Suverenitet podataka je vruća tema. Za organizacije komercijalnog i javnog sektora, usklađenost kako bi se osigurala sigurnost ličnih podataka je primarni cilj. A to znači da ne može biti predmet stranih zakona ili uplitanja.
Suverenitet podataka je također pitanje međunarodnih odnosa, gdje države nastoje osigurati da podaci građana i organizacija budu sigurni od stranog uplitanja. A, za države, postizanje suvereniteta podataka je takođe način zaštite i razvoja nacionalnih ekonomija.
U ovom članku razmatramo suverenitet podataka i ključne korake koje CIO moraju poduzeti da bi izgradili svoju strategiju suvereniteta podataka. Ovo se usredsređuje na reviziju, klasifikaciju i kontrolu izgradnje nad lokacijom i kretanjem podataka.
Šta je suverenitet podataka i zašto je to problem?
Na najopštijem nivou, suverenitet podataka je zadržavanje podataka unutar nadležnosti – obično državnih granica – čiji zakoni uređuju njihovu upotrebu.
Interes za suverenitet podataka se gradi već neko vrijeme. U jednom smislu, to mnogo liči na zakon koji sustiže rane godine korištenja oblaka i popularnosti „divljeg zapada“. Ovdje su organizacije požurile na ovu novu, vrlo fleksibilnu lokaciju da obrađuju i pohranjuju podatke, a zatim su kasnije otkrile rizike kojima su one – i njihovi podaci o klijentima – bili izloženi.
U skorije vrijeme, težnja ka digitalnom suverenitetu porasla je na nivo država. Taj trend je dobio veliki poticaj tokom prvog mandata američkog predsjednika Donalda Trumpa. To je dovelo do uvođenja Zakona o pojašnjavanju zakonite upotrebe podataka u inostranstvu (Cloud), na primjer, koji potencijalno omogućava američkom provođenju zakona da pristup podacima koje čuvaju američke kompanije bilo gdje. Počela su zvoniti zvona za uzbunu, posebno u Evropi.
Organizacije postižu digitalni suverenitet u svom poslovanju tako što podležu podacima zakonima i kontroli države u kojoj posluju ili iz koje posluju. Ali daleko smo od toga da to postignemo, kada, na primjer, Amazon Web Services (AWS), Microsoft Azure i Google Cloud Platform (GCP) imaju oko 70% europskog tržišta oblaka, a mnoge europske državne organizacije u potpunosti ili u velikoj mjeri zavise od američkih hiperskalera za usluge u oblaku.
Koje su zabrinutosti oko suvereniteta podataka i šta CIO planiraju da urade?
Istraživanja redovno otkrivaju da su donosioci odluka u IT-u zabrinuti za suverenitet podataka. Gartnerovo istraživanje sprovedeno među 241 donosioca IT odluka na globalnom nivou pokazalo je da većina (75%) onih koji nisu u SAD planiraju da imaju strategiju digitalnog suvereniteta do 2030. U međuvremenu, 53% je reklo da bi zabrinutost oko geopolitike ograničila buduću upotrebu globalnih dobavljača oblaka, a 61% je reklo da će takve brige povećati njihovu upotrebu regionalnog ili lokalnog oblaka.
Složenost – i potencijal za kontradiktorne propise i povećane troškove – takođe predstavljaju veliku zabrinutost, kaže Simon Robinson, glavni analitičar za skladištenje i infrastrukturu podataka u Omdiji.
“Naše istraživanje je pokazalo da 74% organizacija kaže da su suvereni oblaci postali važniji u posljednje dvije godine,” kaže on.
“Međutim, to je složeno područje koje se brzo kreće. Regulatorno okruženje i okruženje za usklađenost se brzo razvija. Ali izazov za globalne organizacije je to što neki propisi mogu zapravo biti u sukobu, potencijalno ih prisiljavajući da razmišljaju o tome da li bi mogli prekršiti jedan zakon ili propis kako bi zadovoljili drugi.”
