.
sigma.cloud
مقالات رایانش ابری

چالش های استفاده از رایانش ابری از منظر حقوقی

چالش های استفاده از رایانش ابری از منظر حقوقی  در این بخش مواردی مطرح خواهد شد که می تواند از منظر حقوقی برای فراهم کنندگان ، ارائه دهندگان و یا کاربران و مشتریان رایانش ابری چالش ایجاد نماید .

چالش های استفاده از رایانش ابری از منظر حقوقی

چند کاربری و اشتراک منابع

 از مشخصه های اصلی سرویس های رایانش ابری چندکاربری و اشتراک منابع بین کاربران و مشتریان مختلف می باشد . به این مفهوم که در ذخیره داده ها و همچنین انجام پردازش بر روی داده ها داده کاربران مختلف از مشتریان مختلف ممکن است در کنار هم قرار بگیرد . برای مثال در صورتیکه هیچ گونه جداسازی انجام نشده باشد ممکن است داده یک فروشگاه چند شعبه ای در کنار یک سازمان مهم دولتی قرار بگیرد . اگر چه سازوکارهای فنی زیادی برای جلوگیری از نشت داده های یک کاربر به کاربر دیگر انجام می شود اما تجربه نشان داده که حتی برای فراهم کنندگان معتبر بین المللی ممکن است به دلایل مختلف از جمله ایراد فنی ، خطای انسانی ، حملات خرابکارانه و سایر موارد مشابه اتفاق ذکر شده روی دهد . 
لذا ضوابط سخت گیرانه باید وضع شود تا فراهم کنندگان وادار شوند که فناوری ها و سازوکارهای لازم را برای کاهش خطرات مربوط به اشتراک گذاری و ریسک لحاظ کنند . همچنین حوزه های پاسخگویی و طرف پاسخگو باید در قانون ، مقررات و یا توافقات سطح سرویس مشخص شده باشد.

محل قرارگیری داده

 از دیگر موارد مهم محل قرار گرفتن داده ها و انجام پردازشها از لحاظ جغرافیایی می باشد . چرا که به علت ویژگیهای ذاتی رایانش ابری محل فیزیکی قرار گرفتن داده ها و انجام پردازش ها به صورت پیش فرض از مشتری پوشیده است ؛ لذا برای فراهم کنندگانی که به صورت بین المللی سرویس های رایانش ابری را ارائه می کنند ، با توجه به تفاوت های احتمالی قوانین در کشورها و نواحی مختلف جغرافیایی ممکن است چالش های حقوقی در این حوزه به وجود آید . در صورتیکه اطلاعات در داخل کشور ذخیره و پردازش شود ، مسئله محل قرارگیری داده ها چالشی ایجاد نخواهد کرد . اما باید قوانین و مقرراتی وجود داشته باشد که طرفهای سوم و پیمانکاران درگیر که بخشی از داده های مشتری یا سایر داده ها همچون اطلاعات تصديق هویت ، حسابرسی مشتریان ، گزارشات سیستم ، درگاه وب و موارد مشابه را در اختیار دارند ، این اطلاعات را به سرورهای خارج از کشور منتقل نکنند . چرا که ممکن است اطلاعات برخی از مشتریان به دلیل حساسیت های امنیتی و راهبردی قابل انتقال به خارج از کشور نباشد . 

