Цифровий суверенітет. Як боротьба за контроль над даними перетворилася в повноцінний вимір геополітичного протистояння

Якщо спрощувати, цифровий суверенітет — це здатність держави контролювати створені нею дані та вирішувати, хто до них має доступ. International Data Corporation (IDC) класифікує цифровий суверенітет на три основні складники: 

• Суверенітет даних: IaaS зберігання даних, PaaS, безпека даних.
• Операційний суверенітет: мережі, менеджмент систем і служб, аналітика безпеки.
• Технічний суверенітет: інтегрована інфраструктура та апаратна частина, системна інфраструктура ПЗ, безпекова апаратна частина.

Тотальна гегемонія GAFAM

Останні десятиліття надмірна ринкова влада кількох великих технологічних компаній, обмежений вибір споживачів та урядів у сфері цифрових послуг, а також концентрація даних користувачів у приватних руках були основними джерелами занепокоєння серед держав та наддержавних утворень щодо контролю над чутливими даними. 

Зростальна геополітична нестабільність додала напруженості у відносинах навіть серед держав, які мають партнерські, а інколи союзні відносини. Зокрема американський відхід від ролі «світового поліцейського» за чинної адміністрації Трампа спонукав багатьох союзників США переглянути свої відносини зі Штатами. Є побоювання, що надмірна залежність від послуг п’ятірки американських техгігантів (Google, Apple, Facebook (Meta), Amazon і Microsoft) становить серйозний ризик державам, які користуються їхніми сервісами для зберігання даних. І це побоювання не безпідставне, оскільки прецедент стався ще далеко до першої каденції Трампа. 

У грудні 2013 року уряд США повідомив Microsoft, щоб компанія надала ФБР електронні листи деяких підозрюваних у справі щодо наркоторгівлі. І все ніби нічого, от тільки імейли лежали на серверах Microsoft в Ірландії. Компанія стверджувала, що уряд США не має суверенних повноважень на іноземній території, а уряд США відповідно стверджував протилежне, посилаючись на закон 1986 року, який дозволяв здійснювати екстериторіальні повноваження і надавав право доручати будь-якому постачальнику послуг отримати доступ до даних, де б той не був. У відповідь на юридичні складнощі цієї справи у 2018 році Конгрес США ухвалив Закон про роз’яснення законного використання даних за кордоном (CLOUD). CLOUD уповноважує правоохоронні органи США вимагати доступ до даних, що зберігаються американськими компаніями за кордоном. По суті, CLOUD розв’язав руки уряду США, який тепер може здійснювати свої повноваження щодо цифрового суверенітету навіть за межами своєї території, використовуючи панівну позицію американських бігтех-компаній. 

Open source і локалізація даних

У відповідь на це уряди багатьох країн запроваджують правила щодо захисту даних, конкуренції та інфраструктури, щоб відновити автономію, конфіденційність і конкурентні інновації. 

Почався важливий, хоч і повільний перехід на програмне забезпечення з відкритими кодом. Для прикладу, 96% федеральних установ Німеччини використовують Microsoft Office і Windows. Тобто вони майже повністю залежать від американського постачальника цифрових послуг. У квітні минулого року федеральна земля Шлезвіг-Гольштейн перевела 30 000 комп’ютерів своїх працівників із рішень Microsoft на програмне забезпечення з відкритим кодом — LibreOffice. Свої дії німці пояснили не лише фінансовою вигодою, адже LibreOffice є повністю безплатним, а й прагненням подати приклад для наслідування — як позбутися залежності від техгіганта.

Залежність від американських цифрових послуг для Європи можна порівняти із залежністю від російських енергоносіїв до 2022 року. Згідно з дослідженням Synergy Research Group, з 2017 року європейський попит на хмарні сервіси збільшився в чотири рази, генеруючи щоквартальний прибуток у розмірі 7,3 млрд євро. Згідно з цими даними, з 2017 до 2022 року частка європейських компаній на ринку хмарних обчислень впала більш ніж на 10%, з 27% до 16%. Європейська компанія з найбільшою часткою — Deutsche Telekom — займає лише близько 2% ринку, тоді як Amazon, Google і Microsoft — 72%. 45,2% підприємств ЄС придбали послуги хмарних обчислень у 2023 році, переважно для хостингу систем електронної пошти, зберігання файлів в електронному вигляді та офісного програмного забезпечення. 75,3% цих підприємств придбали складні хмарні сервіси. 

У 2019 році європейці створили Gaia-X — федеральну цифрову екосистему, засновану на принципах відкритого коду, яка дозволяє всім учасникам обмінюватися даними, водночас гарантуючи, що власники даних зберігають повний суверенітет над ними. Перспектива Gaia-X була привабливою: об'єднана європейська хмарна платформа, достатньо велика, щоб кинути виклик домінуванню на ринку американських гіперскейлерів і задовольнити потреби бізнесу в суверенітеті даних. Замість того, щоб починати з нуля і намагатися створити свій AWS, архітектори Gaia-X в урядах Франції та Німеччини вирішили об'єднати ресурси різних менших компаній на ринку, щоб створити каталог продуктів, які можна порівняти на єдиній платформі. 

