Год назад, мы предупредили что Схема сертификации кибербезопасности облачных сервисов ЕС (EUCS) грозит внедрением непродуманного экономического протекционизма в правила кибербезопасности ЕС. И действительно, Европейская комиссия, которая ясно заявила о своей приверженности обеспечению «цифрового суверенитета» Европейского Союза, может заявить о некоторых предварительных успехах на этом фронте.
Недавний проект EUCS показывает, что Агентство Европейского Союза по кибербезопасности (ENISA) прислушалось к призыву Комиссии, вопреки предыдущим рекомендациям ENISA. В частности, проект не позволит организациям, находящимся за пределами ЕС, а также тем, кто находится в иностранной собственности или под контролем, получать высший уровень сертификации кибербезопасности.
Предыдущие разработки
Как мы уже подробно рассказывали в октябре 2022 года, EUCS — это:
…сначала предполагалось, что это будет добровольно, но это ожидаемо что в будущем это станет обязательным, по крайней мере для некоторых ситуаций(например ., государственные закупки). Не было изначально выставлен счет в качестве меры промышленной политики и вместо этого предназначалось для сосредоточения внимания на вопросах технической безопасности. Более того, ЭНИСА как сообщается не увидели необходимости включать такие требования «цифрового суверенитета» в схему сертификации, возможно, потому, что считали их недостаточно обоснованными подлинными потребностями в области кибербезопасности.
Несмотря на позицию ENISA, Европейская Комиссия спросил Агентство должно включить требования цифрового суверенитета. Этот ход был поддержан коалицией европейских предприятий, которые надеются извлечь выгоду из протекционистского характера схемы. Как ни странно, их официальное заявление призвал Еврокомиссию «не поддаваться давлению тех, кто склонен продвигать собственные экономические интересы»,
Правительства Дании, Эстонии, Греции, Ирландии, Нидерландов, Польши и Швеции выразили «сильные опасения» о шаге Комиссии. Напротив, Германия призвала к политическому обсуждению схемы сертификации, которая будет учитывать «Перспектива экономической политики». Другими словами, немецкие чиновники хотят, чтобы ЕС рассмотрел возможность использования схемы сертификации кибербезопасности для достижения протекционистских целей.
Новый проект EUCS
В нашем предыдущем посте подчеркивалось, что Европейская комиссия поручила ENISA интегрировать положения о цифровом суверенитете в EUCS. На основе последнего общеизвестного проекта EUCS от августа 2023 года (сообщается здесь ), похоже, ENISA поддалась этому давлению.
Проект устанавливает три уровня гарантии для поставщиков облачных услуг: «базовый», «существенный» и «высокий», а также две дополнительные подкатегории — CS-EL3 и CS-EL4 — в рамках «высокого» уровня гарантии. Но, в частности, поставщикам облачных услуг (CSP), штаб-квартира которых находится за пределами ЕС, или компаниям с какой-либо степенью владения или контроля за пределами ЕС, запрещено получать сертификацию уровня безопасности CS-EL4.
Как мы отмечали год назад, ожидается, что требования EUCS со временем станут обязательными во многих контекстах. Уровень оценки CS-EL4 предназначен для применения к «наиболее чувствительным облачным сервисам»; как сообщается , к тем рискам, когда можно разумно ожидать, что нарушение приведет к «потере репутации или конкурентного преимущества». Сохранение формулировки «потеря… конкурентного преимущества» при исключении предприятий со штаб-квартирами за рубежом выдает протекционистские намерения законопроекта.
Прекращение экономического сотрудничества между союзными демократиями в конечном итоге не сделает европейское киберпространство более безопасным. Вместо этого это приведет к усилению экономической изоляции. Какими бы ни были преимущества продвижения цифрового суверенитета посредством промышленной политики, любой такой проект должен, как минимум, соответствовать принципам международного сотрудничества и взаимной выгоды.
Почему это плохая идея
Не существует окончательного консенсуса относительно того, необходима ли локализация твердых данных для повышения кибербезопасности, поскольку ENISA и другие эксперты предполагают, что строгое соблюдение национальных границ по своей сути не повышает безопасность. Проблемы безопасности, которые высказывают некоторые политические деятели по поводу обработки данных союзниками ЕС, особенно Соединенными Штатами, не выдерживают критики, особенно с учетом прочного партнерства США и ЕС в области безопасности, которое наблюдалось во время российско-украинского конфликта.
Более того, аргумент в пользу локализации данных как гаранта конфиденциальности граждан ЕС подрывается борьбой самого ЕС с защитой конфиденциальности и государственным надзором, что обнажает диссонанс между позицией ЕС в отношении конфиденциальности данных и его позицией в отношении трансатлантических потоков данных.
Существует несколько веских аргументов против жесткой локализации и лишения инвесторов из союзных демократий доступа к ключевым частям цифровых услуг ЕС.
Влияние на стартапы
Американские венчурные капиталисты предлагают стартапам значительный опыт, в отличие от своих европейских коллег, которые менее терпимы к риску и имеют меньше опыта в таких областях, как глубокие технологии. Сотрудничество между инвесторами из США и ЕС может быть взаимовыгодным, преодолевая бюрократическую и менее динамичную среду финансирования Европы.
