الحوسبة السحابية وأمن البيانات - عبده حقي

"السحابة" هي بلا شك التطور الرئيسي لتقنيات الكمبيوتر في السنوات الأخيرة. هي مختلطة ، عامة أو خاصة ، SaaS ، PaaS أو IaaS ، هناك العديد من الأسماء والمختصرات التي تغطي مفهومًا تقنيًا وعروض خدمة متعددة الأوجه. كما أن تطوير عروض "السحابة" له تأثير في زيادة كمية البيانات الخارجية وعدد مزودي الخدمة الذين يعالجونها. لم يعد من النادر أن يكون مضيف البيانات الفعلي هو موفر الخدمة الأولي. ومع ذلك فإن هذه العروض لها قاسم مشترك واحد: الشركة أو الفرد الذي يشترك في خدمة من النوع "السحابي" يوافق على عدم ممارسة السيطرة على الوسائل التقنية التي تضمن معالجة وتخزين بياناتهم.

في هذا السياق يطرح دائما السؤال بالضرورة حول كيفية مقارنة هذه الأساليب الجديدة لاستهلاك خدمات تكنولوجيا المعلومات بالتشريعات المتعلقة بالوصول إلى البيانات والأمن.

خصوصية البيانات في "السحابة":

تعتبر قضية سنودن مثالاً كاريكاتوريًا تقريبًا لاستخدام السلطات العامة لإمكانيات الوصول البسيط والمباشر إلى المعلومات الموجودة في مختلف الخدمات المقدمة في وضع "السحابة". إلى جانب فعالية أنظمة التجسس والمراقبة التي وضعتها بعض الوكالات والإدارات الأمريكية ، سلطت اكتشافات إدوارد سنودن الضوء على تعقيد النظام القانوني الذي تبنته الولايات المتحدة للتخلص منه. الوصول المباشر إلى البيانات المخزنة ، ولا سيما في "السحابة".

بعد شهر واحد فقط من هجمات 11 سبتمبر / أيلول تبنت الولايات المتحدة قانونًا في 26 أكتوبر / تشرين الأول 2001 يسمى "قانون باتريوت الأمريكي". عدل قانون عام 2001 الأحكام الحالية لقانون سابق ، "قانون مراقبة الاستخبارات الأجنبية" لعام 1978 لا سيما من خلال تعزيز الآلية التي تسمح لمكتب التحقيقات الفيدرالي بالحصول على نقل المعلومات في سياق تحقيقات الإرهاب. أو التجسس الدولي. تم تدوينها في الفصل 50 و 1861 من قانون الولايات المتحدة ، تسمح هذه الأحكام لمكتب التحقيقات الفيدرالي بالتماس من أي مواطن أو مقيم في الولايات المتحدة ، من أي شركة مسجلة في الولايات المتحدة ولكن أيضًا من أي شركة لديها اتصال "مستمر ومنهجي" مع الولايات المتحدة الأمريكية أي نوع من المعلومات مهما كان شكلها ووسيطها. يتعلق هذا الجهاز بشكل أساسي بالبيانات "الثابتة"

تتم الموافقة على هذه الطلبات أولاً من قبل محكمة خاصة (FISC) تكون إجراءاتها سرية وغير تخاصمية.

في عام 2008 تم اعتماد قانون جديد (قانون تعديلات مراقبة الاستخبارات الأجنبية الصادر في 10 يوليو 2008) لتوسيع إمكانيات التقاط البيانات التي تمر عبر الإنترنت من قبل السلطات الفيدرالية وتزويدها بوصول "مباشر" إلى هذه البيانات.

وهكذا فإن قانون الولايات المتحدة في مادته 1881 يسمح لـ "  المدعي العام  " ومدير "  المخابرات الوطنية  " ، بعد الحصول على إذن من FISC بالحصول على معلومات تتعلق بأشخاص يعيشون خارج الولايات المتحدة ، من خلال الوصول المباشر إلى بياناتهم (المستندات والصور ومقاطع الفيديو والمواقع والبيانات الوصفية) المستضافة بشكل خاص بواسطة غوغل و فيسبوك و ميكروسوفت و ياهو و سكايب

الوصول إلى البيانات من قبل السلطات العامة الأمريكية واسع بقدر ما يمكن توجيه الطلب إلى أي شخص طبيعي أو اعتباري تتمتع الولايات المتحدة "بولاية قضائية شخصية  "عليه. يتعلق هذا بأي مواطن أو مقيم في الولايات المتحدة ، أو أي شركة مسجلة في الولايات المتحدة أو يوجد مكان عملها الرئيسي هناك ، أو أي شركة تحتفظ  باتصال "  مستمر ومنهجي " مع الولايات المتحدة. هذه الحالة الأخيرة تتعلق بالضرورة بالفروع الأوروبية للشركات الأمريكية.

