אבטחת מידע וריבונות דיגיטלית באירופה: האם ההשקעות של מיקרוסופט באירופה הוכיחה נתונים? - תמונה: xpert.digital
מדוע מיקום השרת אינו מבטיח אבטחת מידע
מיקרוסופט הודיעה לאחרונה על השקעות נרחבות באירופה, כולל אבטחת קוד המקור בשוויץ והרחבת תשתית הענן שלה. אמצעים אלה מתפרשים בתגובה לחוסר וודאות פוליטית ודאגות הולכות וגוברות של לקוחות אירופאים. למרות מאמצים אלה, קיים קונפליקט מהותי בין החוק האמריקני לתקנות הגנת המידע האירופית, מה שמעלה את השאלה האם מיקום שרת אירופי יכול למעשה להציע הגנה מספקת. דוח זה מנתח את הבטחתו של מיקרוסופט לאירופה, מסביר את הסכסוך החוקי בין חוק הענן האמריקני ל- GDPR ובוחן מדוע המיקום הפיזי של הנתונים בלבד אינו מספק כל ערובה לאבטחת מידע וריבונות.
מתאים לכך:
ההבטחות הדיגיטליות החדשות של מיקרוסופט לאירופה
לאור מאבקי הסחר וההחלטות הפוליטיות הפתאומיות שנערכו תחת ממשלת טראמפ, לקוחות רבים באירופה איבדו אמון במוצרים דיגיטליים מארצות הברית. מיקרוסופט מגיבה לכך עם הבטחות קונקרטיות והשקעות באירופה.
השקעות תשתית נרחבות
מיקרוסופט הודיעה כי תרחיב את יכולות מרכז הנתונים שלה באירופה בכ -40 אחוזים בשנתיים הקרובות ולהרחיב אותה ל -16 מדינות אירופאיות. לצורך הרחבה זו החברה מתכננת השקעות שנתיות בגובה מיליארד דולר כפול. אמצעים אלה צריכים לא רק לשרת את הביקוש ההולך וגובר לשירותי ענן ותשתיות AI, אלא גם לחזק את אמון הלקוחות האירופיים.
בראד סמית ', הצדק ונשיא מיקרוסופט, מדגיש את הקשר הכלכלי ההדוק עם אירופה בפוסט הבלוג שלו ומבטיח שמיקרוסופט לא תסוג מהאזור. על מרכזי הנתונים האירופיים לפעול באופן עצמאי ונמצאים בניהולם של אזרחי האיחוד, לפיהם יש לכבד וליישם את החוקים האירופיים.
אבטחת קוד מקור שוויצרי והמשכיות תפעולית
הבטחה מדהימה במיוחד היא לאבטח את קודי המקור של מיקרוסופט בשוויץ. החברה יוצרת גיבויים של קודי המקור שלה באחסון נתונים בטוח בשוויץ ומעניקה זכויות גישה משפטיות לשותפים אירופיים. אמצעי זה משמש כתוכנית חירום ל"המקרה הלא סביר "שמיקרוסופט צריך להכריח אי פעם להפסיק את שירותיו באירופה.
מיקרוסופט מתכננת גם לקרוא לשותפים אירופיים ולנקוט אמצעי זהירות לחירום שאמורים להבטיח המשכיות תפעולית. זה כבר מיושם על ידי שותפויות בצרפת ובגרמניה עם מרכזי הנתונים של Bleu ו- Delos.
מגבלת נתוני האיחוד האירופי: התשובה של מיקרוסופט לדאגות להגנת המידע
מרכיב מרכזי באסטרטגיה של מיקרוסופט באירופה הוא יישום מה שמכונה "מגבלת נתוני האיחוד האירופי" (גבול נתוני האיחוד האירופי) עבור ענן מיקרוסופט.
מעון נתונים מקיף בתוך האיחוד האירופי
מאז ינואר 2024, לקוחות אירופאים מהמגזר המסחרי והציבורי הצליחו לשמור ולעבד את כל הנתונים והגילוי שלהם למשתמשים עבור שירותי הענן המרכזיים של מיקרוסופט כולל מיקרוסופט 365, Dynamics 365, פלטפורמת הכוח ושירותי Azure. השלב השלישי והאחרון של מגבלת הנתונים של האיחוד האירופי הושלם בפברואר 2025, לפיו הורחבה גם המגבלה לנתוני שירות מקצועיים של מיקרוסופט מאינטראקציות בין תמיכה טכנית.
עם הצעה זו, מיקרוסופט עוברת צעד אחד קדימה מספקי ענן רבים אחרים: החברה לא רק מאפשרת אחסון ועיבוד מקומי של נתוני לקוחות, אלא גם מכל הנתונים האישיים, כולל אלה שנוצרו אוטומטית.