Европейские стартапы сталкиваются с проблемами, связанными с неэффективностью государственного финансирования и ограниченными возможностями выхода, что делает инвестиционный ландшафт консервативным и не склонным к риску. Напротив, американские инвестиции были особенно позитивными в регионе Центральной и Восточной Европы (ЦВЕ), значительно превосходя европейские вклады.
Прямая инвестиция
Инвестиции США в ЕС, такие как Google в Польше — являются симбиотическими, поддерживая местные технологические экосистемы путем создания инфраструктуры и создания рабочих мест. Этот инвестиционный цикл способствует образованию и профессиональному опыту, что имеет решающее значение для расширения технологического сектора, особенно в небольших странах.
Многие стартапы в ЕС основаны людьми, имеющими опыт работы в американских компаниях, что позволяет предположить, что такой опыт играет важную роль в развитии предпринимательства. Ожидается, что это влияние будет особенно ощутимо в регионах со значительными инвестициями в США, которые обогащают местную кадровую базу и улучшают среду для стартапов.
Негативное экономическое воздействие
Маттиас Бауэр и Филипп Лампрехт рассчитанный что в соответствии с максималистским подходом к точной локализации данных, продвигаемым французским правительством, годовой ВВП ЕС «прогнозируется, что снизится на 3,9% с учетом потерянных облачных мощностей и упущенной облачной мощности и роста производительности в течение 2 лет после реализации».
Даже при более узком подходе Бауэр и Лампрехт по-прежнему обнаруживают падение совокупного годового ВВП на целых 29 миллиардов евро. Особенно сильно пострадают малые страны, например ., Кипр испытывает краткосрочные потери совокупного ВВП на уровне 10,2%.
Альтернативная модель FedRAMP
Стоит отметить, что дискриминационный характер проекта EUCS контрасты с Федеральной программой управления рисками и авторизацией США (FedRAMP) — добровольной программой, которая обеспечивает стандартизированный подход к оценке безопасности, авторизации и непрерывному мониторингу облачных продуктов и услуг.
Схемы сертификации EUCS и FedRAMP заметно различаются по своей направленности, объему и открытости для иностранных поставщиков. FedRAMP использует прагматичный подход, основанный на оценке рисков, для определения требований безопасности на основе уровня воздействия потенциального нарушения. Единственные требования по локализации, которые он налагает, ограничиваются небольшим меньшинством систем, которые считаются наиболее опасными. И даже тогда поставщики услуг может быть полностью принадлежащие иностранцам.
EUCS, напротив, потребует локализации данных и местного владения в гораздо более широком спектре систем государственного и частного секторов, и все это во имя цифрового суверенитета. Однако иммунитет от иностранных законов, который обещает проект, будет трудно гарантировать любому глобальному поставщику услуг.
FedRAMP обеспечивает безопасное сотрудничество с международными партнерами, включая фирмы ЕС, одновременно защищая от угроз со стороны противников. В качестве альтернативы ЕС мог бы оценивать надежность иностранных поставщиков на основе таких факторов, как членство в НАТО, а не навязывать общие ограничения. Такой более целенаправленный подход может способствовать повышению кибербезопасности и цифровому росту Европы, одновременно защищая ее основные интересы.
В целом, стремление к цифровому суверенитету посредством локализации достоверных данных и схем эксклюзивной сертификации не только не способствует повышению кибербезопасности и защиты конфиденциальности, но также рискует задушить инновации и экономический рост. Исключение иностранных организаций, особенно из союзных демократий, из высшего уровня сертификации EUCS является протекционистской мерой, которая может привести к экономической изоляции. Это подрывает потенциал международного сотрудничества и взаимной выгоды в цифровой сфере. Более того, это может иметь пагубные последствия для стартапов и прямых инвестиций, которые имеют решающее значение для развития и конкурентоспособности цифровой экономики Европы.
Заключение
В свете недавних событий мы полагаем, что стремление к защите кибербезопасности не следует путать с протекционизмом. Предлагаемая EUCS рискует воздвигнуть цифровые барьеры между ЕС и его демократическими союзниками во имя «цифрового суверенитета». Однако предполагаемое обоснование безопасности положений об ограничительной локализации данных и иностранном владении не выдерживает никакой критики.
EUCS налагает общие ограничения, выходящие за рамки более целенаправленного и риск-ориентированного подхода таких программ, как FedRAMP. Его ожидаемое широкое применение в государственном и частном секторах затруднит доступ ЕС к ведущим мировым облачным решениям. Между тем, издержки цифрового протекционизма, как экономические, так и с точки зрения потери инноваций, могут оказаться серьезными как для европейского бизнеса, так и для потребителей.
Чтобы политика ЕС в области кибербезопасности была эффективной, она должна основываться на доказательствах, а не на политике, и должна обеспечивать баланс между безопасностью и открытостью. Будучи демократическими союзниками, противостоящими общим угрозам, ЕС и США могут получить больше пользы от преодоления любых разногласий в своих подходах к кибербезопасности. Если соблюдать осторожность, общие стандарты сертификации могут даже стать для Европы средством позитивного формирования глобальных цифровых правил. Но нынешний проект EUCS рискует ослабить, а не усилить киберзащиту Европы.