Decyzja rządu Wielkiej Brytanii o wyznaczeniu centralnych danych jako Krytyczna infrastruktura krajowa (CNI) We wrześniu 2024 r. Sygnalizowało ambicje budowy cyfrowej gospodarki, która jest bezpieczna i globalnie konkurencyjna.
Ale za nagłówkami dotyczącymi ochrony przed cyberprzestępczością i zaciemnieniem leży bardziej skomplikowana rzeczywistość – sektor zmagający się z niepewnością polityczną, poleganiem na zagranicznych gigantach chmur i program suwerenności danych, który wygląda na coraz bardziej narażony.
W poście na blogu, główny analityk Forrester Tracy Woo napisała: „Nowe wymagania suwerenności, takie jak Secnumcloud, Cloud de Concepance z Francji i katalog zgodności komputerowej w chmurze (C5) z Niemiec, wraz z naciskiem na utrzymanie danych w kraju, wywołały szerszy dążenie do prywatnych i suwerennych chmur. “
Ale obietnica „chronionej infrastruktury” dzwoni puste, gdy hiperskarze otwarcie przyznają, iż nie mogą zagwarantować, iż dane rządu Wielkiej Brytanii przechowywane w usługach chmurowych, takich jak Microsoft 365 i Azure pozostanie w granicach krajowych.
Woo wskazuje, iż kraje w Unii Europejskiej (UE) i Azji i Pacyfiku (APAC) próbują silniej wykorzystać dostawców chmury spoza USA, utworzyć suwerenne chmury lub pozostawić obciążenia.
W Wielkiej Brytanii kontrola regulacyjna odsłania kruchego stanu cyfrowej niezależności Wielkiej Brytanii. Patrząc na podejście Wielkiej Brytanii do suwerenności danych, kancelaria Kennedys Law opisuje Rachunek za korzystanie z danych i dostęp (DUA)który został opublikowany w październiku 2024 r., Jako „bardziej elastyczne podejście oparte na ryzyku dla międzynarodowych transferów danych”.
Kennedys zauważa, iż nowy test wymaga, aby standardy ochrony danych w jurysdykcji docelowej nie były znacznie niższe niż w Wielkiej Brytanii. Według Kennedys ten standard jest mniej sztywny niż wymóg „podstawowej równoważności UE”, ale rodzi pytania o to, jak „materialnie niższe” będzie interpretowane w praktyce.
Zrozumiałe jest, iż wraz z poleganiem rządu od narzędzi produktywności opartych na chmurze obawy dotyczące zgodności z brytyjskimi przepisami dotyczącymi ochrony danych.
. Urząd ds. Konkurencji i rynków (CMA) w tej chwili bada praktyki rynku w chmurze, które mogłyby zablokować klientów w zagranicznych dostawców. Na początku 2025 r. Oczekuje się raportu tymczasowego, ustanawiając grunt pod potencjalne reformy regulacyjne mające na celu zwiększenie suwerenności danych i ograniczenie praktyk monopolistycznych.
Przekształcanie suwerenności danych
Nie jest to przed czasem dla Mark Boost, CEO Civo, brytyjskiego specjalisty hostingu w chmurze. „Niemożność zapewnienia danych pozostaje w granicach Wielkiej Brytanii podkreśla ryzyko zależności od hiperskarzy”, ostrzega. „Jeśli utrzymujemy outsourcing krytycznej infrastruktury danych, ryzykujemy utratę więcej niż tylko kontrolę techniczną, tracimy niezależność narodową”.
Przegląd CMA może przekształcić cyfrową przyszłość kraju, potencjalnie nakazując większą przejrzystość i wymagać gwarancji przechowywania danych w Wielkiej Brytanii od globalnych dostawców chmur. To jest coś, o czym mówi się od jakiegoś czasu.
„Przejrzystość to nie tylko przechowywanie danych, chodzi o to, jak centrum danych są zasilane, utrzymywane i zabezpieczone”, mówi. Jego argument podkreśla zasadniczy związek między suwerennością danych a jasnością operacyjną, wzywając dostawców do przyjęcia wyraźniejszych środków rozliczalności.
