Suwerenna Chmura dla Obronności: Europejskie Alternatywy dla Amerykańskich Hiperskalerów

Europejskie organizacje obronne korzystające z amerykańskich hiperskalerów chmurowych — Amazon Web Services, Microsoft Azure, Google Cloud Platform — stają w obliczu ryzyka suwerenności, które do niedawna było w dużej mierze teoretyczne: możliwości zmuszenia tych dostawców przez rząd USA do ujawnienia danych przechowywanych przez zagraniczne rządy i wojska lub ograniczenia dostępu do usług w ramach amerykańskich reżimów kontroli eksportu lub sankcji.

Ustawa CLOUD Act (Clarifying Lawful Overseas Use of Data Act, 2018) pozwala federalnym organom ścigania USA na zmuszenie dostawców chmury z siedzibą w USA do udostępnienia danych przechowywanych gdziekolwiek na świecie, niezależnie od lokalnych przepisów o ochronie danych. W przypadku europejskich danych obronnych — nawet niejawnych danych operacyjnych — tworzy to prawną ścieżkę dla dostępu rządu USA, która jest niezgodna z wymogami suwerenności danych. Ryzyko nie jest teoretyczne: systemy sądownicze UE wielokrotnie kwestionowały podstawę prawną transatlantyckich transferów danych UE-USA właśnie z powodu ekspozycji na CLOUD Act.

Problem suwerenności dla europejskiej obronności

Obawa o suwerenność europejskich organizacji obronnych działających na infrastrukturze amerykańskich hiperskalerów ma trzy wymiary: wymuszone ujawnienie (CLOUD Act i podobne instrumenty prawne umożliwiają rządowi USA dostęp do danych), jednostronne ograniczenia usług (reżimy sankcji lub decyzje polityczne mogą skutkować ograniczeniem lub zakończeniem świadczenia usług przez amerykańskich dostawców określonym europejskim podmiotom) oraz uzależnienie technologiczne (głęboka integracja techniczna z zastrzeżonymi usługami chmury USA tworzy koszty przejścia i strategiczne zależności, które są geopolitycznie problematyczne dla organizacji obronnych).

Pierwszy wymiar jest prawny i trwały — jest inherentny w amerykańskiej strukturze korporacyjnej dostawców hiperskalerów i nie może być złagodzony wyłącznie przez umowne klauzule dotyczące rezydencji danych. Drugi wymiar jest obecnie hipotetyczny dla europejskich sojuszników, ale środowisko geopolityczne zmieniło się na tyle, że organizacje obronne odpowiedzialne za długoterminowe decyzje infrastrukturalne muszą rozważać scenariusze, w których stosunki polityczne USA-UE się pogarszają. Trzeci wymiar jest zarządzalny poprzez celowe wybory architektoniczne, ale wymaga dyscypliny od samego początku.

Krajobraz suwerennej chmury UE

OVHcloud z certyfikacją SecNumCloud jest wiodącym francuskim dostawcą chmury z najwyższą certyfikacją bezpieczeństwa chmury ANSSI (SecNumCloud, qualifié niveau élevé). SecNumCloud wymaga, aby dostawca był kontrolowany przez podmioty UE, przetwarzanie danych pozostawało pod europejską jurysdykcją prawną, a infrastruktura i operacje dostawcy były audytowalne przez władze francuskie i unijne. OVHcloud prowadzi centra danych w całej Europie i świadczy usługi IaaS, PaaS i zarządzanego Kubernetes. Jego certyfikacja SecNumCloud czyni go najbardziej wiarygodną opcją suwerenną UE dla francuskich obciążeń obronnych i rządowych, a coraz częściej dla ogólnoeuropejskich programów obronnych, które priorytetyzują suwerenność.

DELOS Cloud (partnerstwo T-Systems/Deutsche Telekom z Microsoft) to oferta chmury suwerennej Niemiec, która uruchamia usługi Azure na infrastrukturze będącej własnością i zarządzanej przez T-Systems (spółkę zależną Deutsche Telekom) zgodnie z prawem niemieckim, z mechanizmem powiernika technicznego zaprojektowanym w celu uniemożliwienia dostępu rządu USA zgodnie z CLOUD Act. Model DELOS umożliwia dostęp do portfolio usług chmurowych Microsoft — w tym Entra ID, Azure Kubernetes Service i Azure Monitor — przy jednoczesnym rozwiązaniu problemu suwerenności danych poprzez strukturę powiernika. BSI (Bundesamt für Sicherheit in der Informationstechnik) uczestniczył w ocenie bezpieczeństwa architektury DELOS.

Hetzner i IONOS to niemieccy dostawcy chmury oferujący bezpośrednią usługę IaaS pod jurysdykcją UE bez amerykańskich korporacyjnych struktur macierzystych. Brakuje im szerokości zarządzanych usług głównych hiperskalerów i nie posiadają głębokości certyfikacji bezpieczeństwa OVHcloud SecNumCloud lub DELOS, ale dla obciążeń obronnych z umiarkowanymi wymaganiami dotyczącymi usług chmurowych i silnymi ograniczeniami suwerenności zapewniają czyste stanowisko prawne. Obie firmy posiadają certyfikację ISO 27001 i dążą do uzyskania dodatkowych schematów certyfikacji UE.