אפשרויות אבטחה נוספות
מיקרוסופט מציעה ללקוחות אירופאים מספר אפשרויות לאבטחה והצפנת הנתונים שלהם. זה כולל מחשוב סודי ב- Azure, המונע צדדים שלישיים-כולל נתוני לקוחות של מיקרוסופט עצמה, כמו גם פונקציות "LockBox" עבור Azure, Dynamics 365 ו- Microsoft 365, איתם לקוחות יכולים לבדוק ולאשר לפני שמיקרוסופט ניגשת לנתונים שלהם.
אפשרויות אבטחה אחרות כוללות מפתח Azure Vault ומפתח הלקוחות של Microsoft Purview, המאפשרים ללקוחות לאבטח את הנתונים שלהם באמצעות טכנולוגיית הצפנה מבוקרת עצמית.
הסכסוך הבסיסי: מעשה ענן לעומת GDPR
למרות כל המאמצים וההבטחות, קיים סכסוך משפטי בסיסי שמעלה את השאלה האם נתוני החברות האירופיות באמת בטוחים מפני ספקים בארה"ב.
הטווח החיצוני של חוק הענן
חוק הענן (הבהרת חוק החוק לחו"ל של חוק נתונים), שנכנס לתוקף בשנת 2018, מאפשר לרשויות התביעה הפלילית של ארה"ב להכריח חברות שבסיסו בארצות הברית להעניק גישה לנתונים, ללא קשר למקום בו הנתונים מאוחסנים פיזית. זה חל גם על נתונים המאוחסנים באיחוד האירופי, אך מנוהלים על ידי חברות אמריקאיות או על חברות הבת שלהן.
החוק מחייב חברות אינטרנט אמריקאיות וספקי שירותי IT להבטיח כי לרשויות בארה"ב גישה גם לגישה לנתונים מאוחסנים אם האחסון לא נוצר בארצות הברית. החברות הנוגעות בדבר רשאיות לזכות להתנגד אם בעל הנתונים אינו אזרח אמריקני והחברה תפר את החוק במדינות אחרות-בכל אופן, הדבר חל רק על מדינות שסיכמו הסכם על פי חוק הענן, וזה כיום המקרה בבריטניה.
הסתירה ל- GDPR
תקנת הגנת המידע הכללית האירופית (GDPR) נמצאת בסתירה ישירה לחוק הענן. סעיף 48 ל- GDPR אוסר על חברות העברת נתונים המובטחים בתוך האיחוד האירופי ללא הסכם סיוע משפטי. ניתן להעניש הפרה של הוראה זו בקנסות של עד 20 מיליון יורו או ארבעה אחוזים מהמחזור השנתי העולמי.
אי התאמה זו של חוק הענן האמריקני והרגולציה הכללית להגנת נתונים של האיחוד האירופי מביאה חברות המשתמשות בשירותי ענן לדילמה בלתי ניתנת לפתרון. הם מתמודדים עם הבחירה בהפרה של חוק הענן או נגד ה- GDPR, אם כי שניהם יכולים להוביל לסנקציות משמעותיות.
מתאים לכך:
מדוע מיקום השרת אינו מבטיח אבטחת מידע
בניגוד להנחה הרחבה, עצם העובדה שהנתונים נשמרים בשרתים בתוך גרמניה או שהאיחוד האירופי אינו מציע הגנה מספקת מפני גישה זרה.
שגיאת אבטחת המידע באמצעות בחירת המיקום
ההרשעה כי נתונים על שרתים בגרמניה מוגנים אוטומטית מפני גישה זרה נקראת "שגיאה מסוכנת". גם אם נתונים אישיים מאוחסנים במרכזי נתונים באיחוד האירופי, ספק ענן אמריקאי יכול להיות מחויב כחוק להעביר נתונים אלה לרשויות בארה"ב בהקשר של חקירות פליליות.
יש סיכון ספציפי, במיוחד אם לספק הענן יש את המטה שלו בארצות הברית או עובד שם, עיבוד נתונים באמצעות תשתית ארה"ב או לחברה אמריקאית יש גישה ישירה או עקיפה לנתונים. במקרים כאלה, קיימת האפשרות שרשויות ארה"ב יקבלו גישה לנתונים אישיים, גם ללא ידיעתם או הסכמתם של האנשים הנוגעים בדבר באירופה.
איום על סודות קניין רוחני ועסקים
הבעיה חורגת מההגנה על נתונים אישיים. חוק הענן מכיל סיכונים אמיתיים המסכנים גם את האבטחה והסודיות של כל סוגי הנתונים הרגישים, כולל קניין רוחני, אבות -טיפוס של F&E, נתוני לקוחות ותקשורת פרטית.
גם אם נתונים מאוחסנים במרכזי נתונים של האיחוד האירופי, חברת Act Act Us יכולה לאלץ נתונים אלה לפרסם נתונים אלה. זה לא רק מערער את ההגנה על ה- GDPR וריבונות הנתונים של האיחוד האירופי, אלא גם חושף מידע עסקי קריטי, כגון אבות -טיפוס או תוכניות אסטרטגיות, הסיכון לגישה בלתי מורשית.
