Spis treści
Chmura obliczeniowa zapewnia tysiącom nowoczesnych przedsiębiorstw w Polsce wygodę i przewagę rynkową. Jednak z każdą kolejną falą urzędowych kontroli powracają jak bumerang pytania o to, jak używać chmury legalnie i bezpiecznie.
Czym jest chmura publiczna?
Chmura publiczna to usługa przetwarzania danych na zewnętrznych serwerach, z których korzysta równocześnie wiele podmiotów. Najpopularniejszymi dostawcami usług chmurowych są m.in. Google, Microsoft, Dropbox czy Amazon.
Jeśli jeszcze nie używasz żadnej technologii Cloud Computing w swojej firmie, to przeczytaj więcej na ten temat na naszym blogu:
- Google Workspace vs. Microsoft 365 – którą usługę wybrać?
- Dysk Google – jak przechowywać firmowe dokumenty i pliki
- Dropbox for Gmail – jak zintegrować Dropbox z Google Workspace?
Jedną z usług, które zapewniają zarówno chmurową przestrzeń na dane, jak i cały zestaw aplikacji webowych do ich przetwarzania, jest Google Workspace.
Google Workspace w świetle przepisów
Temat zgodności Google Workspace z obowiązującymi przepisami podejmujemy ze względu na to, że jako oficjalny partner Google często dostajemy pytania związane z tym zagadnieniem. Na co dzień wdrażamy ten uniwersalny pakiet biurowych aplikacji w przedsiębiorstwach z wielu branż – także tych, których dotyczą szczególne obostrzenia w zakresie ochrony przetwarzanych informacji. Dzięki temu wiemy, jakie działania podejmują m.in. instytucje finansowe, edukacyjne czy portale medyczne, aby zapewnić bezpieczeństwo danych swoich pracowników i klientów w Google Workspace.
Chcesz wziąć udział w dyskusji społeczności entuzjastów chmurowych narzędzi Google? Dołącz do największej polskiej grupy na Facebooku poświęconej Google Workspace.
Na początek rozwiejemy podstawowe wątpliwości: nie ma żadnych prawnych przeciwwskazań do wykorzystywania Google Workspace w biznesie. W świetle RODO firma korzystająca z usługi chmurowej jest administratorem danych osobowych, a dostawca chmury obliczeniowej jest podmiotem przetwarzającym dane. Google zapewnia swoim klientom narzędzia do prewencji zagrożeń i posiada międzynarodowe certyfikaty bezpieczeństwa.
Przypominamy jednak, że obowiązkiem administratora danych jest każdorazowa ocena czy środki techniczne i organizacyjne podejmowane przez podmiot przetwarzający w związku z przetwarzaniem danych są wystarczające i adekwatne do sposobu i rodzaju przetwarzanych danych osobowych.
Co zatem sprawia, że procesy przetwarzania danych w firmie mogą wymknąć się spod kontroli?
Granice między tym, co dozwolone a tym, co wchodzi w niebezpieczne rejony, są definiowane przez wiele europejskich, lokalnych oraz specjalistycznych regulacji prawnych. Dlatego warto znać podstawowe czynniki ryzyka:
- Źle skonstruowana umowa między dostawcą usług chmurowych a administratorem danych,
- Niepoprawna konfiguracja usługi,
- Błąd użytkownika,
- Atak hakerski, szkodliwe oprogramowanie.
Błąd, atak, kradzież czy wypadek losowy może być powodem wycieku danych zarówno w prywatnej, jak i w publicznej infrastrukturze, dlatego należy wykorzystywać wszystkie dostępne środki prewencyjne.
Jak zachować kontrolę nad danymi w chmurze?
Najwięcej wątpliwości wśród przedsiębiorców, którzy rozważają outsourcing do chmury obliczeniowej, budzi pozorny brak kontroli. Niewystarczająca ilość informacji na temat operacji, które mają miejsce w chmurze to ogromne ryzyko szczególnie dla firm z branży medycznej czy finansowej.