حریم خصوصی و محافظت از داده ها 

یکی از موارد مهمی که معمولا همراه با مباحث مربوط به مخاطرات و خطرهای محافظت از ذخیره و انتقال داده مطرح می شود ، مقررات و قوانین میباشد . هنگامی که داده ای از حمایت های قانونی بهره مند می شود ، در حوزه ی خاصی مانند رایانش ابری ( چه خصوصی ، عمومی یا ترکیبی از آنها نیز باید با رعایت ضوابط مربوطه با آنها رفتار شود که از جمله ی آنها تأیید صلاحیت اشخاصی است که دادههای مشمول حمایت را در اختیار دارند و در این میان ارائه دهندگان خدمات از سنگین ترین مسئولیت ها برخوردارند . 
نقض حریم خصوصی اغلب در خارج از رایانش ابری نیز ممکن است برای هر سیستمی ( مبتنی بر ابر یا سنتی ) در ذخیره سازی ، پردازش و یا انتقال اطلاعات شخصی ( حساس ) اتفاق بیفتد . برای مثال در سال ۲۰۱۰ برخی اطلاعات شخصی روی سرویسهای مبتنی بر ابر مانند twitter facebook  و google  افشا شد . 
نگرانی های حریم خصوصی در مدل ابر اساسأ مسئله جدیدی نیست . به عنوان یک کاربر برخوردار از مسئولیت های حقوقی ، کار با اطلاعات واجد وصف محرمانگی در هنگام استفاده از یک ابر تفاوتی با حالتهای قبل ندارد . همان طور که شما داده های شخصی یا طبقه بندی شده را روی سروری که کنترل کافی بر آن ندارید قرار نمی دهید ، بدون بررسی اینکه یک فراهم کننده ابر محافظت کافی از داده های شما در انتقال یا پردازش - دارد یا نه با او کار نخواهید کرد .
 همان گونه که اطلاعات شخصی موضوع قوانین حریم خصوصی می باشند ، اسرار تجاری و اطلاعات طبقه بندی شدهی عمومی نیز موضوع قوانین و مقررات مربوطه قرار می گیرند . اطلاعات طبقه بندی که بخشی از آنها به امنیت ملی مربوط می شوند ، معمولا از قوانین و نظارتهای قوی و کافی حمایتی برخوردارند و تا پایین ترین سلسله مراتب اداری لازم الرعايه اند . همچنین از آنجایی که رایانش ابری فناوری نسبتا جدیدی است ، لازم است بررسی دقیقی برای امکان سنجی قرار دادن داده های طبقه بندی شده بر روی آن و تهدیدها و فرصتهای پیش رو به انجام رسد . ناحيه اصلی نگرانی های محتمل در مورد پردازش داده های طبقه بندی شده ، به آن بخش از کاربردهای دولتی در اب عمومی مربوط می شود که طبق قاعده ، سایرین ( فراهم کننده و سایر مشتریان ابر عمومی نباید به این داده ها و پردازش آنها دسترسی داشته باشند . به عبارت دیگر ، هنگامی که ما استفاده از ابر عمومی را ارزیابی می کنیم ، خطوط ارتباطی مجزا و مشخصی دستگاههای اجرایی عالی و تالی برقرار است . به چگونگی نظام سلسله مراتبی و گوناگونی و گسترهی دولت در مفهوم عام ( شامل همه ی قوا و ارکان حاکمیت و مفهوم خاص ( شامل قومی مجریه ) ، به نظر می رسد دولت باید مجموعه ای از ابرهای انجمنی را برای استفاده انحصاری خود ایجاد کند تا هم بتواند از مزایای رایانش ابری بهره ببرد و هم از مشکلات امنیتی احتمالی در یک ابر عمومی دوری کند . از طرف دیگر اگر دولت بخواهد از یک ابر استفاده کند ، سرویس ها باید به نحوی طراحی و تعریف شود که هم علاقه مندی و نیازهای عموم کاربران و هم ملاحظات دولت را پاسخگو باشد . همچنین یک کاربر یا مشتری باید بتواند کنترل کننده های امنیتی افزوده ای را برای تأمین نیازمندیهایش ایجاد کند . هرچند این نکته نیز باید در نظر گرفته شود که مجموعه تمهیدات امنیتی که کاربر می تواند لحاظ کند محدود خواهد بود و ممکن است نتواند بر شکافهای امنیتی ابر عمومی فائق آید .

شفافیت

 شفافیت یکی از موارد مهم کلیدی در پردازش مشروع و مناسب داده های مشتریان می باشد که طیف وسیعی از اقدامات و ملاحظات را در بر می گیرد ؛ بدین مفهوم چون بر خلاف سیستم های قدیمی داده مشتریان از محل فیزیکیشان خارج می شود و در سیستمی که در مکان دیگری قرار دارد و تحت کنترل فراهم کننده یا فراهم کنندگانی میباشد ذخیره و پردازش می شود ؛ لذا اتفاقاتی که پیرامون این داده می افتد ، از دید مشتری پوشیده است . مسائل بخش های قبلی نیز به نحوی از شفاف نبودن امور تأثیر پذیرند . از جمله این موارد عبارتند از : محل فیزیکی داده ها ، این که داده با کاربران دیگری در منابع و شریک است یا خیر ، چه آسیب هایی حریم خصوصی کاربران را تهدید می کند ؛ لذا شفاف نبودن فراهم کننده سرویس موجب افزایش مخاطرات استفاده از رایانش ابری برای مشتریان میشود و سطح اعتماد به این نوع سرویس را کاهش می دهد . بنابراین باید ضوابطی وضع شود که فراهم کننده را مکلف کنند در بخش های مختلف شفاف سازی را انجام دهد ؛ از جمله اعلام محل پردازش دادهها ، شرکتهای پیمانکار ، اشتراکی بودن منابع ، تهديدات بالقوه و ساز و کارهای امنیتی تعریف شده برای کاربران.

