Niezależność w chmurze: imperatywy dla europejskiego sektora publicznego

Wprowadzenie

Obawy dotyczące suwerenności pojawiają się zwykle, gdy jest ona zagrożona. W aktualnej sytuacji geopolitycznej, kształtowanej przez konflikty zbrojne toczące się w Europie Wschodniej i na Bliskim Wschodzie, kwestia ta nabiera szczególnego znaczenia jako temat dyskusji politycznych. W przeszłości suwerenność odnosiła się wyłącznie do fizycznych granic kraju i majątku narodowego - teraz natomiast nabrała również wymiaru cyfrowego i dotyczy takich kwestii, jak technologia chmury czy niezależność cyfrowa. Dla bezpieczeństwa narodowego jednym z najważniejszych zasobów jest informacja. Nie mówimy tutaj tylko o danych wywiadowczych, czy militarnych, ale także dane dzięki którym działają systemy bankowe, komunikacja, czy infrastruktura krytyczna.

Dla Europy obawy dotyczące niezależności cyfrowej wiążą się z dwoma istotnymi wątkami: Po pierwsze, chodzi o zapewnienie dalszego rozwoju lokalnego rynku w chmurze - katalizatora rozwoju gospodarczego i innowacji technologicznych. Po drugie zaś - mamy do czynienia z zawiłościami globalnej dyplomacji technologicznej, w szczególności przy zawieraniu umów partnerskich z globalnymi centrami przetwarzania danych (określanych mianem hyperscalerów), z których większość jest rezydentami USA, zawierane umowy powinny bowiem respektować europejskie prerogatywy dotyczące bezpieczeństwa.

Europejski rynek chmury obliczeniowej jest duży, a będzie jeszcze większy. Z przeprowadzonej analizy wynika, że do końca 2023 roku europejskie przedsiębiorstwa świadczące publiczne usługi w chmurze zainwestują w chmurę obliczeniową ok. 150 mld USD, czyli znacznie więcej niż 110 mld USD wydanych w roku 2022.¹

Co więcej, Komisja Europejska przyjęła program „Cyfrowa Europa” i w latach 2023-2024 zamierza zainwestować ponad 900 mln EUR w projekty wykorzystania technologii cyfrowych, takich jak zaawansowane kwalifikacje cyfrowe, sztuczna inteligencja, chmura obliczeniowa czy dane. Dowodzi to, że zarówno EU, jak i rządy krajów europejskich mają świadomość korzyści, jakie daje wykorzystanie chmury i inwestują w technologie chmurowe w celu usprawnienia działania i procesów obsługi. Działania te przynoszą wymierne korzyści systemom innowacji, otwartym standardom, małym i średnim przedsiębiorstwom, miastom, przedsiębiorstwom użyteczności publicznej oraz środowisku.²

Poszerzeniu procesów transformacji cyfrowej w Europie sprzyjają oszczędne rozwiązania informatyczne, praca hybrydowa i innowacje dotyczące usług. Wszystko to wraz z błyskawicznie rosnącą konsumpcją danych zmusza wiele firm europejskich do inwestowania w lepsze systemy zarządzania i zabezpieczeń. Tego rodzaju inicjatywy są również reakcją na nowe regulacje dotyczące poufności, technologii cyfrowej oraz konieczność przestrzegania przepisów, ponieważ tak wielka skala wykorzystywania danych powoduje powstanie problemów związanych ze zgodnością, ich ochroną i bezpieczeństwem.

Sektor publiczny również musi zmierzyć się z tymi problemami. Wobec tego najważniejsze oczekiwania i wymagania instytucji publicznych dotyczące środowiska chmury ulegają zmianie, by zaspokoić potrzeby obywateli i interesariuszy.

W 2018 roku w Polsce został powołany do życia Operator Chmury Krajowej, którego działalność rozpoczęła się współpracą z sektorem bankowym. Z założenia wszystkie usługi uruchamiane przez OchK są lokalizowane na serwerach znajdujących się w Polsce. Dodatkowo w 2021 Google, 2022 roku AWS a 2023 Microsoft uruchomiły regiony przetwarzania danych w Polsce, co oznacza że obecnie wszyscy hyperscalerzy są w stanie dostarczać usługi chmurowe z terenu Polski.

