Google, Avrupa’daki üretkenlik paketi Google Workspace’in (neé G Suite) kullanıcıları için bu yılın sonunda ve önümüzdeki günlerde kullanıma sunacağı bir ek denetim paketi duyurdu.

Bu ekstra kontrolün, hem kamu hem de özel sektör kuruluşlarına “2022’nin sonundan itibaren AB’ye ve AB’den veri aktarımlarını kontrol etme, sınırlama ve izleme” olanağı sağlayacağını ve gelen yetenekleri bir blog gönderisinde açıkladığını söylüyor.

Hareket, ABD bulut hizmetlerinin bölgesel kullanımını azaltma riski taşıyan Temmuz 2020’de önemli bir AB yasal kararının ardından, kişisel verilerin ihracatıyla ilgili artan yasal riske yanıt vermeyi amaçlıyor gibi görünüyor.

Bu yılın başlarında, bir dizi veri koruma kurumu, verilerin blok dışına ne zaman dışa aktarıldığı da dahil olmak üzere yeterli veri koruma önlemlerinin uygulanıp uygulanmadığını araştırmak amacıyla kamu sektörü kurumlarının bulut hizmetlerini kullanımına odaklanan koordineli bir yaptırım eylemi başlattı. Eylemi yöneten Avrupa Veri Koruma Kurulu (EDPB), 2022’nin sonundan önce bir “son durum” raporu yayınlayacak – Google’ın yeni kontrolleri (bazılarını) kullanıma sunma zaman çizelgesine uygun.

Ayrıca, son aylarda, veri koruma kurumları tarafından, Google Analytics gibi araçların belirli kullanımlarının bloğun gizlilik yasalarıyla uyumsuz olduğuna dair kararlar alındı.

Google, Avrupa’daki kullanıcıların kazanacakları ekstra yeteneklerden “Egemen Kontroller” olarak bahsediyor. Google Çalışma alanı” – AB milletvekillerinin “dijital egemenlik” olarak adlandırmaktan hoşlandığı bir kavramın bilinçli bir yankısı gibi görünen bir yerde.

AB milletvekilleri bu ifadeyi, çoğu ABD teknoloji firmaları tarafından sağlanan dijital altyapı üzerinde özerklik kazanan bölge hakkında konuşmak için kullanıyor. Ancak, burada Google, teknik önlemlerin ve kullanıcı konfigürasyonlarının tek başına AB için yeterli özerklik sağlayabileceğini öne sürerek alternatif bir ‘egemenlik’ versiyonunu döndürmeye çalışıyor gibi görünüyor. bloktaki müşterilerin araçlarını satın almaya devam etmesini umuyor.

“Avrupalı ​​kuruluşlar, işbirliğini sağlamak, iş değerini artırmak ve hibrit çalışmaya geçiş yapmak için operasyonlarını ve verilerini artan sayıda buluta taşıyor. Ancak, bu güçlü yetenekleri destekleyen bulut çözümleri, bir kuruluşun kritik güvenlik, gizlilik ve dijital egemenlik gereksinimlerini karşılamalıdır. Avrupa Birliği politika yapıcılarından ve iş liderlerinden, bölgeselleştirme ve idari erişim üzerindeki ek kontroller yoluyla bulut verilerinin egemenliğini sağlamanın, bu gelişen ortamda çok önemli olduğunu sık sık duyuyoruz, ”diye yazıyor blog yazısında.

“Bugün, Google Workspace için Egemen Kontrolleri duyuruyoruz. 2022’nin sonundan itibaren AB’ye ve AB’den veri aktarımlarını kontrol etmek, sınırlamak ve izlemek için hem kamu hem de özel sektördeki kuruluşlara dijital egemenlik yetenekleri sağlayacak ve 2023 boyunca sağlanan ek yeteneklerle birlikte. Bu taahhüt, mevcut İstemci tarafı şifreleme, Veri bölgeleri ve Erişim Kontrolleri yeteneklerimiz üzerine inşa edilmiştir.”

Google şimdi hangi ekstra yetenekleri duyurdu? Yakın vadede, Google’ın geçen yaz Workspace için duyurduğu istemci tarafı şifrelemede bir genişleme olacak gibi görünüyor.

Google, “Kuruluşlar, tüm kullanıcıları arasında yaygın olarak İstemci tarafı şifreleme kullanmayı veya belirli kullanıcılar, kuruluş birimleri veya ortak sürücüler için geçerli kurallar oluşturmayı seçebilir” diyor. “İstemci tarafı şifreleme artık Google Drive, Dokümanlar, E-Tablolar ve Slaytlar için genel kullanıma sunuldu ve işlevlerin 2022’nin sonuna kadar Gmail, Google Takvim ve Meet’e genişletilmesi planlanıyor.”

Google ayrıca veri konumu kontrollerinin genişletildiğini de duyuruyor – bu yetenek geliştirme için zaman çerçevesi daha yavaş olmasına rağmen, “2023’ün sonunda” olarak planlanıyor.

