Ключевые компании Евросоюза, включая Airbus, Deutsche Telecom, Orange и ещё 15 местных игроков подвергли острой критике проект схемы сертификации в области кибербезопасности в ЕС (CCS). По данным Datacenter Dynamics. Новый механизм работает на руку американским гиперскейлерам, упрощая им участие в облачных тендерах региона.

В числе прочих компаний, подписавших письмо есть EDF, OVHcloud, Ionos, Exoscale, Telecom Italia, Aruba (IT), Dassault Systems, Capgemini и Eutelsat. Компании уже обратились с совместным письмом к руководству ЕС и высокоранговым чиновникам Еврокомиссии, подчёркивая, что последнюю версию проекта необходимо отклонить, поскольку та не обеспечивает суверенности облаков. Ранее проект предусматривал, что желающие участвовать в конкурсах на поставку облачных сервисов обязаны быть независимы от зарубежных законов стран, не являющихся членами Евросоюза.

Источник изображения: Guillaume Périgois/unsplash.com

В первую очередь новый вариант может упростить жизнь гиперскейлеров вроде Amazon, Microsoft и Google, которым более не потребуется создавать совместные предприятия с европейскими бизнесами для хранения и обработки персональных данных в случае, если новый вариант проекта всё-таки одобрят. Пока на облачном рынке ЕС доминируют американские игроки. Местные бизнесы давно жалуются на злоупотребления положением на рынке. Microsoft даже вела переговоры с ассоциацией облачных провайдеров ЕС CISPE после того, как та выразила озабоченность вероятным вытеснением с рынка малых игроков.

Представители европейского бизнеса подчёркивают, что включение в число обязательных условий в виде наличия штаб-квартир в Европе и контроля со стороны ЕС критически важно для того, чтобы ограничить доступ к европейским данным по требованию иностранных законов. Например, речь идёт об американском Законе об облаках (US Cloud Act) или китайском «Законе о национальной разведке» (National Intelligence Law). Кроме того, бизнес требует поощрять рассмотрение клиентами из ЕС местных облачных продуктов вроде Gaia-X. Без таких требований закон серьёзно ударит по суверенным облачным решениям в Европе, которые или уже доступны, или ещё разрабатываются.

Еврокомиссией принята новая схема отчётности о выбросах дата-центров. Она поможет эффективнее отслеживать прогресс операторов в деле достижения эко- и энергоустойчивости, передаёт Datacenter Dynamics. схема Data centres in Europe является частью Европейской директивы по энергоэффективности (European Energy Efficiency Directive или EED), которая должна помочь до 2030 года снизить общее энергопотребление ЕС на 11,7 %, а углеродные — на 55 %.

Согласно новым правилам, предоставляемая операторами информация будет отправляться в центральную базу данных, где станет применяться для прозрачного и мотивированного планирования и принятия решений странами — участницами Евросоюза и Еврокомиссией, а также для оценки ключевых характеристик устойчивости ЦОД.

Правила распространяются на все дата-центры ёмкостью более 500 кВт. Операторы будут обязаны сообщать о площади ЦОД, установленной мощности, энергопотреблении, индексе PUE, температурных показателях и утилизации «мусорного» тепла, выделяемого в процессе работы ЦОД. Наконец, необходимо будет докладывать об использовании воды и возобновляемой энергии.

Источник изображения: Christian Lue/unsplash.com

Операторы будут обязаны предоставлять данные ежегодно. Первый «дедлайн» сначала назначили на 15 мая 2024 года, но позже перенесли на 15 сентября. Тем не менее, в дальнейшем отчёты за предыдущий год должны будут подаваться до 15 мая текущего. Вероятно, Еврокомиссия перенесла изначальную дату, прислушавшись к жалобам на то, что у операторов осталось слишком мало времени для сбора первичной отчётности.

Принятый в Евросоюзе Общий регламент по защите данных (General Data Protection Regulation, GDPR) привёл к тому, что местные компании стали хранить и обрабатывать меньше информации. Согласно выводам американского Национального бюро экономических исследований (National Bureau of Economic Research, NBER), из-за новых правил, регулирующих обработку конфиденциальных данных, управление такими сведениями стало значительно дороже, передаёт The Register.

