Suwerenność danych – nowy poziom bezpieczeństwa w organizacji

Dyskusja na temat cyfrowej suwerenności koncentrowała się dotąd na wrażliwych danych przechowywanych w chmurze. Pandemia, zakłócenia łańcuchów dostaw i wreszcie wojna na Ukrainie oraz geopolityczne zmiany pokazały suwerenność w szerszej perspektywie obejmującej ciągłość biznesową, a nawet bezpieczeństwo narodowe.

CZEGO SIĘ DOWIESZ Z TEGO ARTYKUŁU: CZYM JEST SUWERENNOŚĆ DANYCH I DLACZEGO STAŁA SIĘ ISTOTNYM CZYNNIKIEM WPŁYWAJĄCYM NA WYBÓR DOSTAWCY USŁUG CHMUROWYCH. W JAKI SPOSÓB REALIZOWANA JEST SUWERENNOŚĆ DANYCH. DLACZEGO BEZPIECZEŃSTWO IT JEST JEDNYM Z FUNDAMENTÓW UTRZYMANIA SUWERENNOŚCI DANYCH.

Według raportu z 2020 roku opublikowanego przez Cloud Security Alliance ponad połowa przedsiębiorstw w Europie przechowywała swoje dane w chmurze publicznej, w większości w Ameryce Północnej. Z kolei z danych przytaczanych przez Światowe Forum Ekonomiczne wynika, że 92 proc. danych państw zachodnich składowanych jest w USA¹. Decyzja Europejskiego Trybunału Sprawiedliwości (Schrems II) zwiększyła wymagania dla transferu danych osobowych do krajów spoza Europejskiego Obszaru Gospodarczego, co dotknęło przede wszystkim takich gigantów, jak Google czy Facebook. Jednak wydarzenia po 2020 roku pokazały, że cyfrowa suwerenność to znacznie więcej, niż tylko próba „uwolnienia się” Unii Europejskiej od dostawców usług i technologii zza Atlantyku.

Kto ma dane, ten ma władzę

Czym jest suwerenność cyfrowa? To możliwość kontrolowania własnych cyfrowych zasobów: danych, sprzętu i oprogramowania, na których polegamy. Czy dziś możliwa jest pełna suwerenność w tej dziedzinie? Biorąc pod uwagę zależność od dostawców sprzętu, oprogramowania czy usług infrastrukturalnych – zapewne nie, a przynajmniej nie całkowicie.

Możliwe jest jednak uzyskanie suwerenności danych poprzez staranne dobieranie dostawców reagujących na zdarzenia i trendy oraz nasze (wewnątrzfirmowe lub krajowe) wymagania w tej dziedzinie. To, gdzie dane są przechowywane i przetwarzane, ma ogromne znaczenie dla bezpieczeństwa organizacji oraz przyszłych zysków. W tym znaczeniu suwerenność danych oznacza, że to organizacja sama decyduje, jakie dane przechowuje, jakimi informacjami się dzieli – i z kim – oraz jakie narzędzia wykorzystuje do zarządzania i analizy.

Ma to również znaczenie na poziomie narodowym – jako pierwsza zrozumiała to Estonia, która przeniosła swoje zasoby cyfrowe administracji publicznej na serwery znajdujące się Luksemburgu, tworząc „ambasadę danych”. Chroni to najważniejsze cyfrowe zasoby państwa przed skutkami agresji – zarówno tej elektronicznej, jak i fizycznej. Serwery pozostają jednak pod pełną kontrolą rządu Estonii, a centrum danych cieszy się takimi samymi przywilejami dyplomatycznymi jak „zwykła” ambasada. Serwery służą zaś nie tylko do przechowywania kopii, ale mogą również obsługiwać kluczowe funkcje administracji².

