Почему Франция плохо обращается с Microsoft в Office и облаке Azure
Франция сообщает, что предложение Microsoft Office 365 в Azure не соответствует требованиям доктрины государственного облака. Все подробности
15 сентября 2021 года межведомственный директор Digital Nadi Bou Hanna выпустила пресс-релиз для министерств, в котором сообщила им, что предложение Microsoft Office 365 в облаке Azure не соответствует требованиям государственной французской облачной доктрины (облако в центре), и в частности его правило R9.
Он предусматривает, что обработка конфиденциальных данных должна быть возможна только квалифицированными провайдерами хостинга, а также защищена от любых экстерриториальных законов (Закон об облачных технологиях, FISAA и т. Д.). После этого пресс-релиза французские администрации больше не должны использовать службу Microsoft.
В ответ на этот пресс-релиз восемь французских игроков собрались вместе, чтобы предложить группу альтернативных решений для Office 3655. Atolia, Jalios, Jamespot, Netframe, Talkspirit, Twake, Whaller и WIMI, у которых 3 миллиона пользователей и 100% суверенное предложение. организовано европейскими игроками. Коллектив отмечает, что все эти решения подходят для интеграции в сертифицированные инфраструктуры SecNumCloud.
Национальное агентство информационных систем (ANSSI) предлагает визу безопасности под названием SecNumCloud с 2016 года. Этот бренд предназначен для поставщиков облачных услуг (IaaS, PaaS и SaaS), которые хотят предоставить гарантии качества предоставляемых услуг и уровня доверие, которое можно им оказать. Это также сильный маркетинговый актив, потому что бренд SecNumCloud широко известен во Франции и свидетельствует о современном уровне безопасности, сертифицированном ANSSI. Этот знак присуждается поставщикам, которые соответствуют всем требованиям безопасности, определенным ANSSI, и прошли оценку соответствия утвержденной организацией. Таким образом, лейбл SecNumCloud позволяет клиентам быть уверенными в безопасности, реализованной в облачном предложении, на которое они подписаны. На конференции по кибербезопасности 2021 года ANSSI выпустила новую версию SecNumCloud. Эта новая версия обеспечивает критерии неприкосновенности против законов, не входящих в ЕС, особенно американских.
Таким образом, запрет на использование Microsoft Office 365 во французских администрациях ставит под сомнение законность размещения медицинских данных из Health Data Hub (HDH) в инфраструктурах Microsoft, которые не сертифицированы SecNumCloud и подпадают под действие законодательства США. HDH, созданный в 2019 году, представляет собой проект по объединению данных о состоянии здоровья более 67 миллионов человек и направлен на содействие развитию искусственного интеллекта в области здравоохранения путем предоставления данных различным полюсам медицинских исследований. Корпорация Майкрософт была выбрана для размещения этих данных, в первую очередь с ее сертификатом «Хосты данных о состоянии здоровья» (HDS). Этот выбор подвергся резкой критике, поскольку в Соединенных Штатах есть законодательные инструменты (FISAA, закон об облачных вычислениях), которые могут подорвать конфиденциальность данных, размещаемых поставщиками облачных услуг в соответствии с законодательством США, даже если они расположены в центрах обработки данных на европейской территории. В целях регулирования передачи персональных данных в Соединенные Штаты в 2016 году было заключено соглашение с Европой под названием «Privacy Shield».
«Privacy Shield» обеспечивает гарантии защиты личных данных граждан Европы, хранимых и обрабатываемых компаниями, базирующимися в Соединенных Штатах. Таким образом, «Privacy Shield» теоретически сделал возможным защиту личных данных, хранящихся, например, в инфраструктурах Microsoft Office 365.
