Проблема SAP: між Вальдорфом та Вашингтоном

Посилання на оригінальну статтю: https://www.digitalbusiness-magazin.de/digitale-souveraenitaet-sap-dilemma-gefangen-zwischen-walldorf-washington-a-01b788c0c8c52add091841ccd3704793/

SAP, провідна європейська компанія, яка глибоко занурена в правову логіку американських хмарних гігантів. Поєднання Закону про хмарні технології, регулювання штучного інтелекту та глобального партнерства, гостро ставить ключові питання щодо цифрового суверенітету в Європі.

Законодавство США впливає на європейські дані: використання Azure, AWS та Google Cloud призводить до потрапляння клієнтів SAP під дію Закону та нормативних актів США про хмарні технології, незважаючи на фізичне розміщення серверів в країнах ЄС. Це потенційно може призвести до зобов’язань щодо надання доступу для органів влади США. 

Обіцянки суверенної хмари під тиском: європейська «Суверенна хмара» SAP створює організаційне розділення, але не усуває юридичну залежність від інфраструктури США, а отже, і ризик для суверенітету. 

Стратегічний напрямок для Європи: справжній цифровий суверенітет можливий лише за наявності незалежної європейської хмарної інфраструктури та інфраструктури штучного інтелекту.

У міру того, як SAP просуває свою хмарну трансформацію, серед клієнтів зростає невизначеність: які дані теоретично можуть підпадати під права доступу США, а які ні? У цій статті показано, де існують реальні технічні залежності, які ризики переоцінені та чому навіть «суверенні хмари» досягають чітких правових обмежень.

1. SAP як німецька компанія – але з американськими зв’язками

На перший погляд, SAP здається безпечною: компанія, що котирується на DAX, зі штаб-квартирою у Вальдорфі, підпорядковується німецькому законодавству, відповідає вимогам GDPR та є піонером у європейських хмарних рішеннях.

Однак, з моменту масового переходу на хмарні технології у 2018 році, SAP більше не надає свої послуги повністю незалежно, а радше у стратегічних альянсах з американськими гіперскейлерами – насамперед Microsoft (Azure), Amazon (AWS) та Google Cloud. Ця співпраця просуває SAP технологічно, але водночас відкриває правові норми, що дозволяють отримувати доступ до даних для адміністрації США.

2. Закон про хмарні технології: доступ через бекдори партнерів

Прямий доступ: якщо SAP розміщує дані клієнтів на інфраструктурі AWS, Azure або Google Cloud (наприклад, у “SAP Cloud Platform” або “Rise with SAP”), ці дані автоматично підпадають під дію Закону США про хмарні технології.

Органи влади США можуть вимагати від цих постачальників хмарних технологій розкриття даних — без участі німецького чи європейського суду.

Непрямий доступ: навіть за умови розміщення даних у хмарах фізично розміщених на обладнанні SAP в ЄС, доступ може відбуватися, якщо SAP використовує американські програмні компоненти або API (наприклад, Microsoft Azure AD для управління ідентифікацією, служби реєстрації або телеметрії, що базуються на технологіях США). Ці інтеграції передають метадані, журнали аудиту або токени доступу, які, у свою чергу, можуть підпадати під дію Закону США, про хмарні технології.

3. Патріотичний акт: національна безпека як привід

Патріотичний акт є історичною основою для програм спостереження США. Він дозволяє доступ до «всіх даних, що стосуються національної безпеки», включаючи дані, що передаються через комунікаційні мережі або програмне забезпечення США.

Системи SAP, які маршрутизують трафік даних через магістральні мережі США або американські рішення безпеки, теоретично можуть підпадати під цю категорію, особливо стосовно промислових або оборонних даних. Це впливає, наприклад, на клієнтів SAP в оборонному або енергетичному секторах.

