Данные и безопасность

Безопасность данных в облаке: расхождения американских и европейских cloud-провайдеров и причем здесь украинский бизнес

Рост рынка облачных вычислений в Европе впечатляет своими темпами. По данным IDC, расходы европейских клиентов на публичные облачные сервисы по итогам 2023 года составили $142 млрд, а уже к 2027-му увеличатся вдвое — до $291 млрд. Однако не все так «безоблачно»: ряд организаций, в том числе государственных, видят угрозу для облачного суверенитета в глубоком проникновении в ЕС глобальных cloud-провайдеров: по состоянию на 2023-й на долю гиперскейлеров приходилось 66% всего рынка облачных вычислений.  

В поисках баланса между технологической свободой и облачным суверенитетом

Нестабильная геополитическая обстановка вывела цифровой и облачный суверенитет в число самых обсуждаемых политиками и IT-специалистами тем. С одной стороны, облачные вычисления стали обычным явлением для всех сфер бизнеса, продолжает расти потребность в технологических инновациях, которые способствуют экономическому процветанию. С другой стороны, Европа заинтересована в дальнейшем проникновению на рынок гиперскейлеров, но при этом считает важным обеспечить цифровую безопасность своим клиентам, в том числе государственным организациям. Проблема в том, что «родным домом» для тройки крупнейших гиперскейлеров — а это Amazon Web Services (AWS), Microsoft Azure и Google Cloud Platform (GCP) — является США. И помимо того, что технологические гиганты размещают свои вычислительные мощности почти на всех континентах, они оказывают огромное влияние на мировую индустрию облачных технологий. 

Европейская комиссия обновила свою программу «Цифровая Европа» 2023-2024. Она предусматривает выделение 762,7 млн евро на финансирование мероприятий, направленных на укрепление технологического суверенитета Европы. Следуя вектору цифровой трансформации, заданному на государственном уровне, многие компании переносят свои данные в облако, а это значит, что потребность в защите и безопасности данных будет увеличиваться. Таким образом, ЕС стремится найти оптимальную модель, в которой технологии (в том числе облачные) будут способствовать экономическому росту, но при этом не придется жертвовать цифровой безопасностью и суверенитетом. Потенциальную угрозу для последних как раз представляют североамериканские поставщики услуг в лице гиперскейлеров. 

Как ЕС защищает данные своих граждан

Европейские страны предпринимают попытки исключить незаконную передачу данных из ЕС в США. Ярким примером тому может служить кейс компании Meta, которая именно по данному обвинению была оштрафована на €1,2 млрд. Однако перед Европой стоит и другая задача: действовать максимально аккуратно — так, чтобы чрезмерная защита не оказалась контрпродуктивной. Для этого ЕС приходится работать сразу в двух направлениях: поддерживать партнерские отношения с гиперскейлерами, стимулируя их работать в рамках европейского законодательства по защите данных (GDPR), и одновременно стимулировать развитие локальных облачных сервисов. Также в Европейских странах действуют и отдельные законы, которые частично дублируют или дополняют GDPR. Например, Bundesdatenschutzgesetz (BDSG) 2001 — закон о защите и регулировании обработки персональных данных в Германии. 

Для обеспечения облачного суверенитета в Европе уже сделаны определенные шаги. Например, некоторые европейские поставщики облачных услуг стали партнерами, чтобы предлагать своим клиентам европейскую альтернативу гиперскейлерам в сфере облачных вычислений. А в Германии и Испании размещены два первых суверенных облака Oracle Cloud Infrastructure (OCI), ориентированные на клиентов ЕС.

Противоречие между законом US CLOUD и GDPR

В соответствии с US CLOUD Act власти и федеральные агентства США могут получить доступ к данным поставщиков облачных услуг, которые, в том числе, хранятся в других странах. Таким образом, этот закон противоречит Общему регламенту ЕС по защите данных (GDPR) — напомним, что он применяется абсолютно ко всем компаниям независимо от их местоположения, которые собирают, хранят и обрабатывают данные граждан ЕС. Европейские власти вполне закономерно воспринимают такую ситуацию как угрозу европейскому цифровому суверенитета. Чтобы ее снизить и одновременно обеспечить возможность здоровой конкуренции для европейских облачных продуктов на глобальном рынке, была разработана инициатива Gaia-X. 

