В середине ноября в Швейцарии произошло то, чего вряд ли кто-то ожидал в таком виде: Комиссары по защите данных страны приняли четкую, почти историческую резолюцию. Суть ее проста - и в то же время весьма противоречива: государственные органы больше не должны без колебаний передавать свои самые конфиденциальные данные международным облачным сервисам, таким как Microsoft 365. Почему?
Потому что ответственность за особо конфиденциальные данные - медицинские карты, социальные дела, уголовные расследования, внутренние документы - не должна передаваться компаниям, которые никогда технически не смогут полностью исключить доступ к этим данным. Именно в этом заключается суть швейцарского решения. Не нужно быть глубоким специалистом в области информационных технологий, чтобы понять основную идею. В прошлом важные файлы хранились в запертом картотечном шкафу в мэрии. Сегодня те же данные часто хранятся за границей - на серверах крупных американских корпораций, которые, в свою очередь, используют свои собственные партнерские компании и субподрядчиков. И даже если эти провайдеры уверяют нас, что все надежно защищено, сами власти уже не могут это проверить.
Кроме того, в публичных дебатах часто упускается из виду следующий момент: американские компании могут быть вынуждены передавать данные в соответствии с американскими законами, такими как CLOUD Act, даже если эти данные фактически хранятся в Европе. Для европейских стран, а тем более для такой страны, как Швейцария, которая традиционно придает большое значение независимости, это тяжелое бремя. На этом фоне швейцарские органы по защите данных теперь четко обозначили свою позицию:
Если государственный орган хранит данные, которые особо охраняются или даже составляют служебную тайну, то никто другой - даже поставщик облачных услуг - не должен иметь к ним доступа. А пока нет настоящего сквозного шифрования, при котором ключами управляет только орган власти, это просто невозможно при использовании современных облачных сервисов.
Швейцария, таким образом, тянет время - из осторожности, традиций и глубоко укоренившегося понимания того, что государственные данные - это особенно ценный актив. Интересно, что немецкие власти, специалисты по защите данных и ИТ-менеджеры теперь тоже внимательно следят за тем, не появился ли здесь новый стандарт.
Что на самом деле говорится в швейцарской резолюции
Как Heise Online и Внутри ИТ Как мы уже сообщали в нашем отчете, это решение было принято Конференцией по защите данных privatim, объединяющей Федерального уполномоченного по защите данных и все кантональные надзорные органы. Хотя ее решения не являются законами, они имеют огромный вес. На практике многие органы власти выполняют их рекомендации так, как будто они обязательны к исполнению - ведь они определяют, что допустимо и ответственно с точки зрения защиты данных. На кого ориентирована резолюция? Целевой группой являются органы государственной власти:
- Федеральные власти
- Кантональные офисы
- Муниципалитеты
- Суды
- Государственные учреждения
Частные компании формально не затрагиваются резолюцией. Однако если стандарты для государственных учреждений будут установлены столь строго, частному сектору будет трудно в будущем придерживаться более мягкого подхода - особенно в таких областях, как здравоохранение, образование и страхование.
Главная мысль: конфиденциальным данным не место в международных облаках
Сайт Разрешение формулирует осторожно, но однозначно: наиболее чувствительные правительственные данные не должны передаваться облачным сервисам до тех пор, пока провайдеры могут иметь к ним технический доступ. И это относится не к каким-то нишевым приложениям, а именно к тем облачным продуктам, которые многие администрации уже используют в качестве стандартных, включая
- Microsoft 365
- Рабочее пространство Google
- Различные SaaS-приложения от международных поставщиков
Проблема всегда одна и та же: не существует настоящего сквозного шифрования, когда ключи находятся у органа власти, а провайдер технически исключен. До тех пор, пока облачный сервис сам устанавливает обновления, выполняет конфигурации или имеет права администратора в случае поддержки, теоретический доступ сохраняется - и это более чем достаточный риск для швейцарских экспертов по защите данных.
