Suwerenność w chmurze i jej znaczenie dla przetwarzania w chmurze

przez

Suwerenność danych w kontekście chmury obliczeniowej oznacza kontrolę nad jurysdykcją oraz własność danych i informacji przetwarzanych w tym środowisku.

Aby w pełni docenić znaczenie suwerenności chmury, warto przeanalizować kilka głośnych przypadków naruszenia danych, które miały miejsce w przeszłości.

#1. Wyciek danych z Epsilon

30 marca 2011 roku doszło do poważnego incydentu związanego z bezpieczeństwem danych w firmie Epsilon, będącej jednym z największych na świecie dostawców usług e-mail marketingu. Epsilon obsługiwał kampanie e-mail marketingowe dla ponad 2500 firm, w tym wiele z listy Fortune 500.

Konsekwencje tego zdarzenia zaczęły być widoczne na początku kwietnia. Klienci wielu firm z listy Fortune 500 zaczęli zgłaszać otrzymywanie spamu i wiadomości phishingowych na adresy e-mail, które podali wcześniej tym firmom.

2 kwietnia Epsilon wydał oświadczenie, w którym wyjaśnił, co się stało. 30 marca 2011 roku firma wykryła nieautoryzowany dostęp do swojego systemu poczty elektronicznej.

W wyniku naruszenia danych skradziono ponad 40 milionów nazwisk klientów oraz ich adresów e-mail, należących do firm obsługiwanych przez Epsilon. Szkody wywołane tym incydentem oszacowano na około 4 miliardy dolarów.

Przypadek Epsilon nie jest odosobniony. Wiele firm doświadczyło kosztownych naruszeń, w wyniku których poufne dane dostały się w niepowołane ręce.

Wyobraźmy sobie, co by się stało w przypadku wycieku informacji medycznych, finansowych lub wojskowych. To scenariusz, który użytkownicy chmury obliczeniowej muszą mieć stale na uwadze.

Kluczowym zagadnieniem dla wielu organizacji, ze względu na koszty i następstwa naruszeń danych, jest bezpieczeństwo i przejrzystość działania ich dostawców usług chmurowych.

#2. Afera związana z programem Prism NSA

Kolejnym wydarzeniem, które wzbudziło niepokój wśród użytkowników chmury obliczeniowej, był incydent związany z programem Prism. W 2013 roku ujawniono, że amerykańska Agencja Bezpieczeństwa Narodowego (NSA), za pośrednictwem programu Prism, miała bezpośredni dostęp do danych użytkowników przechowywanych przez największe firmy internetowe, takie jak Microsoft, Yahoo, Google, Facebook i Apple. Warto zaznaczyć, że niektóre z tych firm są również kluczowymi dostawcami usług chmurowych.

Incydent z programem Prism uświadomił wielu osobom, że nie istnieje coś takiego jak „chmura”. To, co nazywamy chmurą, to w rzeczywistości centra danych, które podlegają prawu kraju, w którym się znajdują.

Jeśli organizacja korzysta z chmury, a centrum danych jej dostawcy znajduje się w innym państwie, to nieuprawnione podmioty mogą uzyskać dostęp do jej danych w oparciu o przepisy kraju, w którym te dane są przechowywane.

W rezultacie coraz więcej organizacji zwraca uwagę na to, gdzie fizycznie są przechowywane ich dane. Raport opublikowany w lipcu 2022 roku przez firmę Capgemini, międzynarodowego dostawcę usług IT i konsultingowych, wskazuje, że 69% organizacji obawia się narażenia na działanie prawa eksterytorialnego w środowisku chmurowym.

Ponadto, wspomniany raport zatytułowany „Podróż do suwerenności w chmurze” wykazał, że 66% organizacji na całym świecie, zarówno z sektora publicznego, jak i prywatnego, uważa ofertę lokalnych/regionalnych centrów danych przez dostawców chmury za kluczowe kryterium wyboru.

Wynika to z faktu, że coraz więcej organizacji jest zaniepokojonych możliwością dostępu do ich danych przez zagraniczne rządy, wynikającą z lokalizacji centrów danych ich dostawców chmury.

