SG.hu
Párizs és Berlin nem ugyanazt gondolják a felhőbiztonságról
Egy hete független, európai és csak az EU-ban elérhető felhőszolgáltatást indított az Amazon Web Services (AWS), mely megmutatta a Párizs és Berlin álláspontja közötti növekvő eltéréseket a digitális szuverenitással kapcsolatban a felhőszektorban. A franciák felvetése egyszerű: ha a Huaweijel az a probléma, hogy át kell adnia az adatokat a kínai államnak, akkor az Amazonnál miért nézzük el, hogy szintén meg kell felelnie az amerikai nemzetbiztonsági törvényeknek?
Az AWS múlt heti lépése annak az általános tendenciának a része, amelynek keretében az amerikai hiperskalálók - ez a hatalmas szerverparkokkal rendelkező felhőszolgáltatókat jelölő kifejezés - igyekeznek eleget tenni azon uniós országok aggodalmainak, amelyek Európa határain belül szeretnék tartani adataikat. Korábbi példák közé tartoznak az olyan vezető piaci szereplők, mint a Microsoft, amely 2022 júliusában jelentette be Microsoft Cloud for Sovereignty ajánlatát, valamint az Oracle, amely tavaly júniusban indította el EU Sovereign Cloud ajánlatát. Az AWS az első felhőszolgáltató, amely megkapta a német Szövetségi Információbiztonsági Hivatal, a BSI C5-ös okmányát, egy német felhőbiztonsági tanúsítványt, amely ugyanazon a nemzetközi szabványon alapul, mint a SecNumCloud, Franciaország legmagasabb szintű felhőbiztonsági tanúsítványa.
Pont ez Franciaország problémája: Philippe Latombe francia centrista képviselő kifejtette, hogy attól tartanak, hogy a németek ki akarják szorítani a francia SecNumCloud felhőbiztonsági tanúsítványt. Claudia Plattner, a BSI főigazgatója közleményében úgy fogalmazott, hogy "nagyon örül az AWS felhő helyi fejlesztésének, amely a biztonság tekintetében is hozzájárul az európai szuverenitáshoz". Arnaud David, az AWS európai ügyekért felelős igazgatója szerint a vállalat olyan technikai építőelemeket hozott létre - beleértve a biztosítékokat, ellenőrzéseket és biztonsági funkciókat -, amelyek lehetővé teszik az ügyfelek számára, hogy hozzáférési korlátozásokat érvényesítsenek, így senki - az AWS-től sem - nem férhet hozzá az ügyfelek adataihoz.
Tehát az AWS nem férhet hozzá az ügyfelek adataihoz, hacsak az ügyfelek nem adják meg a hozzáférést, és az AWS titkosítási eszközöket biztosít ügyfelei számára. Ezen túlmenően az AWS európai szuverén felhőjének működését kizárólag az EU-ban lakóhellyel rendelkező, az EU-ban tartózkodó AWS-alkalmazottak fogják ellenőrizni. Azonban Latombe képviselő szerint "az AWS felhő nem lehet szuverén, mert az amerikai FISA és Cloud Act hatálya alá tartozik",- ezek olyan jogszabályok, amelyek az amerikai cégeket, amerikai állampolgárokat vagy az USA területén lévő külföldi leányvállalatokat kötelezik az amerikai biztonsági szervekkel való együttműködésre.
Arnaud David szerint "ha az AWS-t arra kérik, hogy a FISA értelmében adatokat küldjön az amerikai hatóságoknak, az Amazon minden olyan kérést megtámad, amelyet nem tart megfelelőnek, különösen, ha az ellentétes a helyi jogszabályokkal, például az EU általános adatvédelmi rendeletével (GDPR) az EU-ban". Természetesen minden vállalat megerősíti, hogy nem hoz nyilvánosságra érzékeny információkat, legalábbis addig, amíg nem kerülnek ellentétes joghatóságok kereszttüzébe. "Globális vállalat vagyunk, amelyre minden országban, ahol működünk, vonatkoznak a törvények, beleértve az amerikai törvényeket is" - mondta David, hozzátéve, hogy ez a helyzet az USA-ban leányvállalatokkal rendelkező uniós vállalatok esetében is.
Latombe nem ért egyet ezzel, és azzal érvel, hogy az Egyesült Államokban működő európai felhőszolgáltatók csak az amerikai székhelyű leányvállalataikon keresztül tartoznak az amerikai törvények hatálya alá, ami nem igaz az AWS-re, amely egy amerikai székhelyű vállalat, amelynek globálisan meg kell felelnie az amerikai ügynökségeknek. Jean-Sébastien Mariez, a Momentum Avocats francia technológiai jogi cég alapító partnere megjegyezte, hogy "a felhőtörvény óta az adatok helye nem releváns az amerikai törvények alkalmazhatósága szempontjából". Ráadásul, bár az Amazon azt hirdeti, hogy "csak az EU-ban tartózkodó AWS-alkalmazottak" fognak hozzáférni az adatokhoz, de a holland Nemzeti Kiberbiztonsági Központ 2022-es feljegyzése szerint ez nem feltétlenül jelent védelmet a FISA és a Cloud Act törvényekkel szemben.
