Nedávná diskuze na LinkedIn, do které se zapojil i majitel naší firmy Zdeněk Zeman, otevřela zásadní otázku, která se týká téměř každé firmy využívající cloudové služby.
Článek, v návaznosti na který se rozběhla následná diskuze :
Vystoupení Microsoftu před francouzským Senátem potvrdilo to, co mnozí odborníci tušili už roky:
„Ne, nemůžeme garantovat, že vaše data nebudou předána americkým úřadům.“
Tohle přiznání má dalekosáhlé důsledky. Ukazuje, že i když jsou vaše data fyzicky uložena v Evropě, americký zákon Cloud Act umožňuje americkým úřadům přístup k nim — bez vědomí evropských institucí.
Zdeněk Zeman ve svém komentáři upozornil, že diskuze o bezpečnosti dat se často zaměřuje pouze na technické aspekty, ale klíčová je právní kontrola.
„Fyzická a technická ochrana infrastruktury je v cloudu bezpochyby špičková.
Ale tady se míchají jablka a hrušky. Nejde jen o techniku, jde o právo a kontrolu.“
Rozdíl je v tom, kdo má poslední slovo nad daty, pokud dojde na právní zásah.
On-Premise řešení – Data jsou pod českou jurisdikcí, přístup k nim může získat pouze český soud.
Veřejný cloud (Azure, AWS) – I když jsou servery v EU, společnost podléhá americkému právu, a tedy i Cloud Actu.
V navazující části Zdeněk Zeman upozorňuje, že ani lokální hosting nemusí znamenat úplnou neprůstřelnost.
„Každý poskytovatel IaaS má root access k fyzickému hardwaru.
Na základě soudního příkazu může provést snapshot běžícího stroje a data předat úřadům.“
Jinými slovy — technicky vždy existuje možnost přístupu k infrastruktuře, ať už mluvíme o americkém cloudu, nebo o českém datacentru.
Rozdíl je v jurisdikci a v tom, kdo má právní pravomoc tyto klíče použít.
Zdeněk shrnuje diskuzi jednoduchým, ale výstižným závěrem:
„Volba mezi Cloudem a On-Premise dnes není jen o penězích a technické škálovatelnosti.
Je to volba mezi technologickou výhodou a právní suverenitou.“
Pokud tedy chcete mít plnou kontrolu nad svými produkčními daty, je nutné přemýšlet nejen o technologii, ale i o právním rámci, který ji obklopuje.
Jsou firmy ochotné obětovat právní suverenitu dat výměnou za komfort a výkon amerických cloudů?
https://www.rmol.cz/novinky/evropske-firmy-prehodnocuji-cloud-suverenita-v-centru-pozornosti
Největší překážkou pro adopci cloudu ve velkých evropských podnicích je suverenita. V průzkumu společnosti Red Hat to uvádí 63 % respondentů. Více než dvě třetiny (68 %) organizací označily suverenitu za nejvyšší prioritu IT pro příštích 18 měsíců, přičemž v Německu, kde je suverenita prioritním strategickým cílem, tento podíl stoupá na 80 %.
Důležitost suverenity vyplývá ze souběhu rostoucích provozních problémů, jako jsou nestabilita dodavatelského řetězce a hrozba kybernetických útoků, a často se měnící geopolitické dynamiky. Tyto výzvy, spolu s úsilím o harmonizaci různých národních předpisů v jednotlivých zemích EU, vedly k dalšímu regulatornímu tlaku. Regulace jako Digital Operational Resilience Act (DORA) a NIS2 ukládají přísnější provozní opatření pro kritická odvětví, jako je finanční průmysl. Suverenita je tedy o odolnosti, schopnosti nezávislého fungování a posilování bezpečnosti bez nekontrolovatelných závislostí.
Tato potřeba kontroly a nezávislosti vede podniky i veřejný sektor k přehodnocení rizik spojených s vnímáním cloudu jako jediné strategie. Přestože je adopce cloudu pro digitální transformaci nezbytná, tradiční cloudové modely často zahrnují předání určité míry provozní kontroly několika globálním poskytovatelům, což potenciálně vytváří jediný bod selhání. Obavy o ochranu osobních údajů, přístup zahraničních třetích stran k datům a riziko závislosti na dodavateli mohou projekty migrace do cloudu zastavit.
Základem digitální suverenity je open source
V úsilí o suverenitu se jako klíčový faktor ukazují dodavateli podporovaná podniková open source řešení. Až 92 % evropských manažerů IT souhlasí s tím, že podnikový open source software je důležitou součástí dosažení suverenity. Open source poskytuje transparentnost, kontrolu a svobodu, zatímco důvěryhodný dodavatel nabízí zajištění kvality, řízení životního cyklu a technickou podporu spolu s interoperabilitou a ověřenou integrací s partnery v celém ekosystému.
Díky přístupu ke zdrojovému kódu a decentralizovanému modelu vývoje typu upstream first, který je podporován komunitou, nejsou organizace vázány na plán vývoje jediného dodavatele. To podporuje inovace, umožňuje nezávislé bezpečnostní audity a buduje základ důvěry. Open source usnadňuje veřejným organizacím i podnikům přístup k novým talentům a jejich rozvoj, protože snižuje bariéry vstupu a poskytuje veřejně dostupné moderní technologické platformy. V konečném důsledku je open source klíčem k vývoji digitálních infrastruktur, které lze nezávisle provozovat a dále rozvíjet, a poskytuje cestu k upevnění digitální budoucnosti evropského regionu.