Robinson dodaje: „To u najmanju ruku povećava troškove, može dovesti do nedosljednih politika podataka oko zadržavanja i moglo bi usporiti usvajanje naprednih tehnologija, kao što je AI [artificial intelligence].”
Dakle, dok su rizici oko toga da se pohranjeni podaci nalaze u centrima podataka u stranoj zemlji, o stranoj infrastrukturi iu skladu sa zakonima te zemlje velika briga, rješavanje te situacije može donijeti i svoje probleme.
Šta je revizija suvereniteta podataka i zašto je toliko važna?
Srž odgovora organizacije na nepoznatu ili nekontroliranu situaciju suvereniteta podataka je revizija njenih podataka. Ovo je prvi korak ka osiguravanju da se podaci čuvaju i obrađuju unutar odgovarajućih državnih granica.
To će vjerovatno imati oblik identifikacije rizika u vezi sa različitim klasama podataka, kaže Jon Collins, potpredsjednik angažmana i terenski glavni tehnološki službenik u GigaOm-u.
„Nisu svi podaci stvoreni jednaki, niti su svi dijelovi arhitekture jednaki,“ kaže on. “Prvi korak je da klasifikujete ono što imate. Identifikujte da li treba da potpada u delokrug suvereniteta, shvatite o kakvoj se vrsti podataka radi i razmotrite kako bi to moglo da utiče u smislu privatnosti, lokalizacije i usklađenosti.”
Ključni dijelovi strategije digitalnog suvereniteta uključuju mapiranje digitalne imovine i tokova podataka kroz njihov životni ciklus i zakone kojima su podložni u svim fazama. Zatim klasifikujte podatke da biste procenili nivoe rizika za svaku klasu.
Ovo može uključivati geografsko označavanje i trebalo bi biti dio tekućeg procesa, kaže Bettina Tratz-Ryan, potpredsjednica i analitičarka Gartnera. „Alati za automatsko otkrivanje pomažu u identifikaciji i označavanju osjetljivih podataka, bilo u fizičkoj pohrani ili na slučajnim lokacijama kao što su dijeljeni diskovi i mape,“ dodaje ona.
„O redovnim revizijama i provjerama usklađenosti se ne može pregovarati i zahtijevaju snažne politike upravljanja i periodične ručne revizije.”
Kako minimizirati izloženost rizicima skladištenja podataka
Strategija skladištenja podataka koja se bavi suverenošću podataka gradi se na klasifikaciji podataka u reviziji podataka kako bi ograničila koji podaci kamo mogu ići.
Kao dio procesa klasifikacije, podaci će biti podvrgnuti politici koja se manifestuje u označavanju metapodataka što ukazuje na njihovu osjetljivost i toleranciju na kretanje.
“Organizacije bi trebale usvojiti upravljanje podacima kao pristup kodu, automatizirajući usklađenost kroz infrastrukturu kao tehnike koda za dosljednu primjenu i brzu sanaciju,” kaže Tratz-Ryan.
To znači da bi osjetljivi podaci trebali biti pohranjeni lokalno ili u regionalnim centrima podataka kako bi se ispunili zahtjevi prebivališta, a oblak se koristi za skalabilnost prema strogim zahtjevima usklađenosti specifičnih za regiju.
„Kontinuirano praćenje, enkripcija i geo-ograđivanje su od suštinskog značaja, a upravljanje mora biti ugrađeno, a ne pričvršćeno,” dodaje Tratz-Ryan.
Takvi pristupi rješavaju poteškoće koje potencijalno nastaju s podacima u tranzitu. Uz ugrađenu mogućnost praćenja usklađenosti i mogućnosti revizije putem klasifikacije i označavanja, kritična radna opterećenja mogu se lakše odvojiti od manje osjetljivih podataka u mirovanju i u prijenosu.
„Strogo upravljanje lokacijom i kretanjem je kamen temeljac za smanjenje rizika“, kaže Tratz-Ryan.