Należy pamiętać jednak, że pomimo fizycznego zlokalizowania infrastruktury chmurowej w Polsce, centra danych nadal są własnością firm o amerykańskim kapitale i w przypadku kryzysu geopolitycznego mogą chronić interesów amerykańskich.

Przed czym stoimy: uwarunkowania geopolityczne dotyczące wykorzystania technologii chmury w UE

Jak zachować niezależność cyfrową: zapewnienie bezpieczeństwa danych a wzrost gospodarczy

Coraz szybszemu upowszechnianiu się chmury w Europie towarzyszą rosnące obawy dotyczące informacji wrażliwych. Ilość i istotność danych przetwarzanych w instytucjach sektora publicznego rośnie. Potrzebne są zatem sprawne mechanizmy zapewniające ich ochronę i kontrolę.³ Sprawę tę poruszyła Prezydent KE, Ursula von der Leyen, w swoim programie dla Europy: „Być może jest zbyt późno na stworzenie naszych własnych ogromnych centrów przetwarzania danych, tzw. hyperscalers, ale nie jest za późno na osiągnięcie suwerenności technologicznej w pewnych kluczowych dziedzinach.”⁴

Rynek globalnego przetwarzania danych, oferujący atrakcyjne innowacje, zdominowali usługodawcy z USA (AWS, Microsoft Azure, Google Cloud i Oracle). Niedawno dołączyło do nich kilka firm azjatyckich (Alibaba Cloud). Nie oznacza to wprawdzie, że kraje europejskie muszą poświęcić swoje bezpieczeństwo i niezależność, uwidacznia jednak potrzebę eksponowania obaw dotyczących dostępu do danych i ich przechowywania.

Europa musi wypracować równowagę między odpowiednim stopniem bezpieczeństwa danych a tempem rozwoju gospodarczego, które zapewnia digitalizacja. Potrzebne są inwestycje w najnowocześniejsze technologie zapewniające należyte zabezpieczenie danych. Państwa członkowskie UE oraz ich rządy wprowadzają regulacje i ograniczenia, odzwierciedlające obawy o ochronę danych swoich obywateli oraz o bezpieczeństwo narodowe.

Przepisy dotyczące ochrony danych mają z jednej strony podstawowe znaczenie dla zapewnienia tego bezpieczeństwa, z drugiej zaś - dla rozwoju i innowacji, koniecznych, by Europa dotrzymała tempa skali rozwoju chmurowych usługodawców zagranicznych⁵. Niedawno regulatorzy irlandzcy ukarali firmę Meta rekordową grzywną w kwocie 1,2 mld EUR i nakazali jej zaprzestanie przesyłania danych osobowych z UE do USA. Decyzja ta była przełomem - tego rodzaju transfer danych uznano za niezgodny z prawem.⁶

Europa dała sygnał, że nieprzestrzeganie przepisów o ochronie danych będzie miało określone konsekwencje. Nadmierna ostrożność może jednak ograniczać efektywność działania. Jak zatem zapewnić należyte bezpieczeństwo nie popadając w pułapkę zbyt dużej ostrożności?

Po wejściu w życie Rozporządzenia o ochronie danych osobowych (RODO) w maju 2018, nawet firmy spoza Unii Europejskiej działające na jej terenie musiały dostosować swoje polityki do nowych wymogów regulacyjnych.
Obecnie Unia Europejska pracuje nad nową regulacją „EU Data Act”, która jeszcze bardziej będzie chroniła dane obywateli Unii Europejskiej, ale także nakładała dodatkowe obowiązki na podmioty przetwarzające dane.
 

Dane i niezależność cyfrowa

Ogólnoświatowy wyścig po nowe technologie i obawy przed utratą strategicznych aktywów technologicznych spowodowały rozpoczęcie dyskusji na temat niezależności. W UE wyraźnie widać dążenie do zapewnienia niezależności cyfrowej, ze szczególnym uwzględnieniem wsparcia polityk ukierunkowanych na zachowanie przywództwa i autonomii strategicznej w świecie cyfrowym.

