Если есть две вещи, которые никогда не следует смешивать, это соблюдение требований кибербезопасности/конфиденциальности и политика компании. И все же он находится в центре борьбы между Microsoft и властями Германии, которая может привести к наказанию клиентов компании.
Немецкий Datenschutzkonferenz, регулирующий орган, ответственный за администрирование немецкой версии Общего регламента по защите данных Европейского Союза (GDPR), публично заявил, что «использование Microsoft Office 365 с соблюдением требований по защите данных невозможно».
Это самое абсолютное и смелое заявление, которое я когда-либо слышал от агентства по соблюдению нормативных требований.
Если быть точным, регулирующие органы не столько явным образом выявили нарушения правил соответствия, сколько обнаружили пути передачи данных, которые Microsoft не смогла бы в достаточной мере объяснить. Эти маршруты, по-видимому, предназначались для сброса данных на серверы, контролируемые американской компанией Microsoft.
«Центральный и повторяющийся вопрос серии дискуссий заключался в том, в каких случаях Microsoft выступает в качестве процессора, а в каких — в качестве контроллера. Это не могло быть окончательно выяснено. Контролеры должны иметь возможность в любое время продемонстрировать свою ответственность в соответствии со ст. 5 пар. 2 Общего регламента по защите данных», — говорится в отчете, а затем добавляется, что «по-прежнему ожидаются трудности, поскольку Microsoft не полностью раскрывает детали обработки. Кроме того, Microsoft не дает полного объяснения того, какая обработка выполняется от имени клиента или что делается для ее собственных целей. Договорные документы не являются конкретными в этом отношении и, следовательно, допускают обработку, которая не может быть окончательно оценена или даже расширена для собственных целей.
Неудивительно, что Microsoft с этим не согласна, утверждая, что ее продукты — это совершенство программного обеспечения.
«Сегодня немецкая Datenschutzkonferenz (DSK) выразила обеспокоенность по поводу соблюдения Microsoft 365 (M365) немецких и европейских законов о конфиденциальности данных», — говорится в заявлении Microsoft. «Мы с уважением не согласны с позицией DSK, поскольку мы гарантируем, что наши продукты M365 не соответствуют строгим законам Европейского Союза о конфиденциальности данных, а зачастую и превосходят их. Наши клиенты в Германии и по всему ЕС могут с уверенностью использовать продукты M365 в соответствии с требованиями законодательства. таким образом, чтобы позволить им делать больше с меньшими затратами.
Microsoft также пообещала, что постарается предоставить больше информации о своих процессах (т.е. больше прозрачности).
«Мы очень серьезно относимся к усилиям DSK по повышению прозрачности, и хотя наша практика документирования и обеспечения прозрачности превосходит методы большинства других компаний в нашей сфере, мы стремимся добиться еще большего», — заявили в компании. «В частности, в рамках наших обязательств ЕС по ограничению данных мы предоставим дополнительную документацию о прозрачности потоков данных клиентов и целей их обработки. Мы также предоставим более прозрачную документацию по обработке и отслеживанию субобработчиками и сотрудниками Microsoft за пределами ЕС.
Неясно, будет ли Microsoft достаточно прозрачно объяснять, как именно работают ее источники данных и почему, и готова ли компания изменить их.
Так что же это означает для Microsoft и, что более важно, для клиентов корпоративных вычислений Microsoft?
Начнем с спин-оффов Microsoft. По сравнению с Соединенными Штатами, Европа очень серьезно относится к конфиденциальности и кибербезопасности. И можно с уверенностью сказать, что Германия имеет репутацию страны, которая относится к соблюдению более серьезно, чем кто-либо в ЕС или Великобритании.
Теоретически это должно означать серьезные последствия для компании. Но, по словам Питера Дорса, специалиста по конфиденциальности из Германии, который часто работает с регулирующими органами, маловероятно, что Microsoft будет вынуждена вносить какие-либо изменения или отвечать на конкретные вопросы. Их программное обеспечение настолько широко распространено, что было бы политически непривлекательно форсировать выпуск.
Немецкие правоохранительные органы «могут смириться с ситуацией, когда Microsoft делает вид, что делает все правильно, а власти заявляют, что сделали все возможное, чтобы заставить Microsoft подчиниться», сказал он в интервью Computerworld. Microsoft «не соответствует самым основным требованиям GDPR. Им не хватает фундаментальной прозрачности. Мы не можем оценить то, что они делают, потому что они нам об этом не говорят.
Здесь в дело вступает политика, когда практические силы могут влиять на действия правительства по обеспечению соблюдения законов. Немецкие регуляторы «боятся репрессий. (По мнению регулирующих органов), мы не получим больше бюджета, если скажем, что вы больше не можете использовать Office. Или даже Google Analytics плюс», — сказал Доренвант. «Это политические вопросы. Никто не хочет быть плохим парнем.
Так что Microsoft, скорее всего, откажется от этой проблемы, по крайней мере, на данный момент. Но как насчет корпоративных ИТ-администраторов? Защищены ли компании, использующие продукты Microsoft, от штрафных санкций? Не обязательно. Может показаться несправедливым позволить Microsoft сорваться с крючка и наказать своих клиентов, но отсюда и довод, что это весьма вероятно. И не только в Германии.
«В Бельгии, Нидерландах, Германии и других странах продолжаются судебные иски против клиентов продуктов Microsoft», — сказал он.
Это подводит нас к еще более серьезной проблеме соблюдения корпоративных требований в области ИТ. Не так давно популярной компьютерной поговоркой было то, что никто не может быть уволен за покупку IBM. Это означало, что сотрудничество с крупнейшими поставщиками технологий, как правило, в значительной степени защищало их решения о покупке.
В отношении соответствия те же самые соображения предполагают, что, когда компании используют Microsoft, SAP, Oracle, Google или любого другого крупного игрока, ИТ-отдел может предположить, что основные, самые основные вопросы кибербезопасности и соответствия требованиям были обеспечены (особенно когда речь идет о что-то вроде GDPR).
Это никогда не было мудрой стратегией, но точно не сегодня. Если у Microsoft все еще есть лазейки в вопросах соблюдения минимальных требований, скорее всего, они есть и у других крупных игроков.
Грубо говоря, ваше удовлетворение — это ваше удовлетворение. Использование авторитетных провайдеров не защитит вас от регуляторных кошмаров. У властей может не хватить смелости пойти против этих провайдеров, но привести пример некоторых компаний из списка Fortune 1000 — это совсем другая история.
© 2022 IDG Communications, Inc.