Điện toán đám mây và vấn đề chủ quyền dữ liệu
Nguyên lý đằng sau chủ quyền dữ liệu là thông tin số hoá được quản lý bởi luật pháp của nước có chứa dữ liệu, hay nguồn gốc của dữ liệu. Chủ quyền dữ liệu là một thách thức lớn với những tổ chức đang muốn chuyển hệ thống của họ “lên mây”, vì không có một thoả thuận quốc tế (hay thậm chí là quốc gia) nào cung cấp bộ yêu cầu chuẩn xuyên biên giới quốc gia. Điều đó buộc các công ty “dò dẫm” trong mê cung quốc tế của các luật bảo vệ quyền riêng tư và lưu giữ dữ liệu khi chúng thay đổi từ vùng này sang vùng khác, với một số nơi quy định chặt hơn. Và các công ty phải đối mặt với mức độ phức tạp cao hơn họ dự tính.
Các tổ chức sẽ sai lầm khi không tận dụng những lợi thế mà đám mây đem lại, ví dụ như lợi ích tài chính và các tính năng sáng tạo. Tuy lo lắng về các yêu cầu chủ quyền dữ liệu là hợp lý, nhưng các công ty không nên vì thế mà không tận dụng điện toán đám mây.
Khi một tổ chức quyết định đánh giá các dịch vụ đám mây, họ cần xác định: công ty có đang hoạt động trong một khu vực có các quy định về chủ quyền dữ liệu hay không? Loại dữ liệu mà các quy định này quản lý? Các biện pháp kiểm soát và quản trị có thể triển khai để đảm bảo tuân thủ các quy định đó?
Các luật về chủ quyền dữ liệu thay đổi tuỳ theo từng quốc gia. Các nước được xem là có luật nghiêm khắc về chủ quyền dữ liệu bao gồm Pháp, Nga và Đức. Những nước này buộc thông tin cá nhân có thể định danh của công dân phải được lưu trong máy chủ vật lý trong phạm vi biên giới quốc gia. Ngoài ra, chính phủ và một số ngành công nghiệp ở Hoa Kỳ như chăm sóc sức khoẻ còn đặt ra những quy định chặt chẽ hơn. Chẳng hạn như một số cơ quan liên bang Hoa Kỳ yêu cầu dữ liệu của họ được lưu chỉ trong phạm vi nước Mỹ.
Phần lớn các công ty thấy khó khăn ngay từ vấn đề đầu tiên. Họ nghĩ rằng vì có quy định về chủ quyền dữ liệu, nên họ không thể sử dụng đám mây. Tuy nhiên, khi họ nhận ra thư điện tử là một dạng của đám mây, họ bắt đầu thay đổi cách nghĩ. Và kết quả là việc biết loại dữ liệu nào bị quản lý trở nên quan trọng. Nhiều luật trên thế giới chỉ áp dụng với dữ liệu cá nhân có thể định danh và dữ liệu tài chính (gồm tên, số định danh, địa chỉ, thông tin thẻ tín dụng và những thông tin tương tự). Các quy định thường cho phép những thông tin đơn giản khác gắn với những dữ liệu đó lưu ở những chỗ khác nhau.
Khi các tổ chức hiểu các điều luật áp dụng, cũng như loại dữ liệu bị quản lý, họ có thể thiết lập nhiều biện pháp kiểm soát khác nhau để sử dụng đám mây một cách hiệu quả. Chẳng hạn như cho phép công dân của quốc gia có luật về chủ quyền dữ liệu truy cập dữ liệu nhạy cảm bên trong biên giới nước đó. Cách thứ hai có thể là bổ sung mã hoá tại chỗ và đảm bảo mọi dữ liệu trên đường truyền và tại nơi lưu trữ đều được mã hoá với các khoá nằm trong biên giới quốc gia gốc. Cách thứ ba là áp dụng chiến lược xoá dữ liệu cá nhân có thể định danh khỏi thông tin có thể được mã hoá và lưu trữ ở nơi khác.
Sau khi xác định được ba vấn đề trên, các công ty có thể tiến hành lựa chọn nhà cung cấp. Lựa chọn này là thiết yếu để đảm bảo tuân thủ các quy định của địa phương. Các công ty cần đưa các quy định này cho tất cả các nhà cung cấp được lựa chọn. Cần rà soát cẩn thận thoả thuận mức độ dịch vụ (SLA) và các tiến trình an ninh/kiểm soát của nhà cung cấp dịch vụ điện toán đám mây để đảm bảo sự tuân thủ.
Quá trình rà soát SLA cần đảm bảo nhà cung cấp dịch vụ và địa điểm của các trung tâm dữ liệu tuân thủ quy định của luật pháp địa phương. Nhà cung cấp cần có mạng lưới đủ rộng cũng như khả năng linh hoạt về vị trí lưu dữ liệu để chứng minh khả năng tuân thủ.
Ngoài ra, nhà cung cấp cũng phải cung cấp mức kiểm soát đủ để khách hàng cảm thấy thoải mái, yên tâm. Cụ thể, các doanh nghiệp cần đảm bảo họ có khả năng kiểm soát hoàn toàn đối với việc ai sẽ quản lý những dữ liệu bí mật và dữ liệu cá nhân có thể định danh của họ.
Cuối cùng, nhà cung cấp cần có các tiến trình để đảm bảo tuân thủ và trở thành một thành phần tích cực trong quá trình bảo vệ dữ liệu của khách hàng. Điều này phải bao gồm khả năng mã hoá end-to-end đối với tất cả dữ liệu trên đường truyền và dữ liệu được lưu trữ trong đám mây. Các khoá mã hoá phải được lưu tại các trung tâm dữ liệu ở những vị trí chọn trước trong phạm vi biên giới quốc gia.
Nhà cung cấp cần có khả năng cung cấp các biện pháp kiểm soát truy cập tinh vi như xác thực người dùng dựa theo vai trò. Điều đó đảm bảo chỉ những nhân viên được phân công, ở những quốc gia chỉ định, mới có thể truy cập dữ liệu cần thiết.
Với việc tuân theo những nguyên tắc trên, các tổ chức trên toàn cầu có thể hiện thực hoá lợi ích của việc chuyển dữ liệu lên đám mây. Và việc dịch chuyển dữ liệu lên đám mây sẽ bớt phức tạp hơn. Các tổ chức sẽ tự tin hơn vì họ tuân thủ với các quy định về chủ quyền dữ liệu và hơn thế bí mật thương mại của họ cũng được đảm bảo.
Nguyễn Anh Tuấn
Theo Information Management