Izazovi u održavanju znanja i kontrole
Postoji mnogo izazova za reviziju suvereniteta podataka. Podaci se kreću i prelaze granice. Mogli bismo vjerovati da smo zakucali podatke u našu infrastrukturu, dok podaci pronalaze druge backdoor rute preko granica. U međuvremenu, vlasnički sistemi predstavljaju ogromne izazove za revizije i označavanje, a osoblje kreira IT u sjeni, koristi e-poštu, prilaže datoteke i tako dalje.
Ukratko, kretanje podataka u organizaciji može biti veoma složeno. Potencijalno je jednostavno izvršiti reviziju i kontrolirati ogromnu količinu naših podataka, ali problemi dolaze sa slučajnim slučajevima kretanja podataka, kaže Tratz-Ryan.
“U globalno povezanim organizacijama, rizici suvereniteta će se pojaviti čak i ako su podaci pohranjeni na lokalnim serverima. Daljinski pristup, sigurnosne kopije i integracije softvera kao usluge mogu stvoriti prekograničnu izloženost, pokrećući izazove usklađenosti prema zakonima kao što je američki zakon o oblaku. Također, upravljanje se može zaobići slučajnim, prijenosom osobnih podataka putem virtuelnih uređaja, privatne mreže”, kaže ona.
„I, na primjer, proizvođač automobila može skladištiti datoteke dizajna na jednoj lokaciji, ali metapodaci i rezervne kopije mogu teći kroz globalne sisteme upravljanja životnim ciklusom proizvoda, stvarajući izloženost suverenosti.
“Slučajno kretanje podataka, kao što su e-pošta, dijeljeni diskovi i alati za saradnju, često guraju podatke u nedozvoljene fascikle u oblaku, izvan suverene uprave. Sjenoviti IT otežava problem kada zaposleni koriste vanjske aplikacije bez IT nadzora, stvarajući slijepe tačke.”
GigaOm Collins vjeruje da su za većinu ključni elementi potrebni za uključivanje usklađenosti sa suverenitetom podataka već prisutni u njihovoj organizaciji.
„Praktično je to razmotriti u okviru svog šireg okvira upravljanja, rizika i usklađenosti,“ kaže on. “Prednost je što kao veća organizacija već imate prakse, procese i ljude za reviziju, izvještavanje i nadzor. Zahtjevi suvereniteta mogu biti ugrađeni u te mehanizme.”
Collins kaže da ne treba pretpostaviti da su svi podaci potrebni za ispunjavanje pravila o suverenitetu i da u mnogim slučajevima to nije moguće učiniti.
“Na primjer, nije realno učiniti e-poštu potpuno suverenom, lokalno sadržanom aplikacijom jer je sama po sebi distribuirana,” kaže Collins. “Ali možete spriječiti prijenos suverenih podataka putem e-pošte. Tu na scenu stupaju pravila o sprječavanju gubitka podataka i zaštiti podataka, kako biste bili sigurni da se podaci iz određenih spremišta ili određenih klasifikacija ne šalju e-poštom.”
Slično i sa oblakom. Umjesto da pokušavamo da sve mape u oblaku učinimo suverenim, trebali bismo odlučiti koji podaci mogu, a koji ne mogu biti pohranjeni tamo. A ako podatke treba pohraniti lokalno, onda oni idu u lokalnu lokalnu ili domaću uslugu u oblaku ili zonu dostupnosti.
„Ključna debata je odlučivanje da li je određeni skup podataka suveren“, kaže Kolins. “Ako poslujete u datoj zemlji i držite podatke klijenata o ljudima u toj zemlji, onda ti podaci ostaju u toj zemlji. To vam daje jasnu listu onoga što ne može ići u cloud foldere, biti poslano e-poštom ili upravljano sistemom koji ne može garantirati lokalizaciju. Kada to uokvirite na taj način, cijela stvar postaje mnogo jednostavnija.”