Một lựa chọn đám mây chủ quyền của Châu Âu vấp phải nghi vấn về sự độc lập thực sự

Ủy ban Châu Âu (EC) vừa công bố bốn hợp đồng nhằm thúc đẩy chủ quyền đám mây trong khu vực, nhưng một trong những lựa chọn này đang vấp phải nhiều chỉ trích vì sử dụng dịch vụ từ S3NS – một liên doanh giữa tập đoàn Thales của Pháp và Google Cloud của Mỹ. Điều này dấy lên những câu hỏi lớn về tính độc lập thực sự của giải pháp đám mây được cho là "chủ quyền" này.

Trong khuôn khổ nỗ lực thúc đẩy chủ quyền kỹ thuật số, Ủy ban Châu Âu đã thông báo gói thầu dịch vụ đám mây nội địa vào tháng 10 năm ngoái nhằm "củng cố vị thế chủ quyền kỹ thuật số của Liên minh". Thông qua hợp đồng này, các cơ quan, văn phòng và tổ chức của EU sẽ có thể mua sắm tài nguyên và dịch vụ đám mây với giá trị lên tới 180 triệu euro (khoảng 212 triệu USD) trong vòng sáu năm.

Ủy ban cho biết việc trao hợp đồng cho bốn nhà cung cấp là để đảm bảo tính đa dạng hóa và khả năng phục hồi, nhằm tránh tình trạng bị phụ thuộc (lock-in) vào một nhà cung cấp dịch vụ CNTT duy nhất.

Bốn nhà cung cấp được lựa chọn bao gồm:

• Một liên doanh Pháp-Luxembourg do Post Telecom dẫn đầu, cùng với OVHcloud và CleverCloud.
• Công ty STACKIT của Đức.
• Công ty Scaleway của Pháp.
• Một liên doanh Bỉ-Pháp-Luxembourg do Proximus dẫn đầu, sử dụng dịch vụ của S3NS, cùng với Clarence và Mistral.

Ủy ban Châu Âu khẳng định rằng tính chủ quyền của các nhà cung cấp đã được đánh giá dựa trên Khung Chủ quyền Đám mây (Cloud Sovereignty Framework) mà họ phát triển vào năm ngoái. Khung này dùng để đánh giá dịch vụ dựa trên tám mục tiêu chủ quyền.

Tuy nhiên, vào năm ngoái, CISPE (Hiệp hội Nhà cung cấp Dịch vụ Cơ sở hạ tầng Đám mây Châu Âu) – một tổ chức thương mại đại diện cho 38 công ty đám mây trong khu vực – đã chỉ trích khung đánh giá này. Họ cho rằng các tiêu chí của Khung được soạn thảo quá mơ hồ nhằm có lợi cho các "ông lớn" đang thống trị thị trường đám mây Châu Âu, tức là các nhà cung cấp đến từ Mỹ.

"CISPE lo ngại rằng các tiêu chí của Khung quá rộng và được đánh giá trọng số theo cách có thể cho phép một nhà cung cấp đạt đủ điểm số cao mà không thực sự đáp ứng được tinh thần cốt lõi của chủ quyền Châu Âu," một phát ngôn viên của CISPE cho biết vào thời điểm đó.

Và lo ngại đó dường như đã trở thành hiện thực, khi S3NS là một liên doanh giữa tập đoàn công nghệ đa quốc gia Thales (Pháp) và Google Cloud (Mỹ).

Theo Đạo luật CLOUD của Mỹ, chính quyền Mỹ có thể buộc các công ty đám mây nước này phải cung cấp quyền truy cập vào một số dữ liệu họ nắm giữ, bao gồm cả dữ liệu được lưu trữ bên ngoài nước Mỹ, nếu tuân theo các thủ tục pháp lý phù hợp.

Vào năm ngoái, một giám đốc điều hành của Microsoft đã thừa nhận dưới lời thề trước Thượng viện Pháp rằng công ty không thể đảm bảo dữ liệu của khách hàng Pháp sẽ không bao giờ bị tiết lộ theo các lệnh pháp lý của Mỹ vì lý do này.

Chúng tôi đã hỏi Thales làm thế nào liên doanh S3NS với Google có thể được coi là nhà cung cấp chủ quyền trong hoàn cảnh này và đang chờ đợi câu trả lời. Chúng tôi cũng đã hỏi Ủy ban Châu Âu về lý do trao hợp đồng đám mây chủ quyền cho một đối tác bao gồm cả Google Cloud.

Trong thông báo về việc trao hợp đồng, Ủy ban Châu Âu cho biết Khung Chủ quyền Đám mây quy định các Mức độ Đảm bảo Hiệu quả Chủ quyền (SEAL), từ SEAL-0 (hoàn toàn thiếu chủ quyền) đến SEAL-4 (yêu cầu chuỗi cung ứng hoàn toàn thuộc EU, từ chip đến phần mềm).

Để đủ điều kiện, các nhà cung cấp cần phải chứng minh được mức SEAL-2, hay Mức Chủ quyền Dữ liệu. Điều này có nghĩa là họ tuân thủ các luật và quy định của EU mà không yêu cầu khách hàng phải áp dụng các biện pháp kỹ thuật bổ sung để bảo vệ dữ liệu của mình.

Ba nhà cung cấp còn lại đã chứng minh được mức SEAL-3, hay Mức Khả năng Chống chịu Kỹ thuật số, ngụ ý rằng họ miễn nhiễm với sự gián đoạn chuỗi cung ứng từ các bên thứ ba không thuộc EU. Tuy nhiên, S3NS không thể đạt được mức này.

Trước diễn biến mới nhất này, CISPE cho biết khung của Ủy ban thất bại trong việc đưa ra câu trả lời rõ ràng và đáng tin cậy cho hai câu hỏi sống còn: Điều gì sẽ xảy ra với hạ tầng đám mây của bạn nếu một chính phủ nước ngoài muốn tắt nó, và điều gì sẽ xảy ra nếu một chính phủ nước ngoài muốn truy cập dữ liệu của bạn trong đám mây đó?

"Việc công nhận S3NS, vốn tận dụng công nghệ đám mây của Google, là 'chủ quyền' rõ ràng là một sai lầm tự làm khổ mình và đe dọa việc hợp pháp hóa hành vi 'tẩy trắng chủ quyền' (sovereignty washing) ở cấp độ cao nhất," Tổng thư ký CISPE Francisco Mingorance nhận định.