Zakończono konsultacje SCCO – w administracji chmura europejska czy podporządkowana big tech?

28 lutego br. zakończono konsultacje publiczne aktualizacji Standardów Cyberbezpieczeństwa Chmur Obliczeniowych. Dokument ten jest kluczowym elementem, który umożliwia administracji publicznej korzystanie z usług przetwarzania w Publicznej Chmurze Obliczeniowej (PChO) zgodnie z nowymi regulacjami. Krajowa Izba Gospodarcza Elektroniki i Telekomunikacji (KIGEiT), Krajowa Izba Komunikacji Ethernetowej (KIKE), European AI Forum (EAIF) oraz Fundacja Digital Poland, zgłosiły kilka istotnych uwag w tej sprawie. Podobnie związek Polska Chmura.

Co zmieniło się w SCCO?

W ramach prac nad aktualizacją SCCO, Ministerstwo Cyfryzacji we współpracy z kluczowymi instytucjami rządowymi przeprowadziło gruntowny przegląd i modernizację dokumentu. Najważniejsze zmiany objęły:

• nowelizację kluczowych pojęć zawartych w SCCO,
• dostosowanie kategorii zabezpieczeń do nowego brzmienia uchwały „Wspólna Infrastruktura Informatyczna Państwa” (WIIP)
• aktualizację katalogu zabezpieczeń zgodnie z bieżącymi standardami NIST,
• wprowadzenie zmian w zakresie podstawowych wymagań bezpieczeństwa w macierzy zabezpieczeń.

Projekt SCCO nie podlega procesowi legislacyjnemu – jego przyjęcie wymaga jednak wspólnej akceptacji Ministra Cyfryzacji, Ministra Koordynatora ds. Służb Specjalnych, Ministra Obrony Narodowej oraz Ministra Spraw Wewnętrznych i Administracji.

Ministerstwo Cyfryzacji, wychodząc naprzeciw oczekiwaniom sektora prywatnego i dążąc do szerokiej współpracy z rynkiem, przeprowadziło 14-dniowe konsultacje projektu aktualizacji SCCO, które zakończono 28 lutego br.

Oficjalne stanowisko KIGEIT, KIKE, EAIF oraz fundacji Digital Poland

W piśmie skierowanym do wicepremiera i ministra cyfryzacji Krzysztofa Gawkowskiego, KIGEIT, KIKE, EAIF oraz fundacja Digital Poland stwierdziły, że:

„Projektując standardy dla usług chmurowych należy przede wszystkim opierać się na europejskich standardach wspierając jednolity rynek cyfrowy oraz polskich i europejskich przedsiębiorców, którzy w Polsce płacą podatki i tworzą miejsca pracy. To właśnie w europejskich ciałach normalizacyjnych takich jak CEN-CENELEC tworzone są techniczne zespoły, takie jak JTC25, gdzie prowadzona jest standaryzacja usług chmurowych, w tym w zakresie interoperacyjności, przenoszenie danych (ang. portability) czy zmiany usługodawców (ang. switchability). Również w ISO/IEC trwają obecnie prace nad aktualizacją np. normy ISO 19941 oraz prace związane z bezpieczeństwem usług chmurowych. CENCENELEC współpracuje z ETSI (Europejski Instytut Norm Telekomunikacyjnych) oraz Komisją Europejską i EFTA, aby tworzyć normy wspierające jednolity rynek europejski. Ich celem jest harmonizacja standardów technicznych w Europie, co ułatwia handel i zwiększa bezpieczeństwo produktów”

Instytucje te uważają, że:

• powoływanie się w konsultowanym dokumencie na amerykańskie standardy NIST FPS 199, mimo że dokument dotyczy Polski, która funkcjonuje przede wszystkim w Unii Europejskiej, nie jest dobrym rozwiązaniem,
• brakuje uwzględnienia norm europejskich i światowych,
• brakuje uwzględnienia i promowania zapisów Data Act, który obowiązywać będzie od 12 września 2025 r., szczególnie w zakresie artykułów 33-35,
• brakuje próby budowania wspólnotowego jednolitego rynku w zakresie usług chmurowych i promocję norm najlepszych dla bigtech.

W liście do wicepremiera, KIGEIT, KIKE, EAIF oraz fundacja Digital Poland, wskazują iż Gaia-X opublikowała swoje najnowsze ramy zaufania w listopadzie ubiegłego roku. Wersja ta jest prawie w całości oparta na harmonizacji istniejących europejskich norm (takich jak SecNumCloud, BSI C5, CISPE) i globalnych (np. ISO 27001). Wprowadzono również poziomy etykiet Gaia-X, gdzie L3 odnosi się do odporności europejskiej. Instytucje dodają również, iż można także rozważyć EUCS High+, który jest podobny do etykiety Gaia-X na poziomie 3.

„Uważamy, że Polska musi uwzględnić europejskie normy i zalecenia w swoich standardach cyberbezpieczeństwa, WIIP oraz zamówieniach publicznych, by budować jednolity rynek usług chmurowych. Jest to również ważne z powodu blisko 80% udziału bigtech w europejskim rynku usług chmurowych co skutkować może utratą cyfrowej suwerenności” – podsumowują swoje stanowisko KIGEIT, KIKE, EAIF oraz fundacja Digital Poland.

Postulaty związku Polska Chmura

W konsultacjach projektu Standardów Cyberbezpieczeństwa Chmur Obliczeniowych (SCCO) udział wzięła także Polska Chmura. Związek również przedstawił swoje uwagi.