Wszystko to wskazuje na rosnącą potrzebę suwerenności w chmurze, czyli podejścia, które zapewnia bezpieczeństwo danych, kontrolę nad miejscem ich przechowywania, wiedzę o tym, kto ma do nich dostęp oraz zgodność z różnymi przepisami dotyczącymi prywatności danych.

Szczególnie w Europie firmy są zainteresowane suwerennością w chmurze ze względu na dominację amerykańskich dostawców usług chmurowych. W globalnym badaniu przeprowadzonym wśród dyrektorów generalnych przez International Data Corporation, aż 80% europejskich organizacji uznało suwerenność cyfrową za priorytet.

Co to jest suwerenność chmury?

Suwerenność chmury opiera się na założeniu, że dany kraj lub region ma prawo do regulowania i kontrolowania sposobu przechowywania, przetwarzania i wykorzystywania danych w granicach swojego terytorium.

W konsekwencji, suwerenność chmury zapewnia korzyści wynikające z przetwarzania w chmurze, przy jednoczesnym zachowaniu zgodności z lokalnymi przepisami dotyczącymi prywatności i bezpieczeństwa danych. Dodatkowo, uwzględnia wartości kulturalne i społeczne danego regionu.

Suwerenna chmura gwarantuje, że dane i metadane pozostają w regionie lub kraju, w którym zostały zgromadzone. Zapewnia również ochronę przed nieautoryzowanym dostępem oraz pełną kontrolę dla właścicieli danych.

Jak stwierdzono w raporcie „Podróż do suwerenności w chmurze”, suwerenność chmury tworzy środowisko, które jest własnością, wdrażane, zarządzane i kontrolowane lokalnie lub regionalnie, w ramach jednego kraju lub jurysdykcji.

Jak osiągnąć suwerenność chmury?

Aby rozwiązanie chmurowe mogło być uznane za suwerenne, muszą zostać spełnione następujące warunki:

Zgodność z lokalnymi przepisami dotyczącymi prywatności danych

W wielu krajach istnieją regulacje dotyczące gromadzenia, przetwarzania i wykorzystywania danych obywateli. Przepisy te często różnią się od siebie.

Na przykład niemieckie prawo dotyczące ochrony prywatności ogranicza przekazywanie danych do państw trzecich, nawet jeśli firma przetwarzająca dane nie ma siedziby w Niemczech. Z kolei kraje takie jak Chiny i Rosja wymagają przechowywania danych na serwerach zlokalizowanych na ich terytorium.

W Europie Ogólne rozporządzenie o ochronie danych (RODO) reguluje ochronę i prywatność danych, a także kwestie przesyłania danych poza Unię Europejską. Dlatego suwerenna chmura musi być zgodna z przepisami dotyczącymi prywatności danych, które obowiązują w danym regionie.

Suwerenność danych

Aby osiągnąć suwerenność danych, niezbędna jest ich lokalizacja. Oznacza to, że dane przechowywane w chmurze są przechowywane i przetwarzane w konkretnym kraju lub regionie, zgodnie z lokalnymi regulacjami dotyczącymi ochrony prywatności danych.

Dodatkowo, dostęp do danych jest ograniczony jedynie do upoważnionego personelu, a właściciele danych zachowują pełną kontrolę nad danymi przechowywanymi w chmurze.

Kontrola i dostęp do danych

Suwerenna chmura powinna umożliwiać pełną regionalną kontrolę nad sposobem przechowywania, przetwarzania i udostępniania danych w niej zgromadzonych.

Ponadto, kontrola i dostęp do danych mogą obejmować możliwość uzyskania dostępu do danych przechowywanych w centrach danych w danej lokalizacji, możliwość audytu, inspekcji oraz wymóg przechowywania i przetwarzania danych w granicach danego kraju lub regionu.

Chmura osiąga suwerenność, zapewniając zgodność z lokalnymi przepisami i regulacjami dotyczącymi prywatności danych, gwarantując suwerenność danych oraz zapewniając pełną kontrolę i dostęp do tych danych.

Dlaczego dostawcy usług chmurowych powinni oferować suwerenność chmury swoim klientom?

