Рассматриваем политические, юридические и экономические риски, связанные с суверенитетом данных, опасения по поводу цифровой зависимости и масштабное проникновение гиперскейлеров в государственный сектор Великобритании. — computerweekly.com
Когда президент США Трамп в феврале 2025 года ввел санкции против Международного уголовного суда (МУС), прошло немного времени, прежде чем главный прокурор МУС Карим Хан обнаружил, что его электронная почта Microsoft 365 заблокирована. Это вызвало волны потрясений в Европе, связанные с цифровым суверенитетом, и породило опасения, что американские облачные гиперскейлеры могут использовать «выключатель» против клиентов, идущих вразрез с политическими императивами США. Многие восприняли это как еще один пример того, как политика США «Америка прежде всего» ударила по дому, на этот раз в цифровой сфере и по жизненно важной информационной инфраструктуре организации. Для МУС это подтолкнуло организацию к миграции на решение openDesk от немецкого поставщика ZenDiS, которое предлагает инструменты офисной продуктивности на основе технологий с открытым исходным кодом, соответствующих GDPR. Для многих других в Великобритании и Европе это выдвинуло на первый план вопрос цифрового суверенитета. В ответ на инцидент с МУС и Microsoft, например, голландские законодатели обратились к правительству с петицией о переходе на 30% голландских или европейских облачных сервисов к 2029 году. В этой статье мы рассматриваем суверенитет данных с точки зрения рисков – политических, юридических и экономических – с особым акцентом на масштабное проникновение американских гиперскейлеров на рынки Великобритании и Европы. Мы также услышим мнения тех, кто обеспокоен проникновением американских гиперскейлеров в государственный сектор, жизненно важные услуги и облачную экономику, и раскроем огромное проникновение гиперскейлеров в государственный сектор Великобритании. Это первая статья в серии, следующая будет более подробно посвящена проблемам активистов и ответным мерам на уровне государств в отношении суверенитета данных.
Что такое суверенитет данных/цифровой суверенитет?
Чтобы вообще обсуждать суверенитет данных, нам необходимо прийти к рабочему определению или набору определений. Идея суверенитета данных проистекает из более широкого политического понятия суверенитета, применяемого к государствам, где оно означает единоличную власть управлять страной. Когда речь идет о данных, мы можем расширить эту идею, чтобы она означала полный контроль над данными и приложениями, чтобы получить концепцию суверенитета данных или цифрового суверенитета. Это может применяться к предприятиям и их потребности сохранять данные в определенных юрисдикциях для соблюдения правовых и нормативных требований.
Каковы риски для национальных государств в отношении суверенитета данных?
Риски для национальных государств в отношении суверенитета данных делятся на три основные категории:
Политический риск и «выключатель» гиперскейлера
Инцидент с МУС и Microsoft показывает, что суверенитет данных – это не просто теория. Это реальный риск, говорит представитель Либерал-демократов по науке, инновациям и технологиям Тим Клемент-Джонс. «Если вы видите такой риск, когда гиперскейлер, такой как Microsoft, может подвергнуться давлению с целью прекращения предоставления услуги, вы должны учитывать тот факт, что мы настолько глубоко интегрированы – у нас Microsoft, AWS и Google повсюду в правительстве», – говорит он. «Где альтернативные поставщики из Великобритании?» Президент США Трамп и его непредсказуемое и/или целенаправленное принятие решений стали основным фактором, влияющим на суверенитет данных, не в последнюю очередь потому, что большая часть облачных мощностей, развернутых по всему миру, принадлежит США, в частности трем основным гиперскейлерам – AWS, Microsoft и Google Cloud.
