Kdo má přístup k mým datům a proč je to důležité? Patrick Smith z Pure Storage vysvětluje, proč přichází éra suverénních datových center

Průzkum Technické univerzity Sydney ve spolupráce s Pure Storage ukázal, že firmy otázku datové suverenity nejen vnímají, ale aktivně na ni reagují. Kvalitativní průzkum provedený mezi průmyslovými lídry z devíti různých zemí to jednoznačně prokázal:

• Celkem 100 % respondentů potvrdilo, že rizika spojená se suverenitou dat, včetně rizika potenciálního přerušení služeb, donutila organizace přehodnotit umístění svých dat.

• 92 % uvedlo, že geopolitické změny zvyšují rizika související se suverenitou dat.

• 92 % varovalo, že nedostatečné plánování suverenity dat může vést k poškození reputace společnosti.

• 85 % identifikovalo ztrátu důvěry zákazníků jako konečný důsledek nečinnosti v otázce suverenity dat.

• 78 % již přijalo různé strategie v oblasti suverenity dat, jako je implementace strategií více poskytovatelů služeb, přijetí suverénních datových center a začlenění zvýšených požadavků na správu do obchodních smluv.

O tom, jak datová suverenita ovlivňuje pohled společností na ukládání a zpracovávání dat, jsme si promluvili s Field CTO regionu EMEA společnosti Pure Storage Patrickem Smithem.

Jak nový zájem o datovou suverenitu ovlivní tradiční úložiště a cloud? Zvýší se poptávka po hybridním cloudu?

Když propojíte regulace jako GDPR s aktuální geopolitickou situací, uvidíte, že firmy musí náhle řešit palčivou otázku většiny zákazníků: Kdo by mohl mít přístup k mým datům, ať už jsou uložena v mé zemi nebo v zahraničí, a má vůbec rezidence dat v globálně propojeném světě nějaký význam? Kdo by k nim mohl získat přístup a za jakých okolností?

Jsme svědky vzniku místních zákonů, které vládním orgánům umožňují požadovat   přístup k datům bez ohledu na to, kde se tato data nacházejí. A tak se organizace najednou musí ptát: Jak mohu zajistit  soulad s GDPR  a zároveň se vypořádat s dopady těchto druhů předpisů a zákonů?

Už nějakou dobu mluvíme o hybridním multicloudu jako o preferovaném cíli, čehož si jsou firmy dobře vědomi. Moderní hybridní multicloud ale musí zahrnovat určitou variantu datové suverenity. Ať už jde o poskytovatele spravovaných služeb, který datovou suverenitu nabízí, cloudového poskytovatele s datovou suverenitou, nebo o vlastní datové centrum zákazníka – jedno z toho musí být součástí nabídky. Klíčová je také možnost posouzení rizika pro všechny kritické aplikace organizace, aby se vedení mohlo rozhodnout, kde data hostovat na základě realistické tolerance rizika. Takové požadavky ze strany zákazníků očekáváme.

Když se v souvislost se zákony ohledně suverenity dat podíváme na různé evropské frameworky existující i budoucí, například Gaia X či EU Data Act z těch současných a European Data Union Strategy z budoucích, jak si myslíte, že ovlivní datovou suverenitu a schopnost Evropy inovovat?

Z hlediska regulací čelí Evropská unie opravdu obtížné výzvě. Myslím, že EU si uvědomuje, že místy to s regulacemi přehnala, což bylo pro podniky v Evropě oproti konkurenci nevýhodou. Brzdilo je to na globální scéně. V poslední době vidíme určité zmírnění regulací. Zajímavá je situace třeba se směrnicí CSRD upravující udržitelnost a životní prostředí; pro firmy byla až příliš náročná, a tak se aktuálně přehodnocuje. CSRD by stále měla být efektivní a dávat smysl, ale pro podniky snad nebudou takovou zátěží.

Všichni se, myslím, shodujeme na tom, že udržitelnost je pro organizace klíčová, ale je zásadní, aby se předpisy v této oblasti nestaly pro podniky zátěží nebo překážkou. Věřím, že EU bude opatrná a vlivem těchto zkušeností nezavede takové regulace datové suverenity, které by podniky brzdily. Pokud si dnes poslechnete některé z důraznějších poslanců na evropské scéně i v EU samotné, konkurenceschopnost místních firem na globální scéně patří mezi absolutní priority.Je to o vyvážení podpory podniků a ochrany občanů.

