內(nèi)容摘要：本報告認為歐盟部分國家濫用云網(wǎng)絡(luò)安全規(guī)則，推動EUCS實施數(shù)字保護主義，試圖用本土企業(yè)取代美國領(lǐng)先的云計算公司。EUCS與FedRAMP不同，更加強調(diào)企業(yè)所有權(quán)，采用封閉技術(shù)標準，涵蓋私營部門。這將破壞跨大西洋數(shù)字貿(mào)易。歐洲政策制定者應(yīng)效仿FedRAMP實施EUCS，專注于技術(shù)細節(jié)，透明開放制定標準，避免限制性主權(quán)要求。對此，報告提出以下建議：歐盟成員國應(yīng)在EUCS提案中刪除主權(quán)條款；美國需加強與歐盟在TTC上的接觸；若限制未取消，美國應(yīng)評估網(wǎng)絡(luò)安全合作并考慮報復(fù)措施；雙方應(yīng)利用TTC改善網(wǎng)絡(luò)安全合作，確保標準兼容性；美國和歐盟應(yīng)關(guān)注電子證據(jù)/CLOUD法案協(xié)議，并努力實現(xiàn)網(wǎng)絡(luò)安全認證和審計項目的相互承認。

背景介紹

歐盟一些國家濫用云網(wǎng)絡(luò)安全規(guī)則，制定歐洲云服務(wù)網(wǎng)絡(luò)安全認證計劃(European Cybersecurity Certification Scheme for Cloud Services，EUCS)，企圖用本土企業(yè)取代美國領(lǐng)先的云計算公司。法國是其中的領(lǐng)導(dǎo)者。其他歐盟政策制定者對盲目追隨法國的網(wǎng)絡(luò)安全、貿(mào)易和經(jīng)濟保護主義做法有所顧慮。因此，歐洲政策制定者決定效仿美國的FedRAMP制定實施EUCS。

本簡報詳細介紹了兩者的差異，解釋了FedRAMP是什么，最重要的是，與SecNumCloud相比不是什么，以及歐洲在EUCS提案中刪除限制性和誤導(dǎo)性的主權(quán)要求的重要性，并在最后為跨大西洋網(wǎng)絡(luò)安全議程提供了建設(shè)性的合作建議。

停止數(shù)據(jù)流和云市場準入破壞了歐洲、跨大西洋和全球的網(wǎng)絡(luò)安全合作

根據(jù)EUCS，云提供商將不再能夠?qū)⑷蛲{與國內(nèi)威脅比對映射，也無法將全球網(wǎng)絡(luò)的惡意活動跡象追蹤到國內(nèi)網(wǎng)絡(luò)。

EUCS主權(quán)要求將使美國公司更難在網(wǎng)絡(luò)攻擊之前采取預(yù)防措施，以保護歐洲客戶和網(wǎng)絡(luò)安全機構(gòu)。該要求也將阻礙跨大西洋和全球網(wǎng)絡(luò)安全合作。如果歐洲制定主權(quán)要求，這種合作很難持續(xù)。因為如果歐洲都不信任美國的云計算公司，如何取得第三國政府的信任呢?

美國云網(wǎng)絡(luò)安全系統(tǒng)FedRAMP的介紹

FedRAMP為美國聯(lián)邦政府機構(gòu)使用的云服務(wù)提供了安全評估、授權(quán)和持續(xù)監(jiān)控的標準化方法。ITIF在報告《改革FedRAMP：改進聯(lián)邦采購和云服務(wù)風險管理指南》中指出獲得FedRAMP認證的時間和成本需要改善。但總的來說，F(xiàn)edRAMP提供了一個通用的、高水平的云網(wǎng)絡(luò)安全保護平臺。

風險級別決定控制基準

FedRAMP根據(jù)低、中、高三個風險級別指定控制。

NIST設(shè)定了每個級別的技術(shù)要求。風險影響等級越高，需要的基準控制就越多：低影響系統(tǒng)需要123個控制，中等影響系統(tǒng)需要325個控制，高影響系統(tǒng)需要421個控制。

低風險包括用于公共使用的數(shù)據(jù)，任何數(shù)據(jù)損失都不會影響機構(gòu)的任務(wù)、安全、財務(wù)或聲譽。中等風險包括公眾無法獲得的數(shù)據(jù)，這樣的泄露可能會對機構(gòu)的運營產(chǎn)生嚴重影響。大多數(shù)美國聯(lián)邦政府機構(gòu)都是在這個中等影響級別上運行，使用的是“受控的、非機密的信息”。高風險包括敏感的（但非機密的）聯(lián)邦信息，如執(zhí)法部門、緊急服務(wù)和醫(yī)療保健數(shù)據(jù)，對包含這些數(shù)據(jù)的政府系統(tǒng)的破壞將具有高度破壞性。