Niemożność zapewnienia danych pozostaje w granicach Wielkiej Brytanii podkreśla ryzyko zależności od hiperskarzy. jeżeli utrzymujemy outsourcing krytycznej infrastruktury danych, ryzykujemy utratę czegoś więcej niż tylko kontrolę techniczną, tracimy niezależność narodową
Pomimo tych wyzwań związanych z przejrzystością brytyjska branża centrum danych widziała obiecujące znaki, szczególnie w inwestycjach regionalnych. Niedawne ogłoszenie przez rząd projektu centrum danych o wartości 250 mln GBP w Salford pokazuje, w jaki sposób kooperacja samorządowa i ukierunkowane inwestycje mogą zwiększyć wzrost. Ale takie projekty pozostają wyjątkami, a nie regułą.
Luisa Cardani, szef danych Datacenres w Techuk i autor raportu Podstawy na przyszłość: w jaki sposób centrum danych mogą wypłacać wzrost gospodarczy w Wielkiej Brytaniiostrzega, iż bez krajowego oświadczenia politycznego (NPS) sektor centrum danych ryzykuje rozdrobnienie. Lokalne organy planowania nie mają wiedzy specjalistycznej i zasobów, aby skutecznie zatwierdzać projekty, tworząc wąskie gardła, które mogą opóźniać krytyczne rozwój infrastruktury na lata.
„Branża chce współpracować z lokalną ludnością i władzami, ale brakuje wyraźnych wytycznych dotyczących planowania”, mówi Cardani. „Bez spójnej strategii utknęliśmy w cyklu rozdrobnionych decyzji i bezwładności regulacyjnej”.
Proponowane włączenie centrów danych w ramach reżimu projektów infrastrukturalnych (NSIP) może usprawnić proces zatwierdzenia, zapewniając szybsze podejmowanie decyzji. Pozostaje to jednak przynajmniej na chwilę, bardziej aspiracji. W rzeczywistości inwestycje pozostaną w martwym punkcie, dopóki Wielka Brytania nie opracuje spójnego, krajowego podejścia, które równoważy interesy publiczne i prywatne, jednocześnie usprawniając proces zatwierdzenia projektu.
Suwerenność danych i wymagania bezpieczeństwa są w tym zasadnicze znaczenie i w dużej mierze będą to siły rynkowe, które określają kształt i wielkość brytyjskiej branży danych danych. Na tym froncie Alvin Nguyen, starszy analityk w Forrester, twierdzi, iż firmy muszą rozpoznać różne profile ryzyka, które stanowią lokalne i operowane przez hiperskarza.
„Należy się spodziewać, iż hiperskarze będą miały większą przepustowość, większą skalowalność i większą redundancję niż ich bardziej zlokalizowane odpowiedniki, ale sklasyfikowane centrum danych jako najważniejsze dla brytyjskiej infrastruktury może pomóc w ograniczeniu niektórych, ale nie wszystkich zagrożeń bezpieczeństwa” – mówi.
Złożoność przechowywania danych w ramach granic krajowych
Nguyen pyta również, czy debaty suwerenności danych mogą być w niektórych przypadkach nadmiernie uproszczone.
„W przypadku bezpieczeństwa danych sprowadza się to do wymagań organizacji w celu ustalenia, czy pójść do hiperskarza lub lokalnego centrum danych”, mówi. „Z suwerennością jest to nieco inne. jeżeli istnieją elementy przepisów dotyczących suwerenności w celu ograniczenia dostępu lub wykorzystania danych poza lokalnymi centrami danych, hiperskarze będą musiały upewnić się, iż poręcze są wprowadzone. ”
Komentarze Nguyen podkreślają złożoność zarządzania poufnymi danymi w środowiskach hybrydowych. Zamiast koncentrować się wyłącznie na tym, czy wybrać lokalnego czy globalnego dostawcę, firmy powinny rozważyć zarządzanie pracami w hybrydowych środowiskach chmurowych bardziej strategicznie.