Почему Швейцария проводит эту линию
Швейцарское решение следует четкой логике, которую можно подытожить классическим, почти старомодным принципом:
Вы не можете защитить то, что не входит в сферу вашего влияния. В основе этого лежат три мотива:
- Защита государственного суверенитетаГосударственные данные - это основа суверенитета. Если международные провайдеры - возможно, даже под иностранной юрисдикцией - теоретически могут получить к ним доступ, государство теряет часть этого суверенитета.
- Защита служебной тайны: Официальная тайна особенно важна в Швейцарии. Она призвана не только предотвратить политические интриги, но и обеспечить доверие граждан. Как только данные покидают пределы страны, гарантировать это доверие становится все сложнее.
- Защита особо важных персональных данныхМедицинские данные, полицейские досье, социальные дела - все это области, где несанкционированный доступ может привести к серьезным последствиям. И даже малейший риск здесь считается неприемлемым.
Какие данные особенно пострадали?
В резолюции прямо говорится об этом:
- особо важные персональные данные
- Данные, на которые распространяется установленная законом конфиденциальность (служебная тайна)
- Данные полиции, органов правосудия, социальных служб, здравоохранения, администрации
Для такой информации резолюция требует стандарта, которого не предлагают современные SaaS-системы: полного шифрования под единоличным контролем органа власти. Без этого стандарта аутсорсинг в международные облака „в большинстве случаев неприемлем“ - согласно формулировке.
Что остается делать властям?
Формально говоря, у них есть только узкий коридор:
- Облачное хранилище с собственным встроенным шифрованием
- Эксплуатация собственной ключевой инфраструктуры
- или полностью локальные решения, т.е. локальные или швейцарские провайдеры
Это не означает, что властям больше не разрешается использовать "облако" вообще. Но они должны убедиться, что у провайдера нет возможности прочитать данные открытым текстом. А это как раз то, что практически невозможно реализовать на практике с большинством современных облачных инструментов, поскольку эти системы могут выполнять свои функции только в том случае, если они сами обрабатывают данные. Таким образом, Швейцария косвенно заявляет:
„Используйте “облако" осторожно и только там, где вы можете его реально контролировать".“
И это уже сам по себе замечательный шаг, который вызывает дискуссии и за пределами Швейцарии.
Пять основных аргументов - от отсутствия сквозного шифрования до договорной лотереи.
1. отсутствие подлинного сквозного шифрования
Самый важный момент - и самый простой: пока у облачного провайдера есть технический доступ к данным, он не имеет права использовать его для особо конфиденциальной информации. И именно здесь практически все международные SaaS-предложения терпят неудачу - даже если они называют себя „безопасными“, „сертифицированными“ или „соответствующими требованиям защиты данных“. Почему? Потому что такие сервисы, как Microsoft 365, Google Workspace или другие крупные облачные платформы, работают только в том случае, если они могут обрабатывать данные, полученные в результате нашей работы: Документы, электронная почта, календари, встречи, чаты. Системы анализируют, ищут, синхронизируют и соединяют контент - такова их бизнес-модель.
Подлинное сквозное шифрование, при котором ключ находится только у органа власти, а провайдер не имеет о нем никакого представления, сделало бы эти функции практически невозможными. Именно поэтому провайдеры не предлагают полного разделения в этом отношении. Именно поэтому швейцарские эксперты по защите данных заявляют:
„Пока это невозможно, мы не можем использовать такие системы с чистой совестью“.“
2. непрозрачные цепочки субподрядчиков и отсутствие контроля
Крупные облачные провайдеры работают с огромной сетью субподрядчиков. Эти структуры часто распределены по всему миру, регулярно меняются и практически непонятны посторонним. Даже если есть государственный контракт с Microsoft или Google, в фоновом режиме часто действует следующее:
- Другие компании оказывают поддержку
- Внешние бригады выполняют работы по техническому обслуживанию
- другие поставщики услуг размещают у себя части инфраструктуры или управляют ими
Для государственного органа это означает, что он не может точно знать, кто и когда имеет или может иметь доступ к данным. А это противоречит принципу, согласно которому государственный орган должен иметь возможность постоянно отслеживать, где находятся его данные и кто потенциально может получить к ним доступ. Швейцарские власти намеренно подчеркивают этот момент, поскольку прозрачность и подотчетность тесно связаны.
