Marcin Zręda, Dyrektor Strategiczny Rynku Usług Prawnych i Przedsiębiorstw w Wolters Kluwer Polska: Jeszcze kilka lat temu ogromna grupa osób, w tym część prawników, broniła się przed samym pojęciem „chmura”. Z dużą też niepewnością podchodzono do rozwiązań chmurowych, które zaczęto wprowadzać na świecie. Może więc na początku powiedzmy, jakie cechy posiada chmura?
Dzisiejsze rozumienie słowa „chmura” sięga ok. 10 lat wstecz, kiedy amerykański National Institute for Standards and Technology (NIST) podał definicję „cloud computingu”. Do dziś właściwie cały świat trzyma się tego określenia, które opisuje chmurę z pomocą czterech głównych cech, jak:
- Dostęp na odległość (z dowolnego urządzenia jak tablet czy telefon).
- Elastyczność na żądanie (oznaczająca teoretycznie nieskończone zasoby dla np. pojedynczej firmy). Tutaj dobrym przykładem jest błyskawiczny przyrost liczby użytkowników edukacyjnych platformy MS Teams w Polsce, która urosła z kilkudziesięciu tysięcy do kilku milionów w ciągu tygodni. To jest właśnie ta elastyczność na żądanie.
- Dynamiczna alokacja zasobów informatycznych. Tutaj warto podać przykład firma e-commerce, której szybko rośnie liczba klientów. Chmura – dzięki prostym mechanizmom, właściwie kilku kliknięciom – pozwala na szybką obsługę tej rosnącej rzeszy użytkowników.
Oczywiście działa to też w drugą stronę, przy spadającej liczbie klientów: chmura pozwala minimalizować koszty, wystarczy ją po prostu wyłączyć lub ograniczyć. Wtedy, w przypadku zakończenia działalności, firma nie pozostanie chociażby z drogim sprzętem IT w serwerowni. Wyłączam chmurę i nie płacę już ani grosza, tak obrazowo bym to opisał.
Ostatnią, czwartą cechą chmury, o której wiele osób czasem zapomina, to samodzielność – samemu uruchomia się wszystkie procesy i aplikacje, nie trzeba nigdzie dzwonić czy prosić specjalistów o wdrożenie. Można samemu dodać np. kolejnych użytkowników do poczty czy uruchomić nową bazę danych. W tym wypadku nie potrzebujemy kontaktu z dostawcą rozwiązań chmurowych.
Kolejną zaletą chmury jest rozliczalność jej użycia. Zyskujemy pełną informację i możemy dowolnie sterować użyciem chmury w zależności od potrzeb, czasu niezbędnego do przetwarzania, budżetu czy liczby użytkowników.
Jaka jest perspektywa prawnika, który kupuje rozwiązanie chmurowe dla swojej kancelarii? Jakie wątpliwości mogą się pojawić z jego strony?
Użytkownicy, w tym prawnicy, dość często traktują chmurę jako usługę. Należy jednak zauważyć, że jest to produkt. Chmurę można porównać do innych bardzo popularnych rozwiązań, jak konto bankowe, serwis VOD czy taryfa telekomunikacyjna. Chmura jest de facto skończonym, gotowym produktem, który składa się z wielu usług. Ale jest to produkt, który można konfigurować, ale którego nie można modyfikować. Najbardziej będzie przypominała oprogramowanie z półki – takie samo dla wielu, z jednolitą licencją, z możliwością „przycięcia” do potrzeb użytkownika.
Pojawia się nierzadko opinia, że chmura to outsourcing. Ba, nawet takie pojęcie jest stosowane w dokumentach prawnych. Ale jeśli chmura to oprogramowanie z półki, to outsourcing będzie oprogramowaniem przygotowanym na zamówienie, z dowolnymi funkcjami, stosowane i opracowane bez ograniczeń. To ważne rozróżnienie dla kancelarii przy wyborze rozwiązania chmurowego. Zrozumienie tego powinno nieco uspokoić prawników, bo wcześniej się pytali, martwili wręcz, że muszą konfigurować urządzenie czy napracować się przy wdrożeniu nowego rozwiązania. Nie muszą: ono jest gotowe i nie wymaga czasochłonnej modyfikacji czy skomplikowanego przeszkolenia.
Kolejnym argumentem za tym, że chmura jest produktem, to element, którego 10 lat temu na taką skalę nie widzieliśmy. Chodzi o regulacje związane ze stosowanie szeroko pojętej informatyki. Dobrym przykładem jest tutaj RODO. A takich przepisów będzie więcej. One wprost oczywiście nie mówią o chmurze, ale dostawcy chmury muszą te regulacje śledzić i zadbać, by ich produkty były z nimi zgodne. Dzięki temu klient, prawnik, nie musi się tym przejmować, bowiem zapewnienie zgodności z przepisami to już zadanie dostawcy. Jeśli on tego nie spełni, przegra po prostu z konkurencją.
A coś byś doradził prawnikowi przy wyborze rozwiązania chmurowego, także w kontekście bycia zgodnym z tymi zmieniającymi się regulacjami? Czy w 100% zaufać producentowi?
Warto zwrócić uwagę, że dziś chmura jest mainstreamem, to nie ciekawostka. Rozwiązania chmurowe są szeroko stosowane w ochronie zdrowia, w sektorze LEGAL, administracji publicznej, w bankach i ubezpieczeniach. Nauczyliśmy się chmury.
