Документы и данные в облаке: Проблемы этики и доверия, часть 2

(Продолжение, начало см. http://rusrim.blogspot.ru/2018/05/1_29.html )

Но почему, действительно, необходимы эти исследования? Если, как я уже сказала ранее, результаты предыдущих проектов применимы к электронным документам вне зависимости от их технической среды, зачем нужен ещё один исследовательский проект? Ответ можно увидеть в тех заявлениях по поводу облака, которые делают представители отрасли; в той спешке, с которой многие организации стремятся внедрять новейшие технологии; и в темпах развития и изменения технологий. Облако широко используется, но это в значительной степени обусловлено давлением рынка, при этом на управление документами и архивы обращается мало внимания.

Это иллюстрирует подборка цитат из публикаций основных отраслевых аналитиков – компаний Гартнер (Gartner) и International Data Corporation (IDC):

• «Стратегии использования облачных вычислений как предпочтительного решения (cloud-first) - основа для сохранения своих позиций в быстро меняющемся мире»;


• «Внедрение Облака в корпоративной среде действительно стало господствующей тенденцией: 68% компаний используют сейчас публичное или частное облако ... на 61% больше, чем в прошлом году ...»;


• «Чем больше масштабы внедрения облачных вычислений, тем выше степень получаемой деловой отдачи»;


• «В среднем в расчёте на одно развернутое в облаке приложение обследованные организации получают 3 млн. долл. дополнительной выручки ... [и] 1 млн. долл. сокращения затрат ...» (Mahowald et al., 2016)

Эти высказывания говорят о скорости разработки и внедрения облаков, а также о том, что основное внимание уделяется сокращению затрат и оптимизации получения отдачи.

Хотя ИТ-персонал, высшее руководство и политики могут жаждать прыжка в облако, ссылаясь на эффективность и финансовые выгоды, однако есть проблемы, которые необходимо решать. Чаще всего обсуждаются проблемы, «вращающиеся» вокруг данных, что отражает мышление, ориентированное на данные. Речь идёт о вопросах обеспечения безопасности данных и защиты персональных данных, о том, как обеспечить соблюдение законодательно-нормативных требований в случае передачи данных в другие юрисдикции, какие имеются гарантии непрерывности предоставления услуг и что делать в случае утечек данных. Сообщит ли Вам поставщик облачных услуг о произошедшей утечке, насколько быстро, и какие меры будут приняты для смягчения последствий?

Когда мы думаем с точки зрения управления документами, мы видим связанные с облачными вычислениями проблемы в ином свете. Мы храним документы в качестве свидетельств деятельности и как память о действиях, для обеспечения подотчетности - для этого мы должны доверять им. На языке архивной науки, мы доверяем документам в той степени, в которой можем доказать их аутентичность, надежность и точность. С точки зрения права (по крайней мере, в странах английского права), вопрос доверия изучается в рамках правил допустимости документальных доказательств. Способность представить доказуемую последовательность ответственного хранения (chain of responsible custody) является ключевым фактором в обоих случаях.

Проблемы, связанные с управлением документами, несколько отличаются от проблем, связанных с данными – документы являются таковыми в основном благодаря их контексту и наличию связей с их создателями; с операциями, в которых они участвовали или которые документировали; с другими документами, созданными в рамках той же деятельности – это то, что в архивной науке называется «архивной взаимосвязью» (archival bond). Соответственно, документо-ориентированное мышление требует постановки иных вопросов:

• Можно ли защитить и сохранить контекст документов?


• Можно ли доказать происхождение?


• Можно ли отследить сроки хранения и выполнить надлежащие действия по их истечении?


• Можно ли обеспечить во времени доступность и пригодность к использованию? и


• Можно ли соблюсти права интеллектуальной собственности?

Эти вопросы отражают те этические проблемы, которые специалисты в области управления документами и архивного дела давно решают в отношении аналоговых документов, - а теперь им придётся иметь дело с облачными системами:

• Как защитить конфиденциальность и неприкосновенность частной жизни, одновременно обеспечивая доступ;


• Обеспечение безопасности;


• Предоставление доступа всем, признавая в то же время, что не у всех пользователей имеется надежный доступ к Интернету – «цифровое неравенство» (digital divide);


• Уважение прав интеллектуальной собственности и управление ими;


• Решение юрисдикционных проблем;


• Внимательное отношение к вопросам управления идентицирующей информацией, к деидентификации данных и их потенциальной нежелательной ре-идентификации;


• Понимание предполагаемых и непреднамеренных последствий анализа данных, включая предвзятость и профилирование.

