背景介绍
欧盟一些国家滥用云网络安全规则,制定欧洲云服务网络安全认证计划(European Cybersecurity Certification Scheme for Cloud Services,EUCS),企图用本土企业取代美国领先的云计算公司。法国是其中的领导者。其他欧盟政策制定者对盲目追随法国的网络安全、贸易和经济保护主义做法有所顾虑。因此,欧洲政策制定者决定效仿美国的FedRAMP制定实施EUCS。
本简报详细介绍了两者的差异,解释了FedRAMP是什么,最重要的是,与SecNumCloud相比不是什么,以及欧洲在EUCS提案中删除限制性和误导性的主权要求的重要性,并在最后为跨大西洋网络安全议程提供了建设性的合作建议。
停止数据流和云市场准入破坏了欧洲、跨大西洋和全球的网络安全合作
根据EUCS,云提供商将不再能够将全球威胁与国内威胁比对映射,也无法将全球网络的恶意活动迹象追踪到国内网络。
EUCS主权要求将使美国公司更难在网络攻击之前采取预防措施,以保护欧洲客户和网络安全机构。该要求也将阻碍跨大西洋和全球网络安全合作。如果欧洲制定主权要求,这种合作很难持续。因为如果欧洲都不信任美国的云计算公司,如何取得第三国政府的信任呢?
美国云网络安全系统FedRAMP的介绍
FedRAMP为美国联邦政府机构使用的云服务提供了安全评估、授权和持续监控的标准化方法。ITIF在报告《改革FedRAMP:改进联邦采购和云服务风险管理指南》中指出获得FedRAMP认证的时间和成本需要改善。但总的来说,FedRAMP提供了一个通用的、高水平的云网络安全保护平台。
风险级别决定控制基准
FedRAMP根据低、中、高三个风险级别指定控制。
NIST设定了每个级别的技术要求。风险影响等级越高,需要的基准控制就越多:低影响系统需要123个控制,中等影响系统需要325个控制,高影响系统需要421个控制。
低风险包括用于公共使用的数据,任何数据损失都不会影响机构的任务、安全、财务或声誉。中等风险包括公众无法获得的数据,这样的泄露可能会对机构的运营产生严重影响。大多数美国联邦政府机构都是在这个中等影响级别上运行,使用的是“受控的、非机密的信息”。高风险包括敏感的(但非机密的)联邦信息,如执法部门、紧急服务和医疗保健数据,对包含这些数据的政府系统的破坏将具有高度破坏性。
FedRAMP使用第三方评估机构(PAOs)评估“云服务产品”(CSO)
FedRAMP使用专门第三方评估机构(PAOs)来评估CSO。PAOs包括专业的IT合规、审计和咨询公司。PAOs本身必须满足FedRAMP特定的要求和国际最佳实践标准,例如ISO/IEC 17020标准对执行合格评定的机构的要求。PAOs评估CSO维护清晰系统边界的能力,描述系统内部和系统间动态的能力,用户和敏感元数据流,与用于传输联邦敏感数据互连相关的风险,以及与使用未经FedRAMP授权的外部系统和服务相关的风险等问题。
美国FedRAMP与欧洲基于“主权”的网络安全方法的区别
以下部分详细介绍了美国FEDRAMP计划与法国SecNumCloud和EUCS提案的根本不同之处。
FedRAMP向美国和外国公司均开放
来自任何国家的云公司都可以申请FedRAMP认证,没有国籍或所有权限制。截至2022年11月,在285家FedRAMP授权的服务产品和78家正在审查的服务产品中,至少20家公司的总部在国外,或者是外国公司(如西门子技术公司)的美国子公司。
FedRAMP关注网络安全实践,而非公司结构和所有权
FedRAMP关注公司使用先进网络安全实践,而非公司的所有权或控制权。在欧洲FedRAMP最好的仿效规定是德国C5标准,该标准为纯粹的技术网络安全认证制度。与此不同,许多SecNumCloud要求涉及法律、组织结构、投资和所有权——与基于技术的云服务认证或改善网络安全无关。
数据本地化是SecNumCloud和EUCS的核心
无论是在法国还是美国,数据本地化都是一种被误导的政策,即使是为政府数据服务。本地化并不能改善数据隐私或安全性。例如,对美国管理和预算办公室的黑客攻击针对的是美国政府机构内部的数据服务。数据本地化在FedRAMP中作为与特定美国联邦政府机构合同的一部分的使用,意味着它的应用范围非常狭窄。其不会影响更广泛的美国商业云服务市场。
美国有限地使用本地化,就像加拿大的公共云市场一样,也对外国公司和产品开放,并允许数据流向海外。美国和加拿大对敏感政府数据和服务本地化的限制应用远胜于法国和其他欧洲国家所主张的广泛而模糊的国家安全问题。
FedRAMP仅供联邦政府机构使用,不影响美国关键基础设施或更广泛的商业云市场运作
FedRAMP是一个云网络安全框架,美国政府对云服务的采购市场相对于其他经济部门来说规模较小。相比之下,SecNumCloud和EUCS主权要求可以有效地阻止外国云计算公司向政府机构提供服务,或在广泛的商业经济领域进行竞争。
EUCS可能会对欧盟的数字经济产生广泛影响。即使其只适用于敏感和高风险影响领域,因为预计所有提供商都将努力获得这一认证。这样一来,获得高风险影响认证将成为强制性的,EUCS的广泛应用也将在许多行业成为强制性的。此外,EUCS主权要求可能与一些现有规则相冲突。
NIST网络安全标准开放、透明,以技术为重点,而ENISA和EUCS的流程和标准则不是
NIST网络安全标准以公开、透明、技术为核心,吸引全球安全与云专家参与。如ITIF报告所述,NIST以开放流程选取后量子加密标准并更新FedRAMP核心标准。而ENISA在制定EUCS标准时,面临透明度不足及利益相关者参与度低的批评。尽管有多个组织应提供建议,实际上外部利益相关者征求意见程度有限。ENISA试图绕过欧盟委员会高层的政治考量和对技术标准进行公开透明辩论,将主权要求与技术标准区分,导致实际操作中存在问题。
原文标题|Europe’s Cloud Security Regime Should Focus on Technology, Not Nationality
原文地址|https://itif.org/publications/2023/03/27/europes-cloud-security-regime-should-focus-on-technology-not-nationality/
声明:本文来自上海市人工智能与社会发展研究会,版权归作者所有。