GAIA-X: co faktycznie oferuje

GAIA-X, uruchomiony w 2019 roku jako inicjatywa francusko-niemiecka i rozszerzony do szerszego wysiłku UE, ma na celu stworzenie sfederowanego, interoperacyjnego europejskiego ekosystemu infrastruktury chmurowej. Ważne jest, aby precyzyjnie zrozumieć, czym GAIA-X jest, a czym nie jest.

GAIA-X nie jest dostawcą chmury — nie zarządza infrastrukturą obliczeniową. Jest to struktura zarządzania i standardów: zestaw specyfikacji dotyczących tego, jak dostawcy chmury i usługi danych mogą rejestrować swoje oferty, certyfikować zgodność z wymogami zarządzania danymi i uczestniczyć w sfederowanym rynku. Trust Framework GAIA-X definiuje wymagania dotyczące suwerenności danych, przenośności, przejrzystości i interoperacyjności, które dostawcy muszą spełnić, aby wyświetlać etykiety zgodności GAIA-X.

W zamówieniach obronnych zgodność z GAIA-X jest wskaźnikiem — a nie gwarancją — postawy suwerenności zorientowanej na UE. Dostawca, który osiągnął zgodność z GAIA-X, poddał się zdefiniowanej strukturze zarządzania, ale zgodność z GAIA-X nie zastępuje krajowych certyfikatów bezpieczeństwa, takich jak SecNumCloud lub BSI C5. Organizacje obronne powinny traktować status GAIA-X jako jeden punkt danych w szerszej ocenie dostawcy, a nie jako wystarczające kryterium kwalifikacyjne samo w sobie.

EUCS: Europejski Schemat Certyfikacji Cyberbezpieczeństwa dla Chmury

Europejski Schemat Certyfikacji Cyberbezpieczeństwa dla Usług Chmurowych (EUCS) jest opracowywany przez ENISA (Agencję Unii Europejskiej ds. Cyberbezpieczeństwa) na mocy unijnej ustawy o cyberbezpieczeństwie. EUCS stworzy zharmonizowany schemat certyfikacji bezpieczeństwa chmury w państwach członkowskich UE, zastępując obecną mozaikę krajowych certyfikacji (francuski SecNumCloud, niemiecki C5 itp.).

EUCS definiuje trzy poziomy zapewnienia: Podstawowy, Znaczny i Wysoki. Poziom Wysokiego zapewnienia jest tym, który ma znaczenie dla obciążeń obronnych: wymaga unijnej kontroli prawnej dostawcy, przetwarzania danych ograniczonego do UE, środków technicznych i organizacyjnych uniemożliwiających dostęp rządów spoza UE oraz audytu przez organ oceny zgodności akredytowany przez krajowy organ akredytacyjny państwa członkowskiego UE.

EUCS High jest nadal finalizowany od 2026 roku, z trwającą debatą polityczną dotyczącą tego, czy amerykańskie hiperskalery z filiami w UE powinny kwalifikować się do poziomu Wysokiego zapewnienia. W przypadku europejskich organizacji obronnych praktyczne wytyczne brzmią: preferować dostawców, którzy obecnie posiadają krajowe certyfikacje Wysokiego zapewnienia (SecNumCloud qualifié élevé, BSI C5 z atestacją suwerenności) i będą dobrze pozycjonowani do certyfikacji EUCS High po jej sfinalizowaniu.

Kryteria wyboru dla obronności UE

Wybór dostawcy chmury dla obciążeń obronnych UE wymaga oceny według pięciu kryteriów: jurysdykcja (dostawca musi być kontrolowany przez podmioty UE bez prawnej ścieżki dostępu obcego rządu); rezydencja danych (dane muszą pozostawać na terytorium UE, co jest umownie i technicznie egzekwowalne); kontrola kluczy szyfrowania (organizacja obronna musi zachować wyłączną kontrolę nad kluczami szyfrowania, uniemożliwiając dostawcy dostęp do treści danych nawet pod przymusem); prawa audytu (organizacja obronna musi być w stanie niezależnie lub za pośrednictwem akredytowanej strony trzeciej audytować infrastrukturę, operacje i dzienniki dostępu dostawcy); oraz certyfikacja bezpieczeństwa (dostawca musi posiadać odpowiednią krajową lub unijną certyfikację na odpowiednim poziomie zapewnienia dla klasyfikacji obciążenia).

Kontrola kluczy szyfrowania jest szczególnie ważna i często niedostatecznie określona przy zamówieniach. Dostawca przechowujący dane zaszyfrowane kluczami, którymi dostawca zarządza, nie oferuje żadnej znaczącej ochrony przed wymuszonym ujawnieniem — odszyfrowanie danych jest dla dostawcy trywialne pod przymusem prawnym. Organizacja obronna musi zarządzać własnym HSM (Modułem Bezpieczeństwa Sprzętowego) lub korzystać z usługi klucza zarządzanego przez klienta, gdzie dostawca ewidentnie nie może uzyskać dostępu do kluczy, i musi zweryfikować poprzez przegląd techniczny i prawny, że ta architektura jest faktycznie egzekwowana od końca do końca.