Co se týče datové suverenity, bude to při tvorbě regulací taková chůze po tenkém ledě. 

Myslíte, že je vůbec možné, aby Evropa dokázala zároveň jak chránit data občanů, tak umožnit podnikům svobodně růst?

Řekl bych, že od EU bude potřeba vést příkladem. Většina občanů by asi například očekávala, že různé státní služby, provoz státu jako takový, budou řízeny a uloženy v suverénním prostředí. To si myslím, že by ocenili nejen občané, ale i firmy budou chtít vidět, jak se to dělá. Veřejná správa by ideálně měla být tím, kdo cestu za datovou suverenitou povede.

To by zároveň mělo zajistit určitou základní úroveň klíčových příjmů právě oněm evropským poskytovatelům cloudu, což by jim umožnilo dál růst a nabídnout datovou suverenitu dalším subjektům. To by byl, myslím, velmi dobrý krok.

Vidíte možnost vzniku evropského hyperscalera, nebo bude datová suverenita v praxi vždy kombinací místních zákonů a globálních poskytovatelů?

Zejména v EU lze pozorovat značné investice do vlastních cloudových poskytovatelů, obzvlášť se zaměřením na umělou inteligenci a oznamovanou výstavbu různých „AI gigatováren“. Investice ze strany Evropské unie na zajištění datové suverenity vidět jsou, a s tím i související důraz na zajištění této suverenity, ale je nutné vzít v potaz samotný rozsah hyperscalerů.

Když se podíváte na částky investované těmito předními hyperscalery, jsou o řád vyšší, než kolik EU investuje do nových datových center v celém regionu. Vytvořit datově suverénního cloudového poskytovatele je ušlechtilý cíl, ale bude to těžké. V EU jsou určití velmi velcí cloudoví poskytovatele nebo hostingové společnosti, například OVHcloud nebo Deutsche Telekom. V současné době však nedosahují rozsahu globálních hyperscalerů.

Jak tušíte, že se bude diskuze kolem datové suverenity v budoucnu vyvíjet?

Nějaké regulace týkající se datové suverenity se, tuším, dočkáme, byť nedokážu předpovědět, jak bude vypadat. GDPR nebo AI Data Act jsou sice související regulace, ale netýkají se přímo datové suverenity. Již nyní vidíme, že podniky začínají brát datovou suverenitu seriózněji, je prováděno více výzkumů a důkladných posouzení rizik.

Dá se také očekávat přehodnocování aktuálních úložných řešení a přesun části zátěže z veřejného cloudu do suverénního cloudu, kde také očekávám další investice. Kdybych měl nahlédnout do křišťálové koule, řekl bych, že právě to jsou klíčové oblasti, které se podle mě budou v příštích 12 až 24 měsících vyvíjet.

Tyto datové regulace se budou podle vás týkat jen Evropské unie, nebo i dalších regionů?

Řekl bych, že regulace uvidíme jak v Evropské unii, tak také v oblasti Asie a Pacifiku. Už teď se o tom diskutuje v Austrálii, na Novém Zélandu, v Japonsku. Některé země v Asii a Pacifiku nebo třeba Japonsko mají velmi přísné požadavky na datovou suverenitu už dlouhou dobu. Například Singapur měl také vždy velmi přísné požadavky na datovou suverenitu. Takže ne, není to jen o EU, myslím, že se to děje také v oblasti Asie a Pacifiku a v Japonsku.

Vraťme se ještě zpět k samotné datové suverenitě. Podniky dnes musí pracovat s obrovským množstvím dat, i vlivem umělé inteligence, a objem zpracovávaných dat dál roste – spolu s nimi ale také požadavky na datovou suverenitu a kybernetickou bezpečnost. Jak se s tím mají firmy efektivně vypořádat?

Je pravda, že trend růstu objemu dat zatím nezpomaluje. Od nástupu generativní umělé inteligence jsme naopak zaznamenali jeho zrychlení. Nyní jsme v situaci, kdy lidé ještě méně než dříve mažou svá data, protože nikdy neví, zda nebudou mít v budoucnu hodnotu. Vidíme proto velký důraz na to, jak tato data ukládat co nejefektivněji. A to souvisí i s otázkou udržitelnosti, na kterou jsme už narazili; jak ukládat data co nejméně energeticky náročně a jak co nejefektivněji využívat datová centra.