Юридический риск и «юрисдикционное превышение полномочий»
Затем возникают опасения по поводу юридического вмешательства. Здесь законы одной страны применяются к данным, хранящимся в системах, которые также могут подпадать под действие законов другой страны. Это называется «юрисдикционное превышение полномочий». Риски такого рода в отношении суверенитета данных иллюстрируются Законом США о доступе к данным, полученным за рубежом (Cloud Act), и Законом Китая о национальной разведке (NIL), которые создают ситуации, когда законы одной страны напрямую противоречат законам другой страны, где данные защищены. Закон США о разъяснении законного использования данных за рубежом (Cloud Act) был принят в 2018 году и уполномочивает правоохранительные органы США требовать от американских технологических компаний предоставления им данных, независимо от того, где эти данные хранятся, внутри или за пределами США. Это требование напрямую затрагивает законы о конфиденциальности в других странах, такие как GDPR ЕС, который запрещает передачу данных в третью страну. Между тем, китайский NIL предписывает содействие и сотрудничество в работе китайских государственных разведывательных органов и может применяться к китайским компаниям и гражданам, где бы они ни находились. Как и Закон США о доступе к данным, GDPR делает невозможным соблюдение этого в Европе, поскольку NIL может потребовать от компании передачи данных о клиентах в Европе, что снова противоречит передаче данных за границу.
Экономический риск: превращение в «цифровую колонию»
Наступает момент, когда опасения по поводу иностранного политического вмешательства и суверенитета данных переплетаются с вопросами экономического суверенитета. Беспокойство заключается в том, что у Великобритании и европейских государств нет отечественных мощностей для предоставления облачных услуг и программного обеспечения, как у американских гигантов, и это представляет риск для экономического благополучия этих стран. Аксель Фосс, немецкий депутат от Христианско-демократической партии в Европейском парламенте, является активным сторонником укрепления европейского экономического суверенитета в цифровой сфере, заявляя, что, по его мнению, Европа рискует стать цифровой колонией США или Китая. «Это проявляется, когда повседневная цифровая жизнь Европы и все чаще наша критическая инфраструктура работают на неевропейском оборудовании, программном обеспечении, облачных сервисах и платформах», – говорит Фосс. «Это означает, что следующая технологическая волна может быть сформирована акторами, которые не разделяют наши ценности или стандарты. Это создает системные риски для процветания, конфиденциальности и безопасности, и может создать у европейцев ощущение, что демократические институты «потеряли контроль» над цифровой средой. «Самые большие риски – это стратегическая зависимость и односторонние зависимости. Если основные инструменты для совместной работы, идентификация, хранение данных, облачные сервисы и ИИ контролируются извне, администрации и компании Европы теряют реальную свободу выбора и переговорную силу». Эта зависимость иногда проявляется шокирующим образом. В прошлом году стало известно, что шотландские полицейские управления, использующие Microsoft 365, понятия не имеют, в какой стране могут храниться их данные – и Microsoft не собиралась им сообщать. Клемент-Джонс говорит: «Их данные могут храниться по всему миру в любом дата-центре, управляемом Microsoft. Первое, что приходит мне на ум, это действительно безумие. Как они могут это делать? Как они это оправдывают? Несомненно, такая организация, как полиция, будет требовать физического суверенитета».
