Ramy bezpieczeństwa i prywatności w odniesieniu do outsourcowanych danych
Od dziesięciu lat dane wrażliwe przechodzą z „zaufanych” domen – lokalnych komputerów hostujących usługi o kluczowym znaczeniu dla bezpieczeństwa – do dostawców usług w chmurze, oferujących praktycznie nieograniczone zasoby do wykonywania dużych zadań obliczeniowych. Problem polega na tym, że klienci mają ograniczoną kontrolę nad tymi zasobami, w przeciwieństwie do dostawcy usług w chmurze, co sprawia, że środowiska te uznawane są za domeny „niezaufane”. Właśnie tutaj wkracza projekt WITDOM (empoWering prIvacy and securiTy in non-trusteD envirOnMents). Platforma opracowana przez zrzeszające siedem podmiotów konsorcjum pod przewodnictwem Atos Spain orkiestruje różnorodne złożone procesy mające na celu ochronę danych wrażliwych w zaufanej domenie, tak aby umożliwić bezpieczne i chroniące prywatność przetwarzanie, przechowywanie i dzielenie się nimi w domenie, która nie jest zaufana. „Głównym złożeniem WITDOM było stworzenie ram dla kompleksowej ochrony danych w niezaufanym i szybko zmieniającym się środowisku teleinformatycznym. Szczególny nacisk położyliśmy na scenariusze outsourcingu danych, w których nowe zagrożenia, podatności i ryzyka wynikające z nowych zastosowań wymagają kompleksowych rozwiązań bezpieczeństwa, które będą odporne na zmiany technologiczne w całym okresie użytkowania wspieranych przez nie aplikacji”, wyjaśnia Elsa Prieto, koordynatorka projektu. W tym celu konsorcjum zbadało różne techniki ochrony danych, takie jak szyfrowanie homomorficzne, metoda umożliwiająca obliczanie zaszyfrowanych danych i dająca wynik, który po odszyfrowaniu odpowiada wynikowi operacji wykonanej bez szyfrowania. Wśród innych badanych technik znalazły się anonimizacja, bezpieczne przetwarzanie sygnału (SSP), maskowanie, weryfikacja i integralność danych oraz szyfrowanie typu „end-to-end”. Ramy WITDOM wykorzystują paradygmat zorientowania na usługi do izolowania aplikacji od specyficznej implementacji i lokalizacji jej elementów. Łączą one w kompleksowy sposób wiele elementów ochrony, a ich architektura została zaadaptowana do modeli chmury hybrydowej. Główne elementy obejmują brokera, mechanizm orkiestracji ochrony, komponent zarządzania uprawnieniami i tożsamością użytkowników (IAM) oraz usługę zarządzania kluczami (KM). Można również dodawać dodatkowe usługi jako bloki modułowe. „Nasze ramy zostały skonkretyzowane i zatwierdzone w dwóch scenariuszach zastosowań: scenariuszu medycznym opartym na udostępnianiu danych genetycznych na potrzeby dużych analiz danych badawczych i indywidualnie zlecanych analiz klinicznych oraz scenariuszu usług finansowych opartym na zarządzaniu zarówno danymi klientów, jak i danymi finansowymi umów, a także na świadczeniu zlecanych na zewnątrz bezpiecznych usług finansowych w chmurze prywatnej i publicznej”, mówi Prieto. Dla tych scenariuszy opracowano dodatkowe funkcjonalności. Należą do nich: System Zarządzania Laboratoryjnymi Informacjami Genomicznymi (Genomic Laboratory Information Management System, GLIMS) wspierający działania w zakresie analizy DNA, które wymagają dużego wysiłku obliczeniowego i zdolności przechowywania danych; usługi wdrażające interfejs między wewnętrznymi aplikacjami finansowymi a komponentami WITDOM; usługi statystyczne i w zakresie uczenia maszynowego w celu zaspokojenia potrzeb scenariusza finansowego; oraz usługi w zakresie genomiki, w tym dopasowywanie sekwencji, oznaczanie wariantów i ponowne oznaczanie wariantów. Od zakończenia projektu pod koniec 2017 roku partnerzy włączają jego rezultaty do portfolio rozwiązań oferowanych klientom. Rozpoczęto składanie wniosków patentowych, w tym wniosku patentowego IBM dotyczącego technologii maskowania danych, dwóch wniosków patentowych UVIGO związanych z komponentem SSP, jednego związanego ze scenariuszem genomowym i drugiego związanego ze scenariuszem usług finansowych. „Niektóre komponenty, zwłaszcza zapewniające funkcje ochrony danych, wymagają jeszcze dopracowania, zanim zostaną wprowadzone na rynek”, zaznacza Prieto.
