Donald Trump'ın görevdeki ikinci döneminin başlangıcından bu yana, Avrupalı olmayan bulut sağlayıcılarına (AWS ve Azure gibi hiper ölçekleyicilerin yanı sıra Alibaba veya Huawei Cloud'a) bağımlılığın çok büyük olup olmadığı da tartışılıyor. Aşağıdakiler özellikle kamu yönetimindeki güvenlik açısından kritik uygulamalar ve kritik altyapı ve hizmet operatörleri için geçerlidir: Yüksek performanslı ve bağımsız çözümler ararken pek çok vaat vardır, ancak kriterler söz konusu olduğunda genellikle çok az netlik vardır. AB'de teknik olarak güvenli bir şekilde çalıştırılan bir bulut çözümü egemen midir? Bir ABD şirketinin altyapısından bağımsız mı? Dış örneklere bağımlı olmadan mı? Teknik BT güvenliği bir şeydir; teknik egemenlik her zaman tutarlı bir gereksinim profili değildir.
Reklamdan sonra devamını okuyun
Yakın zamanda güncellenen Bulut Bilişim Uyumluluk Kriterleri Kataloğu (C5), bulut hizmetlerinin daha katı güvenlik özelliklerini zaten tanımlamaktadır. Federal Bilgi Güvenliği Dairesi'nin (BSI) sunduğu teklif ikinci dönemle başlıyor: Bonn federal otoritesindeki uzmanlar, bugün yayınlanan “Bulut Bilişim Özerkliğini Etkinleştiren Kriterler” (C3A) ile bir teklif sundular. Kullanıcılar, bir hizmetin gerçekten kendi egemenlik risklerine uyup uymadığını en başından kontrol edebilmelidir. Otorite, Federal Yönetim'in BT güvenlik hizmeti sağlayıcısı olarak uzun yıllardır tartışmalara eşlik ediyor. Her şeyden önce tek bir şeyi başarmak istiyor: BSI Başkan Yardımcısı Thomas Caspers, “Somut koşulları formüle eden teknik açıdan uygulanabilir çözümlerle ilgileniyoruz” diyor.
BT Zirvesi 2026 için dijital egemenlik projelerini planlayan, yöneten veya uygulayan kişilerden pratik raporlar bekliyoruz. Bilişim Zirvesi'ndeki dersler ve açılış konuşmaları, 5 dakikalık soru-cevap dahil olmak üzere 45 dakika sürüyor. İdeal olarak, pratik deneyimi teknik derinlikle birleştirerek dinleyicilerin somut öğrenmeleri eve götürmelerini sağlarlar. Sunum fikirlerinizi 17 Mayıs 2026'ya kadar gönderin.
Daha az diplomatik yorum: Bir sağlayıcının bağımsızlığı hakkında uzun bir siyasi tartışma yerine, otorite, Bulut ve Yapay Zeka Geliştirme Yasası'nın (CADA) sonuçları hakkındaki tartışmaya somut bir teklifle girmek istiyor. Mevcut takvime göre AB Komisyonu CADA'yı 27 Mayıs'ta sunmak istiyor; Üye devletler ve Avrupa Parlamentosu daha sonra ona tavsiyelerde bulunur. Gözlemciler, AB Komisyon Başkan Yardımcısı Henna Virkkunen'in CADA ile bulut egemenliğine ilişkin daha net kriterler sunmasını ve bu tartışma ve lobi faaliyetinin ancak projenin Mayıs ayındaki sunumuyla gerçekten başlamasını bekliyor.
Pratik deneyimler ve AB kriterleri
Bunu yaparken BSI, diğer şeylerin yanı sıra, aslında yalnızca AB Komisyonu'nun kendi BT'sinden sorumlu olan DIGIT Genel Müdürlüğü'nün geçen yıl tanımladığı sekiz kriterden altısını temel alıyor ve bunları daha geniş deneyimle detaylandırıyor. Özellikle Fransız BT güvenlik otoritesi ANSSI ve BSI, çeşitli bağımlılık varyasyonları konusunda kapsamlı deneyim kazanmıştır – örneğin Almanya'da SAP-Microsoft işbirliği DelosCloud, Schwarz-Digits'ten Stackit veya Google ile işbirliği içinde T-Systems Sovereign Cloud, örneğin “Polizei 2020” (P20) veya Amazon'un Avrupa Sovereign Cloud teklifi için gereksinimler. Aynı zamanda, Fransa Başbakanına rapor veren makam, Fransız şirketlerinin her zaman kamu yönetimine dahil olduğu farklı bir yolu test etti; örneğin Aralık ayında Fransız SecNumCloud gereksinimlerine göre sertifikalandırılan ve Google veya OVH donanımı üzerinde SAP ile birlikte işletilen S3NS'deki savunma şirketi Thales.
Tam da bu tür deneyimlerin artık gelecekle alakalı hale gelmesi gerekiyor. BSI'nın C3A sistemini bir boşlukta geliştirmediği, aynı zamanda sağlayıcılarla da görüştüğü gerçeği, endüstrinin buna yakından dayanan kendi değerlendirme standartlarında da görülmektedir. Caspers, “AWS Avrupa Egemen Bulut örneğini kullanarak, diğer şeylerin yanı sıra, bir bulutun çalışır durumda tutulmasında kaç mekanizmanın rol oynadığını gördük” diye açıklıyor Caspers. “Eğer tamamen ayrışmışsanız, bu tür teklifleri yıllarca uygulamaya devam edemezsiniz.”