Najważniejsze postulaty:

• Suwerenność danych – dane o kluczowym znaczeniu dla bezpieczeństwa publicznego, dane wrażliwe oraz tajne (z kategorii SCCO2, SCCO3 i SCCO4) powinny być przechowywane wyłącznie w krajowych centrach danych. Umożliwi to ochronę przed ingerencją zagranicznych podmiotów i zabezpieczy integralność państwowych systemów informatycznych. Proponowane brzmienie SCCO umożliwi przekazywanie danych o kluczowym znaczeniu dla kraju poza jego jurysdykcję i nie zapewnia odpowiednich mechanizmów ochrony przed wpływem zagranicznych regulacji (np. Patriot Act, FISA) na dane przechowywane przez globalnych dostawców chmury. Istnieje więc ryzyko dostępu do danych przez służby wywiadowcze państw trzecich w infrastrukturę podmiotów operujących na lokalnych rynkach bądź podmiotów kapitałowo powiązanych z przedsiębiorstwami związanych z tymi rynkami. Działania te polegać mogą choćby na zlecaniu instalowania oprogramowania szpiegującego. Przyjmowanie, że kraje te, pomimo funkcjonowania z Rzecząpospolitą Polską w relacji uznanych na arenie międzynarodowej sojuszy nie będą podejmować się prowadzenia działań wywiadowczych z jednej strony uznane może być w kategoriach naiwności, z drugiej zaś, z uwagi na brak istniejących powszechnie narzędzi, niemożliwym stanie się uznanie takiego twierdzenia za falsyfikowalne – co samo w sobie stanowi asumpt do konieczności dokonania oszacowania ryzyka już na tym etapie prac nad SCCO. Jednocześnie popieramy przetwarzanie mniej wrażliwych danych administracji publicznej (SCCO1) w centrach zagranicznych.
• Suwerenność prawna wobec podmiotów funkcjonujących na krajowym rynku – Umożliwienie administracji publicznej przekazywania danych kluczowych dla funkcjonowania kraju podmiotom prawa handlowego, na które wpływu nie posiada polski ustawodawca, może rodzić ryzyko dokonywania – zgodnych z lokalnym prawem – przejęć praw własności takich przedsiębiorców przez podmioty pośrednio lub bezpośrednio powiązane z państwami intensyfikującymi działalność wywiadowczą z uwagi na aktualne, dynamicznie zmieniające się uwarunkowania geopolityczne (np. Federacja Rosyjska, czy Chińska Republika Ludowa). Uniemożliwi to podjęcie przez polską władzę wykonawczą odpowiednich przeciwdziałań.
• Suwerenność terytorialna: jurysdykcja i kontrola nad danymi – przetwarzanie krytycznych danych poza terytorium RP może utrudnić nadzór i reakcję na incydenty cyberbezpieczeństwa. Polska Chmura postuluje centralizację danych w kraju, co pozwoli na skuteczniejszą kontrolę i szybsze interwencje w przypadku zagrożeń. Ponadto brak regulacji dotyczących kontroli nad podmiotami przechowującymi kluczowe dane może prowadzić do przejęcia strategicznych firm przez inwestorów powiązanych z państwami o potencjalnie wrogich intencjach.
• Suwerenność funkcjonalna – możliwość prowadzenia audytów – podkreślamy konieczność zapewnienia realnej możliwości przeprowadzania audytów fizycznych i systemowych w centrach danych obsługujących polską administrację publiczną. Globalni dostawcy często uniemożliwiają takie wizyty, co ogranicza skuteczność weryfikacji zabezpieczeń.

„W praktyce dostawcy zagraniczni często ograniczają audyty do zdalnych metod weryfikacji, co uniemożliwia przeprowadzenie pełnej, kompleksowej oceny stanu zabezpieczeń, w tym fizycznych aspektów infrastruktury. Brak możliwości fizycznego dostępu do obiektu utrudnia weryfikację stosowanych procedur bezpieczeństwa, takich jak zabezpieczenia fizyczne, kontrola dostępu do pomieszczeń, systemy monitoringu oraz procedury awaryjne. Polscy dostawcy usług chmurowych, działając na rodzimym rynku, umożliwiają klientom przeprowadzenie audytów, często z możliwością fizycznej wizyty w danej lokalizacji, co pozwala na szczegółowe zbadanie wszystkich aspektów bezpieczeństwa, w tym precyzyjną weryfikację stanu technicznego sprzętu i systemów zabezpieczających. Takie podejście gwarantuje pełną przejrzystość i umożliwia dokładną ocenę ryzyka, co jest niezbędne dla budowania zaufania między klientem a dostawcą usług. W sytuacji, gdy zagraniczni dostawcy stosują politykę ograniczania dostępu do swoich centrów danych, istnieje realne ryzyko, że audyty przeprowadzane na odległość nie oddadzą pełnego obrazu stanu zabezpieczeń, co w konsekwencji może prowadzić do nieprawidłowej oceny ryzyka oraz wdrożenia niewystarczających środków ochronnych” – czytamy w oświadczeniu Polskiej Chmury.

Przedstawiciele związku wskazują, że w proponowanych zapisach SCCO brakuje zaleceń regulujących te kwestie.

„Polska Chmura postuluje wprowadzenie zmian do SCCO, które zagwarantują ochronę suwerenności cyfrowej Polski oraz wzmocnią konkurencyjność krajowego rynku dostawców chmury. Kluczowe jest zapewnienie, aby dane administracji publicznej o znaczeniu strategicznym były przechowywane i przetwarzane wyłącznie przez podmioty podlegające krajowej jurysdykcji i nadzorowi” – podsumowują przedstawiciele związku polskich dostawców usług chmurowych.