Зростання ринку хмарних обчислень у Європі вражає своїми темпами. За даними IDC, витрати європейських клієнтів на публічні хмарні сервіси за підсумками 2023 року склали $142 млрд, а вже до 2027-го збільшаться вдвічі — до $291 млрд. Проте не все так «безхмарно»: низка організацій, зокрема державних, вбачають загрозу для хмарного суверенітету в глибокому проникненні в ЄС глобальних cloud-провайдерів: станом на 2023-й на частку гіперскейлерів припадало 66% всього ринку хмарних обчислень.
- У пошуках балансу між технологічною свободою та хмарним суверенітетом
- Як ЄС захищає дані своїх громадян
- Розбіжності між законом US CLOUD та GDPR
- Як захистити дані своїх клієнтів українському бізнесу?
У пошуках балансу між технологічною свободою та хмарним суверенітетом
Нестабільна геополітична обстановка вивела цифровий та хмарний суверенітет до числа найбільш обговорюваних політиками та IT-фахівцями тем. З одного боку, хмарні обчислення стали звичайним явищем для всіх сфер бізнесу, продовжує зростати потреба в технологічних інноваціях, які сприяють економічному процвітанню. З іншого боку, Європа зацікавлена у подальшому проникненні на ринок гіперскейлерів, але при цьому вважає важливим забезпечити цифрову безпеку своїм клієнтам, зокрема державним організаціям. Проблема в тому, що «рідним дімом» для трійки найбільших гіперскейлерів — це Amazon Web Services (AWS), Microsoft Azure та Google Cloud Platform (GCP) — є США. І крім того, що технологічні гіганти розміщують свої обчислювальні потужності майже на всіх континентах, вони дуже сильно впливають на світову індустрію хмарних технологій.
Європейська комісія оновила свою програму «Цифрова Європа» 2023-2024. Вона передбачає виділення 762,7 млн. євро на фінансування заходів, спрямованих на зміцнення технологічного суверенітету Європи. Наслідуючи вектор цифрової трансформації, заданий на державному рівні, багато компаній переносять свої дані у хмару, а це означає, що потреба у захисті та безпеці даних буде збільшуватися. Таким чином, ЄС прагне знайти оптимальну модель, в якій технології (зокрема хмарні) сприятимуть економічному зростанню, але при цьому не доведеться жертвувати цифровою безпекою та суверенітетом. Потенційну загрозу для останніх становлять північноамериканські постачальники послуг в особі гіперскейлерів.
Як ЄС захищає дані своїх громадян
Європейські країни роблять спроби виключити незаконну передачу даних із ЄС до США. Яскравим прикладом тому може бути кейс компанії Meta, яка саме за цим звинуваченням була оштрафована на €1,2 млрд. Однак перед Європою постає й інше завдання: діяти максимально акуратно — так, щоб надмірний захист не виявився контрпродуктивним. Для цього ЄС доводиться працювати одразу у двох напрямках: підтримувати партнерські відносини з гіперскейлерами, стимулюючи їх працювати в рамках європейського законодавства із захисту даних (GDPR), та одночасно стимулювати розвиток локальних хмарних сервісів. Також у Європейських країнах діють окремі закони, які частково дублюють або доповнюють GDPR. Наприклад, Bundesdatenschutzgesetz (BDSG) 2001 — закон про захист та регулювання обробки персональних даних у Німеччині.
Для забезпечення хмарного суверенітету в Європі вже зроблено певні кроки. Наприклад, деякі європейські постачальники хмарних послуг стали партнерами, щоб пропонувати своїм клієнтам європейську альтернативу гіперскейлерам у сфері хмарних обчислень. А в Німеччині та Іспанії розміщені дві перші суверенні хмари Oracle Cloud Infrastructure (OCI), орієнтовані на клієнтів ЄС.
Розбіжності між законом US CLOUD та GDPR
Відповідно до US CLOUD Act влада та федеральні агентства США можуть отримати доступ до даних постачальників хмарних послуг, які, зокрема, зберігаються в інших країнах. Таким чином, цей закон суперечить Загальному регламенту ЄС із захисту даних (GDPR) — нагадаємо, що він застосовується абсолютно до всіх компаній незалежно від їхнього розташування, які збирають, зберігають та обробляють дані громадян ЄС. Європейська влада цілком закономірно сприймає таку ситуацію як загрозу європейському цифровому суверенітету. Щоб її знизити та одночасно забезпечити можливість здорової конкуренції для європейських хмарних продуктів на глобальному ринку, було розроблено ініціативу Gaia-X.
