Internet przekonał nas, że świat nie ma granic. Jedno kliknięcie myszy przenosi nas na inny kontynent i pozwala kontaktować się z kimkolwiek, gdziekolwiek na świcie się znajduje. Dzięki chmurze świat IT stał się łatwiejszy niż zakupy w supermarkecie- sami możemy budować aplikacje, bez konieczności kupowania i utrzymywania serwerów, kabli, sprzętu i administratorów – powoli wszystko sprowadza się do zalogowania się do Internetu … potem wszystko staje się możliwe. Czy na pewno będzie tak zawsze? Już dzisiaj widać, że na pewno nie. W wirtualnym świecie chmur powstają zupełnie realne granice, które pokrywają się z granicami państw i granicami politycznych wpływów, a uzasadniona obawa o bezpieczeństwo danych powoduje, że wracamy do świata wirtualnych zasieków, drutów kolczastych i wieżyczek strażniczych na granicach świata IT.
Rosyjska blokada.
Rosyjski sąd właśnie ogłosił, że na podstawie ustawy wprowadzonej w 2014 roku nakazuje się zakazać korzystania z platformy LinkedIn w Rosji. O co chodzi? Zgodnie ze wspomnianą rosyjską ustawą wszelkie serwery przechowujące dane rosyjskich obywateli muszą być zlokalizowane w Rosji. Oznacza to, że teoretycznie wszystkie, wielkie korporacje IT zapewniające globalne usługi albo ją naruszają albo muszą zbudować swoje (lub chmurowe) data centers i tam złożyć kawałek baz danych dla rosyjskich użytkowników. Ustawa była przez pewien okres straszakiem i narzędziem negocjacji, teraz fizycznie LinkedIn jako pierwszy w kolejce dostał wyrok nakazujący zablokowanie usług.
Trend światowy.
Niestety jest to problem światowy. Z jednej strony tego typu ustawodawstwo kieruje nas w zproceduralizowany i w pełni nadzorowany świat IT, w którym za chwilę może pojawić się również kontrola osób, danych oraz używanych przez nich informacji. W Rosji wydaje takie zarządzenia Roskomnadzor (Rosjanie uwielbiają takie skróty), organizacja podobna do federalnej służby nadzoru telekomunikacji, komunikacji masowej i technologii informatycznych. Od działań urzędu regulacyjnego i wspomagającego tylko krok do masowej inwigilacji i kontroli użytkownika tak jak Ministerstwo Miłości lub Ministerstwo Pokoju w Orwellowskim „Roku 1984”. Roskomnadzor ustanowiony w 2008 nadzoruje ponad 1500 firm informatycznych i raczej nie jest tylko niewinnym regulatorem, ale powoli, jak alarmują nieliczne organizacje pozarządowe, zmierza do elektronicznej inwigilacji użytkowników sieci.
Jest jednak i druga strona medalu. Tak naprawdę proces budowy własnych, informatycznych granic rozpoczął się już właściwie wszędzie. Uzasadnione obawy o bezpieczeństwo danych i praktycznie mała cyberwojna, która ma miejsce pomiędzy USA i Rosją oraz codzienne przypadki ataków na własne systemy i własne dane, powodują, że większość państw tak naprawdę będzie chciało mieć serwery na swoim terytorium- tak dzieje się np. w Turcji, gdzie odpowiednia ustawa reguluje nawet to, że dane bankowe muszą być zlokalizowane w krajowych centrach bazodanowych. Systemy IT i dane obywateli stały się tak krytyczne dla działania państwa jak same drogi, mosty i wojskowe dywizje, wobec tego wszyscy zaczynają się bronić jak tylko się da.
Trendy na rynkach IT idą więc obecne w stronę wirtualnego świata, chmurowych rozwiązań i wielkich systemów ale… z granicami państwowymi, gdzie dane mogą być przechowywane. Powstają więc chmury i krajowe centra bazodanowe, które następnie wykorzystywane są przez państwowe ministerstwa, służby i obywateli- istnieją już Chmura i Data Center w technologii Oracle dla rządu amerykańskiego, amerykańskiego departamentu obrony oraz rządu Wielkiej Brytanii. Wielcy dostawcy technologii starają się pogodzić ogień z wodą – w pełni otwarty świat internetu i chmury (dla użytkownika dalej przeźroczyste), a lokalnymi wymaganiami bezpieczeństwa (dane i serwery w krajowych centrach i z nadzorem władz). Ten trend wygra niezależnie od tego jak będziemy ubolewać nad tym, że złote lata wolności Internetu odchodzą w zapomnienie. Wielkie korporacje IT, na podstawie decyzji organów rosyjskich, będą podejmować decyzje o korzystaniu z lokalnie tworzonych data centers i przeniesieniu kawałków baz danych właśnie tam. Polska wbrew pozorom wcale nie musi być poza tym trendem, bo konieczność budowy chmur rządowych (rodzaj Government Cloud) jest ewidentna, nawet jeśli decydenci nie do końca mają tego świadomość. Rozwiązania IT odchodzą od tzw. aplikacji „on premise” (czyli oprogramowaniu działającym na zakupionym do tego celu sprzęcie należącym do klienta) i gwałtownie przechodzą w chmurę (Infrastruktura as a service). Ale w tym wypadku aktywuje się problem z bezpieczeństwem przechowywania danych- czy powinny to być chmury z serwerami na terenie Polski czy w innym kraju- i każdy z krajów włącza własne regulacje, często ściągając chmurę do siebie. Można się spodziewać, że za chwilę wielcy dostawcy chmur jak Amazon, Oracle czy Microsoft, będą zmuszeni ( albo już są) do budowy lokalnych, krajowych centrow bazodanowych, a w przypadku aplikacji rządowych jest to już praktyczną koniecznością. Tu też za chwilę pojawi się kolejny problem – nawet jeśli mamy serwery u siebie to czy sama chmura zapewnia bezpieczeństwo danych? Podświadomie mamy obawę – czy dostawca chmury będzie miał możliwość dobrania się do przechowywanych danych? Ten podświadomy problem będzie cały czas aktywny, pomimo, że wiodący dostawcy zapisują krwią cyrografy w Terms and Condition, że dane są bezpieczne, że oni do nich w ogóle nie mogą zajrzeć (np. Oraclowe mechanizmy Data Masking i Data Vault, analogiczne w AWS i Azure). Tu pewnie poziom bezpieczeństwa będzie zwiększany przez własne albo certyfikowane, lokalne służby IT. Obawa wygrywa… jednak trudno się dziwić, bo w dużej części jest to obawa uzasadniona.
Nie dziwmy się więc Rosjanom, bo za chwilę będziemy wymagali tego samego u siebie. Jednak róbmy to z głową i niech nasze, krajowe bezpieczeństwo informacji zawsze będzie skierowane aby chronić, a nie inwigilować obywateli.