Čím dál častěji využíváme virtuální servery, tedy cloudy. Má to své výhody, ale rizik je podle specializovaných IT advokátů také dost
Cloud je jedním z nejvíc trendy slov posledních let. Zní moderně, má nádech velkého světa a je trochu jako sex – (skoro) všichni to chtějí dělat, ale někde hluboko v hlavě mají schovanou obavu z možných následků. Největší strach budí celkem logicky ta nejčernější možná varianta. Data se ztratila nebo se k nim – ó, hrůzo – někdo dostal. Tak zle většinou není, ale hrozba je skutečná, a navíc se může vyrojit řada menších, ale stále zatraceně nepříjemných obtíží.
Přesně takovou zkušenost má podnikatel Michal Hardyn, který stojí za internetovým slevovým srovnávačem TopSleva.cz. Když v lednu 2014 praskla v jednom vinohradském domě vodovodní trubka, nevypadalo to nejdřív nijak dramaticky a rozhodně ne tak, že by se to mohlo jakkoli dotknout Hardynova podnikání. Jenže v tom domě měla své servery společnost Casablanca provozující veřejný cloud Big Blue One (šlo o službu na pomezí pravého cloudu a obyčejného hostingu v datovém centru) a voda do nich natekla. „Tři týdny bylo paralyzované celé naše podnikání, jehož obrat se pohyboval v řádech milionů korun měsíčně,“ vzpomíná Hardyn na událost, která postihla řadu dalších firem.
Nejvíc ze všeho ho podle jeho slov otrávil nedodržený slib Casablanky, že v případě podobné nehody budou data a aplikace dostupné ze záložního – jak se říká „geograficky odděleného“ – místa. To ale podle Hardyna nebylo tak úplně pravda. Data sice nezmizela, ovšem bylo potřeba nakoupit nový hardware, vše obnovit ze záložních disků, a spuštění systému se proto protáhlo. „Odškodné, které jsme dostali, škody zdaleka nepokrylo, a rozhodli jsme se proto odejít,“ dodává Hardyn. Ne snad z cloudu, ale ke konkurenci.
Tak kolik?
Kolik procent firem v České republice používá cloud computing, není vlastně pořádně jasné. Výzkumů proběhlo v minulých letech mnoho, ovšem čísla jaksi nesouhlasí.
Velmi konzervativní je průzkum Českého statistického úřadu z prosince 2014, podle kterého využívá nějakou službu cloud computingu 15,2 procenta firem. Více (19,4 procenta) ty velké a méně ty malé (14,7 procenta). Nejčastěji jde o e-mailovou schránku (12 procent) a pak sestupně o skladování souborů (6,3 procenta) a kancelářský software (5,7 procenta). O rok starší průzkum realizovaný společností Ipsos Mori pro softwarového giganta (a poskytovatele cloudových služeb) Microsoft byl podstatně štědřejší. Podle něj cloud computing využívaly tři čtvrtiny malých a středních firem v Česku. Nejčastěji e-mailovou schránku (71 procent), zálohování dat (38 procent) a služby Voice over IP, jako například Skype (29 procent). V tomto průzkumu skončilo Česko na pozici vicemistra Evropy hned za Ukrajinou a daleko před Německem (32 procent) a Velkou Británií (30 procent).
Rozptyl je to obrovský a lze ho snad vysvětlit nejasnou definicí toho, co znamená používat cloudové služby, a zjevně i tím, že se respondentů ptaly různé organizace s různými zájmy. Ať už je to jakkoli, výhody cloudu jsou hlavně pro menší firmy, které si nemohou dovolit provozovat vlastní interní server, zjevné.
Nemusejí se zabývat IT technologiemi, dostanou řešení na klíč (často, pravda, poněkud prefabrikované), a navíc za lepší cenu.
Výpadky a osobní data
V úvodu zmíněný případ – výpadek cloudového serveru – je klasickou nepříjemností, kterou uživatelé cloudů trpí, a zdaleka se nepřihodil jen Casablance. Modelové nehody postihly v roce 2011 i jednoho z globálních lídrů tohoto odvětví – společnost Amazon –, a to hned dvakrát, když na jaře toho roku došlo k výpadku datacentra v USA a v létě blesk na čas vyřadil evropské datacentrum v Irsku. Alespoň pro některé postižené byly přitom následky hodně nepříjemné. Malá část dat (podle Amazonu šlo o 0,007 procenta) se totiž ztratila nevratně. Podobné obtíže měla i společnost Adobe známá především díky grafickému editoru Photoshop, který je od roku 2013 nabízen – vlastně pronajímán – coby cloudová služba. Má to své výhody, když ale společnost zasáhl v květnu 2014 více než čtyřiadvacetihodinový výpadek, litovali uživatelé, že Photoshop už nemají tak jako dříve nainstalován na svém počítači.
Horší variantou běžného výpadku je podle Martina Kartnera z advokátní kanceláře CHSH Kališ & Partners zánik poskytovatele cloudové služby. Děje se tak podle něj nejčastěji v případech, kdy cloudové služby poskytují startupy, tedy „společnosti bez historie a záruky zachování existence“. V lepším případě to končí obtížnou migrací služeb a dat k jinému poskytovateli, ovšem vyskytly se i případy, kdy klient o svá data přišel.
