Smutné. Takže můžeme definitivně přestat řešit otázky soukromí, protože stát své hlavní databáze přesouvá do rukou MS nebo googlu? A tedy je nadále jedno, jestli nám nějaké drobnosti navíc uniknou třeba z mobilů, když bude mít nějaká z těch firem k dispozici třeba naši kompltní zdravotní dokumentaci?
Naděje, že by byl někdo dostatečně příčetný a výsledný cloudový produkt podmínil alespoň fyzickým uložením na území našeho státu, zákazem zálohování mimo území ČR a vůbec pár kroky, alespoň trochu ztěžujcími využití našich státních databází pro potřeby USA nebo zmíněných firem asi moc není.
Nemluvil jsem ani v nejmenším o tom, co platí za předpisy, ale o tom, co asi tak můžeme v reálu čekat. Pokud víte něco o skutečném, reálném dopadu nějakých předpisů (nejen GDPR) na téma státního cloudu, bylo by určitě zajímavé, kdybyste to trochu upřesnil. Jestli nevíte konkrétní fakta, buďte tak hodný a optimistické fráze si prosím nechte pro sebe.
3. 8. 2021, 21:33 editováno autorem komentáře
Aspoň něco. Jen, jak píšu níže, stále je to forma závislosti na cicích subjektech a jejich dobré vůli. A rád bych viděl, kdyby si lidi a pokud možno i státní úředníci více uvědomovali, že některé věci je prostě příliš riskantní někomu svěřovat. V duchu informací pana Snowdena, některé moderní služby je lépe i oželet.
Ta závislost na cizích subjektech existuje stejně, nezáleží na tom, zda máte železo v baráku nebo někde jinde. Vaše představa, že mít data „u sebe“ je bezpečnější, je naivní. Když budete porovnávat zabezpečení průměrné aplikace a cloudu, je cloud zabezpečen daleko lépe. Státní správa na tom snad v důležitých případech bude lépe, než je průměr, ale cloud od renomovaného poskytovatele dnes opravdu není bezpečnostní riziko.
V duchu informací pana Snowdena
Jestli tomu říkáte „informace“…
závislost tam stejně jak, ať to dělám tak nebo tak, stát dnes v podstatě neumí sám stavět systémy, oni to neumí ani velké společnosti a musí si na to stejně najímat implementátory a integrátory.
Slepá důvěra je nejhorší, běžně ty systémy jsou kontrolované, logy auditované, dnes se již v praxi skloňují robustní kombinované řešení typu SIEM a je těžké i s přístupem se dostávat k datům nepozorovaně.
Zprávička je o tom, že se Google o tenhle obor snaží, ne že stát rovnou vše dá do Googlu. Zatím stát využívá Azure a to zejména na vedlejší projekty zejména webové (ale i ty mají databázi v státním DC a Azure je pouze pro frontend). Lidé, s kterými jsem se setkal si rizika uvědomují a postupují rozumně.
Sice je moderní tvrdit jak jsou data v bezpečí doma, ale nevím, jestli někdo z takových lidí někdy zkoušel postavit fyzickou infrastrukturu se šifrováním (na disku i na síti), kontrolou přístupů (iLO, iDRAC jsou suprově problematické), evidencí a znehodnocováním rozbitých disků, rychlými aktualizacemi, fyzickou bezpečností atd. atd. Ono to udělat není vůbec snadné a hlavně levné, zejména když mám pár stovek až jednotky tisíc serverů, naopak poskytovatelé cloudů dneska už umí nabídnout technicky daleko vyspělejší prostředí.
Je pravidlem, že data v Azure v případě státní správy se šifrují. Věřím, že procesy, které jsem viděl u Azure, způsob práce s daty a další aspekty jsou dostatečně důvěryhodné, aby se dalo říct, že MS/Google nemá přístup k datům a nepřistupuje k nim. V případě, kdyby se to prokázalo, hrozí astronomické pokuty v podobě % z obratu a ztráta důvěry, tj. pravděpodobně zavření sektoru.