Зберігання даних у хмарному сховищі: що робити у разі витоку конфіденційної інформації?

Тема хмарних технологій в сучасному світі набуває дедалі більше обертів. Хмарні системи дозволяють зберігання, обробку та використання даних на дистанційно розташованих комп’ютерах з доступом через Інтернет. Це відносно недорогий та зручний спосіб зберігання інформації, з мінімальними витратами для компаній і бізнесу.

Як захистити конфіденційні дані, що робити у разі витоку даних з конфіденційною інформацією та як регулюється робота з персональними даними законодавством — проаналізував Максим Войнов, юрист Центру стратегічних справ Української Гельсінської спілки з прав людини.

Хмарні сховища

Перше комерційне сховище з’явилося в 1994 році (PersonaLink Services network від AT&T), із того часу при використанні хмарного сховища інформація зберігається у зовнішнього постачальника послуг, наприклад, корпорації Майкрософт. Такий постачальник встановлює і обслуговує все апаратне і програмне забезпечення, а споживач отримує доступ до цих служб і керує своїм обліковим записом в Інтернеті.

Компанії малого, середнього і великого бізнесу переводять свою діяльність у хмарне сховище, що є найкращим сучасним рішенням і дозволяє найбільш ефективно використовувати технічний й економічний потенціал держави, підприємств та приватних осіб, з мінімальними витратами на хмарні технології.

Однак, користувачі хмарних сховищ не завжди правильно налаштовують хмари та бази даних, що призводить до викрадення персональних даних шахраями. Це може завдати значної шкоди як пересічним громадянам, так і великим компаніям. Більше мільйона додатків для мобільних пристроїв, деякі з яких використовують загальнодоступні хмарні сервіси, розголосили конфіденційну інформацію про своїх користувачів внаслідок неправильного налаштування хмарних сховищ.

Викрадення та витік даних

Найбільш поширеною загрозою для хмарних технологій є витік даних. Кіберзлочинці отримують несанкціонований доступ до хмарної мережі і можуть використати інформацію з неї для копіювання і передачі персональних даних зацікавленим особам. Втрата інформації з хмарних сховищ приводить до великих штрафів для бізнесу, до репутаційної шкоди та втрати довіри клієнтів.

В Європі діють суворі норми GDPR — General Data Protection Regulation, які були розроблені з метою спонукання організацій підвищити безпеку даних в хмарних сховищах. Цей регламент запроваджує нові принципи обробки персональних даних та встановлені нові гарантії їх захисту. Вимоги передбачають не тільки накладання багатомільйонних штрафів, але й повідомлення про будь-яке порушення протягом 72 годин з моменту виявлення.

У разі витоку інформації захистити власника бази даних і гарантувати справедливе відшкодування можуть закріплені належним чином юридичні гарантії збереження даних. Вони надають користувачу хмарного сховища можливість безпечно користуватися всіма перевагами сервісу, розуміючи наявність відповідальності з боку власника (оператора) сховища даних. Відповідальність оператора сервісу має бути пов’язана з дієвим механізмом відшкодування заподіяних збитків та оперативного відновлення пошкодженої інформації і стану її захищеності, щоб гарантувати інтереси користувача.

Попри це кількість інцидентів щодо викрадення персональних даних із хмарних сховищ продовжує зростати. Зокрема у період з травня 2018 року до січня 2021 року в країнах ЄС сталося понад 280 тис. інцидентів, пов’язаних із витоком особистих даних користувачів.

Один з найбільш серйозних випадків щодо витоку даних клієнтів стався у 2018 році в однієї з найбільших готельних мереж у світі Marriott International, що було пов’язане з базою даних бронювання Starwood, і під загрозою опинилося до 383 мільйонів клієнтів.

Серед викраденої інформації були персональні дані клієнтів мережі: їх імена, поштові адреси, номери телефонів, адреси електронної пошти, паспортні дані, інформація про обліковий запис SPG, дати народження, номери платіжних карт та дані щодо їх терміну дії. Ці відомості могли бути використані для фішингових атак, шахрайства з кредитними картами та ідентифікаційними даними.