Регламент GDPR, принятый в 2016 году и вступивший в силу в 2018 году, затрагивает деятельность более 20 млн компаний в десятках стран. Его вынуждены соблюдать и многие бизнесы, обрабатывающие данные граждан стран Евросоюза за его пределами, что имеет определённые экономические последствия.

Источник изображения: Headway/unsplash.com

В докладе Data, Privacy Laws and Firm Production: Evidence from the GDPR бюро NBER проанализировало затраты на облачные вычисления, ссылаясь на предыдущие исследования. Например, соответствие GDPR обходится от $1,7 млн для малого и среднего бизнеса до $70 млн для крупных организаций. Больше всего новые правила затронули компании в Евросоюзе. По данным NBER, они сократили объём хранения информации на 26 % и обработку данных на 15 % в сравнении со аналогичными бизнесами в США.

Для того, чтобы соответствовать требованиям GDPR, компаниям Евросоюза пришлось принять меры, в среднем ведущие к 20 % удорожанию обработки данных. Для бизнесов, где работа с информацией ведётся особенно интенсивно, рост оказался ещё больше: в секторе ПО рост составил 24 %, тогда как в секторе производства и услуг он не превышает 18 %. Увеличилась и стоимость получения информации, хотя и не в таком масштабе, как стоимость хранения и обработки — на 4 %. Это объясняется тем, что вычисления теперь обходятся дороже.

Авторы исследования воздерживаются от выводов о том, стоит ли обеспеченная GDPR конфиденциальность затраченных средств. Они подчеркнули, что в работе не указываются преимущества в области защиты пользователей от введения в действие регламента. Ранее исследователи других ведомств и организаций пришли к выводам, что для них введение новых мер защиты как правило в итоге выгодно, но может оказать негативное влияние в некоторых случаях.

11 января 2024 года вступает в силу Европейский закон о данных (EU Data Act), призванный упростить доступ к данным для всех участников рынка. В частности, напоминает Datacenter Dynamics, от облачных провайдеров ЕС требуют облегчить переход клиентов к конкурентам, если это потребуется.

Хотя закон вступает в силу 11 января, его положения полностью начнут применяться через 20 месяцев. Другими словами, провайдеры облачной инфраструктуры должны быть готовы к 12 сентября 2025 года. Также новые правила будут касаться сферы защиты персональных данных, передачи данных в Интернете вещей и смарт-контрактов.

Что касается облачных услуг, закон потребует, чтобы провайдеры государственных и частных облачных сервисов устранили препятствия при переходе с собственных сервисов на платформы конкурентов. Речь идёт о различных аспектах перехода, от коммерческих до правовых и технических. Провайдерам не потребуется разрабатывать специальные технологии или принимать иные меры, способные навредить собственным сервисам. Закон выступает за принятие кодексов поведения, облегчающих миграцию.

Источник изображения: John Schnobrich/unsplash.com

Хотя в законе недвусмысленно указано, что переходы от одного провайдера к другому должны стать более доступными, пока неизвестно, как будет регулироваться соответствующая сфера, поскольку в некоторых случаях переход может оказаться весьма сложным, а технических подробностей в тексте нет. Среди ключевых препятствий для такого рода миграций можно назвать заградительные тарифы на перенос данных между облаками разных провайдеров, существенные скидки при использовании сервисов одного провайдер или невозможность переноса нагрузок и данных даже при наличии технической возможности.

В 2022 году Microsoft уже стала целью антимонопольной компании, возглавленной OVHCloud и поддержанной ассоциацией CISPE, в число участников которой входит Amazon. Жалоба была направлена европейским регуляторам, в итоге Microsoft согласилась обновить свои правила пользования облачных сервисов, чтобы избежать полномасштабного расследования. В июне 2023 года Google подала в США аналогичную жалобу на Microsoft и Oracle. Приблизительно в то же время Oracle обвинила AWS в использовании аналогичных приёмов. А в Великобритании AWS и Google ополчились против Microsoft.

Власти Сингапура предложили поправки к Закону о кибербезопасности 2018 года. По данным The Register, полномочия регуляторов, занятых надзором в сфере кибербезопасности, расширят на провайдеров облачных сервисов и операторов ЦОД.

