Proč umělá inteligence zvýraznila nutnost legislativy definující požadavky na suverenitu IT

S nástupem umělé inteligence se z informací a dat stalo ještě více kritické a fakticky nejkritičtější aktivum moderní ekonomiky. Tento fakt přirozeně vyvolal vlnu legislativních snah po celém světě, které si kladou za svůj cíl definovat jednak hranice suverenity IT prostředí, kde se data uchovávají a zpracovávají. Obecně jde o snahu zajištění digitální důvěry a samozřejmě také související kybernetické bezpečnosti. Martin Zich, konzultant kybernetické bezpečnosti v Hewlett-Packard Enterprise, v zajímavém rozhovoru dále vysvětluje, jak se popsaná fakta promítají do dnešního IT a také do evropského regulatorního prostředí.

Martine, mění se nějak pohled firem a států na data v roli strategického aktiva?

Neřekl bych, že považování dat za kritické aktivum je úplně nová věc. Nástup umělé inteligence (AI) jen znovu nasvítil jejich kritickou důležitost. AI modely, které jsou typicky souborem vah a rozhodovacích stromů data potřebují, jinak jsou jen prázdnou schránkou, krásnou limuzínou bez paliva. Data model trénují a následně mu umožňují smysluplně fungovat a správně plnit těžké i lehčí úkoly, které mu předložíme.

Na fakt, že data a celý typicky cloudový ekosystém je třeba chránit, samozřejmě reaguje legislativa. Po celém světě vzniká obrovské množství kybernetických zákonů, norem, frameworků, která nastavují nová pravidla, opět nic nového. Co je ale relativně novým pojmem je „suverenita“, kdy je typicky stanovena pevné hranice, ve kterých je nutné data a zpracující ekosystém udržet, a to včetně takových věcí jako je například vzdálený přístup provozní údržby nebo kompletního dodavatelského řetězce systému, softwaru atd.

Když se zaměříme na legislativu v EU, vidíme tam teď nějaké zásadní změny nebo věci, které nás čekají?

Pokud zůstaneme v Evropské unii, tak i tam je situace mezi jednotlivými členskými státy pořád poměrně různorodá. Některé státy nemají související zákony nebo nařízení ve své legislativě, nicméně máme příklady států, které už požadavky na suverenitu IT prostředí nad rámec zákona o kybernetické bezpečnosti zavedly. Například Francie. Tam existuje nařízení „SecNumCloud“ a platí pro poskytovatele cloudových služeb. Řeší se v ní různé závislostí, přenosy dat, jejich ukládání, kdo jsou dodavatelé systémů a jaké jsou jejich další závislosti atd.

Podobné nařízení nalezneme i v Německu. Tam platí tzv. „C5“. Jedná se o rozšířením německého zákona o kybernetické bezpečnosti, jenž klade důraz například na zajištění transparentnosti, kde poskytovatel musí detailně popsat, jak data zpracovává, kde jsou uložena atd.

Pro celou Evropskou unii je navíc stále připravováno schéma evropské certifikace kybernetické bezpečnosti pro poskytovatele cloudových služeb (EUCS), které vydává agentura ENISA. Situace ohledně tohoto schématu je ale stále velice turbulentní. Jde zejména o nejvyšší stupeň bezpečnosti, který by měl obsahovat právě i požadavky na suverenitu. Debata probíhá a není uzavřena. Není tedy jasné, jak daleko a co všechno budou požadavky na certifikaci cloudových služeb pokrývat. K dispozici je jen „draft“.

Posledním příkladem, který bych uvedl je „Cloud Sovereignty Framework“, který poměrně nedávno schválila evropská komise. Nejde sice o nějaké nařízení, nicméně praktický framework, který je doporučován jako podklad pro hodnocení úrovně suverenity při poptávkách na cloudové služby. Dovedu si představit, při výběrovém řízení se leckterá organizace může zachytit popsaných definic a pak je hledat v nabídkách uchazečů, když cílem je nakoupit „suverénní“ cloudové prostředí.

Když jsme se dotkli suverénního cloudu, v čem se tento koncept nejvíce liší od běžných veřejných cloudů?

U veřejného cloudu mě hlavně zajímá, co je mi poskytováno, co je moje odpovědnost jako zákazníka/konzumenta cloudových služeb a co je odpovědnost poskytovatele. To je typicky popsáno v kontraktu, který se před poskytování služby uzavírá.

Suverénní cloud musí splňovat mnohem více parametrů, zejména dodržet tzv. „hranici suverenity“. Vše se musí odehrávat v tomto vymezeném prostoru, včetně ukládání dat, zpracování, správy systémů, kde jsou data uložena atd. Důležitou roli v těchto scénářích může hrát šifrování dat a fakt kdo drží šifrovací klíče. Zatímco v prostředí „běžného“ veřejného cloudu je normální definovat, že data budou uložena a zpracovávána v určitém regionu, u suverénního cloudu může být požadavek více konkrétní nebo se k němu přidá i nutnost zajistit, aby provozní činnosti byly prováděny také z tohoto místa atd. Ale není to jen o provozu, v extrémním případě může zákazník požadovat odkrytí technický závislostí na třetích stranách a schopnost tyto opět „vmáčknout“ do definované hranice suverenity. Možná Vás napadne i řada dalších extrémů jako třeba požadavek na to, kde seděl programátor, který konkrétní software (nebo třeba i model pro AI) zpracovávající data vyvinul. Bylo to v rámci několikrát zmíněné hranice, např. EU? I takových zdánlivých absurdit se v budoucnu můžeme v některých prostředích a provozech dočkat.