Bağlantı kesilmesinden savunma durumuna kadar kriterler
Reklamdan sonra devamını okuyun
Örneğin C3A'da durum şu şekildedir: C3A'nın SOV-4-09-C'si, bağlantı kesilmesi durumunda neyin garanti edilmesi gerektiğini, yani Avrupa dışındaki operatör bulutundan ayrılmayı tanımlar: Temelde, operasyonlar kullanılabilirliği, bütünlüğü, özgünlüğü ve gizliliği etkilemeden çalışmaya devam etmelidir. Ayrıca, ayırma prosedürü ve uygulanması için belgelenmiş bir süreç bulunmalı ve operatör bunu, test sonuçları da dahil olmak üzere yılda en az bir kez test etmiş ve belgelendirmiş olmalıdır. Daha kapsamlı olan SOV-4-09-AC kriterini karşılamak isteyen herkesin, talepleri halinde belgelerini veri merkezi lokasyonundaki sorumlu BT güvenlik yetkilileriyle de paylaşması gerekiyor.
Gereksinimler yasal açıdan da benzer şekilde spesifiktir; örneğin, sağlayıcıların AB dışı yargı yetkisine tabi olmaması gerektiği veya çalışanların temel BT bakım önlemlerini nerede yürüttüğü sorusu söz konusu olduğunda. Çalışanları seçerken buna uygun olarak derecelendirilmiş kriterler de vardır: SOV-4-01-C1, bulut hizmeti sağlayıcısının kaynaklarına mantıksal veya fiziksel erişimi olan tüm çalışanların AB vatandaşlığına ve AB ikamet yerine sahip olmasını gerektirir; SOV-4-01-C2 kapsamındaki gereklilik daha da katıdır: bu durumda tüm çalışanların yalnızca AB vatandaşı olması değil, aynı zamanda ikamet yerlerinin Federal Cumhuriyet içinde olması gerekir.
Bu kriter özellikle güvenlik yetkilileri veya Bundeswehr gibi yüksek güvenlikli uygulamalar için uygundur. BSI'nin bu konuda doğrudan yasal sorumluluğu yoktur. Ancak her ihtimale karşı C3A aynı zamanda test kriterlerini de içerir. Çünkü anayasa tarafından düzenlenen savunma durumunda yerine getirilmesi gerekenler artık açıkça tanımlanmış durumda: Tüm acil durum mevzuatı modeline uygun olarak, bulut hizmeti sağlayıcıları, “gerekli malzeme ve personel de dahil olmak üzere” işlemleri federal makamlara devredebilmelidir.
Potansiyel olarak geniş kapsamlı etkiler
Başlangıçta Sosyal Güvenlik Kanunu'nda sağlık bilişimi için bağlayıcı olduğu ilan edilen C5 kataloğunda olduğu gibi, C3A için de durum doğrudan geçerli değildir. Caspers, “Bulut Bilişim Özerkliğini Sağlayan Kriterler kendi başlarına bağlayıcı değildir” diye açıklıyor. “Fakat tabi ki mevzuat veya ihaleler çerçevesinde asgari gereklilikler olarak beyan edilebilirler.” Ancak Federal Bilgi Güvenliği Dairesi Başkan Yardımcısı, C3A'nın “federal yönetimin referans noktası haline gelebileceğini” söylüyor.
Bu aynı zamanda spesifikasyonlar arasındaki etkileşimden de kaynaklanmaktadır. BSI bulut güvenliği departmanı başkanı Martin Bierwirth, “Federal kurumlar, BSI'nin temel BT korumasını uygulamakla yükümlüdür” diye açıklıyor. “Harici bulut hizmetlerini kullanıyorsanız OPS 2.2 bileşenini de uygulamalı ve ona uymalısınız.” Harici bulut hizmetlerinin (MST-NCD) kullanımına ilişkin minimum standart da buna dayanmaktadır. C3A ise C5'i temel alacak ve bilgi güvenliği kriterlerini dijital egemenlik konusuyla tamamlayacak. Yalnızca güvenli değil, aynı zamanda egemenlik gerekliliklerini de karşılamak zorunda olan herkes, tahmin edilebileceği gibi, Federal Cumhuriyet'te bu durumun üstesinden gelmekte zorlanacak. Büyük hiper ölçekleyicilerin bu gereksinimleri karşılayıp karşılayamayacağı, muhtemelen müşterinin özel gereksinim profiline ve üstün çözümler seçme baskısına bağlı olacaktır.
Avrupa'daki tartışmanın nasıl gelişeceğine bağlı olarak yeni kriterler Ren ve Oder'in ötesinde de önemli bir rol oynayabilir. AB'nin Bulut ve Yapay Zeka Geliştirme Yasası ile bu tür kriterlerin NIS2 veya Siber Güvenlik Yasası gibi BT güvenlik yasalarının eklerinde yer alması durumunda, Almanya'nın teklifini aşmanın pek bir yolu olmayacaktı.
Ayrıca okuyun
(fo)
Bir yanıt yazın