El control dominante que Microsoft tiene sobre la TI del gobierno está siendo objeto de un estrecho escrutinio, luego de que el gigante del software revelara que no puede garantizar la soberanía de los datos policiales del Reino Unido alojados dentro de su infraestructura de nube a hiperescala.
Como reveló en exclusiva Computer Weekly el 19 de junio, Microsoft ha informado a los organismos policiales escoceses que no puede garantizar que los datos alojados en sus plataformas Microsoft 365 y Azure permanezcan en el Reino Unido.
La divulgación aparece en una serie de respuestas de Libertad de Información (FOI) de la Autoridad de Policía Escocesa (SPA) a las preguntas planteadas por el consultor de seguridad independiente Owen Sayers sobre el uso de los servicios en la nube de Microsoft por parte de la autoridad.
En una de las respuestas, vista por Computer Weekly, Sayers solicita a la SPA una lista de “cualquier servicio en la nube de Microsoft identificado como que no opera completamente dentro del Reino Unido” o que requiere la transferencia internacional de datos del cliente.
En su respuesta, la SPA declaró: “Microsoft ha informado que no puede garantizar la soberanía de los datos para M365”.
Otra información publicada como parte de la divulgación FOI revela que los datos alojados en la infraestructura de nube de Microsoft se transfieren y procesan regularmente en el extranjero, así como el reconocimiento de Microsoft de que las transferencias internacionales de datos son parte integrante de cómo funciona su infraestructura de nube pública.
La importancia de las divulgaciones de Microsoft es que el procesamiento de datos personales por parte de los organismos encargados de hacer cumplir la ley se rige por el contenido de la Parte 3 de la Ley de Protección de Datos (DPA) de 2018, que limita el uso de proveedores de nube extranjeros por parte de las entidades encargadas de hacer cumplir la ley a menos que se adopten “salvaguardias apropiadas”. ” están en su lugar.
Y aunque la Parte 3 de la DPA 2018 solo se aplica a los organismos encargados de hacer cumplir la ley, otras organizaciones del sector público operan bajo controles regulatorios que esperan o exigen que los datos también residan al 100% en el Reino Unido, dijo Sayers.
“Hasta junio de 2023, el esquema de clasificación del gobierno prohibía específicamente la deslocalización de datos, y ahora deberían plantearse preguntas sobre cómo se permitió que el uso de la nube de Microsoft por parte del gobierno de SM entre 2014 y 2023 creciera como lo hizo cuando contravenía en gran medida esa política”. dijo Sayers.
Computer Weekly formuló esta pregunta a la Oficina del Gabinete, pero no recibió una respuesta directa.
La importancia del período de tiempo propuesto por Sayers es que 2014 fue el año en que la Oficina del Gabinete buscó racionalizar el sistema de clasificación de datos de Niveles de Impacto Empresarial (BIL) de siete niveles del gobierno, utilizado por los departamentos para evaluar la sensibilidad de los datos que manejaban.
El proceso dio como resultado la creación del Esquema de Clasificación Gubernamental (GCS) de tres niveles y la introducción de una nueva convención de nomenclatura mediante la cual los datos gubernamentales ahora se clasifican como Oficiales, Secretos o Máximo Secreto.
“La política emitida entonces y actualizada en 2018 no solo cambió los nombres, sino que también contenía algunas disposiciones específicas sobre el uso de la nube”, dijo Sayers. “Una de esas disposiciones era que para los datos clasificados como superiores al antiguo umbral BIL de BIL 2xx, el alojamiento en la nube tenía que estar acreditado y ubicado en el Reino Unido”.
Además de esto, Sayers dijo: “Muchas organizaciones gubernamentales y del sector privado tendrán una declaración de riesgos en su registro de riesgos corporativos o en la Evaluación de Impacto de la Protección de Datos. [DPIA] que refleja el uso que hace Microsoft de los centros de datos del Reino Unido [to] garantizar que los datos personales no salgan del Reino Unido y, como tal, sean soberanos”, dijo.
“Estas aclaraciones de Microsoft muestran que esto probablemente no sea cierto para la mayoría de los casos de uso de procesamiento y, como resultado, esas organizaciones deben analizar cómo eso cambia tanto su perfil de riesgo como si la confianza en las garantías de residencia de datos de Microsoft, de hecho, ha cambiado. , ha sido extraviado”.
Computer Weekly preguntó a Microsoft si podía garantizar la soberanía de otras formas de datos del sector público alojados en su plataforma en la nube a hiperescala, pero la compañía no respondió directamente a la pregunta.
Revisiones de la política de nube pública primero
Según Sayers, las revelaciones de Microsoft también ponen en duda si la política de larga data del gobierno del Reino Unido de priorizar la nube pública sigue siendo adecuada para su propósito.