בשל אפשרויות הגישה הפוטנציאליות של רשויות ארה"ב, "חברות למעשה מאבדות את הריבונות על המידע שלהן ובכך לגבי הקניין הרוחני שלהן", מה שקשור במיוחד לסודות העסקים והחברות.
גישות פתרונות ליותר ריבונות נתונים
לאור הבעיה המתוארת, נשאלת השאלה באשר לאילו מדדים חברות יכולות לנקוט כדי להגן על ריבונות הנתונים שלהן.
ספקי ענן אלטרנטיביים ומדדים טכניים
הגנה אפקטיבית מפני גישה המבוססת על חוק הענן מובטחת רק אם כל הספקים וספקי המשנה החוקיים מחוץ לחוק ארה"ב, משתמשים באופן בלעדי בתשתית אירופאית והצפנה מקצה לקצה מיושמת באמצעות בקרת מפתח למשתמש באופן בלעדי.
מומחים ממליצים אפוא לנקוט באמצעי הזהירות הבאים בבחירת ספק אחסון או גיבוי בענן:
- בחירת ספק מבוסס האיחוד האירופי שאינו כפוף לחוק הענן
- ערבויות לריבונות נתונים בהן גם הנתונים וגם מפתח ההצפנה נשארים לחלוטין בתוך האיחוד האירופי
- הוספת מומחים משפטיים ותאימות המתמחים ב- GDPR והגנה על נתונים
גישות אלטרנטיביות: קוד פתוח כאסטרטגיה
שוויץ עוברת דרך אלטרנטיבית מעניינת: באפריל 2023 הוחלט על החוק הפדרלי לשימוש במשאבים אלקטרוניים למלא את הרשויות (EMBAG), הקובע כי יש לחשוף תוכנה ממשלתית להיות קוד פתוח ויש לחשוף את קוד המקור.
פרופסור ד"ר מתיאס סטורמר מאוניברסיטת ברן למדעים יישומיים, שנלחם למען החוק הזה, מתאר זאת כ"הזדמנות נהדרת למדינה, תעשיית ה- IT והחברה ". הגישה נועדה לצמצם את מחויבות הספק למגזר הציבורי לאפשר לחברות להרחיב את הפתרונות העסקיים הדיגיטליים שלהן, וייתכן להוביל להוריד עלויות IT ולשירותים טובים יותר עבור משלמי המסים.
הדרך לריבונות דיגיטלית אמיתית
ההשקעות של מיקרוסופט באירופה ויישום מגבלת הנתונים של האיחוד האירופי הן צעדים חשובים לקראת ריבונות נתונים רבה יותר עבור חברות ומוסדות ציבוריים אירופיים. עם זאת, הם אינם מתייחסים לחלוטין לסכסוך המשפטי הבסיסי בין חוק הענן האמריקני לבין ה- GDPR האירופי.
עצם האחסון של נתונים על שרתי אירופה אינו מציע הגנה מספקת מפני גישה פוטנציאלית על ידי הרשויות בארה"ב אם ספק הענן כפוף לחוקים בארה"ב. זה לא רק מטיל ספק בהגנה על נתונים, אלא גם מאיים על קניין רוחני וסודות עסקיים של חברות אירופאיות.
לריבונות דיגיטלית אמיתית, לפיכך יש צורך בגישות נרחבות יותר שלקח בחשבון היבטים משפטיים וטכניים כאחד. זה כולל שימוש בשירותי ענן הפועלים לחלוטין מחוץ לטווח החוק האמריקני, הצפנה עקבית לקצה עם בקרת מפתח בצד המשתמש ואולי גם הגדילו את ההשקעות בפתרונות קוד פתוח.
בסופו של דבר, אירופה זקוקה לתשתית ענן עצמאית משלה שהיא לא רק טכנית אלא גם בטוחה מבחינה משפטית. עד אז, חברות ומוסדות ציבוריים צריכים לשקול בזהירות אילו נתונים הם חוסכים היכן ואיך - ואילו ספקים הם יכולים לסמוך.
מתאים לכך:
השותף הגלובלי שלך לשיווק ופיתוח עסקי
☑️ השפה העסקית שלנו היא אנגלית או גרמנית
☑️ חדש: התכתבויות בשפה הלאומית שלך!
קונרד וולפנשטיין
אני שמח להיות זמין לך ולצוות שלי כיועץ אישי.
אתה יכול ליצור איתי קשר על ידי מילוי טופס יצירת הקשר או פשוט להתקשר אליי בטלפון +49 89 674 804 (מינכן) . כתובת הדוא"ל שלי היא: וולפנשטיין ∂ xpert.digital
אני מצפה לפרויקט המשותף שלנו.
