Европейский надзор по защите данных (EDPS) определил, что Еврокомиссия нарушила правила защиты данных при использовании облачного программного обеспечения Microsoft 365.
Европейский регулятор потребовал устранить выявленные нарушения до декабря 2024 года, а также предписал приостановить передачу данных в Microsoft 365, который используется за пределами зоны Евросоюза. Кроме того, надзорный орган сообщил о необходимости внесения корректировок в контракты с Microsoft.
По данным EDPS, Еврокомиссия собирала и обрабатывала личные данные, не уточняя их типы и цели использования. При этом при передаче данных за пределы ЕС не были установлены должные гарантии защиты информации. Предполагается, что введенные регулятором ограничения будут действовать до момента обеспечения соответствующих защитных мер.
«В своем контракте с Microsoft Еврокомиссия недостаточно четко указала, какие типы персональных данных должны собираться и для каких явных и оговоренных целей при использовании Microsoft 365», – говорится в сообщении регулятора.
В EDPS подчеркнули, что обязанность обеспечения надежных мер защиты личных данных при их обработке в облачных услугах лежит на органах власти ЕС. В Microsoft пока не прокомментировали итоги расследования.
Выводы Европейского надзора по защите данных – результат практически трехлетнего расследования органа о потенциальной передаче Microsoft конфиденциальной информации правительству США, пояснил депутат Госдумы, член комитета по информационной политике Антон Немкин. «В более широком смысле – реакция на разоблачение массовой слежки американских спецслужб как за рядовыми гражданами, так и за представителями различных государств», – отметил он.
По словам депутата, в решении EDPS нет ничего удивительного. «Но пока что предпринятые меры выглядят довольно мягко. На деле такой подход вряд ли будет способствовать реальному разрешению проблемы угрозы информационной безопасности. Например, нельзя быть уверенным в том, что сведения не собираются, например, в фоновом режиме», – отметил он.
Полноценное обеспечение защиты данных зависит от внедрения собственных разработок, считает Антон Немкин. «Фактически речь идет об импортозамещении, которое сейчас идет активными темпами в нашей стране. Риск того, что иностранные вендоры будут аффилированы с другим государством, есть всегда. Особенно, когда речь идет о США, которые не раз были замешаны в подобных скандалах», – подчеркнул депутат.
Антон Немкин также отметил, что в России сегодня активно внедряется отечественное виртуальное рабочее пространство КС АРМГС («Автоматизированное рабочее место государственного служащего» – прим.), которое интегрировало в себя не только почтовый сервис и календарь, но и мессенджер, ВКС и файловое хранилище. «На очереди и полноценный переход на офисные программы отечественных вендоров», – рассказал депутат.
Такой подход позволит снизить все риски, связанные с использованием иностранного ПО, отметил Немкин. Особенно в части незаконной передачи данных. По его словам, внедрение схожих решений в Евросоюзе маловероятно. «Некоторые страны ЕС уже давно нацелены на развитие собственного ПО в критически важных отраслях. Но вряд ли Microsoft допустит потерю и этого рынка», – заключил парламентарий.