Pak jste zmínil kybernetickou bezpečnost, což je téma samo o sobě, ale samozřejmě jednou z výzev, kterým organizace čelí, je rostoucí počet kybernetických útoků. Během letošního léta jsme ve Velké Británii zaznamenali několik velmi mediálně sledovaných kyberútoků, například na Jaguar Land Rover, nebo na Marks and Spencer, Harrods či Coop; zkrátka velké útoky na maloobchod a výrobu. To znamená, že organizace musí být schopny nejen zvládat růst dat, ale také tato data chránit a zajistit, že pokud dojde k chybě nebo k ransomwarovému útoku, budou schopny data co nejrychleji obnovit. Mám podezření, že to byl problém pro některý z těchto významných cílů, kde trvalo poměrně dlouho, než se jim podařilo prostředí obnovit.

Myslíte, že by větší datová suverenita mohla zákazníka před útoky ochránit?

V dnešním propojeném světě nehraje fyzická poloha dat z hlediska bezpečnosti příliš velkou roli, takže ne přímo.

Ale co je tedy potřeba k ochraně dat? Velmi kvalifikovaná pracovní síla, která kybernetické bezpečnosti opravdu rozumí. V oblasti kybernetické odolnosti potřebujete efektivní provozní procesy, které zajistí, že vaše prostředí má nejnovější možné aktualizace, potenciální zranitelnosti jsou odstraněny vždy co nejrychleji a že se dodržují nejlepší postupy pro zabezpečení celého prostředí.

Především to ale není jen o technologiích. Úspěchu útočníci často dosáhnou prostřednictvím sociálního inženýrství. Pro zvýšení úrovně zabezpečení je proto potřeba, aby každý zaměstnanec v organizaci byl vyškolen a věděl, na co si dávat pozor, aby se nestal obětí phishingového útoku. Bylo by hezké moct říct: „Moje data jsou v datově suverénním data centru, takže jsou dokonale v bezpečí,“ ale nemyslím si, že by to kdy byla pravda.

Dále bych řekl, že hyperscaleři fungují v takovém měřítku a s tak vysokou úrovní automatizace, že úroveň zabezpečení, kterou udržují ve svých prostředích, je velmi vysoká. Na začátku cloudové éry to tak nutně být nemuselo, ale dnes mají hyperscaleři neuvěřitelně efektivní bezpečnostní procesy.

A co Pure Storage? Jak zajišťujete, že jsou požadavky zákazníků na datovou suverenitu zajištěny?

Technologie, které zákazníkům poskytujeme, si provozují sami. Tyto technologie tedy nevyhnutelně fungují v suverénním prostředí – buď v datovém centru zákazníka, nebo v datovém centru poskytovatele spravovaných služeb. Tím se obvykle vyřeší jakékoliv geografické otázky, stejně jako otázky vlastnictví a řízení data, které mohou podniky mít. Jsme sice americká společnost, ale skutečnost, že si zákazník naši technologii koupí a umístí ji do svého datového centra, eliminuje obavu, že by poskytovatel služeb mohl službu jen tak vypnout.

V jiné otázce jste zmiňoval rostoucí objem dat. Jsme hrdí na to, že máme velmi energeticky úsporné platformy. V naší zprávě o dopadu na životní prostředí uvádíme, že jsme až o 85 % energeticky efektivnější než naši konkurenti. Když se bavíme o datové suverenitě, jde o velmi důležitý údaj, protože pokud se snažíte poskytovat digitálně suverénní služby, nemůžete vše outsourcovat do jiné země.

Služby musíte provozovat v rámci vlastních hranic, což znamená, že potřebujete elektrickou energii na provoz datových center a vodu na jejich chlazení, a ne každý má k dispozici tolik relativně levné energie jako například Finsko nebo Island. Takže ve chvíli, kdy všechna data vracíte do vlastní země, vyplatí se mít úložiště, která jsou velmi energeticky efektivní. Cloudoví poskytovatelé obecně poskytují velmi spolehlivé služby. Jsme hrdí na to, že naše služby poskytujeme s dostupností 99,9999 %. Dostupnost je samozřejmě nesmírně důležitá.

A nakonec také zákazníkům nabízíme vestavěné možnosti kybernetické bezpečnosti, například možnost velmi rychle obnovit data po ransomwarovém útoku, pokud se organizace stane jeho obětí.

Takže to jsou podle mě hlavní oblasti, kde Pure Storage svým zákazníkům opravdu pomáhá.