FedRAMP使用第三方評估機構(gòu)（PAOs）評估“云服務(wù)產(chǎn)品”（CSO）

FedRAMP使用專門第三方評估機構(gòu)（PAOs）來評估CSO。PAOs包括專業(yè)的IT合規(guī)、審計和咨詢公司。PAOs本身必須滿足FedRAMP特定的要求和國際最佳實踐標準，例如ISO/IEC 17020標準對執(zhí)行合格評定的機構(gòu)的要求。PAOs評估CSO維護清晰系統(tǒng)邊界的能力，描述系統(tǒng)內(nèi)部和系統(tǒng)間動態(tài)的能力，用戶和敏感元數(shù)據(jù)流，與用于傳輸聯(lián)邦敏感數(shù)據(jù)互連相關(guān)的風險，以及與使用未經(jīng)FedRAMP授權(quán)的外部系統(tǒng)和服務(wù)相關(guān)的風險等問題。

美國FedRAMP與歐洲基于“主權(quán)”的網(wǎng)絡(luò)安全方法的區(qū)別

以下部分詳細介紹了美國FEDRAMP計劃與法國SecNumCloud和EUCS提案的根本不同之處。

FedRAMP向美國和外國公司均開放

來自任何國家的云公司都可以申請FedRAMP認證，沒有國籍或所有權(quán)限制。截至2022年11月，在285家FedRAMP授權(quán)的服務(wù)產(chǎn)品和78家正在審查的服務(wù)產(chǎn)品中，至少20家公司的總部在國外，或者是外國公司（如西門子技術(shù)公司）的美國子公司。

FedRAMP關(guān)注網(wǎng)絡(luò)安全實踐，而非公司結(jié)構(gòu)和所有權(quán)

FedRAMP關(guān)注公司使用先進網(wǎng)絡(luò)安全實踐，而非公司的所有權(quán)或控制權(quán)。在歐洲FedRAMP最好的仿效規(guī)定是德國C5標準，該標準為純粹的技術(shù)網(wǎng)絡(luò)安全認證制度。與此不同，許多SecNumCloud要求涉及法律、組織結(jié)構(gòu)、投資和所有權(quán)——與基于技術(shù)的云服務(wù)認證或改善網(wǎng)絡(luò)安全無關(guān)。

數(shù)據(jù)本地化是SecNumCloud和EUCS的核心

無論是在法國還是美國，數(shù)據(jù)本地化都是一種被誤導(dǎo)的政策，即使是為政府數(shù)據(jù)服務(wù)。本地化并不能改善數(shù)據(jù)隱私或安全性。例如，對美國管理和預(yù)算辦公室的黑客攻擊針對的是美國政府機構(gòu)內(nèi)部的數(shù)據(jù)服務(wù)。數(shù)據(jù)本地化在FedRAMP中作為與特定美國聯(lián)邦政府機構(gòu)合同的一部分的使用，意味著它的應(yīng)用范圍非常狹窄。其不會影響更廣泛的美國商業(yè)云服務(wù)市場。

美國有限地使用本地化，就像加拿大的公共云市場一樣，也對外國公司和產(chǎn)品開放，并允許數(shù)據(jù)流向海外。美國和加拿大對敏感政府數(shù)據(jù)和服務(wù)本地化的限制應(yīng)用遠勝于法國和其他歐洲國家所主張的廣泛而模糊的國家安全問題。

FedRAMP僅供聯(lián)邦政府機構(gòu)使用，不影響美國關(guān)鍵基礎(chǔ)設(shè)施或更廣泛的商業(yè)云市場運作

FedRAMP是一個云網(wǎng)絡(luò)安全框架，美國政府對云服務(wù)的采購市場相對于其他經(jīng)濟部門來說規(guī)模較小。相比之下，SecNumCloud和EUCS主權(quán)要求可以有效地阻止外國云計算公司向政府機構(gòu)提供服務(wù)，或在廣泛的商業(yè)經(jīng)濟領(lǐng)域進行競爭。

EUCS可能會對歐盟的數(shù)字經(jīng)濟產(chǎn)生廣泛影響。即使其只適用于敏感和高風險影響領(lǐng)域，因為預(yù)計所有提供商都將努力獲得這一認證。這樣一來，獲得高風險影響認證將成為強制性的，EUCS的廣泛應(yīng)用也將在許多行業(yè)成為強制性的。此外，EUCS主權(quán)要求可能與一些現(xiàn)有規(guī)則相沖突。

NIST網(wǎng)絡(luò)安全標準開放、透明，以技術(shù)為重點，而ENISA和EUCS的流程和標準則不是

NIST網(wǎng)絡(luò)安全標準以公開、透明、技術(shù)為核心，吸引全球安全與云專家參與。如ITIF報告所述，NIST以開放流程選取后量子加密標準并更新FedRAMP核心標準。而ENISA在制定EUCS標準時，面臨透明度不足及利益相關(guān)者參與度低的批評。盡管有多個組織應(yīng)提供建議，實際上外部利益相關(guān)者征求意見程度有限。ENISA試圖繞過歐盟委員會高層的政治考量和對技術(shù)標準進行公開透明辯論，將主權(quán)要求與技術(shù)標準區(qū)分，導(dǎo)致實際操作中存在問題。

原文標題｜Europe’s Cloud Security Regime Should Focus on Technology, Not Nationality

原文地址｜https://itif.org/publications/2023/03/27/europes-cloud-security-regime-should-focus-on-technology-not-nationality/

聲明：本文來自上海市人工智能與社會發(fā)展研究會，版權(quán)歸作者所有。