Obecna dominacja firm technologicznych spoza Europy, działających zbyt mało przejrzyście, by umożliwić sprawdzenie zgodności z wartościami i zasadami UE, zagraża możliwości kontroli danych osobowych przez obywateli UE. Może również negatywnie oddziaływać na rozwój unijnych firm technologicznych i ograniczyć możliwości egzekwowania przez UE obowiązujących przepisów i regulacji.⁷ Aby zapobiec pozostaniu w tyle, KE uznała za priorytet opracowanie polityki cyfryzacji, a prezydent Ursula von der Leyen podjęła zobowiązanie osiągnięcia „niezależności technologicznej” w najważniejszych obszarach.⁸

W związku z tym organy prawodawcze opracowują mechanizmy i środki popierania innowacji w Europie i przeciwdziałania potencjalnej dominacji technologicznych firm pozaeuropejskich, wprowadzając odpowiednie instrumenty finansowe i prawne. Chmura obliczeniowa, jako strategiczny składnik aktywów unijnej gospodarki, jest podstawowym elementem tej inicjatywy niezależnościowej.

Trzecia droga: promowanie rozwiązań europejskich

Europa przyjęła trzy rozwiązania problemu dominacji zagranicznych dostawców rozwiązań chmurowych: pierwsze - to współpraca z nimi, ze szczególnym naciskiem na istotność obaw wyrażanych w Europie; drugie - to korzystanie z oferty usługodawców lokalnych; trzecie - to przechowywanie danych na własnych serwerach i promowanie rozwiązań europejskich.
Przykładem mogą być Francja czy Niemcy, które nawiązują współpracę z usługodawcami lokalnymi⁹ celem zapewnienia zgodności z obowiązującymi regulacjami. Inne kraje rozpoczęły inwestowanie we własną infrastrukturę chmurową, chcąc zachować kontrolę swoich danych i zapewnić poufność danych obywateli, a jednocześnie zaspokojenie potrzeb sektora publicznego, przedsiębiorstw infrastrukturalnych i firm wszelkich rozmiarów, działających w obszarach strategicznych lub w szczególnie narażonych obszarach interesu publicznego.¹⁰

Dla zapewnienia zgodności z regulacjami niektóre firmy rozważają możliwość tworzenia niezależnych chmur na poziomie regionalnym jako formy niezależnego magazynu danych. Niemcy i Hiszpania będą siedzibą dwóch pierwszych niezależnych chmur o zasięgu regionalnym, obsługiwanych przez Oracle Cloud Infrastructure (OCI) dla potrzeb Unii Europejskiej. Będą one obsługiwać wyłącznie rezydentów UE i osoby prawne, działając odrębnie od obecnie obsługiwanych regionów publicznych OCI w UE, zlokalizowanych w Amsterdamie, Frankfurcie, Marsylii, Mediolanie, Paryżu i Sztokholmie. Zasady dostępu do danych, ich przetwarzania i przechowywania na potrzeby organów rządowych określą przyjęte polityki.¹¹

Napięcia i konflikty polityczne

Utrzymująca się niestabilność polityczna znacząco komplikuje kwestię wyboru dostawców usług chmurowych, przedsiębiorstwa muszą bowiem brać pod uwagę ryzyko dyplomatyczne dotyczące różnych ofert.
Wydarzenia ostatnich lat spowodowały istotne zakłócenia funkcjonowania łańcuchów dostaw i zwróciły uwagę na ich nieodporność. Gdy Europa usiłowała stanąć na nogi po pandemii, rosyjska inwazja na Ukrainę i gwałtowny skok inflacji, rozszerzającej się na wszystkie gospodarki, dodatkowo nadwerężyły międzynarodowy porządek.

Sfery wpływów technologicznych zależą od zmiennego układu sił na poziomie globalnym. Sektor teleinformatyczny jest podzielony taryfami, systemami podatkowymi i ograniczeniami zastosowania dotyczącymi usług związanych z technologiami cyfrowymi.¹² Również na rynku chmury obliczeniowej daje się odczuć nasilenie konkurencji. W różnych regionach wdraża się polityki mające zapewnić utrzymanie kontroli danych i najważniejszej infrastruktury chmurowej, autonomię i odpowiednie możliwości innowacyjne, a także priorytetowe traktowanie przedsiębiorstw krajowych kosztem zagranicznych gigantów.