3. Односторонние изменения договора - облако как юридически шаткая основа
Один из факторов риска, который часто упускается из виду, - это составление договора. Многие поставщики облачных услуг оставляют за собой право в любой момент изменить свои условия - иногда в очень короткие сроки. Это еще как-то приемлемо для частных компаний, но:
Принцип предсказуемости распространяется на органы государственной власти. Администрация должна иметь возможность документально подтвердить и обосновать, какие данные и каким образом обрабатываются. Однако если рамочные условия меняются спонтанно - из-за того, что поставщик вставляет новые пункты или ограничивает существующие, - возникает ситуация, в которой орган власти уже не может с уверенностью оценить соблюдение собственных правовых норм.
Швейцарские эксперты по защите данных считают, что такая „контрактная лотерея“ несовместима с государственными обязательствами. Государство не может полагаться на бизнес-модели, которые могут быть изменены в любой момент - без предварительного согласования.
4. потеря контроля и риск нарушения основных прав
Как только данные покидают страну или обрабатываются за пределами ее зоны ответственности, возникает риск: государство теряет часть своего контроля.
На первый взгляд это может показаться абстрактным, но в повседневной жизни это очень реально: если произойдет ошибка, если данные будут скомпрометированы или если возникнет правовой спор, государственный орган уже не сможет гарантировать, что справится без посторонней помощи. И именно это противоречит основной идее функционирующего государственного управления:
Государство должно быть способно действовать самостоятельно в чрезвычайных ситуациях - без зависимости от внешних компаний или иностранных правовых систем. Швейцарские защитники данных придерживаются здесь традиционного, почти старомодного подхода - и именно это делает их позицию столь последовательной. Государственные задачи остаются государственными задачами. А государственные данные должны находиться в руках государства.
5 Закон США о CLOUD - центральная часть проблем
Закон CLOUD Act - это, пожалуй, самая важная предыстория всей этой дискуссии. Этот закон США обязывает американские компании передавать данные властям США по запросу - даже если эти данные хранятся за границей и фактически подлежат защите иностранными законами. Для Швейцарии это абсолютное "нет-нет".
Теоретически это позволит властям США получить доступ к конфиденциальным административным данным Швейцарии без привлечения швейцарских судов и властей. Даже если провайдеры облачных вычислений уверяют, что будут предоставлять такие данные только при соблюдении строгих условий, фундаментальная проблема остается:
Власти теряют суверенитет над своими данными - просто выбрав поставщика технических услуг. Для страны, которая традиционно отстаивает свою независимость, это риск, на который не стоит идти. И именно об этом ясно говорят швейцарские эксперты по защите данных.
Швейцария против Microsoft 365 - и Германия внимательно следит за этим | хайзе и к'т
Швейцария и ЕС - два пути решения проблемы Microsoft 365
В то время как Швейцария придерживается очень осторожного подхода и прямо предостерегает власти от передачи конфиденциальных данных международным SaaS-сервисам, Европейский союз придерживается иного подхода. Он пытается найти средний путь через соглашения, усовершенствования в договорах и технические корректировки - такой, который не запрещает облачные сервисы, а скорее стремится сделать их „пригодными для использования“ путем наложения условий.
Эта разница поразительна и многое говорит о том, насколько по-разному государства относятся к вопросу цифрового суверенитета.
Швейцария: осторожность, суверенитет данных и четкая граница
Позицию Швейцарии можно выразить одним предложением:
„То, что я не могу контролировать, я не выпущу из рук“.“
Таким образом, Швейцария придерживается традиционного принципа: государственные данные - особенно секретные или особо чувствительные - остаются в стране или шифруются таким образом, чтобы никто, кроме самих властей, не мог получить к ним доступ. Это сознательный возврат к старым принципам, перенесенный в современность цифрового мира.