Coraz więcej organizacji i krajów inwestuje w chmurę obliczeniową, a branża będzie nadal dynamicznie się rozwijać w przyszłych latach. Wraz z tym wzrostem znaczenie suwerenności chmury będzie rosło i będzie odgrywać kluczową rolę w wyborze rozwiązań chmurowych.

Oto kilka powodów, dla których dostawcy usług chmurowych powinni rozważyć oferowanie suwerenności chmury swoim klientom:

  • Odpowiedź na obawy klientów: Wraz ze wzrostem popularności chmury obliczeniowej, rośnie również zaniepokojenie organizacji i krajów związane z bezpieczeństwem ich danych, brakiem kontroli nad danymi przechowywanymi w chmurze oraz zagrożeniem wynikającym z prawa eksterytorialnego, które może pozwolić nieuprawnionym podmiotom na dostęp do wrażliwych informacji. Wszystkie te obawy może rozwiązać dostawca oferujący suwerenność chmury.
  • Przestrzeganie przepisów: Różne kraje i regiony stworzyły przepisy dotyczące prywatności danych. Organizacje przenoszące swoje dane i usługi do chmury będą chciały mieć pewność, że działają w zgodzie z przepisami obowiązującymi w ich regionie. Dzięki suwerenności chmury, dostawcy usług chmurowych mogą oferować rozwiązania umożliwiające firmom korzystanie z zalet przetwarzania w chmurze, przy jednoczesnym zachowaniu zgodności z przepisami dotyczącymi prywatności danych w ich kraju.
  • Dostosowanie do potrzeb rynku: Według raportu Capgemini ponad 66% organizacji na świecie uważa lokalizację centrów danych za kluczowe kryterium przy wyborze rozwiązania chmurowego. Dlatego, aby przyciągnąć znaczną część rynku, dostawcy chmury muszą oferować suwerenność chmury.
  • Wydajność i opóźnienie: Przechowywanie danych w chmurze blisko miejsca, w którym są one generowane i wykorzystywane, poprawi wydajność i zmniejszy opóźnienia. Ma to szczególne znaczenie dla organizacji i aplikacji, które potrzebują szybkiego dostępu do danych, takich jak analiza danych.
  • Bezpieczeństwo i kontrola danych: Suwerenność chmury pozwala dostawcom na lepsze zabezpieczenie danych i prywatności ich użytkowników, ograniczając przechowywanie, przetwarzanie i udostępnianie danych do kraju lub regionu ich pochodzenia. W ten sposób organizacje uzyskują gwarancję pełnej kontroli i własności danych, i mogą uniknąć ryzyka nieautoryzowanego dostępu z powodu odmiennych przepisów terytorialnych.
  • Redukcja kosztów: Przechowywanie danych blisko źródła i miejsca ich wykorzystania pozwala dostawcom usług chmurowych zaoszczędzić na kosztach przesyłu danych. Ponadto, przestrzeganie lokalnych przepisów pozwala uniknąć dodatkowych kosztów związanych z zapewnianiem zgodności, które mogą być wymagane przez organizacje. Co więcej, niektóre lokalizacje mogą oferować niższe koszty przechowywania i transferu danych.

Suwerenność chmury jest ważna zarówno dla rządów, jak i organizacji. Jest ona niezbędna, aby zachować zgodność z przepisami w różnych krajach, a także by zapewnić firmom pełną kontrolę, własność i bezpieczeństwo ich danych.

Podsumowanie

Oczekuje się, że w nadchodzących latach suwerenność chmury będzie odgrywać kluczową rolę w procesie wyboru dostawców usług chmurowych. Z tego względu dostawcy powinni jak najszybciej zacząć oferować suwerenność chmury, aby uniknąć pozostania w tyle, utraty klientów i potencjalnych problemów prawnych.

Zachęcamy również do zapoznania się z ofertami platform hostingowych w chmurze, przeznaczonych zarówno dla startupów, jak i dużych organizacji.


newsblog.pl

Inne artykuły:

  1. Zaawansowana analityka i jej znaczenie dla Twojej firmy
  2. Wprowadzenie do przetwarzania w chmurze dla początkujących
  3. 7 bezpłatnych zasobów do nauki przetwarzania w chmurze
  4. Co to jest ramka ekranu i dlaczego jej rozmiar ma znaczenie?