Ten aspekt staje się istotny również dla wielu organizacji, szczególnie w sektorze publicznym. Cyfrowa suwerenność coraz rzadziej sprowadza się do samej kontroli – ważne będą również bezpieczeństwo energetyczne, dostęp do wysokiej klasy specjalistów i możliwość utrzymania ciągłości biznesowej w obliczu bezpośredniego zagrożenia.

Krajobraz czasu wojny

Wyniki badań rynkowych prowadzonych przez IDC pokazują, że suwerenność danych (w tym zgodność z lokalnymi regulacjami) już dziś jest ważnym czynnikiem kształtującym decyzje dotyczące budowy i użytkowania systemów IT. Aż 48 proc. menedżerów IT biorących udział w badaniu Cloud Pulse twierdzi, że suwerenność danych ma duże znaczenie w dyskusjach na temat IT. Przeciwną odpowiedź wskazało zaledwie 4 proc. respondentów³.

Również z corocznych analiz IDC FutureScape wynika, że suwerenność cyfrowa staje się jednym z kluczowych trendów w sektorze IT. Firma prognozuje, że organizacje będą inwestować w technologie, które umożliwią im samodzielne zarządzanie danymi, w tym w rozwiązania z zakresu chmury prywatnej oraz narzędzia do zarządzania danymi i cyberbezpieczeństwa.

Z kolei według firmy Gartner, suwerenność danych i infrastruktury będzie jednym z kluczowych trendów strategicznych rynku IT („Gartner Top 10 Strategic Technology Trends”). Analitycy podkreślają, że organizacje będą dążyć do zapewnienia suwerenności swoich danych i infrastruktury przez inwestycje w narzędzia do ochrony danych, a także przez tworzenie chmur prywatnych i hybrydowych⁴.

Transparentność najważniejsza

W znaczeniu usług chmurowych suwerenność odnosi się w największej mierze do bezpieczeństwa danych i zapewnienia sobie nieprzerwanego do nich dostępu. Aby to osiągnąć na poziomie organizacji niezbędna jest szczegółowa analiza ryzyka, a także staranny wybór partnera dostarczającego rozwiązania chmury prywatnej i hybrydowej. Taki dostawca musi nie tylko oferować odpowiednie rozwiązania technologiczne, ale też być stabilnym i wiarygodnym partnerem gwarantującym bezpieczeństwo.

Konieczne jest również podporządkowanie się regulacjom krajowym i unijnym dotyczącym przetwarzania, przenoszenia i wykorzystania informacji. Ma to ogromne znaczenie m.in. ze względu na błyskawiczny rozwój technik głębokiego uczenia i AI wymagających dużych ilości danych do treningu. Warto tu podkreślić znaczenie wchodzącej w życie unijnej dyrektywy NIS2, której celem jest zapewnienie wyższego poziomu ochrony danych, którymi dysponują przedsiębiorstwa działające w UE⁵. Obejmuje ona znacznie szerszy zakres podmiotów niż poprzednia dyrektywa NIS, a jej regulacje mogą mieć wpływ na wybór dostawcy usług chmurowych.

Co to oznacza w aspekcie suwerenności danych? Dostawca usług powinien dysponować certyfikatami potwierdzającymi poziom bezpieczeństwa i niezawodności infrastruktury przeznaczonej do obsługi danych. Nie mniej istotna jest również lokalizacja centrów danych na terenie Polski. Pozwala to mieć pewność, że dostawca usług bezpośrednio nadzoruje swoją infrastrukturę, podlega polskiej jurysdykcji oraz przestrzega norm prawnych regulujących transfer i przetwarzanie danych (nie tylko osobowych) poza granicami Unii Europejskiej⁶. Suwerenność w zakresie danych jest w tym momencie w dużej mierze jednoznaczna z zasadami obowiązującymi już w UE dotyczącymi wykorzystania, przechowywania i przemieszczania informacji⁷.

Warto jednak upewnić się, że usługi ochrony danych (przechowywanie danych w wielu lokalizacjach, zapasowe centra danych, georedundancja) również realizowane są na terenie Polski.

