Запропонована Європою схема сертифікації кібербезпеки для хмарних сервісів може перешкодити американським технологічним компаніям зберігати важливі європейські дані. Розгорілася запекла комерційна і політична боротьба.
Amazon Web Services нещодавно стала останньою американською компанією, яка запустила те, що вона називає "новою, незалежною хмарою для Європи". Microsoft оголосила про пропозицію "Хмара для суверенітету" в липні 2022 року, а Oracle – про свою пропозицію "Суверенна хмара ЄС" у червні торік.
Ці програми спрямовані на вирішення проблеми збереження даних в межах кордонів ЄС. На кону – прагнення Європи до "цифрового суверенітету", а також те, чи намагатиметься вона підвищити цифрові показники континенту, чи скотиться до протекціонізму. Франція наполегливо бореться за обмеження неєвропейських хмарних провайдерів. Німеччина чинить опір за підтримки малих членів ЄС та США.
2021 року національне агентство кібербезпеки Франції ANSSI переглянуло свою програму сертифікації, щоб фактично заборонити іноземним хмарним компаніям надавати послуги державним установам. Французький єврокомісар Тьєррі Бретон хоче, щоб такі ж правила застосовувалися в майбутній європейській схемі сертифікації. Згідно з останнім витоком проєкту, датованим серпнем, нова майбутня європейська схема сертифікації хмарних сервісів не дозволить неєвропейським постачальникам надавати хмарні сервіси з "високим рівнем гарантій" не лише державним службам, але й широкому спектру критично важливих комерційних секторів.
Європа розділена. Традиційно Париж розраховує на підтримку Берліна в просуванні цифрового суверенітету, який надає перевагу своїм національним лідерам над іноземними постачальниками. Натомість малі члени ЄС вважають за краще купувати найліпші доступні технології, незалежно від їхнього походження. Естонія, Нідерланди та Греція виступили проти запропонованих Францією нових правил сертифікації хмарних технологій, заявивши, що вони призведуть до зростання витрат і придушення конкуренції.
Німеччина, схоже, схиляється до їхньої думки. Вільна демократична партія, яка контролює ключові міністерства в Берліні, розкритикувала хмарний поштовх Франції, а Федеральне відомство з інформаційної безпеки ФРН підтримало Європейську суверенну хмару Amazon. Генеральна директорка Клаудія Платтнер (Claudia Plattner) сказала, що їй "дуже приємно конструктивно супроводжувати місцевий розвиток хмари AWS, яка також сприятиме європейському суверенітету з точки зору безпеки".
Французька хмарна економічна політика, що сприяє державному втручанню і протекціонізму – під загрозою. Новий європейський продукт Amazon не може бути суверенним, тому що він підпадає під дію американських законів FISA і Cloud Act – американських законів, які вимагають від американських компаній, громадян США або іноземних дочірніх компаній на території США передавати дані американським органам безпеки, скаржиться французький парламентарій-центрист Філіп Латомб. Німці "обмінюють свою промислову залежність від російського газу на залежність від американських цифрових компаній", які можуть отримати доступ до даних європейських компаній і займатися "економічною розвідкою".
Уряди США, Японії та інших неєвропейських країн також чинять опір. Торгова представниця США Кетрін Тай висловила занепокоєння з приводу схем сертифікації кібербезпеки Франції та ЄС під час минулорічної телефонної розмови з виконавчим віцепрезидентом Європейської комісії з питань торгівлі Валдісом Домбровскісом.
Американські хмарні провайдери сподіваються, що їхні "суверенні хмари" дозволять їм продовжувати вести бізнес в Європі. За словами Арно Давида з Amazon, нові європейські хмарні сервіси компанії включають гарантії, контроль і функції безпеки, які запобігають доступу до даних клієнтів, якщо вони самі не нададуть такий доступ. Amazon навіть надає своїм клієнтам інструменти для шифрування. Якщо Amazon попросять надіслати дані до адміністрації США, Давид каже, що компанія "оскаржуватиме кожен такий запит, який вона вважатиме недоречним, особливо якщо він суперечить місцевому законодавству, наприклад, Загальному регламенту ЄС про захист даних".
На думку експертів, обіцянки не запобігають трансатлантичному правовому конфлікту. Відповідно до профільного Закону, американські провайдери хмарних сервісів повинні виконувати запити американських відомств, незалежно від того, в якій точці світу зберігаються дані, каже засновник французької юридичної фірми Momentum Avocats Жан-Себастьян Маріс, який спеціалізується на технологічних питаннях.
Ця вимога може суперечити законодавству ЄС про захист даних. У меморандумі від 2022 року, підготовленому Національним центром кібербезпеки Нідерландів, йдеться про те, що плани американських провайдерів хмарних послуг, які передбачають захист від американських законів, не є актуальними. Американські спецслужби завжди можуть кружляти навколо них.
Економічні ставки величезні. Згідно з новим дослідженням брюссельського аналітичного центру ECIPE, витіснення американських хмарних лідерів може коштувати ЄС до 610 мільярдів євро протягом двох років після впровадження. Компанії Євросоюзу будуть позбавлені можливості користуватися найсучаснішими хмарними сервісами у світі і будуть змушені платити високі ціни європейським хмарним провайдерам другого рівня, попереджає автор дослідження Маттіас Бауер.
Джерело: CEPA