ЕС: договоры, исключения и компромиссные решения
Европейский союз придерживается иного подхода. Он хочет использовать преимущества крупных облачных платформ, не запрещая их полностью. С этой целью:
- Заключение новых контрактов
- Добавлены гарантии защиты данных
- Внедрение механизмов контроля и аудита
- Технические гарантии предоставляются впоследствии
Решение Европейского инспектора по защите данных о том, что Комиссия ЕС может использовать Microsoft 365 в соответствии с правилами защиты данных при определенных условиях, является показательным. Аналогичные заявления сейчас звучат из нескольких стран-членов ЕС - в том числе из Германии. Основная идея:
„Мы регулируем облако, а не запрещаем его“.“
Но такой подход основан на доверии к поставщикам услуг - и на том, что сложность остается управляемой. Критики возражают против этого: Чем больше платформа, тем сложнее ее контролировать.
Германия между двумя мирами
Германия оказалась между молотом и наковальней. Некоторые государственные органы по защите данных более осторожны, другие - более практичны.
Например, в школьном секторе уже приняты жесткие решения против Microsoft 365, в то время как на федеральном уровне ведется работа над решениями, позволяющими его использовать. Результат: лоскутное одеяло.
Именно поэтому многие сейчас обращают внимание на швейцарскую линию - ведь она впервые устанавливает четкий стандарт, а не работает на компромиссах.
Столкновение двух философий
Если говорить в двух словах, то существуют две противоположные школы мысли:
- Швейцарская традиция: „Наши данные остаются с нами - или они остаются зашифрованными, и никто их не видит“.“
- Европейская прагматика: „Нам нужны современные платформы, и мы стараемся приспособиться к ним как можно лучше“.“
У обоих подходов есть свои сильные стороны. Но Швейцария подает четкий сигнал: она показывает, что государство может сознательно сосредоточиться на цифровой независимости в XXI веке, не попадая в зависимость от глобальных корпораций.
И уже одно это отношение заставляет власти, специалистов по защите данных и ИТ-отделы по всей Европе присмотреться к тому, действительно ли прежняя практика так неопровержима, как это всегда казалось.
| Критерий / Тема | Швейцарский взгляд (частный / властный) | Современная практика или мнение ЕС/Германии |
|---|---|---|
| Целевая группа | Государственные учреждения: Конфедерация, кантоны, муниципалитеты, суды и т.д. | Органы власти и управления (частично), но многие органы власти также продолжают использовать облака SaaS; правила иногда не совпадают в зависимости от страны и федеральной земли. |
| Тип данных / чувствительность | Данные, требующие особой защиты или конфиденциальности (здравоохранение, полиция, социальные службы, официальные данные и т.д.) - требуется ограниченное использование облака. | Использование облака возможно и для конфиденциальных данных - в зависимости от оценки рисков, мер по защите данных и контракта с поставщиком; часто это компромисс и индивидуальная обработка. |
| Сквозное шифрование / суверенитет ключей | Допустимо только в том случае, если орган власти сам контролирует ключ, а поставщик технически исключен; в противном случае использование несанкционировано. | Используются стандартные "облака", даже без суверенитета собственных ключей; обычно достаточно шифрования, предоставляемого поставщиком, при условии наличия контрактов и требований по защите данных. |
| Субподрядчики / прозрачность инфраструктуры | Цепочки субподрядчиков считаются слишком непрозрачными - несанкционированное использование критически важных данных. | Цепочки субподрядчиков принимаются - с доказательствами соответствия, сертификатами и договорными положениями, но прозрачность часто ограничена. |
| Изменения в договоре / юридическая безопасность | Односторонние изменения контрактов поставщиками запрещены - нельзя рисковать государственными обязательствами. | Услуги используются, даже если поставщики могут изменить контракт; власти/компании берут на себя риски - часто с юридическими соглашениями и механизмами контроля. |