Párizs eddig hagyományosan számíthatott Berlin támogatására a digitális szuverenitás elveinek érvényesítésében, amelyek a nemzeti bajnokoknak kedveznek a külföldi szolgáltatókkal szemben. Ezzel szemben a kisebb tagállamok inkább az elérhető legjobb technológiát vásárolják meg, függetlenül annak származásától. A francia-német nézeteltérés a szuverén felhő koncepcióját illetően azonban már régóta kialakulóban van. A digitális szuverenitás felhő-infrastruktúrára vonatkozó eltérő értelmezései miatt a Gaia-X európai digitális szuverenitás projekt elvesztette politikai lendületét. A feszültségek az európai felhőszolgáltatási rendszer (EUCS), egy kiberbiztonsági tanúsítási rendszer kapcsán csúcsosodtak ki, ahol Franciaország - Thierry Breton biztoson keresztül - megpróbálta uniós szinten átnyomni a SecNumCloud szuverenitási követelményeit.
Ez a kísérlet a liberálisabb országok - élükön Hollandiával - jelentős ellenállásába ütközött. Mivel a liberális Szabad Demokrata Párt a jelenlegi berlini kormánykoalícióban kritikus minisztériumokat tölt be, Franciaország nemhogy nem kapott támogatást Németországtól, hanem időnként többé-kevésbé nyíltan bírálták. Ebben az összefüggésben Latombe attól tart, hogy a németek amerikapárti és franciaellenes álláspontot képviselnek, és ezért "az orosz gáztól való ipari függőségüket az amerikai digitális cégektől való függőségre cserélnék". Ezért úgy véli, hogy a C5 minősítés megadása az AWS European Sovereign felhőnek "egy sarokpont volt a francia SecNumCloud minősítésben", mivel a francia ANSSI és a német BSI hatóságoknak kölcsönös elismerési megállapodásuk van a biztonsági tanúsítványok tekintetében, bár egyelőre csak az első biztonsági szintre vonatkozóan.
A BSI szóvivője elmondta, hogy nincs konkrét kapcsolat az AWS bejelentése és a jelenleg tárgyalt EUCS között. Eközben a német digitális minisztérium azt közölte, hogy "elkötelezett amellett, hogy a német gazdaság a szükséges mértékben hozzáférhessen a biztonságos és hatékony felhőstruktúrákhoz".
Az AWS múlt heti lépése annak az általános tendenciának a része, amelynek keretében az amerikai hiperskalálók - ez a hatalmas szerverparkokkal rendelkező felhőszolgáltatókat jelölő kifejezés - igyekeznek eleget tenni azon uniós országok aggodalmainak, amelyek Európa határain belül szeretnék tartani adataikat. Korábbi példák közé tartoznak az olyan vezető piaci szereplők, mint a Microsoft, amely 2022 júliusában jelentette be Microsoft Cloud for Sovereignty ajánlatát, valamint az Oracle, amely tavaly júniusban indította el EU Sovereign Cloud ajánlatát. Az AWS az első felhőszolgáltató, amely megkapta a német Szövetségi Információbiztonsági Hivatal, a BSI C5-ös okmányát, egy német felhőbiztonsági tanúsítványt, amely ugyanazon a nemzetközi szabványon alapul, mint a SecNumCloud, Franciaország legmagasabb szintű felhőbiztonsági tanúsítványa.
Pont ez Franciaország problémája: Philippe Latombe francia centrista képviselő kifejtette, hogy attól tartanak, hogy a németek ki akarják szorítani a francia SecNumCloud felhőbiztonsági tanúsítványt. Claudia Plattner, a BSI főigazgatója közleményében úgy fogalmazott, hogy "nagyon örül az AWS felhő helyi fejlesztésének, amely a biztonság tekintetében is hozzájárul az európai szuverenitáshoz". Arnaud David, az AWS európai ügyekért felelős igazgatója szerint a vállalat olyan technikai építőelemeket hozott létre - beleértve a biztosítékokat, ellenőrzéseket és biztonsági funkciókat -, amelyek lehetővé teszik az ügyfelek számára, hogy hozzáférési korlátozásokat érvényesítsenek, így senki - az AWS-től sem - nem férhet hozzá az ügyfelek adataihoz.