Klíčové priority pro strategii suverénního cloudu
V odpovědích na otázku ohledně priorit v oblasti suverenity cloudu pro příštích 18 měsíců manažeři IT poukázali na jasný a propojený soubor cílů zaměřených na řízení a bezpečnost systémů. Dvěma nejvyššími prioritami, na kterých se shodlo 78 % respondentů, jsou zajištění flexibility a možnosti výběru dodavatelů IT a zajištění transparentnosti a auditovatelnosti systémů. Hned následně se 77 % respondentů zaměřuje na udržení provozního řízení a autonomie, zatímco stejné procento upřednostňuje zabezpečení dodavatelského řetězce softwaru.
Kriticky důležité zůstávají základní prvky – 75 % vedoucích pracovníků zdůrazňuje jako klíčové faktory ochranu osobních údajů a soukromí, udržení kontinuity služeb a podpory a dodržování regulací. A konečně, 74 % respondentů považuje za strategickou nutnost pro své plány v oblasti suverenity partnerství s poskytovateli v konkrétních geografických oblastech.
Suverenita a AI
Suverenita má také dopad na umělou inteligenci. V průzkumu se 74 % respondentů domnívá, že suverenita AI je pro strategii jejich organizace prioritou v oblasti AI na příštích 18 měsíců. Další analýzu výsledků průzkumu o tom, jak podniky investují do AI, nabízí zpráva Průzkum podnikové AI: ambice, hodnotová mezera a význam open source.
Vzhledem k tomu, že se AI stále více integruje do klíčových podnikových funkcí, je kontrola nad daty, modely a základní infrastrukturou zásadní pro zajištění souladu s regulacemi, jako je evropský zákon o AI, i pro udržení konkurenční výhody. Významným faktorem ovlivňujícím strategie infrastruktury je také nákladová efektivita hardwaru podporujícího AI. Již nyní přitom začínáme pozorovat, že se banky i další podniky obracejí k vývoji vlastních datových center, aby podpořily své ambice v oblasti AI. Ne všechny společnosti si mohou dovolit nákup procesorů pro akceleraci výpočtů a budování datových center, ale směr, kterým se vydají banky, budou následovat i ostatní. Organizace budou hledat platformu pro hybridní cloud, která jim umožní spouštět jakýkoli model AI na jakémkoli akcelerátoru v jakémkoli cloudu.
Využitý zdroj informace:
https://www.rmol.cz/novinky/evropske-firmy-prehodnocuji-cloud-suverenita-v-centru-pozornosti
Definice z AI:
CLOUD Act (Clarifying Lawful Overseas Use of Data Act) je americký federální zákon přijatý v roce 2018. Ve stručnosti mění pravidla pro to, jak se vyšetřovatelé dostávají k datům uloženým na serverech v cloudu, a to i v případě, že jsou tato data fyzicky umístěna v jiné zemi.
Zde je rozklad toho, co byste o něm měli vědět:
1. Dosah přes hranice
Před tímto zákonem panovaly právní spory o to, zda americká policie (např. FBI) může donutit americkou firmu (např. Microsoft nebo Google), aby vydala e-maily uložené na serveru v Irsku. CLOUD Act říká jasné ano.
Pokud má americká společnost nad daty kontrolu, musí je poskytnout na základě soudního příkazu bez ohledu na to, kde ve světě jsou servery umístěny.
2. "Dvousměrná ulice" (Bilaterální dohody)
Zákon nefunguje jen směrem ven z USA. Umožňuje americké vládě uzavírat dohody s cizími státy.
Jak to funguje: Pokud má země s USA uzavřenou dohodu, může její policie žádat o data přímo u amerických technologických gigantů bez nutnosti procházet zdlouhavým diplomatickým procesem (tzv. MLAT).
Podmínka: Daná země musí splňovat určité standardy ochrany lidských práv a soukromí.
3. Hlavní body kontroverze
Zákon vyvolává vášnivé debaty, zejména v Evropě, kvůli střetu s ochranou soukromí:
Konflikt s GDPR: Evropské firmy se často dostávají do schizofrenní situace. Podle CLOUD Actu musí data vydat, ale podle evropského nařízení GDPR by za to mohly dostat pokutu, protože předávají data uživatelů mimo EU bez dostatečných záruk.
Suverenita: Mnoho států to vnímá jako zásah do své suverenity – USA si v podstatě nárokují právo sahat na data kdekoli na světě, pokud patří americké firmě.
Skrytá rizika mimoevropských dodavatelů
Spolupráce s dodavateli vlastněnými subjekty mimo EU může v citlivých projektech přinášet dodatečná rizika:
Rozhodovací a eskalační latence, kdy klíčová bezpečnostní rozhodnutí podléhají schválení mimo Evropu.
Právní a provozní expozice vůči zahraničním zákonům a exportním omezením.
Snížená důvěra v regulovaných sektorech, kde je původ technologie a právní kontrola zásadním hodnoticím kritériem.