CLOUD Act ja selle mõju Eesti ettevõtete pilvedes hoiustatud andmetele

CLOUD Act võeti eelmisel nädalal USA kongressi poolt vastu, sest Ameerika teenusepakkujad olid kohtutes edukalt tõestanud, et Stored Communications Acti alusel väljastatud orderid ei kehti andmetele, mis asuvad väljaspool USA territooriumit. Seda ka juhul, kui teenusepakkujatel on nende andmete üle kontroll ehk need asuvad nendele kuuluvates serverites.

Kuidas mõjutab CLOUD Act Eesti ettevõtteid?

Uus seadus puudutab teoreetiliselt kõiki inimesi ja firmasid, kes kasutavad USA-s registreeritud ettevõtete teenuseid – olgu selleks siis Google ja tema pakutav Gmail, Microsoft ja Office 365, Dropbox, SalesForce või mõni muu USA peakontoriga pilveteenuse pakkuja, kelle serverid asuvad erinevates maailmanurkades. Kuigi esmapilgul võib jääda mulje, et nüüd on valitsustel igal ajahetkel otse ligipääs pilveteenuseid kasutavate klientide, sh eestlaste andmetele, siis tegelikkuses see päris nii õnneks siiski ei ole. USA ja ka teiste riikide ametivõimud peavad iga andmepäringu eraldi esitama ning seda päringut alati piisavalt põhjendama. Seda tuleb teha sõltumata seadusest, mille alusel andmeid küsitakse. Kui päring ei ole asjakohane, siis teenusepakkuja reeglina vaidlustab selle ega väljasta küsitud andmeid.

Kuigi CLOUD Act kehtib kõikide USA teenusepakkujate kõikidele pilveteenustele, on oluline teada, et erinevat tüüpi pilved pakuvad klientidele erinevaid võimalusi oma andmete kaitseks. Kui ülal mainitud korporatsioonid pakuvad reeglina oma pilves tarkvara teenusena (Software as a Service ehk SaaS), siis näiteks Amazoni pilveteenus AWS on oma olemuselt taristuteenus (Infrastructure as a Service ehk IaaS). SaaS pilveteenuse puhul on kõik pakutavad tooted ja teenused teenusepakkuja poolt hallatud. See tähendab, et näiteks Office 365 klientide rakendusi, andmeid ja kõike muud, mis on pilve usaldatud, haldab Microsoft. Klient ei saa ise just palju ära teha, sest jäme ots on alati pilve omaniku käes. IaaS pilveteenuse puhul otsustab aga klient ise, kui palju ressursse, sh riistvara ta vajab ning millised teenuseid ta kasutab. Amazon AWS näitel tähendab see, et kui klient on seadistanud kasutatavad teenused nii, et juurdepääs on vaid kindlatel inimestel, siis ei saa andmetele ligi mitte keegi (ka valitsused või pilveteenusepakkuja ise) ilma kliendi krüptovõtmeta. Lisaks annab AWS ka kliendile alati teada, kui keegi tema andmeid pärib (AWS’i reeglid andmete väljastamiseks: http://d0.awsstatic.com/certifications/Amazon_LawEnforcement_Guidelines.pdf). Nii on kliendil veel võimalik andmenõuet vaidlustada.

Andmekaitse aspektist on SaaS ja IaaS pilveteenustel veel üks oluline erinevus. Nimelt tuleb arvestada, et SaaS teenuste puhul on kogu krüptoahel teenusepakkuja halduses, mis muudab kliendi teadmata krüptograafilise tagaukse loomise üsna lihtsalt teostatavaks. IaaS lahenduste puhul saavad kliendid aga seadistada oma teenuste ja andmete krüptograafia nii, et see ei ole pilveteenusepakkujale ega kellelegi teisele kättesaadav.

Mida saavad ettevõtted oma andmete kaitsmiseks teha?

Ehkki paindlik ja vastavalt kliendi vajadustele kohandatav IaaS tüüpi pilveteenus (nt Amazon AWS, Google Cloud või Microsoft Azure) on küll oma kontseptsioonilt turvalisem, ei ole ka SaaS pilve kasutajatel põhjust üleliia muretseda, kui nad kasutavad teenusepakkujast sõltumatut krüpteerimislahendust enne andmete pilveserverisse laadimist.

Kuid olenemata pilveteenuse tüübist otsustab lõppude lõpuks ikkagi klient ise oma andmete kättesaadavuse ja turvalisuse üle. Kui kõik pilves hoitavad andmed (nii salvestatud kui edastatavad) on alati krüpteeritud, võti on kindlalt hoitud ja ligipääs tagatud ainult kindlatel alustel, siis ei ole oluline, milline kolmas osapool neid andmeid küsib või kes ja kus neid hoiab. Sest nende andmetega ei saa midagi teha, kui kliendi käest lahtikrüpteerimiseks võtit ei saa.

Kuna andmete kaitsmine võõraste pilkude eest on tähtis olenemata teenusest, andmetest, kliendist ja tema tegevusvaldkonnast või muutuvatest seadustest, rõhutavad krüpteerimise olulisust kogu aeg ka kõik pilveteenuste pakkujad. Seepärast on enamike pilveteenuste puhul andmete krüpteerimine tehtud niivõrd lihtsaks, kuluefektiivseks ja kergesti kättesaadavaks, et seda võimalust tuleks nagunii alati kasutada. Sama printsiip kehtib ka siis, kui andmeid hoitakse oma füüsilistes serverites.

Seega, viies end täpsemalt kurssi uute seadustega nagu CLOUD Act ning krüpteerides oma andmeid, saavad ettevõtted anda parima panuse kaitsmaks tundlikku informatsiooni praeguses muutunud ja muutuvas seadusandluskeskkonnas. Ja kui oma tarkusest jääb puudu, siis aitab IT-partner ja pilveteenuse pakkuja.

Klemens Arro

ADM Hosting