Одной из главных целей изменений является охват контролем не только признанных объектов т.н. «критически важной инфраструктуры» (CII), но и обеспечение кибербезопасности прочих важных систем и инфраструктурных проектов. По данным Агентства кибербезопасности Сингапура (CSA), к CII относятся системы распределения энергии, воды, банковские и финансовые сервисы, наземный транспорт, правительственные службы и др.

Поправка вводит определение «основополагающих сервисов цифровой инфраструктуры». В CSA специально подчёркивают, что к ним относятся и облачные сервисы, как в самом Сингапуре, так и за его пределами, а также дата-центры в пределах границ города-государства. Если поправка будет принята, сервисы из новой категории должны будут обеспечивать бесперебойность работы и, например, предотвращать компрометацию информационных систем.

Источник изображения: Zhu Hongzhi/unsplash.com

Нововведения могут коснуться облачных гигантов, например, AWS и Google, а также операторов ЦОД вроде Equinix. Это важно, поскольку буквально в минувшем октябре в ЦОД Equinix в Сингапуре наблюдались масштабные сбои — это привело к общегосударственному финансовому хаосу, а около 2,5 млн банковских операций так и не удалось завершить. Хотя власти не заявляли, что масштабный инцидент повлиял на появление поправок, он в любом случае послужил хорошей иллюстрацией, наглядно демонстрирующей необходимость дополнительного регулирования некоторых секторов бизнеса.

Организации, попавшие в сферу действия новых правил, также будут обязаны сообщать о любых кибератаках в отведённый законом сроек, по слухам, на это будут отводиться считанные часы. Также расширятся полномочия главы CSA (эту должность занимает Дэвид Кох (David Koh)), а ЦОД и облачные провайдеры должны будут подробно отвечать на официальные запросы главы ведомства. Кох получил и другие полномочия — относить компьютерные системы к объектам критической информационной инфраструктуры, даже те, что находятся за пределами Сингапура, если сбои в работе таких систем могут привести к проблемам в стране.

Работающие совместно с сингапурскими властями структуры и институты, оперирующие важными или критическими данными или системами, также могут быть отнесены к CII. Кибератака на них фактически означает атаку на Сингапур. Наконец, аналогичные правила будут применяться в течение года для временных систем, например, построенных для мероприятий высокого уровня.

Предполагается, что структуры, не способные выполнять требования властей, ожидают штрафы и другие наказания. Изменения детализируют после консультаций с участниками рынка цифровой инфраструктуры — постоянными и временными. Консультации продлятся до 15 января 2024. При этом рынок ЦОД в Сингапуре уже обременён другими регуляциями настолько, что компании жалуются на упущенный шанс вывести страну в мировые лидеры.

Сегодня депутаты Государственной Думы приняли в третьем чтении поправки в Федеральный закон «Об информации, информационных технологиях и о защите информации» и Федеральный закон «О связи». Речь идёт о регулировании рынка провайдеров хостинга. Документ предполагает, что Роскомнадзор (РКН) создаст реестр хостинговых сервисов. Оказывать услуги по размещению сайтов в интернете смогут исключительно компании из этого списка.

При этом в реестр попадут только «добропорядочные компании, соблюдающие требования российского законодательства». Как отмечается, в настоящее время российский рынок провайдеров хостинга насыщен «виртуальными» организациями, которые не обладают собственными мощностями, а лишь перепродают услуги зарубежных компаний. Однако в сложившейся ситуации это создаёт «серьезные риски безнаказанного распространения противоправной информации, ставит под угрозу безопасность российских граждан и компаний».

Источник: РАЭК

В реестр смогут попасть только российские юридические лица или компании, принадлежащие гражданам России без второго гражданства. Мощности провайдера должны располагаться на территории России, а при необходимости доступ к ним должен предоставляться РКН и ФСБ. Хостеры также обязаны осуществлять идентификацию всех своих клиентов, установить технические средства противодействия угрозам (ТСПУ) и использовать национальную систему доменных имен, сообщает Forbes.