Однако 16 июля 2020 года Суд Европейского Союза признал недействительным «Privacy Shield», посчитав, что он не соответствует Общему регламенту защиты данных (GDPR), и, таким образом, объявил незаконной передачу персональных данных в США. при отсутствии мер. После признания недействительным «Privacy Shield» и из опасения передачи данных о состоянии здоровья в США ассоциации и союзы обратились в Государственный совет с просьбой об экстренной приостановке работы платформы HDH. 14 октября 2021 года Государственный совет указал, что никакие личные данные, хранящиеся в центре обработки данных Microsoft, не могут быть переданы за пределы Европейского Союза в соответствии с соглашением с Microsoft. Однако судья показал, что не исключено, что американские власти в рамках программ мониторинга и разведки могут запросить у Microsoft и ее ирландского филиала доступ к определенным данным.
Чтобы решить эту проблему в краткосрочной перспективе, Государственный совет попросил CNIL работать с Microsoft над усилением мер безопасности, связанных с HDH. Однако он считал, что выявленный риск не оправдывает краткосрочное прекращение ГДГ. Что касается будущего HDH, министр здравоохранения упомянул в ноябре 2020 года о желании найти «новое техническое решение» для защиты HH от «возможного незаконного раскрытия информации американским властям (…) в максимально возможные сроки. от 12 до 18 месяцев и, в любом случае, не более двух лет ". Цель состоит в том, чтобы дать французским и европейским актерам время подготовиться к проведению HDH.
Примечательно, что в Соединенных Штатах есть два законодательных оружия, которые позволяют федеральным властям получать доступ к данным клиентов поставщиков облачных услуг.
Первый, Закон об облачных технологиях, позволяет судам США запрашивать личные сообщения человека от поставщиков услуг, работающих в Соединенных Штатах, без уведомления этого лица, ни властей страны его проживания, ни властей страны, в которой эти данные хранятся в архиве. Закон об облачных технологиях также применяется к иностранным компаниям, работающим на территории США.
Второй, называемый FISAA (FISA закон поправка), является поправкой к Закону о внешних разведках Surveillance 1978 , который описывает физические и электронные наблюдения процедур и позволяет для сбора информации об иностранных державах. FISAA позволяет осуществлять массовый мониторинг и распространяется на все данные в облаке. Цель, в частности, АНБ (Агентства национальной безопасности), состоит в том, чтобы иметь возможность перехватывать, расшифровывать, копировать, анализировать и архивировать все глобальные сообщения, которые проходят через спутники, кабели … В частности, этот закон разрешил использование инструментов наблюдения, используемых АНБ и ФБР в рамках проекта PRISM, раскрытого Эдвардом Сноуденом в 2013 году.
Эти два закона затем позволяют федеральным властям требовать от игроков облачных вычислений в США предоставлять данные по запросу, даже на серверах, расположенных в Европе, без уведомления отдельных лиц или организаций. Следовательно, проект Gaia-X, который является немецко-французской инициативой, запущенной в июне 2020 года, направлен на то, чтобы предложить европейский ответ на рост GAM (Google, Amazon, Microsoft) и облака Alibaba (китайский поставщик облачных услуг) путем обмена технологическими и отраслевые данные среди его членов. Идея состоит не в создании единой компании, а в том, чтобы полагаться на принцип децентрализации для создания «европейской инфраструктуры данных». Например, для автономной исследовательской деятельности Gaia-X может предоставить очень большой объем данных благодаря всем своим активным участникам в этом сегменте. Однако недавно проект Gaia-X подвергся критике, когда в ассоциации появились новые члены Google, Microsoft, Amazon, Alibaba, Palantir, Huawei … Для сторонников цифрового суверенитета поддержка этих участников противоречит первоначальной цели проекта и дискредитирует преследуемые цели.
Со своей стороны, Gaia-X отвечает, что речь не шла о создании суверенного и безопасного облака и экосистемы данных, поддерживаемых 100% европейскими игроками, а о том, чтобы пригласить американских и китайских поставщиков к столу для сотрудничества.
Это автоматический перевод публикации, опубликованной в журнале Start Magazine по адресу https://www.startmag.it/innovazione/microsoft-office-365-cloud/ в Tue, 23 Nov 2021 06:27:43 +0000.