Πώς η Microsoft προστατεύει τα δεδομένα των χρηστών των cloud υπηρεσιών της
Του Δημήτρη Μαλλά
Η πραγματικότητα, όμως, είναι ότι πιθανότατα τα δεδομένα τους είναι πιο ασφαλή αποθηκευμένα σε μία cloud υπηρεσία που προσφέρει μία μεγάλη εταιρεία του κλάδου των ψηφιακών τεχνολογιών, παρά όταν είναι αποθηκευμένα τοπικά στον υπολογιστή τους.
Ένα τέτοιο παράδειγμα είναι η Microsoft, οι υπηρεσίες cloud της οποίας τηρούν από τα υψηλότερα δυνατά πρότυπα ασφαλείας για τα δεδομένα που αποθηκεύουν οι χρήστες τους, όπως εξηγεί η Αντιγόνη Παπανικολάου, διευθύντρια νομικών και εταιρικών υποθέσεων της Microsoft Ελλάδος, Κύπρου & Μάλτας, η οποία σπεύδει να προσθέσει ότι στόχος του αμερικανικού κολοσσού είναι να κερδίσει την εμπιστοσύνη των χρηστών στις υπηρεσίες της cloud.
«Χαρακτηριστικό της έμφασης που δίνουμε στο χώρο της ασφάλειας των δεδομένων των χρηστών μας είναι ότι πρακτικά διαθέτουμε μία πολύ ευρεία γκάμα πιστοποιήσεων, και ειδικά αναφορικά με τις υπηρεσίες Azure αυτήν τη στιγμή, ίσως, τη μεγαλύτερη από κάθε άλλο πάροχο υπηρεσιών cloud. Μάλιστα, ήμασταν η πρώτη μεγάλη εταιρεία πάροχος υπηρεσιών cloud που πιστοποιήθηκε με το ISO 27018, το οποίο είναι το πρώτο διεθνές πρότυπο που αφορά στην προστασία των δεδομένων στο cloud» τονίζει η κ. Παπανικολάου. Παράλληλα επισημαίνει πως η Microsoft έχει δημιουργήσει τη δική της ομάδα για την αντιμετώπιση του κυβερνοεγκλήματος (Digital Crime Unit), ενώ, μάλιστα, από το 2003 υλοποιεί ένα πρόγραμμα, το λεγόμενο Πρόγραμμα Ασφάλειας των Κυβερνήσεων (Government Security Program), στο οποίο μπορεί να συμμετάσχει δωρεάν κάποιο κράτος και να λαμβάνει ενημερώσεις για την ενίσχυση της κυβερνοασφάλειάς του. «Στόχος μας είναι και η όσον το δυνατόν πιο ασφαλής χρήση του Διαδικτύου» σημειώνει το στέλεχος της Microsoft Ελλάς.
Σύμφωνα με την κ. Παπανικολάου, η Microsoft επιδιώκει να προστατεύει με κάθε τρόπο τα δεδομένα των πελατών της. «Στους όρους χρήσης των υπηρεσιών cloud αναφέρεται ρητά ότι τα δεδομένα των εταιρικών πελάτων της χρησιμοποιούνται αποκλειστικά και μόνο για την παροχή των υπηρεσιών αυτών σε εκείνους. Μόνο ο πελάτης στον οποίο ανήκουν τα δεδομένα, είναι υπεύθυνος για τη χρήση και επεξεργασία τους σύμφωνα με το νόμο, ειδικά όσων έχουν προσωπικό χαρακτήρα, και μόνο εκείνος μπορεί να επιτρέψει πρόσβαση στα δεδομένα αυτά, σε τρίτους» τονίζει η κ. Παπανικολάου. Επιπλέον, η Microsoft σπεύδει να ενημερώσει τους εταιρικούς πελάτες υπηρεσιών cloud για τον τόπο που είναι αποθηκευμένα τα δεδομένα τους. «Για τους Ευρωπαίους πελάτες, τα δεδομένα αποθηκεύονται στα data centers που έχουμε στην Ιρλανδία και την Ολλανδία» σημειώνει η κ. Παπανικολάου. «Για να εισέλθει κανείς σ’ αυτά τα data centers χρειάζεται ειδική εξουσιοδότηση ενώ υπάρχει πολύ αυστηρό πρωτόκολλο τόσο για τη φυσική όσο και για την εικονική πρόσβαση σ’ αυτά που στηρίζεται βάσει του ρόλου του υπαλλήλου της εταιρείας και κατά πόσο είναι απαραίτητη αυτήν για την εκτέλεση των καθηκόντων του ενώ κανένας, ούτε υψηλά ιστάμενος της εταιρείας, που ο ρόλος του δεν το απαιτεί δεν έχει ελεύθερη πρόσβαση στα data centers».
Διαγραφή μετά από 180 ημέρες
Ένα μεγάλο ερώτημα που έχουν αρκετοί πελάτες είναι τι συμβαίνει στην περίπτωση που αποφασίσουν να αλλάξουν πάροχο υπηρεσιών cloud. «Τα δεδομένα των εταιρικών πελάτων διατηρούνται κατ’ αρχάς για 90 ημέρες από τη στιγμή που θα διακοπεί η συνεργασία με οποιονδήποτε τρόπο, ώστε ο πελάτης να μπορεί να εξαγάγει τα δεδομένα. Μετά από αυτό το χρονικό διάστημα διατήρησης των 90 ημερών, η Microsoft απενεργοποιεί τον λογαριασμό του εν λόγω πελάτη και διαγράφει τα δεδομένα του, συμπεριλαμβανομένων τυχόν προσωρινής αποθήκευσης ή αντίγραφα ασφαλείας, εντός 90 ημερών από τη λήξη της περιόδου διατήρησης.» τονίζει η κ. Παπανικολάου.