| Опасность со стороны законов США (например, CLOUD Act) | Законы США считаются неприемлемым риском - использование облака для конфиденциальных данных запрещено до тех пор, пока провайдеры могут быть подвергнуты судебным обязательствам в США. | Несмотря на Закон о CLOUD, используются международные облака; риск часто считается приемлемым, когда речь идет о механизмах защиты, границах данных или стандартных договорных положениях ЕС. |
| Рекомендуемые альтернативы | Местные, швейцарские/европейские провайдеры с суверенитетом ключей, собственной инфраструктурой или решениями для хранения данных с высоким уровнем шифрования. | Гибридное облако, провайдеры с центрами обработки данных в Европе, облачные услуги на определенных условиях; частое использование при условии соблюдения стандартов соответствия. |
| Философия / отношение | Принцип предосторожности, контроль, государственный суверенитет и максимальный суверенитет данных. | Прагматизм, способность идти на компромисс, управление рисками и доверие к условиям контракта/технической базы. |
Взгляд через границу: почему Германии нужно присмотреться к себе повнимательнее
Швейцарское постановление появилось в тот момент, когда немецкие власти и компании уже все больше сомневаются в том, как относиться к облачным сервисам. С одной стороны, экономика стремится к облачным технологиям, обещая автоматизацию, сотрудничество и экономическую эффективность. С другой стороны, возникает вопрос: насколько велика доля контроля, которую мы отдаем?
Именно в этом случае решение Швейцарии имеет сигнальный эффект. Оно поднимает зеркало над Германией и показывает, что бывает, если все продумать до конца. Это касается не только министерств и ведомств, но и школ, юридических фирм, врачебных кабинетов, малых и средних предприятий и всех, кто работает с конфиденциальными данными. Швейцарцы в основном говорят:
„Мы используем современные технологии, но не ценой нашей независимости“.“
Это предложение вполне можно было бы написать над немецкой цифровой стратегией. Пока ее нет - но решение, принятое в Берне, придало дискуссии новый импульс.
Вопрос, который не может игнорировать ни одна компания
Сегодня компаниям приходится задавать себе, казалось бы, простой вопрос - вопрос, который вряд ли был бы задан десять или пятнадцать лет назад:
„У кого есть доступ к нашим данным в случае сомнений?“
В прошлом ответ был однозначным: „Сам“. Сегодня часто звучит: "Смотря что".“
И именно это „зависит от него“ является проблемой для многих организаций. Как только данные начинают храниться в облачных системах, уже не только компания решает, кто может получить к ним доступ. Она решает:
- поставщик
- его субподрядчики
- его договорной обработчик данных
- иностранные власти (в случае американских провайдеров даже без согласия Европы)
Если взглянуть на ситуацию трезво, то можно быстро понять, что четких ответов на вопрос о подлинном суверенитете данных становится все меньше и меньше.
Вот почему швейцарская линия вдруг перестала казаться старомодной, а стала вполне современной.
Средний класс между комфортом и потерей контроля
Многие средние компании в Германии в настоящее время находятся между двумя полюсами:
- Удобство современных облачных платформ
- Файлы синхронизируются повсюду
- Видеоконференции за считанные секунды
- Интегрированные системы электронной почты, календаря и связи - Стремление к контролю, конфиденциальности и независимости
- особенно для конфиденциальных данных
- стратегические коммерческие тайны
- интеллектуальная собственность
- Данные о клиентах или сотрудниках
Решение Швейцарии показывает одно из возможных направлений: вы можете использовать технологии, но не обязаны слепо следовать всем тенденциям. Некоторые способы удобны, но удобство не всегда безопасно.
Текущий опрос о цифровизации в повседневной жизни
Мой собственный момент облака с HostEurope
Я особенно внимательно следил за развитием событий в Швейцарии, потому что некоторое время назад сам оказался в очень похожей ситуации. В HostEurope мне должны были заменить всю систему электронной почты - без консультаций, без дополнительных запросов. просто перешли на Microsoft 365 стать. Это означало бы, что мои сообщения вдруг стали бы храниться в международном "облаке", в условиях, которые я не могу контролировать, и с риском получения доступа иностранными властями в случае сомнений.
