De-globalizace IT znamenající částečný návrat k „privátně“ provozovaným systémům

Globalizace propojuje svět nevídanou rychlostí, ale zároveň vnáší závislosti na systémech a řešeních provozovaných nebo pocházejících z míst, které podléhají nejrůznějším jurisdikcím, a pravidlům. V současné době roste tlak na znovuzískání kontroly nad vlastní digitální existencí, jejíž součástí je i snaha o ohraničení konkrétního IT do definované oblasti zaručující požadovaný stupeň vlastní kontroly (suverenity). Martin Zich, konzultant kybernetické bezpečnosti ve společnosti Hewlett-Packard Enterprise, se zamýšlí nad tím, jak byl tento posun nastartován a jak je urychlován současnými událostmi v dnešním globálním světě.

Jak byste definoval pojem de-globalizace v kontextu informačních technologií a čím se to liší od klasického chápání globalizace?

Globalizaci v IT musíme chápat ve smyslu závislosti fungování IT systémů organizace, na službách, které běží často fyzicky v místech „velmi vzdálených“ od jejich konkrétního uživatele a jeho datového centra. Typickým příkladem jsou nejznámější veřejné cloudy, které jsou sice provozovány a poskytovány ze systémů umístěných v definovaných blízkých regionech, jsou ale často spravovány i z úplně jiné části světa.

Přestože existuje model sdílené odpovědnosti („shared responsibility“), kde je většinou zaručena určitá míra transparentnosti a dodržování pravidel na straně poskytovatele, může mít organizace zákazníka problém nastavit takový kontrakt s poskytovatelem cloudových služeb, který dokáže pokrýt kompletní set požadavků, který definuje její suverenitu. Třeba požadavek na umístění HW nebo fyzické umístění operátorů datového centra poskytovatele. Je třeba si také uvědomit, že závislosti Vám samozřejmě nevznikají jen tam, kde konzumujete cloudovou službu, ale téměř všude. Třeba i v dodavatelských řetězcích Vašeho hardwaru, aplikací, elektrické energie atd.

De-globalizací IT pak můžeme nazvat obecný trend, kde se organizace snaží snížit závislosti na službách a produktech, které jsou poskytovány/vyrobeny v místech, která považují za oblast mimo svoji definovanou kontrolu nebo dosah (mimo oblast svého „suverénního prostředí“).

Snaha o suverenitu je jen podskupinou širšího tématu, které nazýváme snahou o konkrétní formu digitální důvěry („digital trust“). Vše objímající snahou je provoz digitálně důvěryhodných systémů, kde suverenita je jednou ze složek, třeba kromě kybernetické bezpečnosti a dalších.  Ve zkratce je tedy snaha o suverénní IT snahou o provoz systémů, nad kterými mám definovanou úroveň kontroly, transparentnosti, a kde je možné vidět a určovat nebo kontrolovat maximum závislostí.

V kontextu takových závislostí často zmiňujeme příklady selhání. Nedávno měl výpadek Amazon.

Když má jeden globální hráč, na kterém je závislý velký počet organizací po celém světě, výpadek, může to být příčinou výpadků, který logicky může zasáhnout celý svět. Tam patří i zmíněný příklad nedávného výpadku cloudových služeb společnosti Amazon. Ještě větší riziko představují závislosti na konkrétním dodavateli/poskytovateli služeb/produktů operujícího ne z několika míst na světě, jako třeba zmíněný Amazon, ale pouze z jednoho konkrétního místa na zeměkouli. Opět nemáme možnost přímo ovlivnit co se v daném místě/jurisdikci děje. Může tam nastat pandemie viru, „blackout“ nebo třeba soudní rozhodnutí s dopadem i na naše systémy a data.

Organizace, státy (státní celky), průmyslová odvětví začaly tato rizika daleko více rozpoznávat a zařazovat je do svých programů pro řízení rizik nebo např. v případě států a průmyslu vydávat nejrůznější předpisy, standardy a regulace. Logickou cestou je pak snaha spojená rizika snižovat zaváděním opatření, což v praxi může znamenat přechod na lokálně poskytované služby, výměnu dodavatelů a řešení za ty, co splňují konkrétní požadavky na suverenitu.

Když se vrátíme k těmto událostem, byla tady covidová pandemie, která se často zmiňuje jako nějaký katalyzátor. V čem odhalila zranitelnost IT systémů?

Všichni si uvědomili svoje závislosti. To samozřejmě platí v IT i mimo něj. Pokud se podíváme i mimo tento svět, tak ten, kdo spojená rizika nerozpoznává včas nebo nedokáže/nemůže včas reagovat, může trpět někdy i drsnými následky (nedostatky zboží, výpadky služeb atd.). Problém tedy není jen v tom, že by organizace v konkrétním místě na světě nemohla standardně fungovat v běžném režimu (třeba kvůli nákaze Covidem-19), ale fakt, že regiony, kde operují jejich dodavatelé, trpí daným problémem a tento se pak logicky přenáší i na ně.

Nešlo jen o cloudové služby, ale o jakéhokoliv dodavatele v hardwarovém nebo softwarovém řetězci. Očekáváme určité věci a ty se nestanou, protože jedna ze stran má problém, na jehož vyřešení se stávám závislý. Covid nám krásně ukázal, kde všude ty závislosti máme, protože najednou jsme začali trpět následky.

Velmi podobné je to s geopolitickou situací, což lze také považovat za pozorovaný „katalyzátor“ snah o de-globalizaci a definovaní hranic suverenity. Konvenční i obchodní války nebo nestabilita v konkrétních regionech nutí organizace zkoumat míru své závislosti na těchto problematických částech světa.