يُطلب من الشركة المستهدفة بطلب السلطات الأمريكية توصيل المعلومات الموجودة في " حيازتها أو سيطرتها  " بغض النظر عن موقع مراكز البيانات. باختصار ما لم يكن لمزود الخدمة أي صلة بالولايات المتحدة ، فهناك فرصة جيدة لأن يخضع للولاية القضائية الأمريكية وأن البيانات التي يعالجها ستكون في متناول السلطات الأمريكية في تطبيق أحد النصوص المذكورة أعلاه.

تمتلك فرنسا أيضًا الترسانة التشريعية اللازمة للوصول إلى البيانات.

في فرنسا تخضع عمليات اعتراض الأمن الإداري لقانون 10 يوليو 1991 المتعلق بسرية المراسلات عبر الاتصالات الإلكترونية. لقد ألغى المرسوم الصادر في 12 مارس / آذار 2012 هذا القانون وأدمج أحكامه كقانون ثابت في قانون الأمن الداخلي (المادة L.241-1 إلى L. 245-3).

وفقًا لهذا النص يجوز لوزير الداخلية أو وزير الدفاع أو الوزير المسؤول عن الجمارك طلب أي اعتراض "لغرض البحث عن معلومات تتعلق بالأمن القومي ، والحفاظ على العناصر الأساسية للإمكانيات العلمية و النشاط الاقتصادي لفرنسا ، أو منع الإرهاب والجريمة المنظمة والجنوح وإعادة تكوين الجماعات أو إعالتها  ". يُصرح بهذا الاعتراض بقرار كتابي ومسبب من رئيس الوزراء تحت إشراف اللجنة الوطنية لمراقبة الاعتراضات الأمنية ، لمدة 4 أشهر. بحسب ال 21 في تقرير اللجنة المذكورة طلب رئيس الوزراء أكثر من ستة آلاف اعتراض أمني في عام 2012.

تم إدراج المادة 20 من قانون 18 ديسمبر 2013 بشأن البرمجة العسكرية في المواد L.264-1 وما يليها من قانون الأمن الداخلي الأحكام المتعلقة بوصول أجهزة المخابرات الفرنسية إلى بيانات الاتصال. تتم معالجتها بواسطة مشغلي الهاتف ومقدمي خدمات الإنترنت والمضيفين. وبالتالي يمكن لوكلاء خدمات الاستخبارات أن يطلبوا من أي مشغل اتصالات إلكترونية أو مضيف محتوى توصيل المعلومات أو المستندات "التي تتم معالجتها أو تخزينها بواسطة شبكات أو خدمات الاتصالات الإلكترونية الخاصة بهم.". يتم تقديم هذا الطلب أيضًا بعد الحصول على إذن كتابي من رئيس الوزراء ، تحت سيطرة اللجنة الوطنية لمراقبة الاعتراضات الأمنية ، لمدة 30 يومًا.

نحو التزام عام بأمن نظم المعلومات.

إذا كانت السلطات العامة في جميع البلدان ، كما نرى ، تنوي الوصول البسيط إلى البيانات التي تمر عبر الشبكات العامة والمخزنة في الخدمات "السحابية" ، فإن المشرعين الأوروبيين والفرنسيين يميلون الآن إلى فرض الالتزام الأمني ​​الحقيقي لنظام المعلومات الخاص بهم. الوضع لا يخلو من تقديم مفارقة معينة ...

تنص المادة 34 من  قانون"Informatique et Liberté"معلومات وحرية"  الصادر في 6 يناير 1978 على الالتزام الأول بأمن البيانات على النحو التالي: "  يتعين على المراقب اتخاذ جميع الاحتياطات المفيدة فيما يتعلق بطبيعة البيانات والمخاطر المقدمة من خلال المعالجة ، للحفاظ على أمان البيانات ، وعلى وجه الخصوص ، لمنع تشويهها أو إتلافها أو وصول أطراف ثالثة غير مصرح لها إليها  ". وفقًا لتقريرها السنوي لعام 2012 أصدرت CNIL 13 عقوبة  7 منها تتعلق مباشرة بخلل أمني.

