CyberbezpieczeństwoCloud computingRynek
Scaleway chce wzmocnienia niezależności UE w zakresie usług cloud computing
“Nadszedł czas, aby zapewnić odporność europejskich dostawców usług w chmurze na eksterytorialne przepisy spoza Unii Europejskiej. Czas wzmocnić niezależność UE w zakresie przechowywania i przetwarzania danych” – apeluje w liście otwartym do instytucji UE Yann Lechelle, CEO Scaleway, jednego z europejskich dostawców usług publicznej chmury obliczeniowej. To reakcja na oficjalne podkreślenie przez Komisję Europejską potencjalnego ryzyka w zakresie bezpieczeństwa i suwerenności danych wytwarzanych w Europie, wynikające z eksterytorialnych przepisów spoza Unii.
- CEO Scaleway uważa, iż brakuje spójnej i jasnej unijnej oceny, w jakich okolicznościach europejskie przedsiębiorstwa mogą być narażone na jurysdykcję eksterytorialną przy przetwarzaniu danych oraz jakie konflikty z prawodawstwem UE może to powodować.
- Sposobem na uzyskanie wymaganego poziomu zaufania do certyfikowanych usług w chmurze byłoby wprowadzenie wymogu przechowywania danych w regionie, w centrum danych fizycznie zlokalizowanym w UE, którego właścicielem jest podmiot z siedzibą w Unii.
- Prawo powinno wymagać większej ilości informacji w odniesieniu do całego zestawu usług przetwarzania w chmurze - od informacji o lokalizacji nieruchomości po komponenty oprogramowania, które składają się na nią - po to, aby zapewnić pełną przejrzystość w zakresie obowiązującej jurysdykcji, zgodnie z warunkami przechowywania, obliczania i przetwarzania danych.
W swoim niedawnym komunikacie pt. „Europejska dekada cyfrowa: cele cyfrowe w 2030 roku” Komisja Europejska (KE) słusznie podkreśliła, że „obecnie dane wytwarzane w Europie są zwykle przechowywane i przetwarzane poza Europą. Poza Europą na ich bazie budowana jest też wartość. Chociaż przedsiębiorstwa generujące i wykorzystujące dane powinny zachować swobodę wyboru w tym względzie, warto pamiętać, że taki stan może nieść ze sobą zagrożenia w zakresie bezpieczeństwa cybernetycznego czy dostaw, ograniczenie możliwości zmiany dostawców, czy ryzyko bezprawnego dostępu do danych przez państwa trzecie. Dostawcy usług w chmurze z siedzibą w UE mają jedynie niewielki udział w rynku chmurowym, co naraża Unię Europejską na takie ryzyka i ogranicza potencjał inwestycyjny europejskiej branży cyfrowej w obszarze przetwarzania danych”.
W odpowiedzi na powyższe stwierdzenie, Yann Lechelle, CEO Scaleway, pokusił się uzupełnić je o spostrzeżenia dotyczące oczekiwań rynku w tym zakresie, a także zaproponować sposób na złagodzenie szkodliwego wpływu eksterytorialnych przepisów spoza UE na bezpieczeństwo i suwerenność danych wytwarzanych w Europie.
Spostrzeżenia i wnioski
I tak, CEO Scaleway wskazał, że zdarzają się sytuacje, w których klienci CSP (Cloud Service Provider – przyp. red.) nie mają możliwości obiektywnego, dokładnego i przejrzystego pomiaru poziomu narażenia ich danych na pozaeuropejskie przepisy eksterytorialne, niezależnie od tego, czy są one przechowywane i przetwarzane na terytorium Europy, czy też nie. “Ten brak przejrzystych informacji nie tylko szkodzi suwerenności i wolności wyboru naszych klientów – bo trudniej im podejmować dobrze udokumentowane decyzje strategiczne – ale także uniemożliwia europejskim CSP oferującym rozwiązania chroniące suwerenność danych (co zwykle jest wynikiem konsekwentnych, celowych inwestycji) odróżnienie się od swoich konkurentów w kluczowym aspekcie dla dzisiejszych i przyszłych użytkowników chmury w Europie” – stwierdził Yan Lechelle.
Ekspert uważa, iż brakuje spójnej i jasnej unijnej oceny, w jakich okolicznościach europejskie przedsiębiorstwa mogą być narażone na jurysdykcję eksterytorialną przy przetwarzaniu danych oraz jakie konflikty z prawodawstwem UE może to powodować. Podkreślił również, że obecne podejście do cyberbezpieczeństwa, stosowane do usług przetwarzania w chmurze, pomija podstawowy czynnik jakim jest przejrzysta ocena odporności CSP na prawodawstwo pozaeuropejskie, co może według niego mieć skutki eksterytorialne (w zakresie przetwarzania i przechowywania danych).
Odnosząc się natomiast do przygotowanego obecnie, przez ENISA, projektu certyfikacji cyberbezpieczeństwa dla dostawców usług w chmurze, który poddano niedawno konsultacjom społecznym, przedstawiciel Scaleway stwierdził, że sposobem na uzyskanie wymaganego poziomu zaufania do certyfikowanych usług w chmurze byłoby wprowadzenie wymogu przechowywania danych w regionie, w centrum danych fizycznie zlokalizowanym w UE, którego właścicielem jest podmiot z siedzibą w Unii. Dodał również, iż powinno się wymagać prawem, udzielenia większej ilości informacji w odniesieniu do całego zestawu usług przetwarzania w chmurze – od informacji o lokalizacji nieruchomości po komponenty oprogramowania, które składają się na nią – po to, aby zapewnić pełną przejrzystość w zakresie obowiązującej jurysdykcji, zgodnie z warunkami przechowywania, obliczania i przetwarzania danych. To właśnie zagwarantować ma pewność co do poziomu odporności certyfikowanych CSP na przepisy eksterytorialne.
“Taka ewolucja mogłaby być prawdziwym przełomem w Europie. W związku z tym apelujemy do wszystkich odpowiednich instytucji i agencji o potraktowanie tej kwestii jako znaczącej przy okazji nadchodzących dyskusji i do wykorzystania unijnego systemu certyfikacji cyberbezpieczeństwa jako lewaru służącego szerszym ambicjom instytucji UE w zakresie wzmocnienia suwerenności cyfrowej Europy” – podsumował Yan Lechelle.