Cloudová suverenita představuje zásadní koncept, který se týká kontroly a vlastnictví dat a informací v rámci cloudového prostředí, a to z pohledu jurisdikce.
Abychom plně pochopili klíčový význam cloudové suverenity v kontextu cloud computingu, je užitečné prozkoumat některé z minulých případů narušení dat.
#1. Incident s únikem dat společnosti Epsilon
Dne 30. března 2011 došlo k vážnému incidentu, kdy se bezpečnost dat společnosti Epsilon, jednoho z předních poskytovatelů e-mailových marketingových služeb, kriticky zhroutila. Epsilon zajišťoval e-mailový marketing pro více než 2500 firem, včetně některých z žebříčku Fortune 500.
Důsledky tohoto útoku se začaly projevovat na začátku dubna. Zákazníci mnoha společností z Fortune 500 si stěžovali na to, že dostávají spam a phishingové e-maily na adresy, které poskytli těmto společnostem.
Dne 2. dubna společnost Epsilon objasnila, co se stalo. 30. března 2011 Epsilon zjistil neoprávněný průnik do jejich e-mailového systému.
Následkem toho unikla data, a bylo odcizeno více než 40 milionů jmen zákazníků a e-mailových adres klientů mnoha firem, pro které Epsilon pracoval. Jen tento jediný incident způsobil škody odhadované na zhruba 4 miliardy dolarů.
Případ Epsilon není ojedinělý. Mnoho společností se stalo obětí nákladných úniků dat, které vedly k tomu, že se citlivé informace dostaly do nesprávných rukou.
Nyní si představte, co by se mohlo stát, kdyby došlo k narušení lékařských, finančních nebo vojenských dat. Právě s tímto scénářem musí uživatelé cloud computingu neustále počítat.
Hlavním zájmem mnoha organizací, vzhledem k nákladům a dopadům narušení dat, je bezpečnost a transparentnost jejich poskytovatelů cloudových služeb.
#2. Incident s programem NSA Prism
Další významnou událostí, která vzbudila obavy organizací využívajících cloud computing, byl skandál s programem Prism. V roce 2013 se odhalilo, že Národní bezpečnostní agentura Spojených států (NSA) měla prostřednictvím programu s názvem Prism přímý přístup k uživatelským datům uloženým u velkých internetových společností, jako jsou Microsoft, Yahoo, Google, Facebook a Apple. Je třeba si uvědomit, že některé z těchto firem jsou současně předními poskytovateli cloudových řešení.
Incident s Prismem lidem připomněl realitu, že „žádný cloud neexistuje“. To, co nazýváme „cloud“, jsou ve skutečnosti datová centra, která podléhají předpisům zemí, kde se nacházejí.
Pokud organizace využívá cloud computing a datové centrum jejího poskytovatele se nachází v jiné zemi, mohly by k jejím datům získat přístup neoprávněné subjekty z důvodu zákonů platných v zemi, kde jsou data uložena.
Následkem toho se nyní více organizací zajímá o to, kde přesně jsou jejich data ukládána. Podle zprávy společnosti Capgemini, nadnárodní firmy poskytující IT služby, z července 2022, se 69 % organizací obává vystavení extrateritoriálním zákonům v cloudovém prostředí.
Zpráva s názvem Cesta ke cloudové suverenitě navíc ukázala, že 66 % organizací po celém světě, včetně těch z veřejného sektoru, považuje lokální/regionální nabídky datových center od poskytovatelů cloudu za klíčové kritérium při výběru.
Více organizací je znepokojeno potenciálním přístupem k datům ze strany zahraničních vlád v důsledku umístění datových center jejich cloudových poskytovatelů.
Z toho vyplývá, že cloudová suverenita je nutností na trhu, kde je bezpečnost dat, místo jejich uložení, přístup k nim a platné zákony na ochranu osobních údajů zásadním tématem.
Zvláště v Evropě společnosti projevují o cloudovou suverenitu velký zájem kvůli dominanci amerických poskytovatelů cloudu. V celosvětovém průzkumu mezi generálními řediteli, provedeném společností International Data Corporation, považuje 80 % evropských organizací digitální suverenitu za svou nejvyšší prioritu.
Co přesně je cloudová suverenita?
Cloudová suverenita vychází z myšlenky, že země nebo region má právo regulovat a dohlížet na ukládání, zpracování a použití dat v rámci svých hranic.
V konečném důsledku cloudová suverenita propojuje výhody cloud computingu s dodržováním místních zákonů na ochranu osobních údajů a bezpečnosti. Kromě toho je v souladu s kulturními a společenskými hodnotami daného regionu.
Suverénní cloud zaručuje, že data a metadata zůstanou v regionu nebo zemi, kde byly shromážděny. Dále zajišťuje, že jsou data chráněna před neoprávněným přístupem a jsou plně kontrolována jejich vlastníky.
Jak je uvedeno ve zprávě Journey to cloud sovereignty, cloudová suverenita vytváří cloudové prostředí, které je lokálně nebo regionálně vlastněno, nasazeno, řízeno a spravováno v rámci jedné země nebo jurisdikce.
Jak dosáhnout cloudové suverenity?