Компанія зазнала збитків у розмірі близько 72 мільйонів доларів США, однак 71 мільйон було відшкодовано страхуванням. Проте, Marriott все ще може отримати чималий штраф у розмірі 99 мільйонів фунтів стерлінгів (123 мільйонів доларів США) від британського органу із захисту даних.

Яка юрисдикція судів щодо порушень

Інтернет не має меж і є транскордонним елементом. Це означає, що інформація з Інтернету перетинає багато кордонів. Тому постає питання, який суд може здійснювати юрисдикцію щодо Відповідача по справі, який перебуває або проживає в іншій країні, не там, де була подана скарга про злочин або цивільно-правове порушення, скоєні через Інтернет.

Хмарні технології ставлять низку викликів і перед кримінальним правосуддям, зокрема, щодо застосовного законодавства та повноважень щодо правозастосування. До таких проблем належать незалежність від місця знаходження, яка є ключовою характеристикою хмарних технологій. Тому для органів кримінального правосуддя часто неочевидно, в якій юрисдикції зберігаються дані або який правовий режим застосовується до них. Постачальник хмарних послуг може мати головний офіс в одній державі і застосовувати до хмарних даних правовий режим іншої, тоді як самі дані зберігаються в третій.

Цілком ймовірно, що постачальник хмарних послуг систематично переміщує дані, щоб запобігти доступу до них органів кримінального правосуддя. Можна стверджувати, що юрисдикцію може визначати місцезнаходження штаб-квартири постачальника послуг, місцезнаходження даних і сервера, законодавство держави, в якій підозрюваний підписався на послугу, місцезнаходження чи громадянство підозрюваного.

Для цілей захисту даних у державах-членах ЄС юрисдикція визначається місцезнаходженням контролера даних, а не місцезнаходженням міжнародної штаб-квартири компанії, яка надає хмарні послуги, місцезнаходженням серверів, місцезнаходженням клієнтів або іншими критеріями.

Спірні питання щодо порушень у сфері хмарних технологій в першу чергу мають вирішуватись національними судами, які застосовують відповідні принципи міжнародного приватного права з питання юрисдикції, і такі питання зазвичай не стосуються Європейського Суду з прав людини. Цей принцип був визначений в справі Премініни проти Росії (скарга № 44973/04, 10 лютого 2011 року), коли цивільна справа розглядалась російськими судами, і компетенція національних судів не була оскаржена в ЄСПЛ. Так само, ніхто не поставив під сумнів компетентність судів Туреччини у прийнятті рішення заборонити доступ до сайтів Google та всіх інших сайтів цієї системи у справі (Ахмет Їлдірім проти Туреччини, № 3111/10, § 67, ЄСПЛ 2012).

Законодавство про хмарні сховища потрібно державі, щоб гарантувати своїм споживачам співробітництво лише з надійними постачальниками послуг, тому що держави мають і позитивні зобов’язання, які є невід’ємною частиною ефективного забезпечення недоторканості особистого і сімейного життя особи. Держава може нести відповідальність за поведінку третіх сторін, що здійснюють зберігання інформації в хмарних сховищах.

Відповідно до Угоди про асоціацію з ЄС, Україна взяла на себе зобов’язання привести своє національне законодавство у відповідність до вимог GDPR. Частина європейських вимог так чи інакше вже фігурує в українських законах, проте вони є не чітко визначеними та потребують уточнень.

Законодавство в Україні

Основним законом у сфері захисту персональних даних осіб є Закон України «Про захист персональних даних», який встановлює вичерпний перелік підстав щодо обробки персональних даних, і саме наявність згоди суб’єкта персональних даних є обов’язковою умовою для збору персональних даних в інтернеті.

17.02.2022 року в Україні був прийнятий Закон України «Про хмарні послуги», який встановлює особливості використання хмарних послуг органами державної влади. Відповідно до цього закону, — захист прав користувачів хмарних послуг, а також механізм реалізації захисту цих прав регулюються Законами України «Про захист прав споживачів» та «Про електронні послуги».

Надавачі хмарних послуг або послуг центру обробки даних повинні вжити відповідних пропорційних технічних та організаційних заходів для управління ризиками, що виникають для безпеки електронної комунікаційної мережі, електронної комунікаційної послуги та інформаційних систем, які використовуються для надання хмарних послуг.

