مروری بر طرح صدور گواهینامه امنیت سایبری اتحادیه اروپا برای خدمات ابری
آخرین نمونه نظارت اتحادیه اروپا بر خدمات ابری
با نزدیک شدن زمان پایان این دوره از پارلمان اروپا، تیری برتون، کمیسر متمرکز بر مسائل دیجیتال در اتحادیه اروپا، سخت تلاش میکند تا پیشنهادات سیاستی برجسته را پیش ببرد. یکی از این پیشنهادات سیاستی، «طرح صدور گواهینامه امنیت سایبری اتحادیه اروپا برای خدمات ابری» (EUCS) بهمنظور حفظ و ارتقاء امنیت سایبری این بلوک است. وبگاه CyberScoop طی گزارشی، این پیشنهاد را بهتفصیل معرفی کرده و مزایا و معایب آن را از همه زوایا سنجیده است. در ادامه به بررسی گزارش مذکور، میپردازیم. این پیشنهاد سیاستی، یک طرح داوطلبانه از سوی کمیسیون اروپا با طراحی آژانس امنیت سایبری اروپا «ENISA» است که شرکتهای اروپایی میتوانند از آن برای نشان دادن میزان قدرت استانداردهای حریم خصوصی و اقدامات امنیتی خود استفاده کنند.به گزارش زاویه هدف اصلی این طرح، افزایش اعتماد و امنیت در محصولات و سرویسها، بهبود شرایط بازار داخلی و افزایش سطح امنیت خدمات ابری ذکرشده است. در حال حاضر، پایبندی به این طرح، داوطلبانه است؛ اما برخی ناظران نگران الزامی شدن آن در آینده نزدیک هستند. به عقیده بسیاری از کارشناسان، علیرغم نیاز به وجود یک رژیم امنیت سایبری جامع در اروپا، نگاه کمیسیون به این موضوع که پیامدهای بالقوه غیرقابلپیشبینی دارد، اشتباه است. گنجاندن الزامات حاکمیتی و بومیسازی دادهها در قانون به معنی محروم کردن شرکتهای غیراروپایی از حضور در این طرح است. پیشنویسی که در ماه می ۲۰۲۳ منتشر شد، حاکی از آن بود که الزامات حاکمیتی شامل ارائه ضمانتهایی درباره استقلال از قوانین خارج از اتحادیه اروپا است و درنتیجه، بالاترین سطح تضمین امنیتی فقط برای خدمات ابری شرکتهای اتحادیه اروپا صادر خواهد شد. هیچ نهادی خارج از اتحادیه اروپا کنترل مؤثری بر ارائهدهنده خدمات ابری «CSP» نخواهد داشت، تا خطر قدرتهای مداخلهگر خارج از قاره کاهش یابد.چنین الزامی باعث میشود که شرکتهای خارج از اتحادیه اروپا یا شرکتهای اروپایی با سرمایهگذاریها و کارکرد بینالمللی، نتوانند در بالاترین سطوح امنیت سایبری اتحادیه اروپا و فضای ابری فعالیت کنند. کارشناسان مدعی هستند که این امر موجب تضعیف قابلتوجه رقابت در بازار ابری میشود. همچنین تأثیرات گسترده این سیاست در کل اکوسیستم امنیت سایبری حوزه خدمات ابری احساس خواهد شد. علاوهبراین، طرح مذکور، ناقض تعهدات اتحادیه اروپا در سازمان تجارت جهانی بوده و تجارت جهانی را به شکل گسترده، تضعیف خواهد کرد. براساس توافقنامه عمومی سازمان تجارت جهانی در مورد تجارت خدمات، اروپا متعهد به فراهم کردن دسترسی به بازار و همچنین عدم تبعیض بین تأمینکنندگان خارجی و داخلی رایانه و خدمات فناورانه مرتبط، ازجمله خدمات ابری، است.بر اساس الگوهای قالب در حکمرانی فناوری جهان، پس از چین، اروپا مهمترین حامی ایده حاکمیت دیجیتال محسوب میشود و بسیاری از قوانین اخیر آن برگرفته از همین مفهوم است. برخی متخصصان مدعی هستند که کشورهای عضو اتحادیه اروپا مشتاق بسط حاکمیت دیجیتال هستند؛ اما درک مشترکی نسبت به دامنه آن ندارند و این امر، دست کمیسیون اروپا برای تفسیر گسترده این ایده را باز میگذارد.کمیسیون اروپا در بسیاری از مقررات خود، اعم از تنظیمگری گسترده، حفاظت از دادهها، حکمرانی بر جریان دادهها در خارج از اروپا و امنیت زیرساختهای دیجیتال و مخابراتی، رویکردی فرانسوی اتخاذ کرده است. این موضوع سبب شده است که بسیاری از محققان درصدد کشف نگرش فرانسه نسبت به امنیت فضای ابری برآیند. دولت فرانسه دو سال پیش، استراتژی خود برای استفاده از فناوریهای ابری در عین محافظت از دادههای شخصی را ترسیم کرد. بر اساس این استراتژی، تنها شرکتهای اروپایی آنهم با توانایی محدود برای انتقال دادهها به کشورهای ثالث میتوانند، بهعنوان ارائهدهندگان خدمات ابری در فرانسه فعالیت کنند. دیدگاهی که مشابه آن در طرح داوطلبانه «EUCS» نیز قابلمشاهده است.در شرایط کنونی، کشورهای عضو اتحادیه اروپا بر سر الزامات حاکمیتی طرح صدور گواهینامه امنیت سایبری اتحادیه اروپا برای خدمات ابری، اتفاقنظر ندارند. کشورهایی مانند هلند و یونان، طرح مذکور را محدودیتهایی میدانند که میتوانند، آسیبپذیریها و شکافهای امنیت سایبری بیشتری ایجاد کنند و از سوی دیگر، کشورهایی مانند فرانسه و اسپانیا مدافع دیدگاه کمیسیون اروپا هستند. تیری برتون نیز همواره از طرفداران دیدگاه فرانسوی درباره مقررات دیجیتال بوده و به دنبال تقویت آینده دیجیتال اروپا با دور کردن آن از سایر بخشهای جهان است. این در حالی است که بسیاری از متخصصان، مدعی هستند که او درک درستی از ابعاد اصلی اینترنت و نحوه عملکرد آن، یعنی همکاری و تعامل، ندارد.درواقع، اینترنت ساختاری غیرمتمرکز دارد و میتواند مسائل را بهصورت محلی و بدون به خطر انداختن کل شبکه حلوفصل کند. هنگامیکه یک مسئله امنیتی ظاهر میشود، مهندسانی از سرتاسر جهان برای رسیدگی به آن متحد میشوند، این دقیقا همان کاری است که پس از افشاگری اسنودن درباره نظارت جمعی انجام شد. کارگروه مهندسی اینترنت بهسرعت با تشکیل جلسات رسمی و غیررسمی، برگزاری کارگاهها و انتشار اسناد عملی کارآمد، زمینهساز پذیرش استانداردهای امنیتی پیشرفته، ازجمله نسخه بهروز شده پروتکل امنیت لایه حملونقل (TLS)، شد. برخی متخصصان مدعی هستند که این امر، جز با تلاش جمعی مهندسان، مشاغل و دولتها در سرتاسر جهان محقق نمیشد.