NÚKIB zveřejnil cloud computingové výjimky z uložených dat

Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) zveřejnil na základě tzv. vyhlášky o vstupních kritériích seznam služeb cloud computingu, které nesplňují část požadavků zmíněné vyhlášky. Cílem je, aby veřejná správa mohla využívat tyto služby, ale byla zároveň informována, že jejich data a specifické provozní údaje mohou být ukládány v jiném režimu než u ostatních služeb.

V současném znění vyhlášky č. 316/2021 Sb., o některých požadavcích pro zápis do katalogu cloud computingu, tzv. vyhlášky o vstupních kritériích, požadavky řádků 1.3 a 1.4 v příloze č. 2 stanovuje pro bezpečnostní úroveň Vysoká, aby zákaznická data a specifické provozní údaje ve stavu neaktivních dat byly ukládány výlučně na území členských států Evropské unie (EU) a Evropského sdružení volného obchodu (ESVO).

Některé služby tyto požadavky nesplňují. Přesto bylo žádoucí, aby i tyto služby bylo možné zapsat do katalogu cloud computingu. Z tohoto důvodu existuje možnost zapsat je na základě výjimky, o kterou se poskytovatel přihlásí tím, že takové služby označí jako služby nesplňující požadavky řádků 1.3 a 1.4.

Vyhláška o vstupních kritériích pak stanoví, že takové služby budou uvedeny na internetových stránkách NÚKIB a taktéž budou řádně označeny v katalogu cloud computingu. Aktuálně zveřejněný seznam obsahuje služby cloud computingu společnosti Microsoft. Cílem je, aby orgány veřejné správy mohly ve svých informačních systémech veřejné správy (ISVS) tyto služby využívat, ale zároveň aby byly informovány o tom, že jejich data a specifické provozní údaje mohou být ukládány v jiném režimu než u služeb ostatních.

Seznam těchto služeb najdete zde: https://nukib.gov.cz/cs/uredni-deska/cloud-computing/

Q&A

Znamená to, že tyto služby nejsou bezpečné? Proč tedy jsou zapsány v katalogu?

Všechny služby zapsané v katalogu cloud computingu nabízejí minimálně odpovídající bezpečnost, kterou požaduje vyhláška o vstupních kritériích. U těchto konkrétních služeb je však nutné věnovat zvýšenou pozornost riziku vyplývajícímu z uchovávání dat v zahraničí.

Jsme orgánem veřejné správy a správcem informačního systému veřejné správy. Můžeme tyto služby nadále využívat?

Ano, ale je nutné věnovat zvýšenou pozornost riziku vyplývajícímu z uchovávání dat v zahraničí.

Jsme regulovanou osobou podle zákona o kybernetické bezpečnosti. Je pro nás tato informace relevantní?

Pokud subjekt nespadá pod zákon č. 365/2000 Sb., o informačních systémech veřejné správy, (ZoISVS) pak se na něj regulace cloud computingu podle ZoISVS nevztahuje. Nemusí nakupovat z katalogu cloud computingu, a tedy ani tato informace mu není přímo adresována.

Znamená to, že k datům naší organizace/mým osobním datům mají přístup státní orgány jiných zemí?

Přístup k zákaznickým datům mohou za určitých, zákonem předvídaných, podmínek získat orgány státu ve většině zemí, včetně těch demokratických. S tímto rizikem je třeba u cloudových služeb počítat a zvážit, jaká data by bylo vhodné držet on-premise (na vlastním hardware). U služeb uvedených v seznamech je však riziko vyšší, protože jsou data ukládána i v zemích mimo EU a ESVO, tedy v zemích, kde nemusí být stejná garance právní ochrany jako v uvedených mezinárodních uskupeních.

Máme nakoupeny cloudové služby společnosti Microsoft přes přeprodejce, který tvrdí, že všechna data jsou ukládána na území EU. Je to pravda?

Takové tvrzení je spíše nepravdivé. Některé služby společnosti Microsoft nemohou fungovat, aniž by ukládaly zákaznická data a specifické provozní údaje ve stavu neaktivních dat mimo území EU/ESVO. A všechny aktuálně zapsané služby neumí zaručit ukládání specifických provozních údajů na území EU/ESVO. Stejně tak je třeba si dávat pozor, pokud využíváte SaaS (software as a service) jiného poskytovatele, který je však postavený na IaaS/PaaS (infrastructure/platform as a service) Microsoftu.