Σύμφωνα με το στέλεχος της Microsoft Ελλάδος, η αμερικανική εταιρεία προσπαθεί να είναι σε διαρκή επικοινωνία με τους πελάτες της προκειμένου να τους ενημερώνει για οτιδήποτε γίνεται και έχει σχέση με τα δεδομένα τους και τον τρόπο που αυτά χρησιμοποιούνται. «Το τελευταίο καιρό υπάρχει ένας ολοένα αυξανόμενος προβληματισμός στον κόσμο σχετικά με την ενδεχόμενη πρόσβαση τρίτων συμπεριλαμβανομένων των κρατικών αρχών στα δεδομένα που διατηρούν στον ψηφιακό περιβάλλον. Σ’ αυτό η Microsoft έχει μία πολύ ξεκάθαρη θέση».
Τι συμβαίνει, όμως, όταν υπάρχουν αιτήματα από τις κρατικές αρχές; «Όταν θα λάβουμε κάποιο αίτημα από κρατική αρχή για να της δώσουμε πρόσβαση στα δεδομένα ενός εταιρικού πελάτη, την ενημερώνουμε ότι θα πρέπει να έρθει σε επαφή με τον εν λόγω πελάτη για της τα δώσει. Επίσης, εξετάζουμε κάθε φορά πόσο νόμιμο είναι το αίτημα που μας έχει υποβληθεί και γενικότερα προσπαθούμε να είμαστε σε επικοινωνία με τον πελάτη» επισημαίνει η κ. Παπανικολάου. «Αν το αίτημα δεν είναι νόμιμο, αρνούμαστε να το ικανοποιήσουμε και αυτό το έχει αποδείξει εμπράκτως η Microsoft, μεταξύ άλλων, και με τη δικαστική διαμάχη που έχει ξεκινήσει στις ΗΠΑ αναφορικά με την απόρριψη από πλευράς της αιτήματος των αμερικανικών αρχών να δώσει, στα πλαίσια διερεύνησης ποινικού αδικήματος, περιεχόμενο hotmail λογαριασμού το οποίο, όμως, ήταν αποθηκευμένο στο κέντρο δεδομένων στην Ιρλανδία. Στο δεύτερο βαθμό, η Microsoft κέρδισε την υπόθεση καθώς τα Αμερικανικά δικαστήρια έκριναν ότι οι αμερικανικές αρχές δεν μπορούν να υποχρεώσουν τη Microsoft να δώσει δεδομένα πελατών της τα οποία είναι αποθηκευμένα αποκλειστικά εκτός ΗΠΑ». Συνέχισε, επίσης, υπογραμμίζοντας ότι «γενικότερα έχουμε λάβει ενέργειες και κάνουμε διαθέσιμες μέσω ενός δημόσιου ιστότοπου, του Microsoft Trust Center, στους πελάτες μας όσο το δυνατόν περισσότερες πληροφορίες ενδεικτικά σε θέματα ασφάλειας, προστασίας δεδομένων, πιστοποιήσεων για να μπορούν να αξιολογήσουν και οι ίδιοι πώς μπορούν να εκπληρώσουν τις όποιες κανονιστικές υποχρεώσεις τους προάγοντας με τον τρόπο αυτόν τη διαφάνεια στη σχέση μας με τους πελάτες.
Σύμφωνα με την κ. Παπανικολάου, στην Ελλάδα οι περιπτώσεις που έχουν ζητηθεί δεδομένα χρηστών online υπηρεσιών της Microsoft αφορούν καταναλωτικά προϊόντα όπως hotmail.com και outlook.com και είναι σχετικά λίγες ενώ αφορούν αποκλειστικά διερεύνηση ποινικών αδικημάτων βάσει νόμιμων αιτημάτων των διωκτικών αρχών, ενώ περισσότερες πληροφορίες για τα αιτήματα των ελληνικών αρχών κάποιος μπορεί να βρει εάν επισκεφθεί τον εξής σύνδεσμο. «Το μόνο που έχουμε δώσει και αυτό μετά από δικαστική εντολή είναι ίχνη των κινήσεων των χρηστών και όχι περιεχόμενο» τονίζει.
Απαραίτητο το νέο πλαίσιο
Το θέμα της προστασίας και ασφάλειας των προσωπικών δεδομένων στο Διαδίκτυο είναι βέβαια ένα θέμα που απασχολεί άπαντες όσους ασχολούνται με τις ψηφιακές τεχνολογίες.
«Τα δεδομένα στον ψηφιακό κόσμο θα πρέπει να τυγχάνουν της ίδιας προστασίας με εκείνη στο φυσικό κόσμο» τονίζει η κ. Παπανικολάου. «Δεν είναι λίγες οι φορές που η Microsoft προτίμησε να ακολουθήσει τη δικαστική οδό για να προστατέψει τα προσωπικά δεδομένα πελατών της. Δεν μπορεί να αποκλεισθεί ότι υπήρξαν και θα υπάρξουν περιπτώσεις όπου οι ψηφιακές τεχνολογίες χρησιμοποιήθηκαν ή θα χρησιμοποιηθούν για εγκληματικές ενέργειες και αυτό είναι κάτι που δεν μπορούμε να παραβλέψουμε. Γι’ αυτό είναι αναγκαίο να υπάρξει εκσυγχρονισμός του νομοθετικού πλαισίου σε παγκόσμιο επίπεδο και να γίνει μία κοινή προσέγγιση απ’ όλους τους εμπλεκόμενους φορείς» σημειώνει η διευθύντρια νομικών και εταιρικών υποθέσεων της Microsoft Ελλάδος, Κύπρου & Μάλτας.