НаверхСквозное шифрование выходит на первый план — битва за данные накаляется
Швейцарские эксперты заявляют, что одного контроля расположения облаков мало, правительствам нужны собственные ключи шифрования.
Основные идеи
Мнение автора
Суверенитет данных уже не ограничивается хранением внутри страны — контроль над ключами шифрования стал настоящим must-have. Швейцарские власти показывают, что без собственного шифрования SaaS для госданных почти бесполезен, а Microsoft 365 — яркий пример. Безопасность требует полной власти над данными. Для госструктур это значит: свои ключи, свои правила и подготовка к серьёзным инфраструктурным затратам.
Швейцарские специалисты по защите данных в госсекторе считают, что простого контроля за местонахождением облачных данных мало. Правительства обязаны сами хранить ключи шифрования.
Хранения информации внутри страны уже недостаточно. Правительства больше не верят, что размещение данных на чужих серверах в пределах своих границ гарантирует реальный суверенитет. Поэтому регуляторы выдвигают более серьезное требование: они хотят контролировать ключи шифрования.
Ассоциация Privatim объединяет швейцарских уполномоченных по защите данных местных органов власти. На прошлой неделе организация призвала госучреждения отказаться от международных SaaS-решений для конфиденциальной информации. Исключение составляют случаи, когда ведомства сами внедряют сквозное шифрование. В качестве примера платформы, которая не отвечает этим требованиям, в документе назвали Microsoft 365.
Швейцарские инспекторы отметили в резолюции, что большинство SaaS-решений пока не дают полноценного сквозного шифрования. Из-за этого провайдер может получить доступ к информации в открытом виде. Использование таких приложений ведет к значительной потере контроля.
Эксперты по безопасности уверены, что такая ситуация подрывает саму идею суверенитета данных. Главный аналитик Greyhound Research Санчит Вир Гогия заявил: когда поставщик облачных услуг может расшифровать информацию клиентов через юридические процедуры или внутренние механизмы, эти сведения перестают быть по-настоящему суверенными.
По словам Гогии, Швейцария не одинока в своем мнении. Германия, Франция, Дания и Еврокомиссия уже предупреждали о рисках или принимали меры, так как больше не доверяют нейтралитету иностранных гиперскейлеров. Швейцарцы просто прямо сказали то, что другие подразумевали. Согласно резолюции, американский «Закон об облачных технологиях» (CLOUD Act) и угроза слежки делают облачные решения без сквозного шифрования непригодными для госсектора с высокой степенью конфиденциальности.
Шифрование и местоположение
Решение Privatim подсветило риски, которые нельзя убрать простым переносом данных в нужную географическую точку. Группа заявила, что глобальные компании работают недостаточно прозрачно. Власти не могут проверить, как они соблюдают договоры. Эта проблема касается технических решений, управления изменениями, а также контроля за сотрудниками и субподрядчиками, которые часто образуют длинные цепочки внешних поставщиков.
Ведущий аналитик Gartner Ашиш Баннерджи напомнил, что иностранные правительства могут получить доступ к информации в любой юрисдикции. Им помогают экстерриториальные законы, например, американский CLOUD Act («О разъяснении законного использования данных за рубежом»). Кроме того, поставщики софта способны в одностороннем порядке менять условия договоров, что еще сильнее снижает контроль со стороны клиентов.
Баннерджи добавил, что клиенты на Ближнем Востоке и в Европе беспокоятся о безопасности своих архивов. Неважно, где физически лежат файлы: к ним все равно могут добраться облачные провайдеры, большинство из которых базируется в США.
Старший аналитик Everest Group Прабхьёт Каур отметила, что действия Швейцарии ускоряют глобальный переход к контролю технического суверенитета. Хотя швейцарские требования строже, чем у многих других, это не единичный случай. Такой подход подталкивает рынок к переменам даже там, где сегодня все еще полагаются на юридические гарантии.
Из-за этих ограничений Privatim призвала ужесточить правила использования облака на всех уровнях власти. Госорганы могут применять международные SaaS-решения для особо важных персональных или секретных данных только при одном условии. Ответственное ведомство должно само зашифровать информацию, а у облачного провайдера не должно быть ключа доступа.
Это требование меняет привычную практику, когда госорганы полагаются на встроенные функции шифрования от провайдеров. Сервисы вроде Microsoft 365 шифруют файлы при хранении и передаче. Однако Microsoft оставляет за собой возможность расшифровать их для технических нужд, соблюдения законов или по запросу суда.
Больше безопасности, меньше понимания
Аналитики предупреждают, что сквозное шифрование под контролем клиента требует серьезных компромиссов.
Каур объяснила: если провайдер не видит текст в открытом виде, у правительств возникнут проблемы. Перестанут нормально работать поиск и индексация, ограничатся функции совместной работы, инструменты автопоиска угроз и защиты от утечек. ИИ-помощники вроде «вторых пилотов» тоже требуют обработки данных на стороне провайдера, а при строгом шифровании это невозможно.
Кроме потери функций, ведомства столкнутся с проблемами инфраструктуры и ростом затрат. Им придется внедрять свои системы управления ключами. Это потребует денег и новых сотрудников. Масштабное шифрование и дешифровка нагружают систему: нужно больше аппаратных ресурсов, а задержки в работе увеличатся, отметил Баннерджи.
Он подчеркнул, что такое решение выйдет дороже, потребует мощного оборудования и замедлит взаимодействие с пользователем.
Гогия считает, что из-за этих сложностей большинство правительств выберет многоуровневый подход, а не тотальное шифрование. Строго конфиденциальную информацию, включая секретные документы, материалы судов и досье госбезопасности, можно защитить сквозным шифрованием и поместить в спецсреды или суверенные хранилища. А для административных задач и услуг гражданам продолжат использовать обычные облачные платформы с контролируемым шифрованием и хорошим аудитом.
Изменение в мощности облачных вычислений
По мнению Каур, если швейцарский подход станет популярным в мире, ИТ-гигантам придется усилить контроль технического суверенитета. Договоров и региональных гарантий уже не хватит. Перемены уже заметны: Microsoft начала внедрять более строгие модели с шифрованием на стороне клиента и ограничениями доступа по юрисдикции.
Гогия полагает, что этот сдвиг меняет сами принципы работы облачных провайдеров с госсектором. Многие существующие схемы для госучреждений, которые опирались на местные дата-центры и юридические договоры, теряют смысл. Теперь на рынках со строгими правилами базовыми требованиями становятся шифрование на стороне клиента, конфиденциальные вычисления и внешнее управление ключами. Это больше не дополнительные опции.
В итоге рынок может сильно измениться. Баннерджи предсказывает появление двухуровневой структуры. Глобальные сервисы останутся для коммерческих клиентов, которым суверенитет не так важен. А для правительств, требующих полного контроля, появятся премиальные суверенные облака. Неамериканские провайдеры и местные игроки, например в Европе, могут увеличить долю рынка, если предложат решения со строгим шифрованием.
Рекомендации Privatim касаются только швейцарских госорганов и носят скорее рекомендательный характер. Однако эти споры показывают важный тренд. В эпоху, когда геополитическое соперничество переходит в сферу технологий, простого размещения данных в нужной стране регуляторам уже недостаточно для обеспечения суверенитета.