4. Закон США про штучний інтелект (та Указ Байдена про штучний інтелект)

Новий Закон США про штучний інтелект / Указ Байдена про штучний інтелект (жовтень 2023 р.) розширює вимоги до розкриття інформації про моделі штучного інтелекту, навчальні дані та програмне забезпечення, що стосується безпеки. Якщо SAP використовує компоненти штучного інтелекту або генеративні моделі на основі американських фреймворків (такі як інтерфейси OpenAI, інтеграції Microsoft Copilot або Google Vertex AI), ці моделі можуть стати предметом вимог до розкриття інформації.

Це означає, що моделі або дані додатків SAP AI можуть бути надані владі США на запит, особливо якщо вони містять критично важливі для безпеки або дані інфраструктури.

Коротко кажучи: навіть німецька компанія, така як SAP, може потрапити під дію правил США щодо штучного інтелекту, щойно вона інтегрує американське програмне забезпечення або американські хмарні компоненти.

5. Спроба SAP захистити себе та цифровий суверенітет – «Суверенна хмара ЄС»

SAP визнала проблему та у 2022 році разом з Microsoft оголосила про створення «Суверенної хмари ЄС». 

Мета: Дані повинні керуватися лише персоналом ЄС, жодні дані не повинні залишати ЄС, і жодна юрисдикція США не повинна застосовуватися.

Однак:

• Базовою технологією залишається Microsoft Azure. 
• Microsoft залишається підпадаючою під дію Закону США про хмарні технології, навіть якщо управління здійснюється в Європі.
•  Таким чином, «Суверенна хмара» не може гарантувати, що влада США все ще не отримає доступу..

Висновок: Суверенна хмара ЄС – це політично розумна, але юридично крихка конструкція. Вона може створити довіру, але не юридичну визначеність.

6. Наслідки для клієнтів SAP

Компанії, що використовують хмарні сервіси SAP (наприклад, S/4HANA Cloud, SuccessFactors, Ariba), повинні знати, що:

• Їхні дані можуть підпадати під дію законодавства США,
• відповідно до GDPR, вони не можуть розміщувати конфіденційні персональні дані в таких середовищах без належного захисту,
• «Стандартне договірне положення» (SCC) не забезпечує захисту, якщо законодавство США дозволяє доступ.

Це стосується, зокрема,:

• Державних установ (міністерств, університетів, муніципальних комунальних підприємств)
• Компаній у сфері критичної інфраструктури (енергетика, охорона здоров’я, транспорт)
• Досліджень та оборони (постачальників оборонного обладнання, розробки штучного інтелекту, космічних технологій тощо)

7. Стратегічна перспектива: Що потрібно зробити SAP (і Європі)

1. Відокремлення від американського технологічного стеку: SAP потрібно буде послідовно створювати суто європейську хмарну архітектуру, наприклад, з такими партнерами, як Gaia-X, EuroHPC, Ovhcloud або T-Systems – без американського програмного рівня чи американських API.
2. Федеративні архітектури: Дані залишаються у клієнта, а моделі навчаються у федеративному середовищі. Це усуне будь-яку централізовану точку доступу для іноземних органів. Це технічно можливо – і стратегічно важливо.
3. Юридична ясність: Тільки хмара, що знаходиться виключно під європейською юрисдикцією, може досягти справжньої відповідності GDPR та Закону ЄС про штучний інтелект.

Підсумок

SAP є прикладом дилеми Європи: світовий чемпіон, технологічно потужний, але потрапив у юридичну скруту. Поєднання Закону про хмарні технології, Закону про патріотів та Закону США про штучний інтелект означає, що доки SAP покладається на інфраструктуру чи програмне забезпечення США, кожен європейський набір даних залишається потенційно предметом правового захисту з боку США. Це не просто питання захисту даних, а питання економічного та наукового суверенітету Європи.

Міхаель О. Хюбенер – генеральний директор Synnq Pulse, європейської платформи для федеративного навчання та європейської альтернативи для конфіденційної, суверенної інфраструктури штучного інтелекту. Він досвідчений підприємець та фінансовий експерт з більш ніж 20-річним практичним досвідом