La política, introducida en enero de 2017, exige que todos los departamentos del gobierno central adopten un enfoque centrado en la nube pública para la adquisición de nuevas tecnologías. El resto del sector público no está obligado a seguir este consejo, pero se le recomienda encarecidamente que lo haga.
Ahora se ha confirmado que uno de los mayores esfuerzos del gobierno de SM [public cloud] sus socios –Microsoft– están deslocalizando gran parte de los datos del Reino Unido, el próximo gobierno debe considerar si la actual estrategia de priorizar la nube sigue siendo sólida
Owen Sayers, consultor de seguridad independiente
“Ahora se ha confirmado que uno de los mayores esfuerzos del gobierno de SM [public cloud] “Microsoft está deslocalizando gran parte de los datos del Reino Unido, el próximo gobierno, cualquiera que sea su composición, debe considerar si la actual estrategia de priorizar la nube sigue siendo sólida”, dijo Sayers.
A esta política se le atribuye haber acelerado el ritmo de adopción de la nube en el gobierno central y se sabe que la Oficina del Gabinete la revisa periódicamente.
El surgimiento de la política en 2017 estuvo acompañado por una guía del Servicio Digital Gubernamental (GDS) casi al mismo tiempo que afirmaba que la nube pública es segura de usar para la gran mayoría de las cargas de trabajo del sector público.
Su publicación se produjo varios meses después de que Microsoft abriera su primer centro de datos regional en el Reino Unido en septiembre de 2016, y el ex vicepresidente corporativo de Office 365 de Microsoft, Ron Markezich, presentó el lanzamiento como la respuesta al hecho de que “algunos clientes necesitan datos ubicados y almacenados”. en el Reino Unido”.
Nicky Stewart, exjefe de TIC de la Oficina del Gabinete, dijo a Computer Weekly que muchos compradores de TI del sector público pueden haber comprado servicios de Microsoft “con confianza ciega” y supusieron que, debido a que la compañía opera centros de datos en el Reino Unido, sus datos M365 habrían permanecido en el país.
“Tenemos a Microsoft promocionando lo que describen como nube soberana, pero ¿qué quieren decir con soberana… porque los datos verdaderamente soberanos no serían deslocalizados bajo ninguna circunstancia – y ciertamente no estarían sujetos a la jurisdicción de ningún tercer país, lo cual siempre es cierto? Ese será el caso cuando algo esté alojado en Microsoft u otra nube con sede en EE. UU.”, dijo. “¿Se presume soberanía simplemente porque los datos se guardan en el Reino Unido?”
No es difícil ver por qué los compradores de TI del sector público podrían haber hecho tal presunción.
Cuando el plan de desarrollo del centro de datos de Microsoft en el Reino Unido se anunció por primera vez en noviembre de 2015, el ex director de tecnología del gobierno del Reino Unido, Liam Maxwell, dijo que la noticia tendría “grandes implicaciones para las empresas, los gobiernos locales y para muchas personas que siempre han considerado la cuestión de la soberanía de los datos y La ubicación de los datos es preocupante”, durante una conferencia de prensa a la que asistió Computer Weekly.
En una entrevista con el bbcel ex jefe del grupo empresarial de nube de Microsoft, Scott Guthrie, dijo que la apertura de centros de datos en el Reino Unido abordaría las preocupaciones sobre la soberanía de los datos de los reguladores y guardianes de la privacidad.
“Para algunas cosas, como la atención sanitaria, la defensa nacional y las cargas de trabajo del sector público, hay una variedad de regulaciones que dicen que los datos deben permanecer en el Reino Unido”, dijo. “Tener estas dos regiones locales de Azure significa que podemos decir que estos datos nunca saldrán del Reino Unido y se regirán por todas las regulaciones y leyes”.
La compañía también tiene documentación protegida alojada en su sitio web, que data de 2018, dirigida a los usuarios del marco de adquisiciones G-Cloud del sector público que les garantiza que sus servicios están alojados en centros de datos del Reino Unido para uso de los clientes gubernamentales del Reino Unido.
¿Una mala interpretación de la orientación?
A pesar de estas declaraciones, Sayers dijo que Microsoft nunca ha dado garantías de que los datos almacenados en sus sistemas permanecerán siempre en el Reino Unido.
“La gente simplemente eligió leerlo de esa manera”, dijo. “Todo lo que Microsoft ha hecho es garantizar que los datos se almacenen en reposo en una geografía específica, e incluso entonces esa garantía se limita a ciertos servicios”.
Continuó: “En ese sentido, tengo cierta simpatía por Microsoft, [because] Los usuarios de sus servicios tal vez no hayan leído los términos de servicio correctamente o no hayan realizado mucha diligencia antes de registrarse para utilizar sus servicios. Si lo hubieran hecho, todo esto habría pasado a ser de dominio público mucho antes”.
