Propozycja 'Znaj swojego klienta' w USA zakończy anonimowość użytkowników usług chmurowych

Anonimowy czytelnik cytuje raport z TorrentFreak: *Pod koniec stycznia, Departament Handlu Stanów Zjednoczonych opublikował ogłoszenie o planowanym tworzeniu nowych wymagań dla dostawców infrastruktury jako usługi (IaaS). Propozycja sprowadza się do stworzenia reżimu 'Znaj swojego klienta' dla firm operujących usługami chmurowymi, z celem przeciwdziałania działaniom "zagranicznych złośliwych aktorów". Mimo że skupia się na sprawach międzynarodowych, Amerykanie nie będą mogli uniknąć wymagań tej propozycji, które obejmują sieci CDN, serwery prywatne, proxy oraz usługi rozwiązywania nazw domen, między innymi. [...] Zgodnie z proponowaną regulacją, Programy Identyfikacji Klientów (CIPs) obsługiwane przez IaaS muszą zbierać informacje zarówno od istniejących, jak i potencjalnych klientów, tj. tych na etapie składania wniosku o otwarcie konta. Minimalne dane obejmują: imię i nazwisko klienta, adres, sposób i źródło płatności za każde konto klienta, adresy e-mail i numery telefonów, oraz adresy IP używane do dostępu lub administracji kontem.

Zaskakująco szeroka definicja IaaS obejmuje: "Każdy produkt lub usługę oferowaną konsumentowi, włącznie z ofertami bezpłatnymi lub "próbne", które zapewniają przetwarzanie, przechowywanie, sieci lub inne podstawowe zasoby komputerowe, a które umożliwiają konsumentowi wdrażanie i uruchamianie niepredefiniowanego oprogramowania, w tym systemów operacyjnych i aplikacji. Konsument zazwyczaj nie zarządza ani nie kontroluje większości sprzętu podstawowego, ale ma kontrolę nad systemami operacyjnymi, przechowywaniem i wszelkimi wdrożonymi aplikacjami. Termin obejmuje także produkty lub usługi "zarządzane", w których dostawca jest odpowiedzialny za niektóre aspekty konfiguracji lub konserwacji systemu, oraz produkty lub usługi "niezarządzane", w których dostawca jest odpowiedzialny jedynie za to, że produkt jest dostępny dla konsumenta."

I na tym się nie kończy. Termin IaaS obejmuje wszystkie 'uwirtualnione' produkty i usługi, gdzie zasoby obliczeniowe fizycznej maszyny są współdzielone, jak na przykład serwery wirtualne prywatne (VPS). Obejmuje nawet 'serwery baremetal', przypisane do jednej osoby. Definicja rozciąga się także na każdą usługę, gdzie konsument nie zarządza ani nie kontroluje sprzętu podstawowego, ale zawiera umowę z firmą trzecią na dostęp. "Ta definicja obejmuje usługi takie jak sieci dostarczania zawartości, usługi proxy i usługi rozwiązywania nazw domen," czytamy w propozycji. Proponowana regulacja, National Emergency with Respect to Significant Malicious Cyber-Enabled Activities, przestanie przyjmować komentarze od zainteresowanych stron 30 kwietnia 2024.

ELI5: Departament Handlu USA chce wprowadzić nowe zasady dla firm świadczących usługi chmurowe, żeby chronić się przed cyberatakami. Firmy będą musiały zbierać dane od klientów, takie jak imię, nazwisko, adres czy adresy IP. Te nowe zasady będą dotyczyć różnych usług, nawet tych darmowych. Regulacja obejmuje m.in. serwery prywatne i usługi proxy. Zasady mają zacząć obowiązywać w 2024 roku.

Źródła:

• https://torrentfreak.com/u-s-know-your-customer-proposal-will-put-an-end-to-anonymous-cloud-users-240425/
• https://www.bis.doc.gov/index.php/documents/about-bis/newsroom/press-releases/3443-2024-01-29-bis-press-release-infrastructure-as-as-service-know-your-customer-nprm-final/file
• https://www.federalregister.gov/documents/2024/01/29/2024-01580/taking-additional-steps-to-address-the-national-emergency-with-respect-to-significant-malicious