Bezpieczeństwo biznesu

Może się wydawać, że najskuteczniejszym sposobem uzyskania suwerenności danych w zakresie ich kontroli jest korzystanie wyłącznie z własnych instalacji IT (on-prem). To rozwiązanie jest jednak obciążone istotnymi wadami – jest nieoptymalne kosztowo, mało elastyczne, a zapewnienie wysokiego poziomu bezpieczeństwa danych jest niezwykle trudne i bardzo drogie. Tracimy również korzyści płynące z rozwiązań chmurowych, takie jak m.in. skalowalność, dopasowanie do aktualnych potrzeb i zaawansowana analityka.

Odpowiedzią na zapotrzebowanie organizacji w tej dziedzinie może być chmura prywatna – rozwiązanie gwarantujące wydzielone, dedykowane fizyczne serwery i przestrzenie dyskowe dla jednego klienta. Taki model gwarantuje pełną izolację środowiska, a co za tym idzie wysoki poziom kontroli nad danymi firmy, czego mogą wymagać regulacje sektorowe obejmujące daną organizację lub jej model biznesowy.

Chmura prywatna oferowana przez doświadczonych dostawców niesie ze sobą jeszcze inne korzyści pozwalające spełnić oczekiwania dotyczące suwerenności. System może być zarządzany samodzielnie, ale można skorzystać również ze wsparcia doświadczonych specjalistów. Dostawca zapewnia również ciągłość pracy – zarówno jeżeli chodzi o zasilanie, jak i łączność oraz – na życzenie – wykonywanie kopii bezpieczeństwa lub uruchomienie zapasowego wirtualnego centrum danych⁸. Usługi te również powinny spełniać założenia w obszarze suwerenności – m.in. gwarantować jakość certyfikatami i być zlokalizowane w Polsce.

Najważniejsze wnioski:

Suwerenność jest jednym z filarów strategii Unii Europejskiej obejmującej rynek usług cyfrowych. Jednak rozumienie cyfrowej suwerenności i suwerenności danych istotnie się zmieniło w czasie pandemii i po rozpoczęciu pełnoskalowej wojny na Ukrainie. Dziś oparcie się na wiarygodnych partnerach gwarantujących bezpieczeństwo i przewidywalność usług oraz zgodność z lokalnymi regulacjami jest kluczowym elementem budowy systemów IT.

Decydując się na wybór dostawcy usług IT warto upewnić się, że:

Dane naszej organizacji będą przechowywane w Polsce lub – jeżeli nasza polityka i regulacje dopuszczają taka możliwość – na obszarze Unii Europejskiej.
Mamy pełną kontrolę nad tym, kto i w jaki sposób z tych danych korzysta.
Model usług oferowany przez partnera gwarantuje bezpieczeństwo danych, chroni je przed zniszczeniem, wykradzeniem lub nieautoryzowanym użyciem z zachowaniem powyższych dwóch warunków.

¹https://cyberdefence24.pl/social-media/cybermagazyn-czym-jest-cyfrowa-suwerennosc-i-dlaczego-warto-w-nia-inwestowac

²https://e-estonia.com/solutions/e-governance/data-embassy/

³https://www.idc.com/getdoc.jsp?containerId=US50048023

⁴https://blogs.gartner.com/andrew_white/2022/11/06/sovereign-data-strategy-home-base/

⁵https://biznes.t-mobile.pl/pl/nowa-dyrektywa-ue-obejmie-tysiace-firm

⁶https://www.stackscale.com/blog/data-protection-sovereignty-digital-economy/

⁷https://www.computerworld.pl/news/Suwerennosc-danych-czynnikiem-decyzyjnym,443683.html

⁸https://biznes.t-mobile.pl/pl/przyszlosc-rozwiazan-zapewniajacych-ciaglosc-biznesowa