Що відомо про Gaia-X
Gaia-X запущена для створення в Європі хмарної інфраструктури, яка відповідає найвищим стандартам безпеки даних. Основними принципами Gaia-X є суверенітет, прозорість і безпека даних, а також створення умов для впровадження інновацій у сфері хмарних обчислень на ринку ЄС. Зараз Gaia-X поєднує інфраструктуру хмарних ресурсів, набір хмарних служб та сервісів, засоби управління та оркестрації, а також набір стандартів та протоколів для реалізації сумісності на рівні хмарних платформ та окремих сервісів. Вважається, що екосистема Gaia-X зможе забезпечити необхідний рівень розвитку та впровадження хмарних обчислень, не ставлячи під загрозу конфіденційність та безпеку персональних даних європейців.
Як захистити дані своїх клієнтів українському бізнесу?
В Україні було розроблено власний стандарт кібербезпеки КСЗІ (Комплексна система захисту інформації), який визначає комплекс заходів та дій щодо захисту інформації. Насамперед цей стандарт регулюються трьома такими законами України: «Про інформацію», «Про захист персональних даних» та «Про захист інформації в інформаційно-телекомунікаційних системах».
19 липня 2022 року у Держспецзв’язку роз’яснили вимоги до захисту інформації в інформаційних системах у воєнний час. Зокрема, уточнили, що «для захисту інформаційних систем, у яких не опрацьовується інформація з обмеженим доступом, але захисту яких вимагає українське законодавство, може бути використана альтернативна система інформаційної безпеки відповідно до європейських стандартів ISO/IEC 27 серії». Йдеться про найвідоміший у світі стандарт для систем управління інформаційною безпекою (СУІБ) ISO/IEC 27001. Водночас як і раніше, залишається можливість отримання атестатів КСЗІ на колишніх умовах.
Доповнює ISO/IEC 27001 сертифікат ISO/IEC 27701, який містить рекомендації та вимоги до захисту персональних даних і забезпечення інформаційної безпеки. З погляду захисту даних (і не лише персональних) ISO/IEC 27701 можна назвати посібником із впровадження GDPR, але лише за умови, що компанія вже керується названим вище ISO/IEC 27001.
Експерт Colobridge:
«Європейський та великою мірою український бізнес опинився у зоні ризику: якщо персональні дані клієнтів будуть передані до США (що можливо з урахуванням «прописки» гіперскейлерів), це буде прямим порушенням законодавства ЄС. Опинитися в такій ситуації небажано навіть із репутаційного погляду, не кажучи вже про правові наслідки. Однак вихід є, і ми готові запропонувати його нашим клієнтам.
Дата-центри Telehouse та Equinix у Німеччині, де розміщена інфраструктура Colobridge, мають сертифікат ISO/IEC 27001, аналог КСЗІ, тому український бізнес може вільно мігрувати до нас свої IT-сервіси. А нещодавно ухвалений законопроєкт №10062 дозволяє робити це навіть Міноборони України. При цьому ми суворо дотримуємося GDPR, що є принциповим для абсолютної більшості українських клієнтів.
Ще один важливий момент: наші гермозони знаходяться у тих же дата-центрах, які використовують гіперскейлери. Це означає, що клієнти Colobridge отримують той самий рівень безпеки, відмовостійкості й доступності сервісів на рівні ДЦ, що і клієнти гіперскейлерів. Розміщені у нас дані та обладнання додатково захищені німецьким законодавством, а рівень надання послуг регулюється SLA із фінансовими гарантіями. На відміну від гіперскейлерів, у нас більш доступні рішення та більше можливостей робити їх кастомізованими. Наприклад, можна поєднувати будь-які фізичні та хмарні продукти: від простого IaaS до побудови приватних, гібридних та мультихмар або резервування майданчиків для аварійного відновлення.
Таким чином, перенесення даних у Colobridge дозволяє отримати той самий рівень відмовостійкості, який пропонують гіперскейлери, але при цьому працювати у правовому полі ЄС, забезпечити відповідність GDPR та отримати низку бонусів — від персоналізованих рішень з повним обслуговуванням IT-інфраструктури до швидкої (реакція на заявку <15 хвилин) техпідтримки 24/7/365 рідною мовою».
Отримайте консультацію нашого фахівця щодо міграції даних від гіперскейлерів на технологічну платформу Colobridge або з питань побудови з нуля відмовостійкої ІТ-інфраструктури з урахуванням кращих світових практик.