Firmy, które mają specjalistyczne potrzeby kontroli cyfrowego przetwarzania wrażliwych danych, już na etapie negocjacji warunków z dostawcą powinny przykuć szczególną uwagę do postanowień umowy zawieranej z dostawcą. Wybór dostawcy powinien być poprzedzony szczegółową analizą wymagań prawnych obowiązujących administratora danych oraz przeprowadzeniem oceny, czy wybrana usługa im sprosta. Należy przy tym zwrócić uwagę m.in. na :
- Lokalizację serwerów, czyli regiony przetwarzania danych,
- Regulacje kwestii udostępniania danych podwykonawcom dostawcy usług chmurowych,
- Procedury skutecznego usuwania danych,
- Możliwość odzyskiwania i archiwizacji danych.
Kwestie bezpieczeństwa cyfrowego przetwarzania danych, które poruszymy w umowie to jednak dopiero początek. Konieczne jest też podjęcie odpowiednich działań po stronie dostawcy usługi i administratora danych.
Prewencja zagrożeń w Google
Ochrona danych użytkowników to rdzeń projektu usług Google dla biznesu i podstawowa wartość, której zapewnienie Google deklaruje.
Kultura bezpieczeństwa w Google
Do zachowania bezpieczeństwa danych w chmurze konieczna jest kontrola procesów zachodzących wewnątrz organizacji, która te dane przetwarza. Jak Google dba o swoje wewnętrzne bezpieczeństwo? Oto kilka elementów ich strategii:
- Dokładne sprawdzanie przeszłości pracowników,
- Regularne treningi bezpieczeństwa dla pracowników,
- Zespół specjalistów do spraw bezpieczeństwa i prywatności,
- Wewnętrzne audyty bezpieczeństwa i zgodności z przepisami,
- Ścisła współpraca ze środowiskiem badaczy cyfrowych zagrożeń.
Ochrona przed szkodliwym oprogramowaniem
Google wykorzystuje wiele różnych silników antywirusowych do wykrywania identyfikowania i neutralizowania zagrożeń w Gmailu, na Dysku Google, a także w swoich serwerowniach oraz na stacjach roboczych.
Szyfrowanie danych
Dane klientów Google Workspace są zaszyfrowane zarówno w spoczynku, jak i podczas przesyłania. Najnowsze rozwiązania kryptograficzne chronią pliki, wiadomości e-mail, historię konwersacji na czacie i inne dane związane z naszą aktywnością w aplikacjach.
Dostępność usługi
Jednym z zagrożeń korzystania z zewnętrznych serwerów jest ryzyko awarii i niedostępności danych. Nawet krótkie przerwy w dostępie do usługi chmurowej mogą znacznie zaburzyć pracę przedsiębiorstwa, dlatego warto zaufać dostawcom z dużym doświadczeniem w tej materii.
Gmail w ostatnich latach odnotowuje dostępność na poziomie 99.984%. Czynności konserwacyjne, aktualizacje i zmiany wprowadzane w Google zaplanowane są w taki sposób, aby nie odbijały się negatywnie na doświadczeniach użytkowników.
Zewnętrzne certyfikaty bezpieczeństwa
Użytkownicy Google Workspace nie są jednak zdani tylko na deklaracje Google, którym można ufać, lub nie. Bezpieczeństwo, prywatność i zgodność z przepisami tej usługi potwierdzają prestiżowe certyfikaty wydane przez niezależnych biegłych rewidentów.
ISO 27001
ISO 27001 to jeden z najbardziej rozpoznawalnych standardów bezpieczeństwa. Google zdobyło go za systemy, technologie, procesy oraz centra danych, które obsługują Google Workspace.
ISO 27017
ISO 27017 to międzynarodowy standard bezpieczeństwa informacji w usługach chmurowych.
ISO 27018
ISO 27018 to międzynarodowy potwierdzenie zapewnienia ochrony danych, które mogą posłużyć do identyfikacji osobistej.
