Oczywiście, zawsze występuje ryzyko, że osoba mająca w systemie dostęp do konkretnych danych, z tych czy innych przyczyn (przekupstwo, szantaż, ideały, prywata), nadużyje swoich uprawnień. Ryzykiem specyficznym dla chmury może być jednak to, że firma obsługująca daną chmurę zdecyduje na poziomie własnej egzekutywy sprzeniewierzyć powierzone jej dane i wykorzystać je do własnych celów.
Odpowiedzią na ten problem może być wymóg „wbudowanej prywatności" (privacy by design), który zostanie wprowadzony tzw. Rozporządzeniem UE o ochronie danych osobowych (Rozporządzenie Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych), którego uchwalenie jest planowane na przełomie 2015 i 2016, a wejście w życie na przełomie 2017 i 2018. Jak wiadomo, wymóg ten może być spełniony przez odpowiednią architekturę chmury. Rozporządzenie UE o ochronie danych osobowych przewiduje nowe gwarancje ochrony danych osobowych, w tym ocenę skutków w zakresie ochrony prywatności danych (data protection impact assessment). Co to oznacza w praktyce? Instytucje przed rozpoczęciem operacji wykorzystania niektórych danych osobowych, w tym danych w środowisku internetowym, będą musiały dokonać analizy ryzyka związanego z potencjalnych wpływem takich operacji na prawa i wolności podmiotów danych. Dostawcy chmury będą musieli zmierzyć się z taką oceną. Oznacza to wprowadzenie prawnych gwarancji, dzięki którym zaufanie do rozwiązań chmurowych wzrośnie.
Z drugiej strony, patrząc z perspektywy bezpieczeństwa operacyjnego, warto zauważyć, że poprawnie zaprojektowane i wdrożone rozwiązania pracujące w chmurze mogą charakteryzować się wyższym poziomem bezpieczeństwa przy jednoczesnych niższych kosztach. W przypadku chmur publicznych działa tutaj między innymi efekt skali. Wyższy poziom bezpieczeństwa przy niższych kosztach, nawet biorąc pod uwagę tylko spełnienie wymogów prawnych w obszarze ochrony danych osobowych, jest niezwykle atrakcyjnym rozwiązaniem dla administracji publicznej i samorządowej.
Kontrola dostępu danych
Kolejnym istotnym zagadnieniem, na które należy zwrócić uwagę w debacie nad bezpieczeństwem powierzenia przetwarzania danych do zewnętrznego dostawcy usługi w chmurze, jest aspekt kontroli dostępu do danych. W praktyce nie ma dzisiaj organizacji, która zapewnia, że dostęp do danych jest w 100 proc. realizowany tylko przez jej pracowników. Przecież dostęp mają też serwisanci, wsparcie techniczne dla wybranych aplikacji i systemów, zewnętrzni administratorzy w ramach umów outsourcingowych, a dane często ze względu na koszty są przesyłane publicznymi łączami. Jeśli z tej perspektywy spojrzymy na problem kontroli dostępu, szybko okazuje się, że w przypadku dostawcy usługi w chmurze kontrola jego działań i poziomu bezpieczeństwa oferowanego przez niego jest niejednokrotnie łatwiejsza oraz efektywniejsza niż w przypadku bardziej tradycyjnych modeli informatycznych.
W każdym jednak przypadku państwo powinno ocenić i zdecydować, komu powierzy kontrolę nad konkretnymi kategoriami danych, które zamierza umieścić w chmurze. Jakie to będą instytucje lub firmy, gdzie będą położone ich serwery i centra przetwarzania danych, jaką można będzie sprawować kontrolę nad kierownictwem i personelem operatora konkretnej chmury. Państwo powinno też rozważyć, czy pewne kategorie danych nie powinny być przetwarzane wyłącznie pod pełną kontrolą służb państwowych – to jest bez udziału sektora prywatnego. Należy rozważyć utworzenie Prywatnej Chmury Sektora Publicznego, w której będą przechowywane i przetwarzane poufne dane z sektora publicznego objęte różnymi tajemnicami.
Terytorialność
Z punktu widzenia bezpieczeństwa państwa ryzykiem jest także ułatwienie fizycznego dostępu do danych „państwowo istotnych" obcym służbom i instytucjom. Za takie ułatwienie można uważać na przykład umieszczenie danych na serwerach za granicą. Stąd decyzja o przekazaniu do chmury międzynarodowej poszczególnych kategorii informacji powinna zostać podjęta z rozwagą.