“Veri bölgeleri, halihazırda müşterilerimizin kapsanan verilerinin depolanma konumunu kontrol etmelerine izin veriyor” diye yazıyor ve ekliyor: “2023’ün sonuna kadar, bölge içinde veri depolama ve işleme kapsamını genişleterek bu yeteneği geliştireceğiz. ülke içi bir kopya.”

Ayrıca, Google’ın “gelişen dijital egemenlik standartları” olarak adlandırdığı şeyi karşılamak için daha fazla erişim denetimi olacak.

Bu gelen erişim kontrollerinin müşterilerin şunları yapmasını sağlayacağını söylüyor:

  • Erişim Onayları aracılığıyla Google destek erişimini kısıtlayın ve/veya onaylayın;
  • Erişim Yönetimi aracılığıyla müşteri desteğini AB tabanlı destek personeliyle sınırlandırın;
  • Gerektiğinde uzaktan sanal masaüstü altyapısıyla Google Mühendislik personelinden 24 saat destek sağlayın;
  • Erişim Şeffaflığı işlevi aracılığıyla veri erişimi ve eylemler hakkında “kapsamlı” günlük raporları oluşturun.

Ancak, yine, bu ekstra kontroller 2023’ün sonuna kadar gelmeyecek.

Google burada sıfırdan başlamıyor – gelenleri takip ederek “veri egemenliği kontrolleri” AB kullanıcıları için geçen sonbaharda, bulut hizmetleri sunmaktan da bahsederken “Avrupa’nın şartları“.

Elbette, bloğun düzenleyicilerinin sunduğu şeyin, söz konusu veri akışları için gerekli yasal standardı karşılayıp karşılamadığını yargılamak olacaktır.

Google genel olarak, hibrit çalışmanın “bulutta yerel mimari” yaklaşımını önermeden önce “bulunduğu her yerde verilerin kontrolünü elinde tutmak” için yasal bir gerekliliği karmaşıklaştırdığını savunur (Google Workspace’in “önbellek veya önbellek gerektirmeden tamamen bir tarayıcı içinde çalıştığını belirtir). Kullanıcıların ve cihazların coğrafi sınırlarını belirleyerek çalışan güvenlik için bağlama duyarlı (“sıfır güven”) bir yaklaşım ve ayrıca yöneticilerin paylaşım sınırlarını belirlemelerine ve kullanıcı iletişimini yöneten kuralları tanımlamalarına izin veren kontroller ile birleştirilmiş çalışan cihazlarında yüklü yazılım”), Yazılımın temel işbirliği işlevlerinin çalışmasına izin verirken, müşterilerinin bu dalgalı yasal sularda gezinmesine yardımcı olur.

AB’de ABD merkezli şirketlere ait bulut hizmetlerinin kullanımı, birkaç yıldır yasal belirsizlikle örtülüydü – en yakın zamanda bloğun üst mahkemesinin amiral gemisi AB-ABD Gizlilik Kalkanı veri aktarım anlaşmasını ölümcül bir çatışma nedeniyle iptal ettiği Temmuz 2020’den bu yana ABD gözetim yasası ile AB gizlilik hakları arasındaki

Dört yıl boyunca Gizlilik Kalkanı, Avrupalıların kişisel verilerinin ihracatına izin vermek için bir kendi kendine onay sistemi ile AB’den ABD’ye veri ihracatını basitleştirdi. Ancak bu rejim, Temmuz 2020 ABAD kararıyla sona erdi.

Ve mahkeme veri ihracatını tamamen yasaklamasa da, diğer aktarım mekanizmalarını (standart sözleşme maddeleri gibi) kullanmanın karmaşıklığını artırdı – bölgesel veri koruma kurumlarının devreye girme ve veri aktarımlarını askıya alma görevleri olduğunu açıkça ortaya koydu. Avrupalıların bilgilerinin risk altında olduğu bir hedefe aktığına inanıyor. (EDPB, daha sonra, sağlam şifreleme gibi koruma standardını yükseltmeye yardımcı olabilecek sözde ‘tamamlayıcı önlemler’ hakkında bir kılavuz yayınladı.)

AB-ABD Gizlilik Kalkanı’nın ABAD tarafından yıkılması gerçeği, ABD’nin AB verileri için riskli bir hedef olduğunu açıkça ortaya koydu – bu nedenle ABD tabanlı bulut hizmetleri o zamandan beri çerçevede.

Mahkeme kararının hemen ardından veri akışını durdurma emri gelmese de, AB kurumları son aylarda veri aktarımları konusunda eylem ve yaptırımları artırıyor. Avrupa Veri Koruma Denetçisi, bu yılın başında Avrupa Parlamentosu’na örneğin bir COVID-19 test rezervasyon web sitesi (Google Analytics kullanan ve Stripe için kod içeren) üzerinden bir darbe indirdi.