SOC 2, SOC 3 oraz FedRAMP
Poza międzynarodowymi certyfikatami, Google pomyślnie przeszło też kontrole i audyty bezpieczeństwa amerykańskich organów, które przygotowują raporty SOC (Service Organization Controls) oraz FedRAMP (Federal Risk and Authorization Management Program).
Opcje administracyjne, które wpływają na zgodność Google Workspace z obowiązującymi przepisami
Google po swojej stronie podejmuje wiele działań zapewniających ochronę danych, które przetwarza w imieniu swoich klientów. To jednak firmy korzystające z chmury pozostają administratorami danych i ponoszą za nie odpowiedzialność. Dlatego Google wyposażyło osoby zarządzające instancją Google Workspace w szereg narzędzi, które pomogą dostosować poziom ochrony do indywidualnych potrzeb firmy.
Autoryzacja użytkowników
Dane firmy przechowywane w chmurze są dostępne na dowolnym urządzeniu, na które zaloguje się pracownik. Dlatego administratorzy Google Workspace powinni zwrócić szczególną uwagę na proces autoryzacji dostępu do kont. Narzędzia, które to ułatwiają, to m.in.:
- Weryfikacja dwustopniowa – admin może wymusić udział dodatkowego elementu podczas logowania, który zabezpiecza konto przed przechwyceniem.
- Klucze bezpieczeństwa – urządzenia U2F to zaawansowany wariant weryfikacji dwustopniowej, w którym użytkownik musi mieć fizyczny klucz, aby móc się zalogować.
- Logowanie jednokrotne oparte na SAML 2.0 – Logowanie jednokrotne (Single Sign-On) to usługa, która pozwala uzyskiwać dostęp do wielu aplikacji przy pomocy konta Google.
- Protokoły OAuth 2.0 i OpenID Connect umożliwiają konfigurację logowania jednokrotnego w wielu różnych rozwiązaniach chmurowych.
Zarządzanie danymi
- Zabezpieczenia IRM (Information Rights Management) – pozwalają administratorom zablokować opcje kopiowania, drukowania i pobierania dowolnego pliku na Dysku Google.
- Dziennik kontrolny Dysku Google – monitorowanie aktywności użytkowników w domenie. Pozwala administratorom sprawdzić logi zmian wprowadzanych w plikach przechowywanych na służbowych kontach Google.
- Spersonalizowane alerty bezpieczeństwa dadzą administratorom znać zawsze, gdy ktoś wykona podejrzaną aktywność na Dysku Google. Przykładowo, alert może poinformować admina, jeśli plik ze słowem “poufne” w tytule zostanie udostępniony poza domeną.
- Zaufane domeny – administratorzy mogą stworzyć “białą listę” domen, które nie będą objęte utrudnieniami związanymi z zewnętrznym udostępnianiem plików.
Bezpieczeństwo cyfrowej korespondencji
- Dodatkowe szyfrowanie – admin Google Workspace może wymusić na mailach kierowanych do lub z konkretnej domeny szyfrowanie przy pomocy protokołu TLS (transport layer security).
- Ochrona przed phishingiem – oszuści mailowi usiłują czasami podszyć się pod zaufane domeny, aby wyłudzić wrażliwe informacje. Gmail w Googlea Workspace wspiera zaawansowaną weryfikację nadawców dzięki rekordom DMARC i SPF oraz kluczom DKIM.
- Data Loss Prevention w Gmailu – System DLP w Gmailu skanuje przychodzący i wychodzący ruch w poczcie pod kątem obecności wrażliwych treści.
- Reguły obsługi kontrowersyjnych treści – administrator Google Workspace może skonfigurować reguły, które będą automatycznie odrzucać, umieszczać w kwarantannie lub cofać do modyfikacji wiadomości zawierające określone słowa.
- Ograniczanie wymiany wiadomości – admin może autoryzować wybrane domeny do wysyłania i odbierania wiadomości.
Archiwizacja na wypadek postępowania dowodowego
Google Workspace w wariancie Business Plus oraz Enterprise daje firmom narzędzie pomocne w przypadku postępowania eDiscovery. Google Vault to usługa archiwizacji, przechowywania, wyszukiwania i eksportu danych z innych aplikacji Google.