Konflikt na Ukrainie ilustruje również możliwości wykorzystania technologii dla celów wojennych. Jesteśmy świadkami cyberataków na podstawową infrastrukturę i przypadków naruszenia barier ochronnych, które znacząco wpływają na usługi świadczone w chmurze. Rosja oficjalnie utrzymuje, że również jest celem tego rodzaju ataków. Niektórzy dostawcy usług chmurowych, w tym Azure, AWS i Google Cloud, wspierają Ukrainę zapewniając ciągłość podstawowych funkcji administracyjnych, a jednocześnie wycofują się z Rosji. To uwidacznia stopień narażenia danych przetwarzanych na potrzeby administracji rządowej oraz ciągłości obsługi na zmiany polityczne i wyjaśnia, dlaczego nadmierne uzależnienie od zagranicznych usługodawców budzi obawy instytucji publicznych.¹³

Wojna na Ukrainie zwróciła uwagę na to jakie ryzyko stanowi nieodpowiednie dbanie o rezydencje danych. Przechowywanie danych w lokalnych centrach danych naraża je na utratę, uszkodzenie bądź przejęcie w przypadku działań wojennych. Odpowiednie zarządzanie ryzykiem jest kluczowe, aby zapewnić suwerenność i bezpieczeństwo danych.

Uwarunkowania regulacyjne

Aktualne uwarunkowanie regulacyjne w UE i w USA charakteryzują się złożonością i zmiennością. Przepisy dotyczące poufności danych stanowią wyzwanie dla firm zainteresowanych wdrożeniem chmury. Niezależność cyfrowa, w szczególności niezależność danych, jest formą reakcji na obawy krajów europejskich dotyczące poufności i cyberbezpieczeństwa.

W roku 2018 władze USA przyjęły ustawę Clarifying Lawful Overseas Use of Data (CLOUD), na mocy której - ze względu na bezpieczeństwo narodowe - władze i agencje federalne uzyskały dostęp do danych przechowywanych przez amerykańskie firmy świadczące usługi w chmurze w innych krajach. Ustawa CLOUD jest sprzeczna z unijną RODO, obowiązującą bez względu na lokalizację wszystkie firmy gromadzące lub przetwarzające dane osobowe obywateli UE i narusza niezależność cyfrową, do której dąży Europa.

Niektórzy najwięksi dostawcy usług chmurowych przyjęli w pewnym zakresie reguły obowiązujące w UE. Europa stanęła jednak przed dylematem: chmura jest niezbędna do utrzymania konkurencyjności na rynku międzynarodowym, a rezygnacja z niej oznacza utratę możliwości szybkiej i prostej obsługi dużych ilości danych.¹⁴ Odpowiedzią jest inicjatywa Gaia-X. W jej ramach ministrowie gospodarki Francji i Niemiec wyznaczyli jako priorytet rozwój krajowego sektora technologii chmurowych. Uzgodnili wspólną metodologię tworzenia europejskiej infrastruktury chmurowej i systemów obsługi danych.¹⁵

Gaia-X nie jest systemem regulacyjnym, lecz zestawem wytycznych i specyfikacji technicznych służących budowaniu wspólnego systemu udostępniania danych i zarządzania nimi z wykorzystaniem usług chmurowych świadczonych przez różnych dostawców technologii. Ma propagować interoperacyjność, otwarte standardy i przejrzystość oraz zapewnić bezpieczeństwo przechowywania danych w zgodzie z obowiązującymi regulacjami, takimi jak RODO.

Składa się ona z sieci i bezpiecznej infrastruktury danych zgodnej ze standardami europejskimi dotyczącymi niezależności cyfrowej i innowacyjności. Celem inicjatywy nie jest budowanie europejskich centrów przetwarzania danych, czyli hyperscalerów, czy niezależnej chmury, lecz „łączenie różnych elementów poprzez otwarte interfejsy i standardy celem agregowania danych i tworzenia platformy umożliwiającej innowacje”¹⁶, a jednoczesne propagowanie wykorzystania chmury bez obniżania standardów bezpieczeństwa i poufności.

Co więcej łączy ona interesariuszy z różnych sektorów, którzy wspólnie opracowują i propagują system Gaia-X. Dzięki nastawieniu na współpracę różnorodni interesariusze mają możliwość uczestnictwa w procesie tworzenia i udanego wdrożenia europejskiej infrastruktury danych. Jako przykład może tu posłużyć OpenNebula, platforma chmurowa open source, zapewniająca firmom z UE mają dostęp do platform obliczeniowych Edge o otwartym kodzie źródłowym¹⁷, która dołączyła do inicjatywy Gaia-X, by służyć doświadczeniem.