Tehát az AWS nem férhet hozzá az ügyfelek adataihoz, hacsak az ügyfelek nem adják meg a hozzáférést, és az AWS titkosítási eszközöket biztosít ügyfelei számára. Ezen túlmenően az AWS európai szuverén felhőjének működését kizárólag az EU-ban lakóhellyel rendelkező, az EU-ban tartózkodó AWS-alkalmazottak fogják ellenőrizni. Azonban Latombe képviselő szerint "az AWS felhő nem lehet szuverén, mert az amerikai FISA és Cloud Act hatálya alá tartozik",- ezek olyan jogszabályok, amelyek az amerikai cégeket, amerikai állampolgárokat vagy az USA területén lévő külföldi leányvállalatokat kötelezik az amerikai biztonsági szervekkel való együttműködésre.
Arnaud David szerint "ha az AWS-t arra kérik, hogy a FISA értelmében adatokat küldjön az amerikai hatóságoknak, az Amazon minden olyan kérést megtámad, amelyet nem tart megfelelőnek, különösen, ha az ellentétes a helyi jogszabályokkal, például az EU általános adatvédelmi rendeletével (GDPR) az EU-ban". Természetesen minden vállalat megerősíti, hogy nem hoz nyilvánosságra érzékeny információkat, legalábbis addig, amíg nem kerülnek ellentétes joghatóságok kereszttüzébe. "Globális vállalat vagyunk, amelyre minden országban, ahol működünk, vonatkoznak a törvények, beleértve az amerikai törvényeket is" - mondta David, hozzátéve, hogy ez a helyzet az USA-ban leányvállalatokkal rendelkező uniós vállalatok esetében is.
Latombe nem ért egyet ezzel, és azzal érvel, hogy az Egyesült Államokban működő európai felhőszolgáltatók csak az amerikai székhelyű leányvállalataikon keresztül tartoznak az amerikai törvények hatálya alá, ami nem igaz az AWS-re, amely egy amerikai székhelyű vállalat, amelynek globálisan meg kell felelnie az amerikai ügynökségeknek. Jean-Sébastien Mariez, a Momentum Avocats francia technológiai jogi cég alapító partnere megjegyezte, hogy "a felhőtörvény óta az adatok helye nem releváns az amerikai törvények alkalmazhatósága szempontjából". Ráadásul, bár az Amazon azt hirdeti, hogy "csak az EU-ban tartózkodó AWS-alkalmazottak" fognak hozzáférni az adatokhoz, de a holland Nemzeti Kiberbiztonsági Központ 2022-es feljegyzése szerint ez nem feltétlenül jelent védelmet a FISA és a Cloud Act törvényekkel szemben.
Párizs eddig hagyományosan számíthatott Berlin támogatására a digitális szuverenitás elveinek érvényesítésében, amelyek a nemzeti bajnokoknak kedveznek a külföldi szolgáltatókkal szemben. Ezzel szemben a kisebb tagállamok inkább az elérhető legjobb technológiát vásárolják meg, függetlenül annak származásától. A francia-német nézeteltérés a szuverén felhő koncepcióját illetően azonban már régóta kialakulóban van. A digitális szuverenitás felhő-infrastruktúrára vonatkozó eltérő értelmezései miatt a Gaia-X európai digitális szuverenitás projekt elvesztette politikai lendületét. A feszültségek az európai felhőszolgáltatási rendszer (EUCS), egy kiberbiztonsági tanúsítási rendszer kapcsán csúcsosodtak ki, ahol Franciaország - Thierry Breton biztoson keresztül - megpróbálta uniós szinten átnyomni a SecNumCloud szuverenitási követelményeit.
Ez a kísérlet a liberálisabb országok - élükön Hollandiával - jelentős ellenállásába ütközött. Mivel a liberális Szabad Demokrata Párt a jelenlegi berlini kormánykoalícióban kritikus minisztériumokat tölt be, Franciaország nemhogy nem kapott támogatást Németországtól, hanem időnként többé-kevésbé nyíltan bírálták. Ebben az összefüggésben Latombe attól tart, hogy a németek amerikapárti és franciaellenes álláspontot képviselnek, és ezért "az orosz gáztól való ipari függőségüket az amerikai digitális cégektől való függőségre cserélnék". Ezért úgy véli, hogy a C5 minősítés megadása az AWS European Sovereign felhőnek "egy sarokpont volt a francia SecNumCloud minősítésben", mivel a francia ANSSI és a német BSI hatóságoknak kölcsönös elismerési megállapodásuk van a biztonsági tanúsítványok tekintetében, bár egyelőre csak az első biztonsági szintre vonatkozóan.
A BSI szóvivője elmondta, hogy nincs konkrét kapcsolat az AWS bejelentése és a jelenleg tárgyalt EUCS között. Eközben a német digitális minisztérium azt közölte, hogy "elkötelezett amellett, hogy a német gazdaság a szükséges mértékben hozzáférhessen a biztonságos és hatékony felhőstruktúrákhoz".