З 12.03.2022 року Кабмін дозволив українським державним установам у воєнний час користуватися хмарними технологіями з розміщенням даних у закордонних дата-центрах. Це рішення дало можливість численним державним організаціям не лише убезпечувати критично важливі дані під час війна, але й відкрило шлях до глобальної цифрової трансформації та використання сучасних технологій.

Правління Національного банку України 08.03.2022 року видало Постанову «Про використання банками хмарних послуг в умовах воєнного стану в Україні», відповідно до якої банки України мають право здійснювати оброблення та зберігання персональних даних клієнтів, а також інформації, що містить банківську таємницю, із використанням хмарних сервісів, що надаються з використанням обладнання, яке розташовано в державах ‒ учасницях Європейського Союзу, Європейського співтовариства, Великій Британії, Сполучених Штатах Америки або Канаді.

Не завжди зрозуміло, чи розглядаються і регулюються різні види хмарних сервісів як «електронні комунікаційні послуги» або «інформаційні послуги», що впливає на тип та умови застосування процесуальних повноважень, які можуть бути застосовані до них.

Що стосується перехоплення інформації з хмарних сховищ державою, тут виникають специфічні проблеми. Наприклад, судовий наказ, наданий національному провайдеру послуг про перехоплення електронного спілкування між двома підозрюваними на його території або його громадянами, часто не може бути виконаний в режимі реального часу, оскільки сервер, на якому має відбутися перехоплення, знаходиться в іноземній юрисдикції або комунікація відбувається через іноземну юрисдикцію. Іноземні органи навряд чи дадуть відповідь на запит про надання взаємної правової допомоги в режимі реального часу, враховуючи тривалість процедур і вимоги до перехоплення даних в певній країні.

Українське законодавство на даний час є недосконалим і існує нагальна потреба в уточненні положень національного законодавства щодо надання згоди на обробку персональних даних особи і посилення відповідальності постачальників хмарних технологій за відповідні порушення.

Порушення права на повагу до приватного життя у розумінні статті 8 Конвенції

Конвенція про захист прав людини і основоположних свобод та Протоколи до неї є частиною національного законодавства України, як чинний міжнародний договір, згода на обов’язковість якого надана Верховною Радою України.

У статті 8 Конвенції зазначається наступне:

1. Кожен має право на повагу до свого приватного і сімейного життя, до свого житла і кореспонденції.
2. Органи державної влади не можуть втручатись у здійснення цього права, за винятком випадків, коли втручання здійснюється згідно із законом і є необхідним у демократичному суспільстві в інтересах національної та громадської безпеки чи економічного добробуту країни, для запобігання заворушенням чи злочинам, для захисту здоров’я чи моралі або для захисту прав і свобод інших осіб.

Очевидно, що захист і зберігання в хмарних мережах даних особистого характеру потрапляє у сферу дії статті 8 Конвенції і захищається нормами міжнародного права.

Європейський Суд з прав людини здійснює свою юрисдикцію щодо подібних порушень тільки в такому випадку, коли буде можливість встановити, що передбачуване порушення будь-яким чином стосується Високих Договірних Сторін Конвенції або передбачуване порушення відбувалося в межах юрисдикції однієї з цих Держав.

Стаття 8 Конвенції захищає особисту інформацію, яка на законних підставах не може бути опублікована без особистої згоди особи, наприклад, домашню адресу. Публікація інформації про особу, зі згадуванням повного ім’я людини, також становить втручання в право на повагу особистого життя. Використання імені особи без її згоди може в деяких випадках вважатися втручанням в особисте життя людини, коли ім’я, наприклад, згадується в контексті, який дозволяє легко ідентифікувати особу (Болен проти Німеччини, №53495/09, § 45 19 лютого 2015 року).

Приватне життя включає таємницю передачі інформації, що охоплює безпеку і секретність поштової, телефонної, електронної та інших форм передачі інформації; і інформаційну таємницю, яка включає таємницю доступу до Інтернету.

Концепція приватного життя, крім того, включає елементи, що стосуються права особи на своє зображення, тобто фотографії або відеокліпи, які містять зображення особи. Фактично, право на захист особистих зображень включає в себе право особи контролювати використання свого зображення, у тому числі право відмовитись від публікації. Це має значення при зберіганні фотографій на громадських чи соціальних сайтах в Інтернеті.