Chmura publiczna to rodzaj usługi chmury obliczeniowej, w której infrastruktura jest własnością pojedynczej organizacji sprzedającej usługi chmurowe skierowane do ogółu społeczeństwa lub konkretnych branż. Realizacja chmury obliczeniowej w modelu publicznym jest narażona na największy zbiór ryzyk. Cechą chmury publicznej jest jej pełna realizacja przez dostawcę usługi, tzn. cała infrastruktura oraz odpowiedzialność za jej działanie leży po stronie dostawcy.
Zidentyfikowane przykłady ryzyk w modelu publicznej chmury obliczeniowej to:
1. Uzależnienie od dostawcy – realizacja w przypadku woli zakończenia współpracy z usługodawcą może stać się bardzo trudna, co wynika m.in.z tego, że często brak jest odpowiednich narzędzi pozwalających na efektywne przeniesienie danych i systemów teleinformatycznych na inną platformę.
2. Utrata możliwości nadzoru – w modelu cloud computing klient przekazuje sprawowanie kontroli nad wieloma aspektami bezpieczeństwa dostawcy usług.
3. Utrudnione ustalenie sprawcy włamania – proces przetwarzania w chmurze przenosi obowiązek identyfikacji zagrożeń w systemach informatycznych na dostawcę. Skompromitowanie zabezpieczeń usługodawcy może wiązać się z utratą zaufania i negatywną oceną, co może powodować rezygnację z korzystania z usług tego dostawcy w przyszłości.
4. Niewłaściwe usuwanie danych – w przypadku chęci usunięcia danych przez dostawcę usług cloud computing, znacząco utrudniona jest weryfikacja procesu usuwania danych.
5. Błędy w zakresie izolacji – usługi w modelu cloud computing świadczone są zwykle dla wielu klientów na wspólnej platformie infrastrukturalnej i przez to mogą potencjalnie wystąpić sytuacje, w których jeden klient uzyska nieautoryzowany dostęp do systemów lub danych innego klienta.
6. Bezpieczeństwo danych podlegających ochronie (dane osobowe, dane objęte tajemnicą bankową) – w niektórych przypadkach modelu cloud computing znacząco utrudniona może być weryfikacja poprawności i efektywności procedur przetwarzania danych przez dostawcę usług. Czasami trudność sprawia nawet uzyskanie podstawowych informacji, jak np. czy dane będą przetwarzane tylko w Europejskim Obszarze Gospodarczym (EOG).
7. Otoczenie prawne – firmy dostarczające usługi w krajach podlegają jurysdykcjom, które mogą wymuszać stały, pełny dostęp do danych zgromadzonych na serwerach firm usługodawców.