W tym kontekście Polska bardzo sprawnie radzi sobie z dostosowywaniem regulacji europejskich do potrzeb lokalnych. Od RODO, które było najbardziej głośną i wpływającą na codzienne życie obywateli regulacją prawną, po Ustawę o Krajowym Systemie Cyberbezpieczeństwa wdrażającą dyrektywę NIS do polskiego porządku prawnego.

Niezależność w chmurze: o co tu chodzi?

Niezależność w chmurze można opisać jako sumę aspektów ochrony i bezpieczeństwa danych dotyczących działalności gospodarczej, politycznych i technologicznych, a także kontrolę i niezależność od dostawców usług telekomunikacyjnych, transferu danych, infrastruktury i oprogramowania. Niezależna chmura musi łączyć odpowiednie mechanizmy zarządcze, strategiczne i kontroli technicznej dla zapewnienia autonomii, elastyczności, niezawodności i zgodności z wymogami regulacyjnymi.¹⁸

Umożliwia przedsiębiorstwom kontrolowanie, zarządzanie i branie odpowiedzialności za zasoby obliczeniowe, dane i informacje przechowywane w chmurze w ramach określonego systemu prawnego, przy zapewnieniu zgodności z obowiązującymi regulacjami i niezależności od usługodawców. Nie istnieje jedna, powszechnie przyjęta definicja niezależności w chmurze, która może być różnie postrzegana przez różne kraje, a nawet firmy działające w tych krajach.

System zapewniający niezależność w chmurze

Opracowaliśmy ogólny system oceny technicznej niezależności w chmurze na poziomie firmy. Obejmuje on wszystkie usługi i zasoby chmury, w tym cztery domeny. Ma zastosowanie do firm ze wszystkich branż, zarówno z sektora publicznego, jak i prywatnego. Można wykorzystywać go do oceny poziomu dojrzałości przedsiębiorstwa niezbędnego do zapewnienia niezależności w chmurze, co jest niezbędne zanim rozpocznie się jej wdrażanie.

Obejmuje on również subdomeny, które stanowią uszczegółowienie wymogów obowiązujących w domenach głównych. Dzięki temu przedsiębiorstwo jest w stanie dokładnie zanalizować wyzwania związane z osiągnięciem niezależności w chmurze i ukierunkować inwestycje stosownie do własnych potrzeb i celów.

Proces osiągania niezależności w chmurze nierozerwalnie wiąże się z koniecznością przezwyciężania trudności. Na poniższym wykresie przedstawiono obszary, w których mogą wystąpić oraz strategie ich przezwyciężania oraz kwestie, które warto uwzględnić w tym procesie.

Trzy imperatywy warunkujące osiągnięcie niezależności w chmurze

Rozpoczęcie procesu uniezależniania instytucji publicznych poprzez analizę jego wpływu na wdrażanie technologii chmurowych

Amerykańskie centra przetwarzania danych (czyli hyperscalerzy) wprowadzają do oferty niezależne rozwiązania chmurowe zapewniające zgodność z regulacjami i przepisami UE, a przez to - zachowanie dotychczasowego udziału w rynku. Microsoft Cloud ma ogłosić przyjęcie „granic” niezależności w formie „dodatkowych reguł i możliwości audytowych odpowiednich do potrzeb sektora publicznego i instytucji rządowych”.¹⁹

AWS zobowiązało się włączyć do oferty najbardziej zaawansowane zestawy mechanizmów kontroli niezależności i funkcji dostępnych w chmurze, zgodnie z dokumentem AWS Digital Sovereignty Pledge. Google z kolei „ogłosiło Cloud on Europe’s Terms, czyli ambitne zobowiązanie do udostępniania usług i zasobów chmury z zachowaniem najwyższego poziomu niezależności cyfrowej, przy zapewnieniu firmom europejskim możliwości dalszego wzrostu i transformacji.”²⁰ Oracle również opracowuje koncepcje „regionu niezależnego” i „regionu rządowego” w pełni zgodne z regulacjami UE i z przepisami obowiązującymi w poszczególnych krajach.

Dodatkowo jak już wspomniano wszyscy trzej hyperscalerzy posiadają obecnie centra przetwarzania danych w Polsce, co poprawia osiągi techniczne, ale tez utrzymuje fizycznie dane na terenie kraju.