فرآیند حذف داده های شخصی 

داده های شخصی باید به نحوی نگهداری شود که هر گاه مهلت استفاده از آن به پایان رسد، به طریق مطمئنی امحا گردد. در صورتی که این داده ها برای انجام امور حقوقی (همچون ممیزی و محاسبه مالیات) باید نگهداری شوند، باید از دسترسی غیر مجاز در امان باشند، همان گونه که قوانین و مقررات مشابه بر اسناد و مکاتبات حقوقی ، اداری و تجاری حکم فرماست، در این حوزه نیز بید پاسخگویی فراهم کننده و کاربر به عنوان دو کنشگر اصلی رایانش ابری مشخص شود. معمولاً مسئولیت اصلی در این حوزه برای پاسخگویی به عهده فراهم کننده است که باید به کاربر یا مشتری خود اطمینان دهد داده ها به طور کامل پس پایان موعد مقرر حذف شده اند و هیچ نسخه ای از آنها نگهداری نمی شود .
 فرآیند حذف داده های شخصی صرف نظر از اینکه بر روی چه نوع ابزار ذخیره سازی قرار گرفته باشد ، باید انجام شود ؛ لذا از آنجا که ممکن است برای بالا بردن اطمینان از ماندگاری داده ها به طور همزمان بر روی چند سرور موازی ذخیره شوند ، باید اطمینان داد که تمام نسخ موجود به صورت برگشت ناپذیر حذف می شوند . 
مشتری سرویس ابر باید اطمینان حاصل کند که فراهم کننده سرویس عملیات حذف داده را با توجه به حساسیت های ذکر شده به انجام می رساند . بنابراین لازم است که این سطح از اطمینان پذیری و پاسخگویی فراهم کننده ضابطه مند و ضمانت اجراهایی برای تخطی از آنها پیش بینی شود . بدیهی است چنانچه فراهم کننده در این فرآیند پیمانکارانی را به خدمت می گیرد ، باید رعایت ضوابط مربوط را به آنها گوشزد کرده و آنها را پاسخگو نگاه دارد . 

از دست دادن داده ها

 بحث اصلی در انتقال منابع رایانشی به ابر ، حذف برخی مشکلات و سپرد نگرانی ها و دردسرهای پشتیبان گیری از سیستم و خرابی ها به دیگری است . اما حتی در شرایطی که فراهم کننده ابر از سیستم های موازی در مناطق جغرافیایی مختلف استفاده و توانایی خود در بازیابی از حوادث را ثابت کند و مدارک آزمایش های موفقیت آمیز خود را نشان دهد ، باز هم جای نگرانی وجود خواهد داشت . نمونه از دست رفتن کامل داده ها در اکتبر ۲۰۰۹ اتفاق افتاد ؛ زمانی که تعداد زیادی از کاربران T - Mobile Sidekick اطلاعات تماس های خود را که در ابر ارائه شده توسط Microsoft's Danger ذخیره شده بود از دست دادند . مورد دیگر در سپتامبر ۲۰۰۷ اتفاق افتاد که توسعه نرم افزار پایش جدید باعث شد برخی از ماشین های مجازی Amazon EC2 حذف شوند .
 لذا در این زمینه باید ضوابطی وجود داشته باشد تا فراهم کننده موظف باشد داده های کاربران خود را در هر شرایطی مصون از پاک شدنهای کلی و جزئی بدارد . این ضوابط می تواند در سطوح مختلف قانونی ، مقرراتی یا قراردادی پیش بینی شود . از جمله روش های قابل اتخاذ سنجش عملکرد فراهم کننده و اعمال ضمانت اجراهای مقرراتی و الزام وی به بیمه اطلاعات را می توان برشمرد محدود شدن به یک ارائه دهنده انحصار آفرینی در فناوری ) 
یکی از موارد نگرانی در رایانش ابری به ویژه در سرویس های تجاری ، محدود شدن به یک فراهم کننده است . برای مثال اگر شما از یک سرویس تأمین نرم افزار برای مدتی استفاده نمایید ممکن است نتوانید به راحتی و در موارد ضروری داده های خود را به برنامه های ابر مشابه یک ارائه کننده دیگر منتقل تأمین بستر یک فراهم کننده استفاده نمایید ممکن است نتوانید نرم افزارهای خود را به بستر فراهم کننده دیگری انتقال دهید . همچنین برای سرویس تأمین زیرساخت ممکن است نتوانید ماشین های مجازی خود را به زیرساخت ابر فراهم کننده جدید منتقل نمایید و بنابراین باید با فراهم کننده فعلی ادامه دهید که در این صورت با هزینه بیشتر و مشکلات ناشی از ساماندهی امور خود در ابر جدید روبرو خواهید شد . 
برخی از مؤسسات و اتحادیه ها برای حرکت به سمت سازگاری بین ابرهای فراهم کنندگان مختلف شکل گرفته است ، از جمله انجمن سازگاری رایانش ابری CCIF(Cloud Computing Interoperability Forum - http://www.cloudforum.org/) DMTF(Distributed Management Task Force - http://www.dmtf.org) ، اعلامیه ابر باز (Open Cloud Manifesto - http : //www.opencloud manifesto.org/ )و برخی موارد دیگر . امروزه فراهم کنندگان ابر با مشتریانی روبرو هستند که انتظار دارند خدمات آن با خدمات سایر فراهم کنندگان سازگاری داشته باشد ؛ لذا باید ضوابطی پیش بینی شود تا ملزم شود این گونه موارد را رعایت نماید .

