Microsoft v České republice zintenzivnil komunikaci spadající do kategorie “damage control”, v rámci níž se snaží zdejší zákazníky ujistit v tom, že jsou jejich data v bezpečí. Velcí američtí provozovatelé cloudů mají v poslední době v Evropě problémy s reputací, což souvisí i s vyhrocenou politikou současné americké vlády, která Evropu tlačí k větší samostatnosti a USA škodí v byznysu a diplomacii. Někteří zákazníci se poohlíží po lokálních alternativách a zvyšuje se tlak politiků a regulátorů.
Problém takzvaných amerických hyperscalerů je hlavně v zákonech, kterým podléhají v domovské zemi. Cloud Act umožňuje americkým úřadům přístup k datům zákazníků těchto cloudů i v případě, že jsou uložena mimo USA. Microsoft zde alespoň požadavky zveřejňuje, případně úřady posílá přímo za zákazníky. Složitější je to se zákonem Foreign Intelligence Surveillance Act (FISA), v rámci něhož Microsoft a spol. musí vydávat data zákazníků agentuře NSA, aniž by o tom zákazníci věděli.
Jak jsme na Lupě psali, Microsoft ve Francii potvrdil, že nemůže nevydání dat do USA zaručit. Microsoft se snaží poskytovat různé záruky, ale je to složitější. Nedávno byly například potvrzeny případy, kdy Microsoft vydal FBI dešifrovací klíče k technologii BitLocker, která má bezpečně šifrovat data uživatelů Windows.
Evropa také nese nelibě různé výhružky americké administrativy doprovázené zaváděním cel. To má negativní dopady na nákup amerických technologií nebo armádní techniky. Americká ambasáda v Praze například vydala nervózní prohlášení, kde apeluje na užší transatlantickou spolupráci. V podstatě jde o protimluv k tomu, co se ze strany USA v poslední době děje.
“Tvůrci politiky EU, kteří zvažují budoucnost spolupráce v oblasti obrany, stojí před jasnou volbou – buď prosazovat politiku, která omezuje přístup na trh a fragmentuje naši transatlantickou obrannou průmyslovou základnu a dodavatelské řetězce, nebo posilovat otevřenost, hospodářskou soutěž a inovace. Druhý přístup podporuje naši kolektivní bezpečnost, připravenost, odolnost a nákladově efektivní investice, z čehož mají prospěch daňoví poplatníci, pracovníci a příslušníci ozbrojených sil na obou stranách Atlantiku,” reagovala ambasáda na snahy Evropy si dělat věci po svém (a nenakupovat z USA).
Čeští šéfové promluvili
Dva nejvyšší představitelé Microsoftu v Česku nyní publikovali texty, kde se pečlivě zvolenými PR větami snaží uklidnit situaci kolem vydávání dat do Spojených států.
“Věřím, že digitální suverenita a globální technologie se nevylučují. Naopak. Mohou – a musí – jít ruku v ruce. Proto jako Microsoft v České a Slovenské republice dlouhodobě spolupracujeme s veřejným i soukromým sektorem na tom, aby organizace mohly využívat moderní cloudové a AI technologie v souladu s evropskými hodnotami, legislativou a požadavky na bezpečnost,” napsal Michal Stachník, ředitel české a slovenské pobočky Microsoftu.
Digitální budoucnost Evropy se podle jeho slov netvoří v izolaci, ale spoluprací a důvěrou a jasnými pravidly. “Naší ambicí je být důvěryhodným partnerem, který respektuje lokální pravidla a odpovědnost, který investuje do bezpečnosti, transparentnosti a odolnosti, a který pomáhá českým organizacím uspět v digitální ekonomice,” navázal Stachník.
Šéf českého Microsoftu doplnil, že “nejde jen o to, kde jsou uložena data – ale kdo nad nimi má kontrolu, jak jsou chráněna a jaký prostor dávají pro inovace a růst.” To je pravda, americké zákony ale říkají, že nad daty mohou mít kontroly tamní úřady.
Sada záruk
Technický ředitel zdejšího Microsoftu Dalibor Kačmář už dříve uvedl, že se firma nesnaží složitou situaci vymlčet. Nyní v návaznosti na text Michala Stachníka publikoval článek, v němž popisuje, jak Microsoft řeší digitální suverenitu v Česku.
Kačmář kromě jiného píše, že Microsoft neposkytuje “žádné vládě šifrovací klíče ani možnost prolomit naše šifrování.” Toto tvrzení je ovšem v rozporu s výše zmiňovaným vydáním klíčů BitLockeru. Bez spolupráce Microsoftu by k dešifrování BitLockeru nemohlo dojít. Zákony Cloud Act a FISA zároveň jasně říkají, co Microsoft a další podniky musí ve vztahu k americkým úřadům dělat.
“Neumožňujeme žádný přímý ani neomezený přístup vlády. Microsoft přezkoumává každou vládní žádost o data, zveřejňuje je pouze tehdy, když je to v souladu se zákonem vynuceno, a omezuje jakékoli zveřejnění na konkrétní účty uvedené v platném příkazu. Naše zásady jsou podrobně popsány v naší Zprávě o vládních žádostech o zákaznická data,” navázal Kačmář.