Для меня это был четкий момент, когда я сказал: Хватит - не так. Я сознательно отказался от HostEurope, потому что не хотел, чтобы мои данные были перенесены в систему, над которой у меня в конечном итоге больше не будет никакого реального контроля. Этот момент заставил меня еще раз осознать, как быстро вы можете оказаться в структурах, которые вы никогда не хотели, и как важно самому передернуть затвор, прежде чем другие возьмут под контроль ваши данные.
Что эта разработка означает для всех нас
Если трезво взглянуть на события последних лет, можно подумать, что мир на полной скорости движется к технологической зависимости. Все централизуется, стандартизируется и переносится в облако - зачастую без серьезного анализа долгосрочных последствий.
И вот теперь маленькая страна в центре Европы приходит и напоминает всем, что можно действовать иначе: вдумчиво, уважительно, осторожно - и с четким осознанием собственной ответственности. Такое отношение Швейцарии - это не шаг назад. Это возвращение к старому вопросу, который многие почти забыли в суете цифровизации:
„Кто несет ответственность, если что-то случится?“
Если ответ больше не ясен, значит, что-то не так.
Что это значит для каждого человека
В конечном счете, это решение касается не только государственных органов или крупных компаний - оно затрагивает всех, кто производит, хранит или обменивается данными.
- Не нужно быть техническим специалистом, чтобы понять, что каждый аутсорсинг стоит куска управления.
- Не нужно быть экспертом по защите данных, чтобы понять, что конфиденциальную информацию лучше хранить, зная, где она хранится.
- И не нужно быть юристом, чтобы понять, что иностранные законы могут быть проблематичными, если они могут принимать решения в отношении ваших собственных данных.
Достаточно здравого смысла. Именно его и пытается вернуть на первый план Швейцария.
Решение Берна - это не призыв к враждебности по отношению к технологиям, а обращение к нашим собственным стандартам. Это напоминание о том, что цифровизация не означает слепого подчинения крупнейшим провайдерам, а означает необходимость спросить себя, насколько велика наша ответственность. О теме Облако и суверенитет данных В прошлом я уже писал об этом статью.
Предприниматели, которые выступают за Программное обеспечение ERP без облака вы найдете полезную информацию в этой отдельной статье.
В каком-то смысле Швейцария показывает нам то, что мы все давно знаем, но часто подавляем: Суверенитет начинается не с технологий - он начинается с отношения. С того, как вы принимаете решения. С готовности критически оценивать происходящее.
И с мужеством выбрать другой путь, если это необходимо, если это более разумно.
Часто задаваемые вопросы
- Почему Швейцария заняла такую строгую позицию по отношению к международным облачным сервисам, таким как Microsoft 365?
Швейцария придерживается четкого принципа: государственные данные должны быть защищены таким образом, чтобы никто, кроме компетентных органов, не мог получить к ним доступ. Международные поставщики облачных услуг технически и юридически никогда не могут полностью исключить возможность того, что данные могут быть доступны им в чрезвычайной ситуации - будь то по причинам технического обслуживания, через права администратора или по запросам правительства их страны. Это неприемлемый риск для особо чувствительных данных, например, обрабатываемых в административных, судебных, полицейских или медицинских системах. Поэтому швейцарские органы по защите данных делают логический вывод и жестко ограничивают использование облачных сред до тех пор, пока не будет обеспечено подлинное сквозное шифрование, находящееся под исключительным ключевым суверенитетом органа власти. - Относится ли это решение ко всем данным или только к определенным категориям?
