Персональные данные и Облака

Удивительно, но каждое правительство верит, что сможет защитить персональные данные своих граждан лучше, чем кто-либо ещё. И как часто бывает, забота властей делает нашу жизнь немного тяжелее.

За последние 3 года я посетил десяток мероприятий, посвящённых хранению персональных данных в облаке. Если они организовывались облачными провайдерами (в этом случае кормили лучше), то выступающие объясняли, почему размещение данных в облаке полностью соответствует всем законам. Если их организовали различные некоммерческие ассоциации (булочки хуже), то можно было услышать истории в стиле Сноудена, когда все данные в опасности, а в облаке они в опасности вдвойне, а уж размещение там персональных данных — это просто безумие.

Законодательство о персональных данных довольно жёстко во многих странах. Но на таких рынках как Россия или Китай, местные законы используются местными командами продавцов глобальных облачных провайдеров как универсальное объяснение, почему они не смогли выполнить их квоты.

Хочу рассказать историю из моего личного опыта. Облачный департамент сидит рядом с Департаментом информационной безопасности. Мы продаём облака, они продают всё для безопасности: консалтинговые проекты, специализированное оборудование, программное обеспечение и другие средства защиты.

В общем, я решил, что смогу включать в свои предложения по облакам в качестве дополнительной опции различные проекты коллег вокруг персональных данных. Как только клиент поднимал тему «персональных данных», мои продавцы тут же приглашали из соседней комнаты специалиста, который разбирался в теме очень глубоко, и мог предложить различные услуги и продукты. К моему удивлению, в течение года и большом количестве вовлечений в пре-сейл, коллеги практически ничего не смогли продать. Моё предположение, что клиенты при миграции в облако будут озадачены вопросами защиты персональных данных, явно, не подтвердилось.

Когда же, на самом деле, клиенты поднимают вопрос персональных данных в облачных проектах?

1. Наиболее редкий сценарий, это когда клиент, действительно, обеспокоен, что данные о клиентах или сотрудниках в облаке будут более уязвимы, чем на их собственных серверах.

2. Вторая и наиболее распространённая группа, это клиенты, волнующиеся о проверках регулятора.

3. И, наконец, заказчики могут поднять тему персональных данных, чтобы формально обосновать своё решение не идти в облака. Вместе с плохими каналами, персональные данные — наиболее популярные объяснения отказа от рассмотрения облачных проектов.

Я хочу подробно рассмотреть только вторую группу, так как про безопасность в облаке я написал отдельный текст, а про «фейковых» (как говорит Трамп) клиентов писать нечего.

Законодательство о персональных данных регулирует то, как организации оперируют с данными. В большинстве стран это, прежде всего, вопросы политик и процедур: как собирать, кому передавать, кто имеет доступ и т.п. В некоторых странах есть также требования к использованию определённых технологий и средств защиты. В России это усиливается требованием наличия российской сертификации у таких средств. И хотя список требований у нас даже короче, чем в некоторых других странах, но все системы из списка должны иметь российские сертификаты, чтобы компания могла работать с определёнными типами персональных данных. В результате, многие международные компании не могут использовать системы, которые они используют для работы с таким типом данных в своих странах.

Все эти требования осложняют жизнь компаниям, но всё это никак не связано с облаками: требования никак не зависят от того, в облаке расположены данные или нет. Более того, для многих организаций, перенос персональных данных в облако позволяет проще обеспечить соответствие требованиям, т.к. крупные облачные провайдеры уже внедрили необходимые средства защиты у себя.

Намного более серьёзный барьер — это требование хранить персональные данные внутри страны. Кстати, это далеко не только в России. Например, в Казахстане есть аналогичное требование, и казахские облачные провайдеры получили дополнительных клиентов. Требование к ограничению географии хранение наиболее сложно выполнимо и приводит к множеству забавных моментов. Например, идя в посольство за визой (к примеру, США), граждане сообщают данные о себе и даже сдают отпечатки пальцев, чтобы их проверили правоохранительные органы принимающей страны по своим базам данным. И будет довольно проблематично заставить ФБР перенести свои базы в страны выдачи виз, чтобы проводить обработку на месте.

Поэтому большинство нормативных актов о персональных данных не выполняется в полной мере. В каждой стране сложился свой консенсус по поводу того, что регуляторы должны, действительно, контролировать, а что носит преимущественно декларативный характер. Например, у нас, разъяснения Роскомнадзора к закону о персональных данных намного проще для исполнения, чем непосредственный текст закона.