«Ви могли б обирати послуги, які вам потрібні, і об'єднувати їх разом. Так, ви купуєте сховище у французької компанії OVHcloud, обчислювальні потужності у німецької хмарної фірми Ionos та платіжні сервіси в іншого постачальника, а потім поєднуєте їх разом», — пояснив принцип роботи Gaia-X CEO Nextcloud Френк Карлічек. 

Однак Gaia-X ідея відхилилася від першочергового бачення. Серед 350 підприємств, що брали участь в ініціативі, було чимало розбіжностей, тож головний голос дістався найбільшим гравцям, які поступово змістили акцент з розбудови спроможностей на впровадження стандартів. На думку деяких фахівців, Gaia-X зав’язла в надмірній європейській бюрократії. 

Найголовніше, уряди почали розбудовувати власні дата-центри, які б не залежала від американських компаній. Прихильники локалізації дата-центрів стверджують, що інвестиції в місцеві сервери та центри обробки даних можуть стимулювати місцеву економіку та надати громадянам можливості для працевлаштування. На початку 2025 року стартував інший європейський проєкт virt8ra, метою якого є створення суверенної європейської хмарної інфраструктури на основі технології з відкритим кодом.

Додатково країни розвивають законодавства, щоб регулювати використання даних своїх громадян іноземними компаніями. Європейський Союз розробив Загальний регламент про захист даних (GDPR). Згідно з умовами GDPR, будь-яка організація, незалежно від її місцеперебування, повинна дотримуватися низки правил управління даними, якщо вона хоче торгувати з клієнтами в межах ЄС. Ці правила дають можливість окремим громадянам більше контролювати те, як їхні дані можуть бути використані. Штрафи за порушення правил GDPR можуть досягати сотні мільйонів євро. Нещодавно ЄС оштрафував китайський TikTok на 530 млн євро за незаконну передачу даних європейських користувачів до Китаю. До цього Meta кілька разів порушувала регламент, найвідоміше з порушень призвело до штрафу в 1,2 млрд євро в травні 2023 року. Amazon «потрапив» на штраф у 746 млн євро у 2021 році. 

У березні 2021 року лідери чотирьох європейських країн написали спільного листа президенту Європейської комісії Урсулі фон дер Ляєн з пропозиціями щодо прискореного досягнення європейського цифрового суверенітету. З того часу ЄС прийняв Закон про цифрові ринки (DMA), Закон про цифрові послуги (DSA) та Закон про штучний інтелект (AI Act), які в сукупності спрямовані на регулювання цифрової економіки та нових технологій у межах блоку.

Цифровий тоталітаризм

Найкращим прикладом максимально суворого цифрового суверенітету є Китайська народна республіка. Ще з часів глобального запуску мережі Інтернет Китай не поспішав впроваджувати нові технологічні дива, розглядаючи їх як «цифрового троянського коня». Партійні лідери одразу зрозуміли, що ідея кіберсвіту без кордонів, де інформація буде вільно поширюватися по всьому світу без втручання держави, дуже схоже на методику західних країн в 19 столітті з поширенням опіуму серед китайського населення, що зрештою призвело до занепаду держави та подальшої військової інтервенції. З огляду на залежність Європи від американського «цифрового» опіуму можна сказати, що Китай не помилився у своєму рішенні. 

Ви точно чули про «Великий китайський фаєрвол», створений для обмеження доступу до певної інформації на території Піднебесної. Щоб отримати доступ до багатомільярдного китайського ринку, більшість західних технокомпаній погодилися на умови комуністичного уряду й створили спеціальні цензуровані версії своїх цифрових продуктів, які не порушують місцеве законодавство. У КНР є аналог американського CLOUD — Закон про кібербезпеку 2017 року, який надає такі самі повноваження, зокрема можливість реквізувати дані з серверів китайських компаній, незалежно від того, в якій країні вони розміщені. Однак, на відміну від американців, які хоча б домоглися через суд реєструвати такі запити, що надходять в американські компанії, китайцям для отримання доступу до даних ніякого рішення суду не потрібне.

Політика Китаю спрямована на використання сильної версії цифрового суверенітету із суворими правилами локалізації даних. Свого часу Сі Цзіньпін зазначив: «Той, хто контролює технології великих даних, контролюватиме ресурси для розвитку і матиме перевагу». На цей момент, КНР є найбільш закритою цифровою державою у світі.

