout problematiku a popsat všechna rizika, ale toliko definovat některé důležité okruhy a nastínit možné problémy, jež by měl mít na paměti každý, kdo se rozhodne umístit svá firemní data do cloudu.
Správně nastavená smlouva je totiž důležitá nejen z pohledu společnosti, která se rozhodne provozovat své systémy v pronajatém virtuálním prostředí, ale také z pohledu jejích statutárních orgánů. Řečené platí zejména v případě, kdy se vlastnická struktura společnosti liší od struktury jejího řízení. Bývá totiž obvyklé, že u firem střední a větší velikosti řídí společnost jako jednatelé nebo členové představenstva najatí manažeři, kteří nesou odpovědnost za její chod a vedení. Z pohledu zákona je pak každý takový člen statutárního orgánu povinen jednat obezřetně a s péčí řádného hospodáře. V případě jakéhokoli problému spojeného s únikem, poškozením či ztrátou dat umístěných mimo společnost bude pro posouzení míry odpovědnosti statuárního orgánu rozhodující právě obsah takové smlouvy.