Масштабы проникновения гиперскейлеров: государственный сектор Великобритании
Американские облачные провайдеры-гиперскейлеры имеют почти универсальное проникновение в государственный сектор Великобритании и составляют большую часть расходов на технологии. В 2023/2024 финансовом году 95% организаций центрального и местного государственного сектора в Великобритании тратили бюджет на облачные сервисы гиперскейлеров. Если включить сюда программное обеспечение, работающее на облаке гиперскейлеров – например, программное обеспечение как услуга (SaaS) – эта доля возрастает до 99%. Это касается более чем 1100 государственных органов, включая министерства, советы, полицейские управления и организации Национальной службы здравоохранения (NHS), согласно данным аналитиков Tussell. Специалист по государственным закупкам ежегодно публикует список Tech Titans – 150 ведущих технологических поставщиков по объему расходов, полученных от государственного сектора Великобритании, и детализирует его по ведомствам. В 2023/24 финансовом году этим компаниям было выплачено около 17,7 млрд фунтов стерлингов из государственного бюджета, что составило 84% от общих расходов. В данных можно идентифицировать фактического гиперскейлера только в одном случае – AWS присутствует под своим собственным именем. Это связано с тем, что в большинстве случаев облачные услуги предоставляются через реселлеров трех ключевых облачных платформ, принадлежащих США: AWS, Microsoft Azure и Google Cloud, при этом Oracle и IBM также учитываются как гиперскейлеры для данного анализа. Среди известных облачных реселлеров для государственного сектора Великобритании – Bytes, Capgemini и Softcat, но список расширяется примерно до 30 таких поставщиков. Мы можем подтвердить, что поставщики являются реселлерами облачных услуг гиперскейлеров, поскольку они публикуют информацию о своих аккредитациях, таких как AWS Premier Tier Services Partner, Azure Expert Managed Service Provider или Google Cloud Premier Partner. Это не означает, что они предоставляют исключительно облачную связь, поскольку они часто также предлагают консалтинговые услуги. Из общей суммы расходов Tech Titans в 17,7 млрд фунтов стерлингов более половины – 55% или 9,9 млрд фунтов стерлингов – было потрачено на облачные сервисы гиперскейлеров напрямую или через облачных реселлеров в 2023/2024 финансовом году. Помимо прямой или реселлерской предоставки облачной связи гиперскейлеров, можно также идентифицировать поставщиков, предлагающих услуги, использующие облако гиперскейлеров (например, SaaS), или, по крайней мере, исключить их как поставщиков облачной связи. Добавление их к прямым гиперскейлерам и облачным реселлерам, они составили 86% от общих расходов Tech Titans, получив 15,3 млрд фунтов стерлингов. Из 22 министерств в данных 21 потратило бюджет на облачные сервисы гиперскейлеров в той или иной форме в этом году, при этом 13 из них потратили 50% или более своего технологического бюджета на облачные сервисы гиперскейлеров напрямую или через реселлеров. Пятью крупнейшими государственными заказчиками облачных сервисов гиперскейлеров были: Министерство обороны (1,09 млрд фунтов стерлингов), Налоговое и таможенное управление Ее Величества (1,01 млрд фунтов стерлингов), Министерство внутренних дел (775 млн фунтов стерлингов), Департамент труда и социального обеспечения (622 млн фунтов стерлингов) и NHS England (442 млн фунтов стерлингов). Из 64 полицейских управлений и других полицейских агентств в данных 55 потратили бюджет на облачные сервисы гиперскейлеров, что возросло до 59, если включить услуги, использующие облако гиперскейлеров. Столичная полиция потратила 354 млн фунтов стерлингов на облачные сервисы гиперскейлеров. Из 271 организации NHS в данных 270 потратили бюджет на облачные сервисы гиперскейлеров в 2023/24 году.
Заключение: цифровая инфраструктура Великобритании зависит от иностранных технологий
Данные Tussell/Computer Weekly подчеркивают, насколько глубоко укоренилась облачная инфраструктура США в государственном секторе Великобритании – реальность, которая усложняет усилия европейских политиков по продвижению альтернатив «суверенного облака». Когда почти каждое государственное ведомство и бесчисленное множество местных и других агентств зависят от горстки офшорных структур, грань между предоставляемыми услугами и национальным суверенитетом стирается. Как предупреждают некоторые активисты, с которыми мы общались, риск заключается уже не только в том, где находятся данные, но и в том, обладает ли национальное государство полным контролем – суверенитетом – над своими собственными критически важными функциями. Для исправления этой ситуации потенциально требуется радикальный сдвиг в стратегии. В следующей статье этой серии мы рассмотрим, как правительства и активисты в Великобритании и Европе отреагировали на это.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Antony Adshead