Компании, не попавшие в реестр, не смогут оказывать услуги хостинга на территории РФ. Операторы государственных систем должны будут пользоваться услугами только тех хостинг-провайдеров, которые включены в список Роскомнадзора. Всё это может снизить количество игроков на рынке хостинга, который по итогам 2022 года был оценён РАЭК в10,6 млрд руб. (без учёта облаков).

Немецкому Бундестагу пришлось отложить принятие поправок к Закону об энергоэффективности (Energy Efficiency Act) на время традиционных правительственных каникул — как сообщает издание DataCenter Dynamics, на голосование просто не явилось достаточное для формирования кворума количество депутатов. Никаких поправок внесено уже, вероятно, не будет, но голосование перенесено на сентябрь.

Новый закон устанавливает допустимые уровни PUE для дата-центров, а также регламентирует обязательную утилизацию «мусорного» тепла ЦОД. При этом имеются важные исключения из законопроекта от ноября 2022 года, иронично названного в Германской ассоциации дата-центров (GDA) «законом по предотвращению ЦОД». В GDA подчёркивают, что предпочитают стимулирующие меры строгим требованиям.

Закон об энергоэффективности предусматривает снижение Германией энергопотребления на 26,5 % к 2030 году, до показателей 15-летней давности. Евросоюз же на фоне энергетического кризиса призывает снизить общее энергопотребление к 2030 году на треть. Хотя требования к ЦОД в новой версии не такие жёсткие, по-прежнему предусмотрено обязательное использование тепла ЦОД. Это может ограничить реализацию новых проектов, а требования к уровню PUE и использованию возобновляемой энергии могут оказаться не по плечу провайдерам колекейшн-сервисов.

Источник изображения: Sigmund/unsplash.com

В первой версии законопроекта от 2022 года ЦОД должны были передавать не менее 30 % избыточного тепла другим организациям уже со следующего года, а с 2027 года — от 40 %. В некоторых случаях эти требования просто невозможно выполнить по экономическим причинам или из-за отсутствия необходимой инфраструктуры. В мае 2023 года требования скорректировали. Теперь речь идёт об отдаче только 10 % тепла с 2026 года и от 20 % — с 2028-го.

Источник: Uptime Institute

Германские операторы посчитали, что и такие требования чрезмерны, поскольку спрос не всегда будет соответствовать предложению, а в некоторых местностях системы центрального отопления для передачи им «мусорного» тепла просто отсутствуют. После переговоров с представителями бизнеса добавились исключения, позволяющие обойти требования.

Предполагается, что в окончательном варианте закона будет отменено требование размещать ЦОД не дальше 5 км от системы центрального отопления. Вместо этого все новые ЦОД должны будут иметь специальные станции передачи тепла на своей территории, а операторов систем отопления обяжут отвечать на предложение избыточного тепла в шестимесячный срок. Коммунальные службы считают такие проекты сложными и дорогими.

С 2026 года уровень PUE не должен превышать 1.2, хотя GDA отмечает, что некоторые уже одобренные проекты ЦОД не соответствуют этому требованию. Кроме того, колокейшн-провайдеры не смогу полноценно контролировать уровень PUE, поскольку их клиенты будут действовать на своё усмотрение. Наконец, закон всё ещё требует использовать 50 % возобновляемой энергии к 2024 году, и 100 % — к 2027. Исключение делается в случае получения «зелёных» сертификатов у северных соседей Германии вместо использования местной экобезопасной энергии.

Российские IT-компании, по сообщению РБК, обеспокоены тем, что в реестре отечественного ПО могут оказаться иностранные продукты. К такой ситуации может привести проект изменений в закон «Об информации, информационных технологиях и о защите информации», который в настоящее время рассматривается Государственной думой.

Документ, о котором идёт речь, предусматривает предоставление доступа в реестр отечественного ПО для решений организаций с долей иностранцев более чем в 50 %, тогда как сейчас такая доля должна приходиться на российских бенефициаров. В случае принятия законопроекта для попадания в реестр иностранным разработчикам будет достаточно оформить передачу прав на продукт своей дочерней структуре в России.

Источник изображения: pixabay.com

На это обращает внимание Ассоциация разработчиков программных продуктов (АРПП) «Отечественный софт», которая объединяет более 260 российских IT-компаний. Авторы законопроекта указывают на то, что сейчас российские компании с существенной долей акций, находящихся в свободном обращении, в том числе на российских биржах, фактически не могут считаться разработчиками отечественного софта. Чтобы снять данное ограничение, в проекте предлагается заменить понятие «участие» на «контроль».