„Wiele organizacji znajdzie mieszankę chmury i danych danych ma największy sens … profil ryzyka każdego z nich jest inny i iż połączenie ryzyka przy łączeniu chmury i danych danych można zaoptymalizować”, mówi.
Ryzyki bezpieczeństwa związane z suwerennością danych są wieloaspektowe, rozciągając się daleko poza proste obawy dotyczące przechowywania danych. Dla firm w sektorach regulowanych, szczególnie usług finansowych, stawki są ogromne.
Kiedy lokalne jest jedyną opcją
Jon Cosson, szef IT i dyrektor ds. Bezpieczeństwa informacji w firmie zarządzania majątkiem JM Finn, podkreśla potencjalne zagrożenia, gdy firmy zakładają, iż korzystanie z dużego dostawcy chmur automatycznie gwarantuje bezpieczeństwo.
„To absolutnie konieczne, iż wiesz, gdzie są twoje dane i jak je zabezpieczyć” – ostrzega. „Nie uwierzyłbyś, ile firm przez cały czas polega na kimś innym”.
Problem ten spotęguje jurysdykcyjną złożoność globalnych usług w chmurze. Gdy poufne dane przecina granice, mogą podlegać wielu systemom regulacyjnym, podnosząc pytania dotyczące dostępu prawnego i nadrzędnego rządowego. Obawa ta została wzmocniona przez ustawodawstwo, takie jak Ustawa o chmurze USA.
W 2019 roku ówczesny sekretarz spraw wewnętrznych, Priti Patel, podpisał Umowa o chmurze US Cloud Umowa Obejmuje brytyjską i Północną Irlandię, w której rządy USA i Wielkiej Brytanii zgodziły się zapewnić terminowy dostęp do danych elektronicznych do upoważnionych celów organów ścigania. Ustawa o chmurze może zmusić amerykańskich hiperskarzy do dostarczania danych przechowujących zagraniczne władzom USA, omijając lokalne przepisy.
„Chcę dokładnie wiedzieć, dokąd idą moje dane, jak są one zaszyfrowane i jak gwałtownie mogę się wydostać w razie potrzeby”, mówi Cosson, odzwierciedlając szersze obawy branżowe, iż nieprzezroczyste ścieżki danych i ograniczone zapewnienia umowne mogą narażać firmy na znaczne ryzyko zgodności.
„Używamy chmury, kiedy musimy, ale przez cały czas uruchamiamy najważniejsze systemy w celu kontroli”, dodaje Cosson. Takie podejście jest typowe dla firm zajmujących się poufnymi danymi finansowymi. Brakuje zaufania, a organizacje nie są przygotowane do podjęcia obietnic „bezpiecznego przechowywania w chmurze” według wartości nominalnej.
Podczas gdy Cosson przyznaje, iż przyjęcie w chmurze jest nieuniknione dla niektórych usług, takich jak Microsoft 365, podkreśla trwałą rolę infrastruktury lokalnej dla firm, które wymagają absolutnej kontroli nad wrażliwymi danymi. To oczywiście rodzi dodatkowy problem, jak bezpiecznie i wydajnie zarządzać hybrydowymi środowiskami danych.
Według Cosson firmy takie jak Nutanix odgrywają tutaj kluczową rolę, umożliwiając organizacjom zarządzanie obciążeniami w chmurze i środowiskach lokalnych przy jednoczesnym zachowaniu kontroli danych. Mówi, iż usługi infrastrukturalne Nutanix mają na celu rozwiązanie problemów związanych z suwerennością, upewniając się, iż firmy mają jasne zasady zarządzania danymi i pozostają zgodne z lokalnymi przepisami.
Potrzebujemy skoordynowanych wysiłków między władzami rządowymi, przemysłowymi i lokalnymi, aby zbudować odporny ekosystem centrum danych. Oznacza to wspólną odpowiedzialność, wyraźniejsze ramy polityki i zachęty zarówno dla hiperskarzy, jak i dostawców z siedzibą w Wielkiej Brytanii
„Następne pięć lat będzie decydujące”, mówi Civo’s Boost. „Jeśli przejrzystość staje się wymogiem prawnym, zobaczymy firmy domagające się więcej od dostawców, nie tylko miejsca, w którym znajdują się dane, ale także w zakresie zarządzania i zasilania infrastruktury”.