Резолюция в первую очередь касается данных, которые являются особенно чувствительными или подлежат конфиденциальности, включая медицинские данные, социальные досье, следственную информацию и внутреннюю переписку с властями. Швейцария требует высочайших стандартов безопасности для этих категорий, которым международные SaaS-платформы в настоящее время не соответствуют. Менее чувствительные данные все же могут быть переданы на аутсорсинг, но только после тщательной оценки рисков и при соблюдении определенных мер защиты. - Затронуты ли также компании в Швейцарии?
Формально постановление предназначено исключительно для государственных учреждений. Однако на практике оно окажет влияние и на компании, особенно те, которые обрабатывают конфиденциальные или охраняемые законом данные - например, больницы, страховые компании, банки или образовательные учреждения. Если государственным органам больше не разрешается пользоваться определенными услугами, частным организациям будет сложнее классифицировать эти услуги как „абсолютно беспроблемные“. - Какова самая большая техническая проблема Microsoft 365 с точки зрения швейцарцев?
Главная проблема - отсутствие подлинного сквозного шифрования. Microsoft 365 требует доступа к содержимому, чтобы включить такие функции, как поиск, индексирование, командные чаты, календари, защита от спама или функции искусственного интеллекта. Это означает, что серверы и администраторы технически всегда могут видеть открытый текст. Даже если Microsoft подчеркивает, что не делает этого, такая возможность остается - и именно эта теоретическая возможность представляет опасность для швейцарских властей. - Какую роль в принятии решения играет закон США о CLOUD?
Закон CLOUD Act обязывает американские компании передавать данные по запросу американских властей - даже если они хранятся за границей. Для Швейцарии это означает, что даже если Microsoft использует европейские или швейцарские центры обработки данных, данные могут быть доступны американским властям. Такой возможный доступ противоречит швейцарскому пониманию суверенитета и служебной тайны. Поэтому закон CLOUD Act приводится в качестве серьезного контраргумента. - Почему Швейцарии недостаточно договоров или „границ данных ЕС“?
Договоры и технические меры защиты - ценные инструменты, но они не меняют правовую реальность. Если американская компания обязана передавать данные, в договоре об этом ничего не сказано. Кроме того, крупные поставщики облачных услуг могут в любой момент изменить свои условия. Поэтому швейцарские эксперты по защите данных утверждают, что правовая уверенность обеспечивается не обещаниями, а фактическим контролем над данными, а этот контроль в облаках SaaS предоставляется не в полной мере. - Что конкретно означает эта резолюция для властей?
В будущем властям придется доказывать, что они не передают конфиденциальные данные таким образом, чтобы поставщик облачных услуг мог получить к ним доступ. С практической точки зрения это означает, что Microsoft 365 и другие международные SaaS-платформы больше не могут использоваться для работы с такими данными. Органы власти должны либо полагаться на местные решения, либо переходить на швейцарских провайдеров, либо использовать собственные механизмы шифрования, при которых провайдер не имеет никакого доступа. - Могут ли власти продолжать пользоваться облачными сервисами, если они используют собственное шифрование?
Да, но только если орган власти сохраняет полный контроль над ключами, а провайдер технически исключен. Проблема в том, что многие облачные сервисы перестают работать, если контент шифруется перед обработкой. Поэтому на практике Microsoft 365 можно использовать только как чистое решение для хранения данных - без инструментов для совместной работы, системы электронной почты, календаря, Teams и автоматизированных функций Office. - Чем позиция Швейцарии отличается от нынешней линии ЕС?
ЕС стремится сделать использование Microsoft 365 соответствующим нормам защиты данных путем заключения соглашений, аудита и договорных гарантий. Цель состоит в том, чтобы использовать преимущества облака, не ставя их под сомнение. Швейцария, напротив, отдает предпочтение принципу предосторожности и проводит четкую линию: без полного контроля над данными их использование недопустимо. Таким образом, возникает контраст между европейским прагматизмом и швейцарской последовательностью. - Как немецкие власти реагируют на это событие?