«Для российских IT-компаний будет создан стимул для выхода на биржи, что позволит привлечь дополнительные отечественные и зарубежные инвестиции и приведёт к ускоренному развитию отечественных технологий», — говорится в документе. Проблема, как отмечает АРПП, заключается в том, что в текущей версии законопроекта не указано, что должны рассматриваться исключительно компании с листингом на российских биржах. По мнению ассоциации, документ необходимо дополнить таким уточнением.

На сегодняшний день в реестр отечественного ПО включены приблизительно 17 тыс. продуктов, а количество правообладателей превышает 6 тыс. Если новый документ будет принят, в реестре с большой вероятностью появятся зарубежные продукты, которые смогут использовать госорганы и госкомпании.

Роскомнадзор (РКН) включил 12 иностранных хостинг-провайдеров в перечень компаний, подлежащих «приземлению». Об этом сообщила пресс-служба ведомства. Согласно законодательству, иностранные провайдеры хостинга, пользователи которых находятся на территории РФ, подпадают под действие ФЗ № 236-ФЗ «О деятельности иностранных лиц в сети «Интернет» на территории РФ».

В список вошли Hetzner Online, Network Solutions, WPEngine, HostGator, Ionos, DreamHost, FastComet, Amazon Web Services (AWS), GoDaddy, Bluehost, Kamatera, DigitalOcean. Для них на сайте РКН отражен статус исполнения требований законодательства РФ. AWS еще в марте 2022 года запретил заказчикам из России и Белоруссии заводить новые аккаунты. В отличие от других американских компаний и прочих поставщиков ИТ-решений у AWS нет центров обработки данных, инфраструктуры или офисов в России.

Фото: Mary Oakey / Unsplash

Зарубежные интернет-компании, подлежащие «приземлению», обязаны открыть на территории России филиал, представительство или юридическое лицо, разместить на своем сайте форму обратной связи с пользователями, а также зарегистрировать личный кабинет на сайте Роскомнадзора. Кроме того, от подобных компаний могут потребовать ограничивать доступ к информации, признанной нарушающей российское законодательство. За невыполнение требований нарушителям может грозить частичная или полная блокировка.

Китайские интернет-регуляторы анонсировали целый пакет проектов правил работы сетей Wi-Fi и Bluetooth. Как сообщает издание The Register, операторы сетей, использующих данные беспроводные технологии, должны будут применять технические решения, исключающие злонамеренную активность. Новые правила и принципы сформулировала Администрация киберпространства Китая (CAC).

Ожидается, что правила будут применяться к ad-hoc сетям, действующим «на коротких дистанциях». Предполагается, что это поможет бороться с нарушением существующих в стране законов и продвижением чуждых обществу ценностей. Новые меры практически дублируют правила, применяемые Пекином в отношении телеком-операторов и владельцев онлайн-сервисов: все они обязаны следить за трафиком, способным нанести ущерб национальной безопасности страны.

Источник изображения: Jerry Wang/unsplash.com

На операторов будет возложена обязанность «предотвращать и противодействовать» использование их оборудования для распространения дезинформации и сообщать о таких попытках в компетентные органы. Кроме того, пользователи подобных сетей должны будут указывать свои настоящие идентификационные данные. Отправитель и получатель информации должны будут действовать с согласия друг друга, а в случае нарушения закона ответственность будут нести обе стороны.

В CAC хотят, чтобы провайдеры таких сетей также оповещали пользователей о правилах безопасного использования сервисов, также они должны обеспечить пользователям возможность сообщить о тех или иных инцидентах в случае необходимости. Более того, операторы должны будут иметь планы устранения угроз в случае возникновения непредвиденных ситуаций.

Правда, определение подпадающих под новые правила сетей несколько размыто. При желании к ним можно причислить, как различные автономные чаты на базе mesh-сетей Bluetooth и Wi-Fi, которые используют протестными движениями, так и домашние точки доступа или тетеринг. Так или иначе, Пекин демонстрирует решимость охватить контролем все сети передачи данных.