Veri denetçilerinden alınan diğer sonraki kararlar, benzer şekilde belirli Google araçlarının kullanımıyla ilgili sorunları ortaya çıkarmıştır.

ABAD kararı, ABD hükümetinin ticari dijital hizmetlerden yararlanan toplu gözetim programlarının ayrıntılarını yayınlayan NSA muhbiri Edward Snowden’ın 2013 Snowden açıklamalarını izledi ve bu, daha önceki AB-ABD veri aktarım anlaşması Safe Harbor’ın 2015’te iptal edilmesine yol açtı. daha önceki bir yasal meydan okumayla.

Bu nedenle, AB ve ABD bu Mart ayında Gizlilik Kalkanı’nın yerine geçecek bir siyasi anlaşmaya varıldığını duyururken, aynı yasal bölünmeyi ortadan kaldırmaya yönelik üçüncü bir girişim kuşkusuz yeni bir mahkeme sorunuyla karşı karşıya kalacak. Ve Gizlilik Kalkanı 2.0’ın ABAD’ın değerlendirmesinden sağ çıkma olasılığı oldukça zayıf görünüyor ve ABD gözetim yasasının önemli reformunda başarısız oluyor (ki bu masada görünmüyor).

Tüm bunlar, Google’ın AB’deki müşterilerine genişleyen bir teknik ve organizasyonel önlemler paketi (istemci tarafı şifreleme, veri yerelleştirme ve AB tabanlı teknik destek gibi diğer ısmarlama kontroller gibi) sunma stratejisini, mantıklı bir girişim gibi görünüyor. Kağıt üzerindeki herhangi bir siyasi anlaşmadan bağımsız olarak, AB düzenleyicilerinin gözünde kritik iş veri akışlarını güvenceye almanın ve geleceğe yönelik koruma sağlamanın bir yolunu bulun. (Blog gönderisi ayrıca Google Cloud’un “korumaları yapmak“uygulandıktan sonra” mevcut olan yeni AB veri aktarım çerçevesi tarafından sunulmaktadır (hala birkaç ay sonra bir olay).

“Avrupa’daki ve dünyanın dört bir yanındaki müşterilerimizi, hızla gelişen düzenleyici ortama uyum sağlamalarına ve bu ortamın üzerinde kalmalarına yardımcı olan güçlü teknik çözümlerle donatmaya kararlıyız. Google Workspace’i güvenli bir temel üzerinde çalışacak ve kullanıcılarımızı güvende, verilerini güvende ve bilgilerini gizli tutacak yetenekler sağlayacak şekilde tasarladık ve oluşturduk. Dijital egemenlik, Avrupa’da ve başka yerlerde süregelen misyonumuzun özüdür ve müşterilerin şimdi ve gelecekte güvenebilecekleri yol gösterici bir ilkedir,” diye ekliyor Google.

Teknoloji devinin duyurusunu tartışırken, Doktor Lukasz OlejnikAvrupa merkezli bağımsız bir siber güvenlik araştırmacısı ve danışmanı olan , en son gelişmeyi “bir ürün ve hizmetin ilginç bir evrimi” olarak tanımlıyor ve neredeyse kesinlikle AB hukuku ve politikası tarafından motive edildiğini değerlendiriyor.

EDPB’nin önerilerini doğrudan destekliyor gibi görünüyor ve bu da benim önceki analiz. Spesifik olarak, belirli teknik ve organizasyonel kurulumun kullanılmasına yönelik destek” diyor. “Teknik tarafa gelince, işleme, anahtarların AB’de yerleşik bir şirketin binasını asla terk etmeyecek şekilde, istemci tarafı şifreleme ile desteklenecek. İstemci tarafı şifreleme özelliği Workspace tarafından zaten sunuluyor. Bugün hala biraz hantal görünebilir – ve yeni kontrollerin her şeyi kolaylaştırıp kolaylaştırmayacağı belli değil. Umalım ki öyle olsun. Yine de görünen o ki, yeni olan bu hepsi bir arada kontrol.”

“Ülke içi veri merkezlerinin genişletilmesi beklenen bir gelişmedir, ancak ABAD kararını destekleyecek ek bir gelişmedir” diyerek bize şunları da ekliyor: “Hala eksik olan şey, kullanımı kolay ve kullanılabilir verilere erişim yönetimidir. . Google Dokümanlar’daki veriler gibi. Örneğin, bugün bazı paylaşım yapılandırmalarını kaldırmak için tüm paylaşılan belgeleri kolayca listelemek basit olmaktan uzaktır. İnsanların tek tek dosyalar için bu dosyayı art arda yapmasını beklemek, bir ölçekte kullanılabilir olmaktan çok uzaktır. Bu, bireysel dosya bazında değil, basitleştirilmelidir. Öyle görünüyor – belki! — yeni Erişim Kontrolü özelliği burada yardım sağlayabilir mi? Pratikte nasıl çalıştığını göreceğiz.”



genel-24