لا شك أن تقنيات نوع "السحابة" تجدد المشكلة المرتبطة بالامتثال لهذه المادة 34. نظرًا لتضاعف مقدمي الخدمات الذين يعالجون البيانات ، فإن الشركة التي تضمن الامتثال للمادة 34 تقبل بمخاطر متزايدة لأنها تخفف سيطرتها على وسائل معالجة البيانات.

أكمل المرسوم الصادر في 24 أغسطس / آب 2011 هذا القانون بإنشاء المادة 34 التي تنص على: "  أي خرق للأمن ينتج عن طريق الخطأ أو بشكل غير قانوني في التدمير أو الضياع أو التغيير أو الكشف أو الوصول غير المصرح به إلى البيانات الشخصية  ". في حالة حدوث انتهاك يجب على مقدم الخدمة إخطار CNIL والشخص الطبيعي المعني "دون تأخير" تحت طائلة عقوبة السجن لمدة تصل إلى 5 سنوات وغرامة قدرها 300000 يورو (المادة 226-17 -1 قانون العقوبات). يتم توفير استثناء في حالة ما إذا وجدت CNIL أن " تم تنفيذ تدابير وقائية مناسبة من قبل المزود من أجل جعل البيانات غير مفهومة لأي شخص غير مصرح له بالوصول إليها وتم تطبيقها على البيانات المتأثرة بالانتهاك المذكور  ".

بالإضافة إلى هذا الالتزام الأمني ​​لمعالجة البيانات الشخصية هناك التزامات أمنية "قطاعية". سوف نأخذ مثال المشغلين ذوي الأهمية الحيوية (OIV) هذه هي الشركات أو المؤسسات العامة المحددة بمرسوم والتي "  قد يؤدي عدم توفرها إلى الحد بشكل كبير من إمكانية الحرب أو القدرة الاقتصادية أو الأمنية أو القدرة على البقاء للأمة. ". لم يتم الإعلان عن قائمتهم ولكن وفقًا للمعلومات المتاحة هم الآن 218. منذ قانون البرمجة العسكرية الصادر في 18 ديسمبر 2014 ، OIVs  الذين يجب عليهم ضمان أمن نظام المعلومات الخاص بهم. يتعين على هؤلاء المشغلين احترام قواعد السلامة التي تحددها مراسيم صادرة عن رئيس الوزراء على نفقتهم الخاصة. يجب عليهم أيضًا إبلاغ رئيس الوزراء على الفور بالحوادث التي تؤثر على تشغيل أو أمن نظام المعلومات الخاص بهم وتقديمها إلى عمليات التدقيق من قبل ANSSI.

لكن الاتجاه الآن هو التخلص من هذه الالتزامات "القطاعية" وفرض التزام أمان عام على الشركات. هذا ما ظهر من الحاشية 26 للتوجيه الأوروبي 2013/40 / EU المؤرخ 12 آب / أغسطس 2013 بشأن "  الهجمات على أنظمة المعلومات  ": " نشجع الدول الأعضاء على تقديم ، في إطار قانونها الوطني ، التدابير ذات الصلة التي تجعل من الممكن تحميل مسؤولية الأشخاص الاعتباريين ، عندما من الواضح أنهم لم يقدموا مستوى كافياً من الحماية ضد الهجمات الإلكترونية ".

إن تحرك التشريع نحو إدخال في القانون الوضعي للالتزام بضمان أمن نظام المعلومات الخاص به يتعلق بشكل مباشر باستخدام خدمات "السحابة". عندما يتم استضافة البيانات من قبل طرف ثالث ، تقوم الشركة بشكل فعال بتفويض هذا الطرف الثالث بالمسؤولية الفنية التي سيتعين عليها الرد عليها في حالة حدوث خرق لأمن هذه البيانات. لذلك من الضروري إجراء تقييم صحيح لهذه القيود القانونية قبل الانتقال إلى "السحابة".

تم النشر في 02/17/2014 - CIO Online - E. Papin

Posted in: مقالات إعلامية