Rizik, se kterými se „IT právníci“ potkávají, je ale daleko víc a technologické selhání poskytovatele služeb v nich často nehraje žádnou roli. Co například dělat v situaci, kdy chcete přejít k jinému provozovateli cloudu, ale ten původní má vaše data a rozhodne se vás trochu zmáčknout?
Dalším z rizik jsou osobní údaje, respektive nakládání s nimi. Poskytovatelům cloudových služeb se podle Josefa Donáta z advokátní kanceláře Rowan Legal nevyplatí detailně přizpůsobovat smluvní podmínky jednotlivým zákazníkům, „a proto naši klienti v praxi narážejí zejména na potenciální problémy v oblastech podléhajících zvláštní regulaci, například ve zdravotnictví, bankovnictví či bezpečnosti“.
Důležitou roli v tomto ohledu hraje například to, kde data fyzicky „leží“. Velmi často jsou umístěna v zahraničí – především ve Spojených státech. Samotným datům je to jedno, ovšem jejich majitele to zajímat musí. Zákony totiž omezují přenos osobních údajů třetích osob mimo Evropskou unii. Zákazník (nebo jeho právník) se proto musí poskytovatele ptát, kam data poslal. „V praxi nicméně často není zjevné, na kterém serveru jsou v daném okamžiku aplikace a data a kde je tento server umístěn. Odpovědnost přitom dopadá na osobu, která do cloudu data umisťuje,“ vysvětluje Kartner.
Až do října 2015 fungoval pro přenos dat z Evropské unie do Spojených států tzv. Safe Harbor, respektive seznam amerických společností, které ručily za minimální standardy zabezpečení dat a kterým mohla být data bez dalšího ověřování posílána. To už dnes ale poté, co Soudní dvůr EU rozhodl, že Spojené státy neposkytují dostatečné záruky ochrany osobních údajů, neplatí. O povolení přenosu dat je proto nyní nutné ad hoc žádat český Úřad pro ochranu osobních údajů, popřípadě přizpůsobit smlouvu s poskytovatelem cloudu evropským parametrům (po euro-americkém jednání z minulého týdne bude možná zase vše poněkud jinak, Spojené státy totiž podle slov eurokomisařky Věry Jourové slíbily, že výrazně omezí sledování dat převáděných z EU).
Nehledě na osobní údaje má využívání „amerických“ cloudů ještě jednu zásadní nevýhodu. Službu poskytovatel provozuje často podle amerického práva, a náklady na případný spor včetně soudní dohry proto bývají vysoké.
Návrat do reality
Nadávat na cloudy je lehké, ale není to tak úplně fér. Problémy s výpadky nemají jen poskytovatelé cloudových řešení, ale i firmy, které vsadily na vlastní servery a „ajťáky“.
Ochrana osobních údajů zvyšuje v 21. století náklady snad ve všech oborech a nejčastějším zdrojem úniku informací je tak jako kdykoli v minulosti neloajální zaměstnanec s přístupem k firemnímu serveru nebo s heslem ke cloudovému úložišti.
Jak říká advokát Donát, zabezpečení serverů nejvýznamnějších poskytovatelů cloudových služeb je obvykle při stejných nákladech daleko lepší než zabezpečení interního firemního serveru, který se občas nachází kdesi „v kumbálu vedle košťat“. Daní za to je omezení kontroly nad „IT infrastrukturou a zákazníci musejí spíše věřit, že cloudové služby fungují tak, jak poskytovatel deklaruje“.
Nadávat na cloudy je lehké, ale není to tak úplně fér. Problémy s výpadky nemají jen poskytovatelé cloudových řešení, ale i firmy, které vsadily na vlastní servery a „ajťáky“. Co je cloud Cloud je magické slovo, ale nic až zas tak revolučního na něm není a de facto jde jen o další vývoj klasického outsourcingu. Ve zkratce běží o to, že služby (třeba e-mailová schránka), programy a data jsou uloženy na vzdálených serverech a uživatelé k nim mohou po internetu přistupovat v zásadě odkudkoli. Obvykle se slovem cloud rozumí pouze klasický veřejný cloud, kdy poskytovatel nabídne veřejnosti (a firmám) sdílený prostor na svých serverech. Mnohem bezpečnější (a také dražší) je soukromý cloud, který je odděleně provozován pouze pro jednu konkrétní organizaci, a to buď přímo touto organizací, nebo specializovaným poskytovatelem. Hybridní cloud je kombinací obou předešlých.
75 % Tolik procent malých a středních firem v Česku využívá podle (hodně optimistického) průzkumu společnosti Ipsos Mori pro Microsoft cloudové služby. Mnohem konzervativnější průzkum ČSÚ tvrdí, že jde jen o 15,2 procenta firem.
O autorovi| Václav Drchal Jiří Zatloukal, drchal@mf.cz zatloukal@mf.cz