Что известно про Gaia-X  

Gaia-X запущена для создания в Европе облачной инфраструктуры, которая отвечает высоким стандартам безопасности данных. Основные принципы Gaia-X включают суверенитет, прозрачность и безопасность данных, а также создание условий для внедрения инноваций в сфере облачных вычислений на рынке ЕС. Сейчас Gaia-X объединяет инфраструктуру облачных ресурсов, набор облачных служб и сервисов, средства управления и оркестрации, а также набор стандартов и протоколов для реализации совместимости на уровне облачных платформ и отдельных сервисов. Считается, что экосистема Gaia-X сможет обеспечить необходимый уровень развития и внедрения облачных вычислений, не ставя под угрозу конфиденциальность и безопасность персональных данных европейцев. 

Как защитить данные своих клиентов украинскому бизнесу?

В Украине был разработан собственный стандарт кибербезопасности КСЗИ (Комплексная система защиты информации), который определяет комплекс мер и действий по защите информации. Прежде всего данный стандарт регулируются тремя следующими законами Украины: «Об информации», «О защите персональных данных» и «О защите информации в информационно-телекоммуникационных системах». 

19 июля 2022 года в Госспецсвязи разъяснили требования к защите информации в информационных системах в военное время. В частности, уточнили, что «для защиты информационных систем, в которых не обрабатывается информация с ограниченным доступом, но защиты которых требует украинское законодательство, может быть использована альтернативная система информационной безопасности в соответствии с европейскими стандартами ISO/IEC 27 серии». Речь идет о самом известном в мире стандарте для систем управления информационной безопасностью (СУИБ) ISO/IEC 27001. В то же время, как и ранее, остается возможность получения аттестатов КСЗИ на прежних условиях. 

Дополняет ISO/IEC 27001 сертификат ISO/IEC 27701, который представляет собой руководство по реализации защиты и содержит требования к защите персональных данных и обеспечения информационной безопасности. С точки зрения защиты данных (и не только персональных) ISO/IEC 27701 можно назвать пособием по внедрению GDPR, но только при условии, что компания уже руководствуется названным выше ISO/IEC 27001. 

Эксперт Colobridge:

«Европейский и в большой мере украинский бизнес оказался в зоне риска: если персональные данные клиентов будут переданы в США (что возможно с учетом «прописки» гиперскейлеров), это будет прямым нарушением законодательства ЕС. Оказаться в такой ситуации нежелательно даже с репутационной точки зрения, не говоря уже о правовых последствиях. Однако выход есть, и мы готовы предложить его нашим клиентам. 

Дата-центры Telehouse и Equinix в Германии, где размещена инфраструктура Colobridge, имеют сертификат ISO/IEC 27001, аналог КСЗИ, поэтому украинский бизнес может свободно мигрировать к нам свои IT-сервисы. А недавно принятый законопроект №10062 позволяет делать это даже Минобороны Украины. При этом мы строго соблюдаем GDPR, что принципиально для абсолютного большинства украинских клиентов.

Еще один важный момент: наши гермозоны находятся в тех же дата-центрах, которые используют гиперскейлеры. Это значит, что клиенты Colobridge получают тот же уровень безопасности, отказоустойчивости и доступности сервисов на уровне ДЦ, что и клиенты гиперскейлеров. Размещенные у нас данные и оборудование дополнительно защищены немецким законодательством, а уровень предоставления услуг регулируется SLA с финансовыми гарантиями. В отличие от гиперскейлеров, у нас более доступные решения и больше возможностей делать их кастомизированными. Например, можно сочетать любые физические и облачные продукты: от простого IaaS до построения частных, гибридных и мультиоблаков или резервирования площадок для аварийного восстановления

Таким образом, перенос данных в Colobridge позволяет получить тот же уровень отказоустойчивости, который предлагают гиперскейлеры, но при этом работать в правовом поле ЕС, обеспечить соответствие GDPR и получить ряд бонусов — от персонализированных решений с полным обслуживанием IT-инфраструктуры до быстрой (реакция на заявку <15 минут) техподдержки 24/7/365 на родном языке».

Получите консультацию нашего специалиста по миграции данных от гиперскейлеров на технологическую платформу Colobridge или по вопросам построения с нуля отказоустойчивой IT-инфраструктуре с учетом лучших мировых практик.

Помогите нам стать лучше!

Пожалуйста, оцените этот материал, нажав на звёздочки ниже.

Средний рейтинг 5 / 5. Количество оценок: 1

Оценок пока нет. Поставьте оценку первым.

Back to top button