Bu makalenin aslını İngilizce olarak burayı tıklayarak okuyabilirsiniz.
Rusya-Ukrayna çatışması, siber güvenlik konusunu Avrupa ve ulusal gündemlerin en üst sıralarına taşıdı. Konu, en azından politika düzeyinde, 5G, bulut sektörü ve genel olarak temel telematik altyapıların esnekliği ile ilgili bağlamlarda zaten çok tartışılmıştı. Ancak Rusya’nın Ukrayna’da başlattığı savaş yeni bir konuyu gündeme getirdi, birçok Avrupa hükümeti tarafından ve özellikle İtalya’da kullanılan ve bakanlıklar ve polis güçleri dahil binlerce kamu dairesinde kurulu olan Rus anti-virüs Kaspersky konusuna dikkat çekti. Kaspersky bu tartışmaya o kadar yabancı değil. 2017 yılında ABD yönetimleri tarafından yasaklandı.
Zaten bir antivirüs yazılımının düzgün çalışabilmesi için, korumayı amaçladığı sistemi ve verileri filtreleyebilmesi, yani okuyabilmesi ve hatta manipüle edebilmesi gerekir: eğer bu yazılım bir nedenle üretiliyorsa veya bir ülkeyle bağlantılıysa. jeopolitik sorun var demektir. Evin anahtarını en kötü düşmana teslim etmiş gibi olursunuz. Bu bir birey için önemli bir endişe değildir, ancak ulusal bir kritik altyapı için hayati bir sorun olabilir.
Bekleneceği gibi, Kaspersky yöneticileri müşterilere güvence vermek için adımlar attı. Örneğin İtalyan şubesinin CEO’su İtalyan medyasında bunu yaptı. Bu güvenceler anlaşılabilir, ancak ne yazık ki bizi tam olarak rahatlatamıyorlar. Çinli 5G satıcıları ve Amerikan bulut sağlayıcıları üzerindeki tartışmalarda zaten bunların sınırları biliniyor. Bunlar aşağıdaki gibi özetlenebilir.
Ana şirketin yabancı yargı yetkisi kaçınılmazdır
Bir teknoloji şirketinin merkezi AB dışında (ABD, Çin, Rusya veya başka bir yerde) bulunduğunda, şirketin tamamı o ülkenin yargı yetkisine (yargı yetkisi ama aynı zamanda hükümet gücü olarak anlaşılır) ve ayrıca aşağıdakilere ilişkin olarak da tabidir: AB içindeki veya başka bir yerdeki şubeleri (örneğin, Kaspersky örneğinde olduğu gibi İsviçre). Bu nedenle, en iyi güvencelere ve geçici sözleşmeye dayalı şemaların ve garantilerin kabul edilmesine rağmen, şubelerin bulunduğu ülkelerin yasalarını ihlal etse bile, ana şirketin ülkesinin yargı yetkisi her zaman geçerli olacaktır: bu Amerikan Bulut Yasası ve FISA 702’nin yanı sıra Avrupa düzenlemelerine her zaman üstün gelecek olan Rus ve Çin güvenlik düzenlemeleri için geçerlidir.
Bu, Avrupalı müşterilere verilerinin ve hizmetlerinin güvenli olduğunu bildirirken kesinlikle iyi niyetli olan, Avrupalı olmayan şirketler adına bir adaletsizlik veya çifte işlem yapma sorunu değildir. Sorun şu ki, bir gün Moskova veya Pekin’den biri Tayvan veya Moldova’ya karşı ulusal çıkarlarını korumak için (yurt dışında faaliyet gösteren) yerel teknoloji şirketlerini kullanma zamanının geldiğine karar verilirse, bu tür vaatler ve hatta sözleşme yükümlülükleri kaçınılmaz olarak sona erecektir.
Bu nedenle, teknoloji şirketinin ana şirketi Kremlin, Beyaz Saray veya Pekin’in yargı yetkisine tabi olmaya devam ederse, bu yeterli değildir ve şubeleri, veri merkezlerini ve kodları AB veya İsviçre’ye taşımaya gerek yoktur. . Ve hiçbir Avrupa sözleşmesi, şirketin ana kuruluşunun Avrupa dışı kuruluş ülkesinin ulusal güvenlik yasalarına uygun hareket etmesi talep edildiğinde yasal güvenliği sağlayamaz. Avrupa hukukuna tabi bir sözleşme, ister Amerikan, ister Çin, ister Rus olsun, bir dışişleri bakanlığına engel teşkil etmez.