Aby bylo cloudové řešení považováno za suverénní, musí být splněny následující požadavky:
Soulad s místními zákony na ochranu osobních údajů
Mnoho zemí má zákony, které regulují shromažďování, zpracování a používání dat o svých občanech. Tyto zákony se často liší.
Například Německo má zákon o ochraně soukromí, který omezuje přenos dat do třetích zemí, i když společnost zpracovávající data nemá sídlo v Německu. Země jako Čína a Rusko vyžadují, aby data byla uložena na serverech umístěných na jejich území.
V Evropě ochranu dat a soukromí upravuje obecné nařízení o ochraně osobních údajů (GDPR), které reguluje přenos dat mimo Evropskou unii. Proto musí suverénní cloud splňovat zákony o ochraně osobních údajů v daném regionu.
Datová suverenita
K dosažení datové suverenity je nutná lokalizace dat. To znamená, že data hostovaná v cloudu jsou ukládána a zpracovávána v konkrétní zemi nebo regionu v souladu s místními zákony na ochranu osobních údajů.
Navíc přístup k datům je omezen pouze na oprávněné osoby a majitelé dat mají plnou kontrolu nad daty, která jsou v cloudu uložena.
Kontrola a přístup k datům
Suverénní cloud by měl zajistit plnou regionální kontrolu nad tím, jak jsou data získaná z daného regionu ukládána, zpracovávána a sdílena.
Kontrola a přístup k datům by měly zahrnovat možnost pro regiony přistupovat k datům uloženým v datových centrech v jejich lokalitě, provádět audity a inspekce a požadovat, aby data v datových centrech byla ukládána a zpracovávána v rámci jejich hranic.
Cloud dosahuje suverenity tím, že zajišťuje soulad s místními zákony a předpisy o ochraně osobních údajů, datovou suverenitu a poskytuje kontrolu a přístup k datům.
Proč by měli poskytovatelé cloudu svým klientům nabízet cloudovou suverenitu?
Stále více organizací a zemí investuje do cloud computingu a toto odvětví bude v nadcházejících letech i nadále růst. S tímto růstem bude cloudová suverenita hrát klíčovou roli při výběru cloudových řešení.
Níže jsou uvedeny některé důvody, proč by poskytovatelé cloudu měli zvážit nabídku cloudové suverenity svým klientům:
- Řešení obav zákazníků: S rostoucím využíváním cloud computingu se také zvyšují obavy organizací a zemí ohledně bezpečnosti jejich dat, nedostatečné kontroly nad daty uloženými v cloudu a vystavení extrateritoriálním zákonům, které by mohly vést k přístupu neoprávněných subjektů k citlivým údajům. Poskytovatel cloudu, který nabízí cloudovou suverenitu, může všechny tyto obavy rozptýlit.
- Dodržování předpisů: Různé země a regiony zavedly zákony na ochranu osobních údajů. Organizace, které přesouvají svá data a služby do cloudu, chtějí dodržovat stávající zákony na ochranu osobních údajů ve svém regionu. Proto cloudová suverenita umožňuje poskytovatelům cloudu nabízet řešení, která organizacím umožní využívat výhody cloud computingu při současném dodržování ochrany osobních údajů v jejich zemi.
- Přizpůsobení se potřebám trhu: Podle zprávy společnosti Capgemini považuje více než 66 % organizací po celém světě lokální nebo regionální datové centrum za klíčové kritérium výběru cloudového řešení. Poskytovatelé cloudu proto musí nabízet cloudovou suverenitu, aby oslovili významnou část trhu.
- Výkon a latence: Uložením dat v cloudovém prostředí v blízkosti místa, kde jsou data získávána a používána, se zlepší výkon a sníží se latence. To je výhodné pro organizace a aplikace, které potřebují rychlý přístup k datům, jako je například analýza dat.
- Zabezpečení a kontrola dat: Cloudová suverenita umožňuje poskytovatelům cloudu lépe zabezpečit data a soukromí svých uživatelů omezením ukládání, zpracování a sdílení citlivých dat na zemi nebo region původu. Díky tomu mají organizace zaručenou plnou kontrolu a vlastnictví svých dat a mohou se vyhnout neoprávněnému přístupu k datům svých klientů v důsledku odlišných teritoriálních zákonů.
- Snížení nákladů: Ukládáním dat blízko jejich zdroje a místa, kde se používají, mohou poskytovatelé cloudu ušetřit na nákladech spojených s přenosem dat. Dodržováním regionálních předpisů se mohou vyhnout dodatečným nákladům spojeným s dodržováním předpisů ze strany organizací, které by mohly vyžadovat další opatření v této oblasti. A nakonec, některá místa mohou poskytovatelům nabídnout nižší náklady na úložiště a šířku pásma.
Cloudová suverenita je důležitá pro vlády i organizace. Umožňuje dodržování předpisů v různých zemích a zároveň umožňuje organizacím mít plnou kontrolu, vlastnictví a zabezpečení svých dat.
Závěrem
Očekává se, že v nadcházejícím roce bude cloudová suverenita klíčovým faktorem při výběru poskytovatelů cloudu. Proto je pro poskytovatele cloudu nejlepší začít nabízet cloudovou suverenitu, aby si udrželi konkurenceschopnost, neztráceli zákazníky a vyhnuli se právním problémům.
Dále si můžete prohlédnout platformy pro cloudový hosting pro začínající i velké organizace.