Цифрова (не)залежна Україна

Основним законом України про захист даних є Закон «Про захист персональних даних» (2010), який в листопаді минулого року отримав нову редакцію до відповідності нормам GDPR. За тиждень до початку повномасштабної війни в Україні ухвалили Закон «Про хмарні послуги», який заклав основи для розвитку платформ інформаційно-комунікаційних технологій, що базуються на хмарних обчисленнях і реалізації принципу переваги хмарного середовища (cloud first). Однак із початком повномасштабного вторгнення росії уряд дозволив розміщувати державні дані за кордоном або в хмарах на території інших держав. Американські та європейські технологічні компанії допомогли Україні перенести життєво важливі сервіси в хмару за кордон. Наразі в хмару перенесли понад 100 державних реєстрів й інших інформаційних систем. Нова постанова дозволить залишити дані за кордоном у хмарі й не переносити їх в Україну після закінчення війни. І тут починається найбільша проблема, оскільки повернути дані назад в Україну буде непростим завданням. 

За даними De Novo, які компанія надала dev.ua, оцінка обсягів ринку IaaS/PaaS у 2024 р. — від $110 до $120 млн доларів із загальною часткою трьох гіперскейлерів (AWS, MS Azure, Google) не більше $90 млн. Тобто доля американських провайдерів складає приблизно 75%. Динаміка зростання українських провайдерів майже вдвічі відстає від показників закордонних конкурентів. Тут важливо зазначити, що ми не відстаємо в цьому плані від наших союзників. Велика Британія витратила 7 млрд фунтів стерлінгів на урядові хмарні сервіси у 2019 році, і левову частку отримала AWS — 229 млн. З 2013 року витрати ФРН на ІТ інфраструктуру становлять 13,6 млрд євро, 4,6 млрд з яких пішло американській Oracle. 

В інтерв’ю dev.ua співзасновник одного з найбільших хмарних провайдерів в Україні — GigаСloud — Максим Курочко розповів, що держава може опинитися в ситуації vendor lock-in, коли перехід до альтернативного постачальника послуг супроводжується значними втратами. За словами Курочко, Закон «Про хмарні послуги» так повноцінно і не запрацював, а в державному секторі не практикується пріоритет використання хмарних послуг для забезпечення їхніх IT-інфраструктур на противагу купівлі дорогого серверного обладнання. Адже в них немає ані відповідного нормативного порядку для цього, ані необхідних кадрів — достатньо кваліфікованих спеціалістів.

На сполох б’ють й інші українські «хмарники». CEO українського датацентру De Novo Максим Агеєв звернув увагу, що Центр інновацій та розвитку оборонних технологій Міністерства оборони України витратив 15 млн грн для закупівлі послуг сервісу Microsoft Azure, а заяву Microsoft Regional Director Олександра Краковецького про допомогу понад $500 млн допомоги у підтримку української ІТ-інфраструктури назвав необґрунтованими. 

Щоб підняти важливість теми, українські «хмарники» створили Альянс цифрового суверенітету, до якого долучилися хмарні провайдери GigaCloud, De Novo та датацентр «ПАРКОВИЙ». 

Метою ініціативи є зміцнення цифрового суверенітету України — повне розміщення та обробка критичних даних (державних, медичних, фінансових, оборонних) всередині країни відповідно до національного законодавства.

Альянс готовий співпрацювати з державою над стратегією повернення цифрових даних на територію України. Серед напрямів роботи альянсу — аудит наявної цифрової інфраструктури, розробка єдиних стандартів для провайдерів, а також створення умов для: 

• масштабування національної хмарної інфраструктури; 
• вільного та безпечного переносу даних між провайдерами без залежності від іноземних платформ; 
• гарантування захисту даних навіть в умовах криз або атак.

Ідея Альянсу схожа на вище згадану європейську ініціативу Gaia-X, тільки від приватного сектору. Питання в тому чи дійсно він матиме голос, який почують в Мінцифри та інших владних кабінетах. 

Читайте головні IT-новини країни в нашому Telegram

По темi

Читайте головні IT-новини країни в нашому Telegram

«Українські бази даних, у тому числі й державна конфіденційна інформація, можуть попрямувати за межі території України й осядуть в датацентрах, що перебувають під юрисдикцією інших держав». Інтерв’ю зі співзасновником GigаСloud

По темi

«Українські бази даних, у тому числі й державна конфіденційна інформація, можуть попрямувати за межі території України й осядуть в датацентрах, що перебувають під юрисдикцією інших держав». Інтерв’ю зі співзасновником GigаСloud

«Це не людський чинник і не кібератака». Що ж трапилося в дата-центрі De Novo?

По темi

«Це не людський чинник і не кібератака». Що ж трапилося в дата-центрі De Novo?

Є Зоряні війни, а є — хмарні. Так-от в Україні почався перший епізод. Чули про таке? Розповідаємо детально

По темi

Є Зоряні війни, а є — хмарні. Так-от в Україні почався перший епізод. Чули про таке? Розповідаємо детально