Многие немецкие государственные организации по защите данных внимательно следят за решением Швейцарии. Некоторые из них уже критиковали Microsoft 365 - например, в школах, где механизмы отслеживания и неясные потоки данных подвергались критике. Швейцарское решение может послужить аргументом в пользу этого: Если страна с высокими стандартами ограничивает использование, немецким властям будет сложнее занять более либеральную позицию, не имея достаточных оснований для этого. - Почему прозрачность играет такую важную роль для субподрядчиков?
Крупные облачные провайдеры используют глобальные сети партнеров и субподрядчиков для поддержки, обслуживания и предоставления технических услуг. Государственному органу практически невозможно понять, какие компании и когда могут получить доступ. Именно эта непрозрачность не позволяет правильно оценить риски. Швейцария видит в этом фундаментальную проблему: государственному органу необходимо знать, кто может получить доступ к его данным, а это практически невозможно в сложных облачных структурах. - Как это решение повлияет на дебаты о цифровом суверенитете в Европе?
Позиция Швейцарии служит катализатором. Многие страны ЕС уже много лет говорят о цифровом суверенитете, но часто полагаются на одних и тех же глобальных провайдеров. Теперь Швейцария демонстрирует, что государство может последовательно действовать и по-другому. Это решение оживит европейские дебаты - особенно в области правосудия, управления и медицинских данных, где жесткая линия может показаться особенно разумной. - Что могут извлечь компании из этого события?
Компании должны понимать, что передача данных на аутсорсинг всегда означает потерю контроля. Решение швейцарского суда - это напоминание о том, что необходимо тщательно проверять, какие данные куда передаются. Компаниям следует подумать, не лучше ли оставить некоторые критически важные области на местах или в суверенных инфраструктурах - даже если на первый взгляд облако кажется более удобным. - Является ли решение Швейцарии шагом назад в прошлое?
Нет, это скорее возвращение к фундаментальным принципам, которые иногда теряются при цифровизации: Ответственность, контроль, прослеживаемость. Швейцария использует современные технологии, но не согласна терять при этом суверенитет над своими самыми конфиденциальными данными. Такое отношение кажется старомодным, но на самом деле оно ориентировано на будущее. - Какие альтернативы есть у властей или компаний, если они хотят обойтись без облачных сервисов?
Есть несколько вариантов: локальные серверы, швейцарские или европейские провайдеры со строгим суверенитетом данных, гибридные модели с собственным шифрованием или полностью самостоятельная инфраструктура. Эти варианты не так удобны, как нажатие кнопки „Подписаться на Microsoft 365“, но они усиливают контроль - и вполне достаточны для многих чувствительных приложений. - Какую роль в этом контексте играет ваш собственный инцидент с HostEurope?
Этот инцидент - типичный пример того, как быстро вы можете оказаться втянутыми в структуры, которых вы не хотели. Если провайдер хочет перевести вашу электронную почту на Microsoft 365, не посоветовавшись с вами, вы одновременно теряете часть своего суверенитета - и совершенно без спроса. Ваше решение немедленно отказаться от использования Microsoft 365 было в конечном итоге шагом в том же направлении, в котором сейчас официально движется Швейцария: Контроль вместо удобства. Именно поэтому эта история является хорошим примером практической значимости швейцарской позиции. - Что все это значит для частных лиц, которые не работают в государственном секторе?
Частные лица также должны быть более осведомлены о том, где хранятся их данные. Сегодня многие люди автоматически пользуются международными платформами, не задумываясь о том, как далеко эти компании могут заглянуть в их цифровую жизнь. Решение Швейцарии - это напоминание о том, что не стоит относиться к собственным данным как к чему-то второстепенному, ведь безопасность всегда начинается с личного решения о том, кому вы доверяете. - Как может развиваться ситуация в ближайшие несколько лет?
Вполне возможно, что Швейцария этой резолюцией задает тенденцию, которая впоследствии будет принята в ЕС. Дискуссия о суверенитете становится не слабее, а сильнее. Государства и компании все больше осознают, что облако - это не закон природы, а выбор. И как любой выбор, он может быть пересмотрен - особенно если в какой-то момент риски покажутся выше удобств.
