Chmura obliczeniowa powoli staje się faktem dla wielu branż. W przypadku podmiotów z branży bankowej i ubezpieczeniowej powierzenie przetwarzania informacji w chmurze publicznej lub hybrydowej musi być zgodne z nowymi wytycznymi Komisji Nadzoru Finansowego (KNF) opublikowanymi w dniu 23 stycznia 2020 r.
Stosowanie algorytmów szyfrujących informacje ma zapewnić wysoki poziom ich bezpieczeństwa przed ujawnieniem. Komisja rozróżnia dwa rodzaje szyfrowania, tj. szyfrowanie „ad rest” dotyczące danych przechowywanych w chmurze, w szczególności np. kopii zapasowych czy zawartości bazy danych oraz szyfrowanie „in transit”, dotyczące szyfrowania danych w trakcie ich przesyłania do/z chmury obliczeniowej.
W ocenie KNF „informacje przetwarzane w chmurze obliczeniowej powinny być szyfrowane zawsze, gdy to jest technologicznie możliwe i – w ocenie podmiotu nadzorowanego – ekonomicznie zasadne.” To wskazuje, że szyfrowanie danych w chmurze powinno być zasadą – zarówno tych przesyłanych do oraz z chmury, jak i gromadzonych w chmurze. Brak szyfrowania musi być uzasadniony przyczynami technologicznymi i ekonomicznymi – a co istotne, obie przyczyny muszą zachodzić jednocześnie.
Komisja podkreśla także, że właściwe zarządzanie kluczami szyfrującymi zapobiega ujawnieniu informacji, a powierzenie takiego zarządzania dostawcy usług, w tym dostawcy usług chmury obliczeniowej, jest wprawdzie dopuszczalne ale wymaga to od podmiotu nadzorowanego uwzględnienia w procesie szacowania ryzyka możliwość utraty dostępu do kluczy szyfrujących. Jeżeli więc takie ryzyko nie zostanie uwzględnione, podmiot nadzorowany musi samodzielnie zarządzać kluczami szyfrującymi. Co więcej, ujawnienie informacji według Komisji, to m. in. sytuacja podczas której informacje są przetwarzane w chmurze obliczeniowej w sposób zaszyfrowany „at rest” lub „in transit”, ale dostęp do kluczy szyfrujących i szyfrowanej tymi kluczami informacji posiada albo może posiadać dostawca usług chmury obliczeniowej lub jego poddostawca w łańcuchu outsourcingowym.
Proces szyfrowania musi być zgodny z wytycznymi Komisji w zakresie kryptografii.
Z oczywistych także względów Komisja zaleca stosowanie algorytmów szyfrowania, które nie są uznane za skompromitowane, a więc takie które nie zapewniają bezpieczeństwa. Wybierając konkretne oprogramowanie szyfrujące podmiot nadzorowany opierać się może na publicznie dostępnych informacjach. Komisja nie wymaga zastosowania szczególnych środków lub procedur mających na celu wybór oprogramowania i wskazuje że przykładowo wiedzę taką możemy czerpać z opracowań merytorycznych czy też raportów jednostek zajmujących się cyberbezpieczeństwa lub kryptografią.
Szyfrowanie informacji w chmurze nie jest czymś nowym dla Komisji, gdyż także poprzednio obowiązujące wytyczne Komisji z 23 października 2017 r. zawierały wymóg by podmiot nadzorowany i dostawca w ramach swoich zakresów kompetencji zapewniali „szyfrowanie i ochronę integralności transmitowanych i przechowywanych danych za pomocą nieskompromitowanych metod”. Aktualnie Komisja jednak poszła o krok dalej i szczegółowo uregulowała kwestie związane z procesem szyfrowania. W konkluzji każdy podmiot nadzorowany powinien uwzględnić na etapie szacowania ryzyka powierzenia przetwarzania danych w chmurze aspekt szyfrowania, co powinno znaleźć odzwierciedlenie w posiadanej dokumentacji, a także zapewnić sobie odpowiednie narzędzia do szyfrowania.