Todo lo que hizo la SPA fue pedirle a Microsoft que confirmara qué significaban en la práctica los términos de servicio para sus productos en la nube, continuó. “Microsoft no eludió la pregunta y parece que la Autoridad de Policía de Escocia fue la primera en formularla”.
Computer Weekly preguntó a Microsoft si algún departamento gubernamental alguna vez lo había contactado directamente para obtener garantías sobre la soberanía de los datos almacenados y procesados dentro de M365, pero la compañía no respondió a la pregunta.
El gobierno del Reino Unido Guía de la nube para el sector público El documento, que fue publicado conjuntamente en noviembre de 2023 por el brazo tecnológico de la Oficina del Gabinete, la Oficina Central de Datos y Digitalización (CCDO) y la Función Comercial del Gobierno, establece que corresponde a los departamentos decidir dónde se deben alojar sus datos en la nube y, en En resumen, su responsabilidad de garantizar que los proveedores cumplan con sus requisitos.
“No existe ninguna política gubernamental que impida directamente que los departamentos o servicios almacenen datos basados en la nube en un país específico. Sin embargo, debe considerar las implicaciones del lugar donde aloja sus datos”, afirma el documento.
“Es responsabilidad de cada departamento gubernamental tomar decisiones basadas en riesgos sobre el uso de proveedores de nube para el almacenamiento de datos gubernamentales”.
Responsabilidad por la soberanía centrada en el usuario
Algo que complica aún más el panorama es que, si bien un departamento podría asumir que sus datos están alojados en el Reino Unido, algunas partes del sector público permiten que sus ingenieros de nube tomen las decisiones sobre dónde se alojan los datos por razones de reducción de costos, dijo Stewart.
“En una configuración como esa, es factible que se pueda tomar la decisión de colocar los datos en el extranjero basándose en la economía sin pensar en las implicaciones regulatorias de eso o las implicaciones del contrato, porque un ingeniero de nube está efectivamente sentado a kilómetros de distancia del contrato de nube. – a menos que tengan un profesional de adquisiciones sobre sus hombros, lo cual nueve de cada 10 veces no tendrán”, dijo.
Como ejemplo de esto, señaló la guía de operaciones financieras (FinOps) del Centro de Excelencia en la Nube de Inglaterra del NHS, de referencia pública.
Esto indica que las decisiones de compra de la nube las toman los ingenieros de la organización, que son responsables del aprovisionamiento de servicios, lo que describe como un “desplazamiento de responsabilidades del modelo tradicional central de adquisiciones y aprobaciones”.
Esto sugiere, añadió: “Una vez que su empresa se ha implementado en la nube, está a merced de los ingenieros de la nube porque son ellos quienes toman las decisiones esencialmente sobre dónde se alojarán los datos”.
Uso de M365 por parte del gobierno central
La divulgación de la soberanía de datos de Microsoft también pone bajo escrutinio la defensa gubernamental de M365 como el “estándar de productividad”, dado que casi todos los departamentos utilizan la suite.
Las únicas excepciones a esto son el Departamento de Digital, Cultura, Medios y Deportes (DCMS), que depende de la oferta rival Google Workspace, y la Oficina del Gabinete, aunque esta última se encuentra en medio de una migración de varios años a M365.
Al discutir la implementación en un evento de participación en el mercado de la Oficina del Gabinete de TechUK el 21 de abril de 2023, el director de datos e información del departamento, Mike Hill, dijo que M365 es el “estándar gubernamental para la productividad”, según lo define la Oficina Central de Datos y Digital (CDDO). .
“Sólo hay dos departamentos dentro del gobierno: nosotros mismos [the Cabinet Office] y DCMS, que permanecen en Google”, dijo. “Entonces, lo que buscamos hacer es alinearnos con el estándar gubernamental, hacer que sea más fácil interoperar, compartir información y ser más productivos como departamentos…[and] simplificarse mucho más adoptando el estándar establecido por la CDDO”.
No existe un mandato formal que indique que los departamentos gubernamentales deban utilizar M365, pero lo que sí hay – dijo una fuente gubernamental a Computer Weekly – es una necesidad dentro de Whitehall de que los departamentos utilicen las mismas herramientas siempre que sea posible.
“Existe un impulso para crear una infraestructura de comunicación e intercambio de información colaborativa, mejor conectada, de departamento a departamento”, dijo la fuente. En este punto, Computer Weekly es consciente de que DCMS, usuario de Google Workspace desde hace mucho tiempo, añadió Microsoft Teams a la gama de herramientas de comunicación que utiliza en 2023.
“Los funcionarios públicos a menudo cambian de departamento,…