Rosnące zainteresowanie zapewnieniem przedsiębiorstwom niezależności i przyjęciem odpowiednich strategii chmurowych zaspokajających potrzeby i oczekiwania środowiska chmurowego powoduje konieczność zdefiniowania trzech imperatywów - czynników o znaczeniu podstawowym. Czynniki te umożliwiają rozpoczęcie procesu uniezależniania instytucji publicznych poprzez analizę jego wpływu na wdrażanie technologii chmurowych.

Jest to proces, nie stan i przebiega różnie w różnych przedsiębiorstwach, zależnie od indywidualnych ograniczeń, priorytetów i wymogów. Wszystkie one kształtują metodologię wypracowywania niezależności w chmurze.

Należy pamiętać, że niezależność w chmurze nie jest koncepcją o charakterze uniwersalnym, a różne firmy wymagają różnego zakresu kontroli i zależności od usług świadczonych w chmurze.

Choć całkowite uniezależnienie się od zewnętrznych dostawców chmury jest perspektywą kuszącą, często okazuje się niepraktyczne i kosztowne. Osiągnięcie całkowitej niezależności wymagałoby znaczących inwestycji w tworzenie i utrzymanie rozbudowanej infrastruktury własnej oraz telekomunikacyjnej, których koszty mogą okazać się nie do przyjęcia.

Podstawowe znaczenie ma zatem wypracowanie równowagi między możliwościami kontroli a korzyściami płynącymi z usług świadczonych przez zaufanych partnerów. Jest to istotne, ponieważ dzięki takim relacjom przedsiębiorstwa sektora publicznego mogą kontrolować swoje zasoby i dane przechowywane w chmurze, a jednocześnie czerpać korzyści z innowacji oferowanych przez specjalistyczne kadry i zasoby, którymi dysponują dostawcy technologii chmurowych.

Inny istotny czynnik, to niezależność operacyjna. Choć instytucje publiczne mogą powierzyć wykonywanie pewnych usług chmurowych dostawcom, zachowanie niezależności operacyjnej gwarantuje im możliwość podejmowania najważniejszych decyzji i sprawowania kontroli. To z kolei pozwala odpowiednio kształtować strategię chmurową, wybierać właściwe modele obsługi, lokalizacje, w których przechowywane są dane oraz ustawiać mechanizmy kontroli dostępu zgodnie z potrzebami i obowiązującymi przepisami. Zachowując niezależność operacyjną firma może efektywniej kontrolować swoją infrastrukturę cyfrową, zmniejszyć ryzyko nadmiernego uzależnienia od jednego dostawcy i na bieżąco dostosowywać strategię chmurową do zmieniających się potrzeb.

Sama niezależność w chmurze nie jest gwarancją większej odporności i nie ogranicza się do aspektów technicznych. Jest jednak ściśle powiązana z koncepcją zaufania cyfrowego - uwzględnia możliwość zapewnienia odpowiedniej obsługi i zabezpieczenia danych i aplikacji, odpowiednio do indywidualnych wymogów danej firmy. Przedsiębiorstwo może stworzyć solidny system zapewniający niezależność w chmurze przy zachowaniu odpowiedniego poziomu bezpieczeństwa danych, zgodności z regulacjami i długoterminowej odporności - służy temu nadanie odpowiedniego priorytetu kwestii zaufania cyfrowej, współpraca ze sprawdzonymi partnerami i zachowanie niezależności operacyjnej.

Musimy mieć świadomość, że zgodność z obowiązującymi regulacjami nie oznacza automatycznie osiągnięcia „optymalnej niezależności”. Choć przestrzeganie wymogów regulacyjnych ma podstawowe znaczenie dla każdego przedsiębiorstwa, warto zauważyć, że samo w sobie nie gwarantuje pełnej niezależności w chmurze. Regulatorzy często nie nadążają za dynamiką rynku chmury, a wydawane przez nich decyzje nie zawsze uwzględniają złożoność i niuanse świadczonych na nim usług. Zgodność z przepisami należy pojmować jako punkt wyjścia, podczas gdy osiągnięcie niezależności wymaga przekroczenia wymogów minimalnych w celu rozwiązania dodatkowych kwestii pojawiających się w trakcie realizacji tego procesu.