Этичность нашего поведения в отношении документов и данных может оцениваться в рамках концепции ответственности и доверия, и для этой цели часто используются кодексы профессиональной этики. Национальные профессиональные ассоциации обновляют свои кодексы этики, чтобы отразить эти новые или усложнившиеся проблемы - например, Ассоциация канадских архивистов (Association of Canadian Archivists, ACA) только что опубликовала новый кодекс профессиональной этики (о нём см. также пост http://rusrim.blogspot.ru/2017/06/blog-post_20.html - Н.Х.). Среди профессиональных ассоциаций существует общий консенсус в отношении основных желательных принципов:

• Поддерживать интеллектуальную свободу и сопротивляться цензуре;


• Защищать неприкосновенность частной жизни и конфиденциальность;


• Признавать и уважать права интеллектуальной собственности.

Поэтому ответственность лежит на нас, и для того, чтобы начать решать эти проблемы и выполнять свои этические обязательства, нам нужно определить, что мы подразумеваем под доверием. В проекте InterPARES Trust, для целей исследований, «доверие» было определено как уверенность одной стороны в другой, основанная на согласованности систем ценностей сторон в отношении определенных действий или выгоды, и включающая отношения добровольной уязвимости, зависимости и опоры (reliance), основанные на оценке риска. Доверие субъективно, оно может варьироваться в непрерывном диапазоне от полного доверия до скептицизма и недоверия.

Достоверность записей также зависит от надежности систем записей, в которых они создаются, управляются и хранятся. И поэтому это возвращает нас к облачным сервисам, которые соответствуют нашим стандартам как надежные системы записей?

Документы признаются заслуживающими доверия на основе презумпции их аутентичности и на основе оценки их надежности и точности. Доверие к документам также зависит от доверия к документным системам, в которых они создаются, поддерживаются и хранятся. И это возвращает нас к облаку - отвечают ли облачные сервисы стандарту доверенных документных систем?

Я собираюсь представить три инструмента, разработанных в ходе проекта InterPARES Trust, которые помогут принимающим решения лицам оценить преимущества и риски облачных услуг с точки зрения требований к управлению документами, основанных на архивной науке.

Инструменты, о которых я буду говорить сегодня, это

• Контрольный лист для оценки контрактов с поставщиками облачных услуг;


• Контрольный лист для оценки способности отслеживать в облаке сроки хранения и выполнять установленные действия по их истечении; И


• Базовое руководство (primer) по управлению документами, касающимися вовлечения граждан в инициативы «открытого правительства».

Наиболее часто изучаемые в рамках InterPARES Trust отношения доверия – это отношения между потребителями облачных услуг (отдельными лицами или сообществами пользователей) и поставщиками облачных услуг (cloud service providers, CSP) в процессе потребления облачных услуг. Инструментами, посредством которых обеспечивается доверие, являются контракт на оказании услуг, соглашение об уровне/качестве обслуживания и/или условия предоставления услуг. Взаимоотношения между поставщиками облачных услуг и пользователями часто отражают неравенство сил: пользователь зависит от услуг поставщика, и у него мало шансов повлиять на условия их взаимодействия. Если государственные органы и крупные организации ещё имеют возможность договариваться об условиях своих контрактов с этими поставщиками, у большинства из нас нет иного выбора, кроме как принять типовые контракты, подготовленные поставщиками услуг. Положения типовых контрактов обычно формулируются доминирующей в контрактных взаимоотношениях стороной таким образом, чтобы соответствовать её целям, и не подлежат обсуждению.

Для того чтобы контракт был инструментом доверия, его условия должны быть прозрачными, понятными и всеобъемлющими с точки зрения наших потребностей. Для этого требуется, чтобы мы с самого начала сформулировали наши потребности и требования. К сожалению, беспокоящие специалистов по управлению документами вопросы - такие, как защита аутентичности документов, отслеживание сроков хранения и выполнение установленных действий по их истечении, наличие метаданных, подтверждающих происхождение документов и непрерывную последовательность ответственного хранения - редко всерьёз заботят лиц, принимающих решения об аутсорсинге ИТ-функций в облако.

(Окончание следует, см. http://rusrim.blogspot.com/2018/05/3_31.html )

Коринн Роджерс (Corinne Rogers)