 توقف فعالیت ارائه دهنده ابر

 از آنجایی که سرویس دهندگان رایانش ابری نسبتا در دنیای تجارت تازه وارد هستند ، سؤالات زیادی در مورد ادامه کار آنان و تعهداتشان وجود دارد . برای مثال در فوریه سال ۲۰۰۹ ، Coghead که یک فراهم کننده تأمین بستر بود به مشتریان خود اعلام کرد که نه هفته فرصت دارند تا مکان جدیدی برای نرم افزارهای خود بیابند و این شرکت به دلیل چالشهای تجاری قادر به ادامه کار نیست . حال فرض کنید شما به عنوان سازمانی که سیستم سنتی خود را برچیده اید و برای دستیابی به مزایای رایانش ابری به ابری مهاجرت کرده اید که توسط یک فراهم کننده تجاری با دولتی به شما ارائه شده است و پس از مدتی استفاده از ابر این فراهم کننده به ناگاه و به دلایل مختلف امکان ناپذیر می شود . در این صورت مشتری با مشکلات زیادی روبرو خواهد شد . پیدا کردن فراهم کننده جدید و عدم سازگاری نرم افزارها ، داده ها و یا ماشین های مجازی با فراهم کننده جدید از این دست مشکلات خواهد بود ؛ و البته این در صورتی است که فراهم کننده ای وجود داشته باشد . در غیر این صورت مشتری چاره ای جز برپاسازی و فراهم کردن سیستم رایانش سنتی خود نیست که ممکن است هیچ اثری از آن باقی نمانده باشد .

بازیابی از آسیب ها و ادامه فعالیت

 کاربران باید مطمئن شوند در صورتیکه محیط کاری فراهم کننده با حادثه ای از قبیل آسیب های ناشی از بلایای طبیعی ، جنگ و قطع انرژی روبرو شود ، عملیات و سرویس های آنها ادامه خواهد یافت . معمولا فراهم کنندگان این مهم را با قرار دادن سرورها و زیرساخت هایشان در چندین محل تأمین می کنند که از لحاظ شرایط اقلیمی متفاوت هستند . البته در سیستم های سنتی و غیر ابر نیز امکان حادثه وجود دارد ، ولی در آن حالت امکان مدیریت و بازسازی در دست خود سازمان عامل است . در رایانش ابری این اطمینان باید از سوی فراهم کننده ابر داده شود . 

اطلاع رسانی حوادث امنیتی 

کاربران نیاز دارند به طور مناسب و حتی الامکان پیشگیرانه از تهدیدها و آسیب های رایانشی از سوی فراهم کننده ابر آگاه شوند . در صورت رخداد حوادث مختلف ، به ویژه حملات امنیتی و سرقت اطلاعات باید اطلاع رسانی لازم از سوی فراهم کننده به مشتری انجام شود . نمونه هایی گزارش ش فراهم کنندگان به دلایل مختلف این مهم را تا زمانی که نتایج آن علنی نشده ، انجام نداده اند . در برخی کشورها قوانینی وضع شده است . در اتحادیه اروپا به تازگی این قوانین حالت جدی تری گرفته ، به ویژه در رخدادهای امنیتی ، شرکت ها باید در صورت سرقت و خرابکاری داده مشتریان به آنها اطلاع رسانی کنند ، در غیر این صورت با ضمانت اجراهای مدنی و حتی کیفری روبرو می شوند .
كلمات كليدی: رایانش ابری، سرور ابری، سرویس IaaS، سرویس PaaS، سرویس SaaS

 
امتیاز دهی
 
 

نظر شما
نام
پست الكترونيک
وب سایت
متنی که در تصویر می بینید عینا تایپ نمایید
نظر
مقالات مرتبط

SIGMACloud

1397/12/18 شنبه

SIGMACloud

ابرسیگما یکی از خدمات شرکت دانش بنیان شرکت سیگما در زمینه سرویسهای ابر عمومی میباشد. سیگما دارنده رتبه 1 شورای عالی انفورماتیک با 16 سال سابقه فعالیت در حوزه فناوری اطلاعات میباشد. سرویسهای cloud ابرسیگما شامل IaaS PaaS DaaS VPC DNSaaS LBaaS FWaaS VPNaaS DBaaS و Cloud storage میباشد.