Co ciekawe, czasem sobie nawet nie uświadamiamy, że jesteśmy w chmurze (a to się przecież dzieje, gdy nasze dane są przenoszone np. w przypadku kupna nowego telefonu). Proszę zauważyć, jakie to niesie korzyści w momencie zgubienia, zniszczenia czy popsucia smartfona. Nasze dane, kontakty i zdjęcia są nadal dostępne.
Podczas wyboru rozwiązania chmurowego na pewno warto popatrzeć na innych, co oni stosują, szczególnie na większe, zaufane firmy. To dość szybki i tani sposób i według mnie najlepszy, aby poważnie zacząć myśleć o przejściu do chmury. Innym rozwiązaniem jest korzystanie z rekomendacji zaufanych organizacji, np. Krajowej Izby Radców Prawnych, która do tej pory takie rekomendacje i porady wydawała dwukrotnie.
W kontekście chmury prawnicy pytają przede wszystkim o bezpieczeństwo danych…
Tak, to poważne, kluczowe wręcz zagadnienie. Należy pamiętać, że produkty chmurowe tworzone są według zasady Privacy by default, czyli ochrona danych, prywatność jest z definicji zaszyta w produkcie, on posiada mechanizmy ochrony prywatności od samego początku. Przy okazji dodam, że co jakiś czas trzeba samemu sprawdzać, czy obecne narzędzia ochrony danych w kancelarii są skuteczne. Może już czas, by wdrożyć nowe rozwiązanie, które zapewnia wyższy poziom bezpieczeństwa danych?
Z faktu, że korzystamy z dobrze zabezpieczonej chmury nie może wynikać beztroska. Musimy mieć choćby wdrożone zarządzanie dostępem, choć oczywiście będzie to różnie wyglądać – np. w przypadku systemu MS Office, jakiejś wyspecjalizowanej aplikacji dla kancelarii czy jeszcze inaczej to wygląda dla systemu finansowo-księgowego.
Na szczęście scenariusz chmurowy to często definiuje od samego początku. Dalej jednak należy wiedzieć, czy dane są zabezpieczone, szyfrowane, czy są zabezpieczone przed wysłaniem do osób nieuprawnionych, warto też sprawdzić, czy jest robiony back-up danych (automatycznie czy w inny sposób). Takie procedury trzeba mieć szczególnie w przypadku narzędzi, które będziemy stosować przez ograniczony czas, nie będą w naszej kancelarii na zawsze. Jednym słowem, musimy mieć kontrolę nad ochroną danych i w żadnym wypadku tej kwestii nie wolno lekceważyć.
Ważne jest też ustalenie, ile czasu potrzebujemy na rozpoczęcie i zakończenia korzystania z danego narzędzia. Zbadać należy czas, np. ile potrwa wdrożenie rozwiązania dla nowych prawników w kancelarii. Oczywiście monitorujmy także koszty, by mieć je pod kontrolą. Co ważne, te rady nie dotyczą tylko chmury – można je zastosować także w kontekście chociażby korzystania z komputerów czy serwerów w kancelarii.
Musimy pamiętać, że zgodnie z polskimi przepisami nie wolno korzystać z rozwiązań chmurowych w przypadku gromadzenia informacji niejawnych. Chmura to jednak zdecydowanie wyższy poziom ochrony danych, pytanie więc brzmi, nie „czy w chmurze”, tylko „jak w chmurze”.
Świadomość tych spraw rośnie wśród prawników. Po spotkaniach z nimi wiem, że na topie są pytania o bezpieczeństwo, m.in. co się stanie z danymi, jeśli będę chciał zakończyć współpracę z dostawcą chmury. Drugie – o szyfrowanie, czy oferowane narzędzie oferuje szyfrowanie danych. Trzecie – czy producent i rozwiązanie posiada odpowiednie certyfikaty. I czwarte pytanie – coraz częściej to klienci prawników, głównie większe korporacyje, zaczynają pytać, czy ich dane powierzone kancelarii są bezpieczne.
Tu oczywiście dotykamy tematu cyberbezpieczeństwa, który jest dziś priorytetem, ponieważ poziom zagrożeń wzrósł nieporównywalnie. Mamy mnóstwo rodzajów ataków, co roku dochodzą ich nowe rodzaje. Tak naprawdę mamy do czynienia z przestępczością zorganizowaną, to jest właściwie cały przemysł cyberterroryzmu. Ktoś inny tworzy szkodliwy program (malware), ktoś inny go „wypuszcza”, ktoś inny zbiera pieniądze i zapewne jeszcze ktoś inny za tym wszystkim stoi. Warto też wiedzieć, że pewne ataki można niejako kupić, by zaszkodzić konkurencji.
Musimy być o wiele lepiej przygotowani – mniejsze kancelarie same nie zbudują solidnych narzędzie cyberbezpieczeństwa, jest to po prostu bardzo kosztowne (koszt ludzi, procesów, narzędzi). Dlatego pierwszą i najpoważniejszą linię obrony stanowi chmura. Oczywiście żadna chmura nie zwolni nas z obowiązku wprowadzenia i przestrzegania zasad tzw. cyberhigieny. Same kancelarie muszą działać i się chronić, stosując m.in. wieloskładnikowe uwierzytelnianie czy klasyfikację danych. To są dość tanie i proste działania, których jednak nikt za prawników nie zrobi. W tak połączonym świecie nie ma innej drogi przed obroną swojej kancelarii, klientów i reputacji.
Można przywołać przykład ministra Dworczyka, który prawdopodobnie nie stosował zasad wieloskładnikowego uwierzytelniania i ktoś przejął jego tożsamość. Podsumowując: chmura jako linia obrony przed cyberatakami świetnie się sprawdza.