Niezależność wykracza poza zakres zgodności, zwłaszcza w sektorze publicznym, gdzie w grę wchodzą różnorodne czynniki, nie tylko regulacje. Na decyzje dotyczące miejsca i sposobu przechowywania danych wpływają na przykład uwarunkowania geopolityczne, takie jak wymogi dotyczące rezydencji danych czy niezależności, a także kwestie bezpieczeństwa narodowego. Osiągnięcie niezależności w chmurze w sektorze publicznym wymaga zrównoważenia zobowiązań regulacyjnych z szerszymi uwarunkowaniami i podejmowania strategicznych decyzji, zgodnych z interesem narodowym.

Ewolucja chmury obliczeniowej oznacza nowe wyzwania dla regulatorów. Rosnąca popularność chmury, pojawienie się sztucznej inteligencji, architektury rozproszonej i edge computing mogą oznaczać konieczność szybkiej aktualizacji wymogów regulacyjnych. Choć UE jest globalnym liderem, jeżeli chodzi o regulacje, europejskie organy regulacyjne muszą dostosowywać się do szybkich zmian technologicznych i dbać o to, by systemy regulacyjne obejmowały całe spektrum usług chmurowych oraz modeli ich zastosowania, uwzględniając zachodzące zmiany.

Celem jest stworzenie wspólnej, jednolitej płaszczyzny kontroli, zapewniającej zgodność techniczną we wszystkich środowiskach, wykraczającej poza bieżące regulacje, wynikające ze zmiany warunków. Konieczna jest współpraca między regulatorami a interesariuszami branżowymi, analiza uwarunkowań technologicznych i opracowanie takich systemów regulacji, które będą sprzyjały innowacyjności przy jednoczesnym zachowaniu odpowiedniego poziomu ochrony danych, poufności i bezpieczeństwa.

Podsumujmy: przestrzeganie obowiązujących regulacji jest aspektem podstawowym, punktem wyjścia w procesie osiągania niezależności, nie oznacza natomiast jej faktycznego osiągnięcia. Przedsiębiorstwa, szczególnie te z sektora publicznego, muszą uwzględniać dodatkowe czynniki, takie jak uwarunkowania geopolityczne, interoperacyjność czy odporność.

Regulatorzy muszą poradzić sobie z dostosowaniem regulacji do zmieniających się warunków technologicznych i konieczności zapewnienia zgodności w różnych środowiskach. Przyjęcie szerszej perspektywy i współpraca nastawiona na opracowanie realistycznych systemów regulacyjno-prawnych umożliwi interesariuszom osiągnięcie niezależności w chmurze i budowę zgodnego, odpornego i bezpiecznego systemu chmurowego, zaspokajającego wymogi dotyczące innowacyjności.

Imperatyw ten dotyczy możliwości zapewnienia firmie kontroli posiadanych informacji oraz aplikacji hostowanych w chmurze, a zatem i wzięcia za nie odpowiedzialności. Oba aspekty są ściśle ze sobą powiązane i obejmują tak istotne zagadnienia, jak kontrola najważniejszych systemów zarządzania, urządzeń, licencji dotyczących własności intelektualnej, protokołów itp.
Jedną z najistotniejszych kwestii jest kontrola urządzeń, w szczególności w branży półprzewodników. Branża ta jest podstawowym dostawcą podzespołów do urządzeń informatycznych wykorzystywanych dla potrzeb chmury obliczeniowej. Kontrola wykorzystywanych urządzeń zapewnia firmie odpowiednio wydajne działanie, niezawodność i bezpieczeństwo.
Równie istotna jak kontrola urządzeń jest kontrola danych. Instytucje publiczne muszą mieć pewność, że skutecznie kontrolują swoje dane przechowywane w chmurze. Chodzi o prawa dostępu, usuwania, modyfikacji lub przesyłania danych zależnie od potrzeb. Niezależność dotycząca danych ma szczególne znaczenie, firma bowiem musi kontrolować proces przetwarzania, przechowywania i przesyłu danych, którymi oficjalnie zarządza.

Innym istotnym zagadnieniem jest prawo własności intelektualnej. W miarę wdrażania nowych zaawansowanych technologii telekomunikacyjnych (np. 5G lub 6G) rośnie rola umów licencyjnych chroniących prawa własności intelektualnej w procesie zapewnienia kontroli i praw własności do technologii. Warunki umowy licencyjnej wymagają starannego dopracowania, by zapewnić ochronę praw własności intelektualnej firmy, umożliwić jej zachowanie kontroli najważniejszych rozwiązań innowacyjnych oraz zrównoważony rozwój produktów lub aplikacji.

