Суверенное облако: Европейские игроки представляют новую маркировку

Европейские компании, предоставляющие облачные услуги, выразили недовольство текущими критериями оценки суверенитета облачных сервисов, предложенными Брюсселем в конце прошлого года. В ответ на это, они разработали и запустили собственную систему маркировки для «суверенных и устойчивых» облачных решений. Провайдеры, получившие эти значки, прошли тщательные и глубокие аудиты.

Новая система, разработанная CISPE (Cloud Infrastructure Service Providers in Europe) — лобби европейских облачных компаний, включает различные значки: красный для «суверенных» провайдеров, синий для «устойчивых», а также зеленый и серый, указывающие на экологическое воздействие предприятия и использование им открытого исходного кода соответственно. Эти логотипы появятся у около 40 сервисов (публичные облака, хранилища, Kubernetes), которые соответствуют строгим требованиям нового стандарта.

CISPE утверждает, что их система была «разработана, определена и протестирована исключительно европейскими поставщиками облачной инфраструктуры». Цель — подтвердить гарантии компаний в отношении суверенитета и устойчивости. Организация объясняет, что сегодня рынок переполнен непроверенными «суверенными» предложениями, что в таких условиях затрудняет для клиентов «понимание того, что они на самом деле покупают».

Тем не менее, остается значительная проблема: что именно означает суверенитет. Хотя большинство более или менее согласны по общим вопросам, мнения могут расходиться в деталях. Например, Государственный совет Франции определяет суверенитет как «исторически и юридически способность осуществлять «последнее слово», свободу выбора [...] не завися ни от какой высшей власти».

По мнению организации, официальные определения суверенитета остаются расплывчатыми, а методы оценки недостаточно прозрачны. CISPE утверждает, что «клиенты должны иметь возможность знать, защищены ли облачные сервисы от иностранного юридического вмешательства («неуязвимы для Трампа»), или же они представляют риски в плане прерывания услуг и доступа к данным».

Система CISPE является прямым ответом на «сетку суверенитета облака», введенную Еврокомиссией в октябре 2025 года. Эта система, предназначенная для государственных органов стран-членов ЕС для оценки уровня суверенитета поставщика облачных услуг, основана на довольно простой системе: восемь критериев (стратегический, юридический и юрисдикционный суверенитет, данные и ИИ и т.д.), вес которых регулируется системой взвешивания. Эти критерии позволяют установить классификацию поставщиков (SEAL, от «Sovereignty Effectiveness Assurance Levels»): SEAL 4 представляет максимально возможный уровень для добросовестного предложения, SEAL 0 соответствует предложению без суверенитета.

Проблема этой системы, поднятая в свое время CISPE, заключается в том, что компания, зависящая от иностранной юрисдикции (например, США), все равно может набрать баллы по другим критериям и в итоге получить «хорошую» оценку. Как отмечала Одри Луай, сопредседатель Ecritel, «критерий экстерриториальности должен быть обязательным условием».

«Существует острая необходимость в прозрачности и проверяемой системе для предотвращения любого вида „отмывания суверенитета“», — утверждает CISPE. Отсюда и запуск этой системы, которая вводит два подхода, одновременно различных и взаимодополняющих, чтобы гарантировать клиентам и государственным органам, что предложение «обеспечивает эффективный контроль над данными, инфраструктурой, рабочими нагрузками и операциями», выходя за рамки простой маркировки кибербезопасности, которая сама по себе недостаточна.

Суверенный, устойчивый или оба?

Стандарт CISPE содержит два «различных, но взаимодополняющих» подхода: суверенный и устойчивый. Первый касается услуг, которые принадлежат, управляются и эксплуатируются в пределах соответствующей юрисдикции. «Иностранные державы не имеют никаких средств, ни юридических, ни технических, для доступа к ним, вмешательства или прерывания их работы». Это то, что организация называет контролем «по замыслу».

Второй подход касается услуг, над которыми клиент сохраняет эффективный контроль благодаря надежным техническим и операционным гарантиям, даже при наличии несуверенных элементов (подход, называемый «по возможностям»). Среди гарантий: шифрование, управляемое клиентом, переносимость, независимое резервное копирование, возможность смены провайдера или перераспределения рабочих нагрузок.

«Суверенитет направлен на предотвращение риска, устойчивость позволяет клиенту справиться с ним», — резюмирует CISPE, заверяя, что стандарт устойчивости накладывает такие ограничения, которые не допускают установки бэкдоров. Когда полностью суверенные услуги еще недоступны, «устойчивые альтернативы могут представлять собой законные и эффективные решения для клиентов», — указывает группа.

Этот стандарт соответствует третьему уровню Gaia-X — высшему уровню этой европейской инфраструктуры данных, запущенной в 2020 году. Однако система провайдеров расширяет понятие суверенитета за пределы ЕС. Например, облачный сервис, размещенный в Японии японским провайдером, мог бы получить метку «суверенный в Японии». А если он не является суверенным на Старом Континенте, он все равно мог бы получить метку «устойчивый в Европе», продемонстрировав свою совместимость и наличие местных ресурсов для сокращения запросов на доступ к данным из-за рубежа. Таким образом, речь не идет об исключении определенных услуг с рынка: цель состоит в том, чтобы «укрепить доверие к контролю над данными и рабочими нагрузками в облаке».

Заинтересованные провайдеры должны будут пройти аудит у аккредитованной третьей стороны для получения сертификации и права объявлять свои услуги суверенными или устойчивыми.

SecNumCloud 3.2 во Франции, неудачная попытка с EUCS High+ в Европе

Это объявление последовало через несколько дней после того, как Брюссель выделил 180 миллионов евро на контракты с облачными провайдерами, в частности, французскими. Среди них был бельгийский оператор Proximus с S3NS, совместным предприятием Thales и Google, что вызвало резкую критику со стороны Франсиско Мингорансе, генерального секретаря CISPE: «Признание S3NS, использующего облачную технологию Google, как „суверенной“ является явной стратегической ошибкой и угрожает институционализировать отмывание суверенитета на самом высоком уровне».

Во Франции уже существует квалификация, позволяющая обеспечить защиту от экстерриториальных законов (американских и китайских, если упомянуть только их): стандарт SecNumCloud от ANSSI, версия 3.2 которого от 2022 года «в основном включает критерии защиты от внеевропейского права». Напомним, S3NS получила свою квалификацию в конце 2025 года от ANSSI.

На европейском уровне EUCS (European Union Cybersecurity Certification Scheme for Cloud Services) — это проект, осуществляемый Европейским агентством по кибербезопасности. Он предусматривал четыре уровня, включая High+, который должен был быть скопирован с SecNumCloud, но теперь осталось только три. Ален Гарнье, глава Jamespot, не скрывал своего раздражения: «Закон о кибербезопасности 2 констатирует очень четкую вещь: EUCS будет говорить о безопасности. Не о суверенитете [...] Еврокомиссия закрывает двери для юридических критериев типа Cloud Act. Американские технологи вздыхают с облегчением. Франция хмурится». Германия и Нидерланды сочли порог High+ слишком эксклюзивным и способным сдерживать инновации.