Yabancı yargı bölgelerinin sınır ötesiliği: yazılım, donanımdan daha önemlidir
AB içindeki veri merkezlerinin, sunucuların ve ofislerin taşınmasına ilişkin çözüm, bunların Avrupa dışındaki yargı yetkilerine tabi olmalarını ortadan kaldırmıyorsa, aynısı, veri ve hizmetleri izinsiz girişlerden teknik olarak korumanın pratik olasılığı için de geçerlidir. Avrupalı olmayan bir teknoloji sağlayıcısı, AB içinde bile orada barındırılan verilere ve hizmetlere çok iyi erişebildiğinde, ekipmanın konumu ve fiziksel olarak ayrılması bir engel değildir. Erişmek için basit bir yazılım güncellemesi yeterlidir. Bu erişim teknik olarak mümkünse, Avrupalı olmayan operatör, müşterinin çıkarına aykırı ancak ana şirketin yargı yetkisinin gerektirdiği eylemlerde bulunmak zorunda kalabilir. Sunucuların ve diğer kutuların bulunduğu yerler ve herhangi bir fiziksel ayrım önemli değil, onları çalıştıran yazılımın kontrolüne ve anahtarlarına kimin sahip olduğu daha önemlidir. Yazılım, donanımdan çok daha önemlidir. Ancak bu gibi durumlarda, yazılımın tescilli mi yoksa açık kaynak mı olduğu bir miktar önemlidir, çünkü en azından ikinci durumda, veri ve hizmetlerine ne olduğu konusunda müşteri tarafından belirli bir denetim mümkündür.
Şifreleme ve diğer tamamlanmamış çözümler
Veri şifreleme gibi belirli savunma mekanizmaları, dış tehditlere karşı etkiliyken seçilen teknoloji sağlayıcısına karşı daha az etkili oldukları için fazla abartılmamalıdır. İkincisine karşı, şifreleme, veriler “hareketsizken”, yani sunucuların sabit diskinde depolandığında etkilidir, ancak “çalışırken” değil. Yani işlenmesi için uygulamanın çalışması gerekir. İkinci durumda, veri işlemeye devam etmek için şifreleme anahtarlarının teknoloji sağlayıcısı ile paylaşılması gerekecek ve veriler – nihayet “açık” – erişilebilir olacak ve bu nedenle, daha önce bahsedilen nedenlerle güvenliğe elveda.
“Anahtar yönetim” sistemleri bile, bu sistemler Avrupalı olmayan bir teknoloji tedarikçisi tarafından yönetildiği sürece risk altındadır (dahası, bunlar İtalya’daki Ulusal Stratejik Kutup ihale çağrılarında düşünülen çözümlerdir).
Karşılıklı bağımlılık tek gerçekçi seçimdir
Bununla birlikte, tek bir ülkenin yalnızca ulusal teknolojiyi kullanmasına izin veren (Rusya ve Çin deniyor olsa bile) tamamen kendi kendine yeterli çözümler ve senaryolar yoktur. Avrupalılar, teknolojik olarak Avrupalı olmayan tedarikçilere bağımlı olmaya alışmalı ve mevcut zaman göz önüne alındığında, genel olarak jeopolitik alan seçimini paylaştığımız ülkelere veya her halükarda ABD’ye vurgulanmış bir bağımlılığı kabul etmek gerekecektir. , AB’ye açıkça veya potansiyel olarak düşman olan diğer ülkelerle aynı şekilde tolere edilemez olsa da.
Bu, dış politika seçimlerinin teknolojik ve güvenlikle tutarlı olması gerektiği anlamına gelir. Üstelik, ABD ile ilgili olarak bile, Avrupa’nın bugün var olduğu gibi kronik bir bağımlılık durumundan ziyade, en azından bir karşılıklı bağımlılığa varması arzu edilir. Şu anda AB için gerçekçi olarak ulaşılabilir tek hedef olan bu karşılıklı bağımlılığı gerçekleştirmek için, Avrupa teknoloji şirketlerinin gelişimini desteklemek için mümkün olan her şeyi yapmak gerekecektir. Gelişmeye dikkat edin, hayatta kalmaya değil, bu nedenle Yeni nesil AB’nin fonlarının da bu amaç için kullanılması hayati önem taşımaktadır.