France 報告稱,Microsoft 在 Azure 上提供的 Office 365 產品不符合狀態雲原則的要求。所有細節
2021 年 9 月 15 日,Digital Nadi Bou Hanna 部際主任向各部委發布新聞稿,通知他們 Microsoft 在 Azure 雲上提供的 Office 365 產品不符合該州的法國雲原則(Cloud at the Center)的要求,特別是它的 R9 規則。
它規定敏感數據的處理必須只能由合格的託管服務提供商進行,並且不受任何域外法律(雲法案、FISAA 等)的影響。在本新聞稿發布後,法國政府不應再使用 Microsoft 託管的服務。
為響應此新聞稿,八家法國公司聚集在一起,為 Office 3655 提供了一組替代解決方案。 Atolia、Jalios、Jamespot、Netframe、Talkspirit、Twake、Whaller 和 WIMI 擁有 300 萬用戶,並提供 100% 的主權由歐洲球員主辦。集體提到所有這些解決方案都適合集成到 SecNumCloud 認證的基礎設施中。
自2016 年以來,美國國家信息系統局 (ANSSI) 一直在提供一種名為 SecNumCloud 的安全簽證。該品牌面向希望為所提供服務的質量和水平提供保證的雲服務提供商(IaaS、PaaS 和 SaaS)。可以放在他們身上的信任。這也是一項強大的營銷資產,因為 SecNumCloud 品牌在法國得到廣泛認可,並證明了 ANSSI 認證的最先進的安全級別。該標誌授予滿足 ANSSI 定義的所有安全要求並經過批准組織的合規性評估的供應商。因此,SecNumCloud 標籤使客戶能夠對他們訂閱的雲產品中實施的安全性充滿信心。在 2021 年網絡安全大會上,ANSSI 發布了新版本的 SecNumCloud。這個新版本提供了針對非歐盟法律,尤其是美國法律的豁免標準。
因此,禁止在法國政府中使用 Microsoft 託管的 Office 365 對在未經 SecNumCloud 認證且受美國法律約束的 Microsoft 基礎設施中託管來自健康數據中心 (HDH) 的健康數據的合法性提出了質疑。 HDH創建於2019年,是一個匯集超過6700萬人健康數據的項目,旨在通過向醫學研究的不同極提供數據,推動人工智能在健康領域的發展。微軟被選中託管這些數據,最引人注目的是其“健康數據主機”(HDS) 認證。這一選擇受到強烈批評,因為美國的立法文書(FISAA、雲法案)可能會破壞受美國法律約束的雲提供商託管的數據的機密性,即使它們位於歐洲領土上的數據中心。為了規範向美國傳輸個人數據,2016 年與歐洲正式簽署了一項名為“隱私盾”的協議。
“隱私盾”為保護由美國公司存儲和處理的歐洲公民的個人數據提供了保證。因此,例如,“隱私盾”在理論上使保護存儲在 Microsoft Office 365 基礎結構中的個人數據成為可能。
然而,歐盟法院於 2020 年 7 月 16 日宣布“隱私盾”無效,認為其不符合《通用數據保護條例》(GDPR),因此將個人數據傳輸到美國是非法的在沒有措施的情況下,補充。在“隱私盾”失效後,由於擔心將健康數據傳輸到美國,協會和工會呼籲國務委員會緊急暫停 HDH 平台。 2021 年 10 月 14 日,國務委員會表示,根據與微軟的協議,託管在微軟數據中心的個人數據不得轉移到歐盟以外。然而,法官表明,不排除美國當局作為監控和情報計劃的一部分,可以要求微軟及其愛爾蘭子公司訪問某些數據。
為了在短期內解決這個問題,國務院要求CNIL與微軟合作,加強與HDH相關的安全措施。然而,他認為已確定的風險並不能證明短期停用 HDH 是合理的。關於 HDH 的未來,衛生部長在 2020 年 11 月提到希望找到一種“新技術解決方案”,以保護 HH 在盡可能長的時間內免受“可能的非法披露給美國當局(......)”。 12 至 18 個月,在任何情況下,不超過兩年”。目的是讓法國和歐洲演員有時間準備主持 HDH。
值得注意的是,美國有兩項立法武器允許聯邦當局訪問云服務提供商的客戶數據。
第一個是《雲法案》, 允許美國法院在不通知個人的情況下向在美國運營的服務提供商徵求個人的個人通信,無論是其居住國的當局還是這些數據存檔國的當局。 Cloud Act 也適用於活躍在美國領土上的外國公司。
第二個稱為 FISAA(FISA 修正案),是 1978 年《外國情報監視法》的修正案,它描述了物理和電子監視 程序,並允許收集有關外國勢力的信息。 FISAA 允許批量監控並擴展到雲中的所有數據。目標,特別是 NSA(國家安全局)的目標是有機會攔截、解密、複製、分析和存檔所有通過衛星、電纜傳輸的全球通信......特別是這項法律授權愛德華·斯諾登 (Edward Snowden) 在 2013 年披露的 PRISM 項目中使用了 NSA 和 FBI 使用的監視工具。
然後,這兩項法律允許聯邦當局強制美國雲玩家按需提供數據,即使是在位於歐洲的服務器上,並且無需通知目標個人或組織。因此,Gaia-X 項目是 2020 年 6 月發起的一項德法倡議,旨在通過共享技術和其成員之間的工業數據。這個想法不是創建一個單一的公司,而是依靠去中心化的原則來創建一個“歐洲數據基礎設施”。例如,對於自主研究活動,由於該領域的所有活躍成員,Gaia-X 可以提供非常大量的數據。然而,當谷歌、微軟、亞馬遜、阿里巴巴、Palantir、華為……的新成員出現在該協會中時,Gaia-X 項目最近受到了批評。對於數字主權的擁護者來說,這些成員的支持與項目的最初目標相矛盾,並抹黑了所追求的目標。
就 Gaia-X 而言,它從來沒有創建一個由 100% 歐洲參與者支持的主權和安全的雲和數據生態系統,而是邀請美國和中國供應商參與合作。
這是在 Tue, 23 Nov 2021 06:27:43 +0000 在 https://www.startmag.it/innovazione/microsoft-office-365-cloud/ 的報紙 “Scenari Economici” 上發表的文章的翻譯。