Techuk Cardani uważa, iż partnerstwa publiczno-prywatne odegra tutaj kluczową rolę. „Potrzebujemy skoordynowanych wysiłków między władzami rządowymi, przemysłowymi i lokalnymi, aby zbudować odporny ekosystem centrum danych”, mówi. „Oznacza to wspólną odpowiedzialność, wyraźniejsze ramy polityki i zachęty zarówno dla hiperskarzy, jak i dostawców z siedzibą w Wielkiej Brytanii”.
Zwiększenie i Cardani zgadzają się, iż równowaga siły między hiperskarzy i lokalnymi operatorami może się zmienić, szczególnie jeżeli przyszłe zasady nakazują lokalizację danych lub zabraniają transferów danych bez wyraźnych gwarancji. Suwerenność po projekcie, w której infrastruktura jest budowana w celu spełnienia lokalnych zgodności od samego początku, może stać się nowym standardem.
Przestrzeganie aktualnych standardów
Do tego momentu organizacje muszą ustalić, w jaki sposób mogą spełniać istniejące standardy. Cardani twierdzi, iż przestrzeganie standardów musi być poparte przez polityki krajowe, które umożliwiają przejrzyste struktury raportowania i wyraźnych struktur odpowiedzialności.
W praktyce oznacza to egzekwowanie obowiązkowych audytów, certyfikatów rezydencji danych i testów porównawczych bezpieczeństwa dostosowanych do ram prawnych specyficznych dla Wielkiej Brytanii. Bez tych środków przedsiębiorstwa ryzykują popadnięcie w luki w zakresie zgodności, które mogłyby narażyć je na naruszenia danych, grzywny i spory prawne.
Ramy takie jak ISO 27001 Do zarządzania bezpieczeństwem informacji, Ogólne rozporządzenie dotyczące ochrony danych (RODO) w zakresie prywatności danych I Karta płatnicza Standard bezpieczeństwa danych (PCI DSS) Aby uzyskać zabezpieczenie płatności, określone oczekiwania operacyjne. Jednak te standardy są tylko częścią równania, ponieważ ewoluujące przepisy coraz bardziej podkreślają suwerenność danych i bezpieczeństwo po projekcji.
Zapewnienie, iż centrum danych zgodne z takimi ramami, jednocześnie oferując gwarancje suwerenności, stało się palącym wyzwaniem. Hyperscalers działający w wielu jurysdykcjach komplikują audyty i kontrole zgodności ze względu na różne obowiązki prawne i zasady przesyłania danych.
Wprowadzenie dochodzenia CMA jest pilnie potrzebne, choćby po to, aby zapewnić pewną jasność co do tego, co dla większości nabywców stało się mylącym przedmiotem.
Dla liderów IT krytycznym wynosem jest to, iż odpowiedzialność nie można zlecić na zewnątrz. Bezpieczeństwo, zgodność i suwerenność muszą być aktywnie zarządzane poprzez oceny ryzyka, audyty zgodności i strategie wieloosobni.
A w miarę ewolucji brytyjskiej infrastruktury cyfrowej, tylko firmy, które wyprzedzają regulacje i wymagają przejrzystości ze strony swoich dostawców, będą mogły poruszać się po niepewności.
Z tego wyniku brytyjska branża centrum danych stoi na rozdrożu – ale przy jasności politycznej, lokalnej inwestycji i przejrzystości branżowej może stać się globalnym liderem cyfrowym w tej przestrzeni.
Chodzi o zaufanie i wszystkich grających według tego samego, uczciwe zasady, ale z perspektywy brytyjskiej chodzi również o ochronę tych najcenniejszych danych zasobów krajowych – danych.
W JM Finn’s Cosson to ujął: „Suwerenność danych nie jest modnym, jego przetrwaniem”.