Przedsiębiorstwa sektora publicznego mogą zadbać o zachowanie kontroli nad najnowszymi rozwiązaniami technologicznymi podpisując odpowiednio opracowane umowy licencyjne, dające im przewagę konkurencyjną, sprzyjające dalszemu rozwojowi i innowacyjności w chmurze.

Dane przetwarzane, przechowywane i przesyłane w chmurze powinny podlegać ochronie w formie odpowiednich środków i najlepszych praktyk, w tym właściwych standardów kodowania i wykorzystania kluczowych systemów zarządzania (Key Management Systems, w skrócie KMS) do zapewnienia kontroli danych zgodnej z surowymi standardami. W obliczu rosnącego znaczenie poufności i bezpieczeństwa danych KMS umożliwia przedsiębiorstwu kontrolowanie kluczy kodowania i zarządzanie nimi dla potrzeb ochrony danych wrażliwych przechowywanych w chmurze.

Kontrola kluczy kodowania umożliwia wdrażanie sprawdzonych praktyk kodowania, należytą dbałość o zachowanie poufności i integralności danych oraz zarządzanie procesem ich udostępniania. Zewnętrzne KMS są ponadto sprawnym mechanizmem zarządzania kluczami kodowania poza środowiskiem centrum przetwarzania danych i przenoszenia odpowiedzialności za ten proces z kierownictwa firmy na zaufanych dostawców.

Podsumowanie

Przedstawione imperatywy podkreślają, że firmy z sektora publicznego powinny traktować bezpieczeństwo danych, zgodność z regulacjami i kontrolę infrastruktury chmurowej jako priorytety. Odnoszą się zatem do drugiego wątku omawianego w odniesieniu do niezależności cyfrowej Europy, czyli do obaw dotyczących bezpieczeństwa współpracy z centrami przetwarzania danych z innych kontynentów.

Jeżeli chodzi o pierwszy wątek, czyli o dbałość o rozwój europejskich rozwiązań chmurowych dla potrzeb dalszego wzrostu gospodarczego regionu i dotrzymania tempa konkurencji, to trzeba sobie przede wszystkich uświadomić, że w perspektywie krótkoterminowej konkurowanie z dominującymi na rynku hyperscalerami jest nierealistyczne. Warto zatem zmienić kierunek i zapewnić sobie przetrwanie, zweryfikować strategie i dopasować polityki oraz priorytety inwestycyjne do potrzeb niezależnej branży, a jednocześnie zapewnić właściwe warunki współpracy pozwalające zachować niezależność w chmurze.

Podejście perspektywiczne, kładące nacisk na dostosowanie i dopasowane do cech charakterystycznych rynku europejskiego, umożliwi firmom z sektora publicznego sprawne działanie i wykorzystywanie szybko rozwijających się technologii chmurowych. Podstawowym warunkiem umożliwiającym opracowanie zrównoważonych rozwiązań chmurowych jest współpraca sektora publicznego i prywatnego, popieranie innowacji i wzrostu gospodarczego.

Wspólne wysiłki ukierunkowane na nadanie właściwej rangi potrzebom firm europejskich i ochronę niezależności w chmurze umożliwią wypracowanie silnej pozycji uwzględniającej konkurencyjność, zgodność z regulacjami i odporność działań prowadzonych w globalnym systemie chmurowym. Dzięki temu Europa zapewni zrównoważony rozwój gospodarki cyfrowej, wzmocni cyfrowe zaufanie i będzie skutecznie chronić interesy swoich obywateli.

Polska dzięki wspólnemu frontowi regulacyjnemu oraz gospodarczemu Unii Europejskiej jest w komfortowej sytuacji, gdzie regulacje, trendy technologiczne oraz inwestycje wspierają bezpieczeństwo oraz suwerenność rozwiązań chmurowych. Istotnie jest odpowiednia analiza ryzyka dotyczącego suwerenności, bezpieczeństwa oraz kosztów. Dotyczy to nie tylko rozwiązań sektorowych, prywatnych przedsiębiorstw, ale również instytucji publicznych.

Temat suwerenności chmury dopiero wchodzi do świadomości lokalnych podmiotów, jednak obecna sytuacja regulacyjna oraz geopolityczna szybko sprawiła, że stanie się to niebawem jeden z kluczowych aspektów budowania strategii chmurowej oraz cyberbezpieczeństwa.