“Kromě Evropské datové hranice poskytujeme evropským zákazníkům několik možností zabezpečení a šifrování jejich dat. Naše nabídky Confidential Compute v Azure eliminují možnost třetích stran – včetně Microsoftu – přistupovat k zákaznickým datům i během zpracování z operační paměti, zajišťují, že data jsou zpracovávána v důvěryhodném prostředí, které ovládá pouze zákazník. Dále umožňujeme zákazníkům vytvořit lockbox kolem svých dat napříč Azure, Dynamics 365 a Microsoft 365, který dává možnost zkontrolovat a schvalovat přístup k datům, který Microsoft případně potřebuje pro zákaznickou a servisní podporu,” stojí dále v článku.
“Také umožňujeme zákazníkům chránit jejich data pomocí šifrovacích klíčů, které plně kontrolují sami, nikoli Microsoft, a to pomocí Azure Key Vault a Purview Customer Key. Microsoft Cloud for Sovereignty nabízí zákazníkům řadu dalších nástrojů pro zabezpečení dat, ochranu před neoprávněným přístupem a splnění právních požadavků,” je dále uvedeno ve výčtu opatření.
“Pro šifrovací klíče poskytuje Azure Key Vault auditní záznamy a detaily, abyste mohli sledovat operace s klíči a nastavovat téměř aktuální upozornění přes Azure Monitor. Zákazníci, kteří potřebují neměnné, nefalsifikované auditní záznamy pro své vlastní operace, mohou použít Azure Confidential Ledger,” stojí dále za vypíchnutí. Zbytek poskytovaných záruk naleznete zde.
Snaha se cení
Microsoft a jeho partneři dlouhodobě dominují katalogu dodavatelů cloud computingu do státní správy. Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) a Digitální a informační agentura (DIA) americké firmě udělily vysokou certifikaci na bezpečnostní úroveň 3. Tu nedávno získal také Amazon Web Services (AWS), další významný americký hyperscaler, který v Evropě spustil suverénní cloud.
NÚKIB v prohlášení pro Lupu naznačil, že rizika kolem Cloud Actu a FISA vnímá. “Případné dopady zahraničních právních předpisů (například U.S. Cloud Act, FISA či souvisejících mechanismů) je namístě zohlednit v rámci řízení rizik konkrétní organizace při přihlédnutí k relevantním specifikům,” uvedla Lenka Soukupová z oddělení vztahů s veřejností.
Zároveň se zdá, že kyberúřad vnímá snahy Microsoftu či AWS pozitivně. “Snaha poskytovatelů proaktivně reagovat na evropskou debatu o digitální suverenitě a související možná očekávání je pro nás pozitivním signálem,” navázala Soukupová.
“Z pohledu kybernetické bezpečnosti jsou iniciativy tohoto typu vnímány jako krok správným směrem. Pokud poskytovatel zavádí konkrétní technická a organizační opatření dlouhodobě diskutovaná v Evropě v souvislosti s digitální suverenitou (například lokalizaci zpracování a ukládání dat a souvisejících metadat v EU, nezávislejší evropské řízení, EU-rezidentní provozní týmy, auditovatelnost a posílené bezpečnostní kontroly), může to pro řadu organizací představovat vyšší míru ujištění a kontroly oproti situaci, kdy by taková opatření zavedena nebyla, a rozšířit možnosti jejich strategie práce s citlivými daty,” vzkázal dále NÚKIB.
Spojenci musí spolupracovat
U.S. Cloud Act a hlavně FISA jsou dost podobné některé legislativě v Číně. Vůči ní jsou NÚKIB a další složky mnohem ostřejší. Rozdíl je v tom, že s USA jsme stále ve spojeneckém vztahu, byť ten v celé Evropě v poslední éře dostává dost zabrat. A spojenci musí pracovat na obrušování hran a hledat rozumné cesty, jak se domluvit a spolupracovat.
Microsoft i další hráči se přesně o toto obrušování snaží. Situace kolem americké legislativy jim jistě není příjemná. Problém ale je, že tyto zákony existují a že hyperscaleři mohou maximálně skrze různé mechanismy zkusit situaci zkomplikovat.
Pokud ale chování USA znamená, že se začnou minimálně ve státních sektorech nakupovat lokální technologie a open source (první akce se rozjely v Německu, Francii, Dánsku, Švýcarsku a dalších zemích), nepochybně to bude pro technologickou suverenitu Evropy přínosné.
Měla by se rozjet debata, zda peníze daňových poplatníků posílat firmám do USA namísto podpory zdejších firem. Nákup jejich technologií jim umožní růst a jde o lepší formu podpory než klasické dotace. USA nebo Čína k tomu přistupují dlouhodobě přesně takto.
- Chcete mít Lupu bez bannerů?
- Chcete dostávat speciální týdenní newsletter o zákulisí českého internetu?
- Chcete mít k dispozici strojové přepisy podcastů?
- Chcete získat slevu 1 000 Kč na jednu z našich konferencí?
Staňte se naším podporovatelem
ČLÁNKY DO MAILU