- Reguły przechowywania archiwum poczty – administrator może ustawić dowolne reguły przechowywania wiadomości email w całej domenie. Takie wiadomości pozostaną w archiwum, nawet gdy użytkownik usunie je ze swojej skrzynki.
- Przeszukiwanie Dysku i Gmaila w domenie – przy pomocy Google Vault administrator może przeszukać całą domenę Google Workspace, w tym zawartość służbowej korespondencji.
- Eksport materiału dowodowego – Google Vault pomaga zebrać i wyeksportować materiał dowodowy w postaci plików, wiadomości email czy historii czatu, które firma chce przekazać organom ścigania.
Bezpieczeństwo punktów końcowych
- Zarządzanie urządzeniami mobilnymi – każde urządzenie, które ma dostęp do danych firmy, jest przypisane w konsoli administracyjnej. Dzięki temu admin może szybko zareagować na kradzież urządzenia lub podejrzaną aktywność.
- Bezpieczeństwo przeglądania sieci z Chrome – administrator może ustawić zasady dotyczące logowania użytkowników do przeglądarek.
- Zarządzanie urządzeniami opartymi na Chrome OS – laptopy czy sprzęt wideokonferencyjny z systemem operacyjnym Chrome i licencjami Chrome Enterprise podlegają pełnej kontroli administratora Google Workspace.
Odzyskiwanie danych
- Przywracanie usuniętego konta Google – administrator może przywrócić konto dowolnego użytkownika Google Workspace w ciągu 5 dni od jego usunięcia.
- Odzyskiwanie danych z Dysku Google oraz Gmaila – korespondencja z Gmaila i pliki przechowywane na dysku Google mogą zostać odzyskane przez administratora przez 25 dni od momentu, gdy użytkownik usunął je ze swojego konta.
Centrum bezpieczeństwa
Administratorzy Google Workspace w pakiecie Enterprise mają też dostęp do uniwersalnego narzędzia do ochrony i analityki zagrożeń. Centrum bezpieczeństwa pozwala m.in.:
- Generować raporty bezpieczeństwa, które pokazują obecną konfigurację i wskazują metody dostosowania zabezpieczeń do najlepszych praktyk rekomendowanych przez Google.
- Identyfikować i grupować problemy związane z bezpieczeństwem oraz prywatnością w swojej domenie.
- Monitorować nietypowe wydarzenia w przejrzystym Dashboardzie.
Chcesz zobaczyć konsolę administracyjną Google Workspace od środka i poznać najlepsze metody konfiguracji ustawień? Sprawdź nagranie z webinaru – Konsola administracyjna od podstaw.
Podsumowanie
Każde przedsiębiorstwo ma inne wymagania wobec usług przetwarzających dane klientów, pracowników i kontrahentów. Wszystko zależy od tego, na jakim obszarze operuje i jakie regulacje prawne je obowiązują. Choć Google dokłada wszelkich starań, by centra przetwarzania danych funkcjonowały bez zarzutu, to największy wpływ na bezpieczeństwo mają administratorzy systemu Google Workspace.
Google Workspace ma kilka wariantów warianty, a każdy z nich daje administratorom inny poziom kontroli nad bezpieczeństwem domeny. Czym różnią się opcje ochrony w poszczególnych pakietach? Pełne porównanie wszystkich usług znajedziesz na tej stronie.
Dlatego tak istotna jest analiza regulacji prawnych i ocena ryzyka przed wyborem odpowiedniej usługi chmurowej. Przykładowo, jeśli Twoja firma jest do przetrzymywania danych w archiwum przez określony czas na wypadek kontroli, to polecamy Google Workspace w wariancie Business Plus. Jeśli natomiast potrzebujesz zaawansowanego monitoringu podejrzanych aktywności i masz w zespole doświadczonych administratorów systemów, to możesz poznać pełny potencjał chmury z pakietem Enterprise.