Nedavnom najavom 'novog, neovisnog clouda za Europu' tvrtke Amazon Web Services (AWS) došle su do izražaja sve veće razlike između Pariza i Berlina u gledanju na 'digitalnu suverenost' u sektoru računarstva u oblaku
Prošlotjedna najava AWS-a dio je općeg trenda u kojem američki pružatelji usluga cloud computinga žele odgovoriti na zabrinutosti europskih regulatora koji sve više žele da se europski podaci zadrže u Europi.
Slično su već postupili i drugi veliki igrači, kao što su Microsoft, koji je u srpnju 2022. najavio svoj program Microsoft Cloud for Sovereignty, i Oracle, koji je u lipnju pokrenuo svoj EU Sovereign Cloud.
Vrše pritisak
"Ono što mene najviše zabrinjava jest to što je njemački Savezni ured za informacijsku sigurnost (BSI) odobrio AWS-ov europski suvereni cloud," izjavio je za Euractiv francuski centristički europarlamentarac Philippe Latombe, jer, kako kaže, postoji bojazan da će "Nijemci početi vršiti pritisak" na najviši francuski sigurnosni certifikat za cloud, nazvan SecNumCloud.
AWS je zapravo prvi pružatelj usluga u oblaku koji je dobio BSI-jev C5 test, njemački certifikat o sigurnosti u oblaku, na temelju istog međunarodnog standarda kao SecNumCloud.
Direktorica njemačke agencije BSI Claudia Plattner rekla je u priopćenju kako je "vrlo zadovoljna konstruktivnim praćenjem lokalnog razvoja AWS-ovog clouda, koji će pridonijeti europskom suverenitetu u smislu sigurnosti [podataka]".
Što je uopće 'siguran oblak'?
Kako kaže Arnaud David, direktor za europska pitanja u AWS-u, postavljeni su tehnički mehanizmi - što uključuje zaštitne mjere, kontrole i sigurnosne značajke - koje korisnicima omogućavaju da upravljaju ograničenjima pristupa podacima, tako da nitko, uključujući i sam AWS, ne može njima neovlašteno pristupati.
Nadalje je objasnio da AWS ne može pristupiti podacima o korisnicima, osim ako mu oni sami ne omoguće pristup, i da AWS svojim klijentima pruža alate za enkripciju podataka. Osim toga, isključivo zaposlenici AWS-a koji se fizički nalaze u EU će moći kontrolirati operacije europskog suverenog oblaka AWS-a.
Sukob jurisdikcija
"Ali cloud AWS-a ne može biti suveren jer i dalje podliježe američkim zakonima FISA i Cloud Act", kaže Latombe, koji američkim kompanijama, državljanima, ili podružnicama stranih tvrtki na teritoriju SAD-a nalaže suradnja s američkim sigurnosnim agencijama.
Prema Davidu "ako se od AWS-a zatraži slanje podataka američkim vlastima u okviru zakona FISA, Amazon će osporavati svaki takav zahtjev kojeg smatra neprimjerenim, posebice ako je u suprotnosti s lokalnim pravnim propisima, kao što je europska Opća uredba o zaštiti podataka (GDPR)".
Naravno, svaka kompanija tvrdi da neće vlastima predavati osjetljive informacije, barem dok se ne nađu u unakrsnoj paljbi različitih jurisdikcija.
"Mi smo globalna kompanija na koju se primjenjuju zakoni svake zemlje u kojoj poslujemo, što uključuje i američke zakone", kaže David i dodaje da isto vrijedi i za kompanije iz EU koje imaju podružnice u SAD-u.
Latombe se ne slaže s tim objašnjenjem i tvrdi kako europski pružatelji računalstva u oblaku koji posluju u SAD-u podliježu američkim zakonima samo kad se radi o podružnicama koje su smještene u Americi, što nije slučaj s AWS-om, američkom tvrtkom koja se globalno mora pridržavati propisa američkih državnih agencija.
Jean-Sébastien Mariez, osnivač i partner francuske tehnološke odvjetničke tvrtke Momentum Avocats, ističe da je "lokacija podataka nevažna za primjenjivost američkih zakona".
Osim toga, iako Amazon kaže da će "isključivo zaposlenici AWS-a locirani u EU" imati pristup podacima, izvještaj nizozemskog Nacionalnog centra za kibernetičku sigurnost (NCSC) iz 2022. navodi se da to ne znači nužno zaštitu od dosega američkih zakona FISA i Cloud Act.
Francusko-njemačko razilaženje
Pariz je dosad uvijek mogao računati na podršku Berlina u promicanju načela digitalne suverenosti koja favoriziraju njihove tvrtke u odnosu na strane pružatelje cloud usluga. S druge strane, manje države članice radije kupuju najbolju tehnologiju koja im je dostupna, bez obzira na njezino podrijetlo.
No, francusko-njemačko razilaženje oko koncepta za suvereni cloud već dugo se povećava. Različita shvaćanja o tome što zapravo znači imati digitalni suverenitet u području infrastrukture za računalstvo u oblaku razlog su što je europski projekt digitalnog suvereniteta Gaia-X izgubio svoj politički zamah.
Te napetosti su kulminirale u okviru Programa europskih usluga u oblaku (EUCS), programa za certificiranje kibernetičke sigurnosti u kojem je Francuska, preko povjerenika Thierryja Bretona, pokušala kriterije iz francuskog certifikata SecNumCloud uvesti i na razinu EU.
No, to je naišlo na otpor nekih liberalnijih država članica predvođenih Nizozemskom. Budući da njemačka liberalna stranka FDP zauzima ključna ministarstva u sadašnjoj koalicijskoj vladi u Berlinu, Francuska ne samo da nije za to dobila podršku Njemačke, već se zbog toga povremeno nalazi i pod kritikama.
'Nijemci sve više zauzuimaju proamerički i protufrancuski stav'
U tom kontekstu, Latombe kaže da strahuje kako Nijemci sve više zauzimaju "proamerički i antifrancuski" stav i idu prema tome da "zamijene svoju industrijsku ovisnost o ruskom plinu za ovisnost o američkim digitalnim kompanijama".
Zato smatra da je izdavanje njemačkog C5 certifikata europskom suverenom oblaku AWS-a trojanski konj za zaobilaženje francuskih SecNumCloud pravila, s obzirom na to da francuska agencija ANSSI i njemačka BSI imaju sporazum o uzajamnom priznavanju sigurnosnih certifikat, iako to zasad vrijedi samo za najnižu razinu sigurnosti.
Iz BSI-ja su odgovorili Euractivu kako nema nikakve veze između priopćenja AWS-a i europskog EUCS-a i kojemu se još uvijek raspravlja, a njemačko ministarstvo za digitalne poslove priopćilo je kako je "posvećeno osiguravanju pristupa [njemačkog] gospodarstva sigurnim i snažnim cloud strukturama".
Francuska agencija ANSSI i državno digitalno ministarstvo odbili su odgovoriti na upit Euractiva, a Latombe je u ponedjeljak na društvenim mrežama rekao kako je o tome uputio pisani upit francuskom ministru za digitalni sektor Jean-Noëlu Barrotu.
(Preveo David Spaić-Kovačić. Originalan članak pročitajte ovdje: France and Germany increasingly drift apart on digital sovereignty of cloud sector)