Szwajcaria nawołuje do porzucenia Microsoft 365 i usług Google. USA mogą wszystko podejrzeć

Szwajcarska konferencja inspektorów ochrony danych Privatim w opublikowanej rezolucji zaapelowała do krajowych instytucji publicznych o rezygnację z dużych usług chmurowych i platform SaaS.

Dokument przyciągnął uwagę rządu, sektora IT i ekspertów od cyberbezpieczeństwa, ponieważ uderza w fundament polityki cyfryzacji administracji, która w ostatnich latach coraz mocniej opierała się na globalnych dostawcach oprogramowania. Autorzy rezolucji podkreślają, że administracja państwowa odpowiada za dane o wyjątkowym stopniu wrażliwości i musi zachować pełną władzę nad ich obiegiem. Coraz intensywniejsza migracja do chmury zaczęła budzić obawy dotyczące bezpieczeństwa, kontroli i zgodności z krajowymi przepisami.

Brak kontroli nad szyfrowaniem i infrastrukturą

Najostrzejsza część stanowiska dotyczy architektury większości współczesnych usług SaaS. Privatim wskazuje, że dominujące rozwiązania nadal nie oferują pełnego szyfrowania end-to-end, a tym samym nie eliminują dostępu dostawcy do danych przechowywanych w postaci jawnej. W praktyce oznacza to, że instytucje rządowe nie mogą w pełni ocenić, w jaki sposób informacje są przetwarzane i kto ma do nich dostęp na poszczególnych etapach obsługi.

Problem potęguje fakt, że najwięksi dostawcy globalni, tacy jak Microsoft, Amazon czy Google, zarządzają rozbudowanymi, wielowarstwowymi łańcuchami podwykonawców. Privatim zwraca uwagę, że złożoność tych struktur uniemożliwia pełną transparentność. Do tego dochodzą jednostronne zmiany warunków świadczenia usług, na które instytucje publiczne nie mają wpływu.

Szczególnie krytycznie oceniono Microsoft 365, które zostało wymienione w rezolucji jako przykład modelu SaaS nieodpowiadającego wymaganiom stawianym wobec danych o najwyższym stopniu wrażliwości.

Ryzyko konfliktu prawnego i wpływ CLOUD Act

Kolejny obszar napięcia dotyczy prawa międzynarodowego, zwłaszcza amerykańskiej ustawy CLOUD Act. Zgodnie z jej zapisami dostawcy z USA mogą zostać zobowiązani do przekazania danych klientów amerykańskim organom ścigania, nawet jeśli dane znajdują się na serwerach zlokalizowanych poza Stanami Zjednoczonymi. Privatim podkreśla, że tego typu zagrożenie nie jest zgodne ze szwajcarskimi regulacjami dotyczącymi tajemnicy zawodowej i służbowej. Instytucje objęte obowiązkiem zachowania poufności muszą stosować systemy, które nie dopuszczają udziału nieautoryzowanych podmiotów, a w przypadku chmury tego rodzaju pewność często nie istnieje.

Wątpliwości dotyczą również możliwości angażowania zewnętrznych dostawców jako asystentów podmiotów zobowiązanych do zachowania tajemnicy, ponieważ odpowiedzialność karna rozciąga się także na osoby pomocnicze.

Apele o zmianę kierunku

W rezolucji znalazła się sugestia, aby administracja publiczna dopuszczała korzystanie z usług chmurowych wyłącznie wtedy, gdy zaszyfruje dane samodzielnie i uniemożliwi dostawcy dostęp do klucza. Tylko w takim modelu instytucja może zachować decydujący wpływ na bezpieczeństwo i skalę ewentualnych naruszeń.

Dokument nie wyklucza migracji do chmury, ale podkreśla, że musi odbywać się w sposób zaplanowany, a jej fundamentem powinno być zachowanie suwerenności nad danymi. Rezolucja nie jest aktem prawnym, lecz sygnałem, który może mieć istotny wpływ na politykę IT w sektorze publicznym. Wiele kantonów już analizuje swoje zależności od międzynarodowych dostawców i rozważa modyfikacje strategii cyfryzacji.