Питання зберігання й обробки даних виходить за межі технічної дискусії — це національна безпека, регуляторика та економічна незалежність. Гравці ринку сходяться на тому, що критичні реєстри, оборонні дані та сервіси з обробки персональних і фінансових даних мають знаходитись під контролем всередині країни.
Питання зберігання й обробки даних виходить за межі технічної дискусії — це національна безпека, регуляторика та економічна незалежність. Гравці ринку сходяться на тому, що критичні реєстри, оборонні дані та сервіси з обробки персональних і фінансових даних мають знаходитись під контролем всередині країни.
Але чи вдається їх тут утримати? І якщо не вдається, то чому і які можуть бути наслідки? Ці питання ми детально розібрали в нашій статті.
За словами CBDO і співзасновника GigaCloud Антона Хвастунова, Держспецзвʼязку дає офіційне визначення критичних даних, але якщо говорити простими словами — це інформація, яка не є державною таємницею, але доступ до якої все одно потрібно обмежувати. Якщо хтось отримає доступ без дозволу, змінить або знищить такі дані, це може зашкодити власнику цієї інформації або системі, у якій вони зберігаються.
Як вважає Антон Хвастунов, це, по-перше, дані, які важливі для оборонної сфери.
Це позиції військових частин, маршрути евакуацій, зображення і відео з дронів, внутрішня комунікація між підрозділами, будь-які реєстри військових.
«В ідеалі для цього всього використовувати лише своє ПЗ, яке б не могло передати жодної інформації закордонним розробникам і яке було б теоретично важче „зламати“», — каже Хвастунов.
Також до даних, які не слід було б зберігати за кордоном, він відносить інформацію, яка стосується критично важливої інфраструктури: «все, на що потенційно може бути спрямований удар ворога і що впливає на важливі щоденні справи».
Антон Хвастунов наголошує: більшість із нас користується закордонними сервісами: ми платимо за Netflix, YouTube Premium, Spotify чи iCloud. Тож передачі даних наших платіжних карток за кордон уникнути неможливо.
Однак ці дані мають бути належно захищені, зокрема, зберігатися відповідно до правил стандарту PCI DSS. Він всесвітньо визнаний та забороняє зберігати особливо чутливі дані (CVC2, CVV2, PIN тощо), але дозволяє зберігання номера картки, імені її власника та терміну її дії (за належних умов захисту).
«Щодо GigaCloud, то він має хмару з PCI DSS, тому ми точно можемо гарантувати, що для сервісів із проведенням транзакцій може використовуватися наше рішення», — підкреслює Антон Хвастунов.
Якщо ми говоримо про дані компанії, то тут також є закордонні хмарні інструменти та рішення, зокрема для формування і зберігання фінансової звітності, і багато хто використовує їх теж. Однак варто пам’ятати про юридичні, технічні та репутаційні ризики їх використання. «На жаль, неможливо гарантувати цілісність таких даних за кордоном чи те, що у майбутньому їх не використають для конкурентної боротьби», — підкреслює Хвастунов.
Щодо фінансових установ, то в Україні діють чіткі вимоги Нацбанку щодо використання хмарних послуг з дотриманням вимог законодавства про захист персональних даних, про захист інформації та про кібербезпеку. «І обираючи українського провайдера, як мінімум, значно легше дотримуватися цих вимог на території України чи за її межами в зонах діяльності такого провайдера», — каже представник GigaCloud.
CBDO GigaCloud розповідає, що, по-перше, майданчик, на якому розміщені дані, повинен мати необхідні дозволи й сертифікати, зокрема мати атестат відповідності КСЗІ. Також варто дотримуватися міжнародних стандартів ISO, зокрема ISO 27001, 27701, 27017, 27018.
По-друге, локальні українські провайдери більше дбають про дотримання українського законодавства, інші країни не можуть вимагати доступ до даних клієнтів за своїми законами, а самі дані зберігаються ближче до користувачів, тож їх передача відбувається швидше, з мінімальними затримками.
«В ідеалі, зберігати державні дані у суверенній хмарі — тобто в такій, де розміщення даних, техпідтримка, контроль над ними відбуваються в межах країни та відповідно до національного законодавства. Ми в GigaCloud будуємо сертифіковані суверенні рішення, визнані як такі європейською спільнотою та нашими клієнтами, зокрема з держсектору», — додає Антон Хвастунов.
Однією з великих тем, де обробка даних та їхнє збереження, виходить на перший план — це робота сервісів штучного інтелекту. Навіть якщо сам сервіс український, без іноземного провайдера йому ніяк не обійтися.
Співзасновник HAPP, розробник голосового AI‑асистента Вʼячеслав Салоїд підкреслює, що у сфері голосових і мовних технологій Україна поки що «абсолютно повністю залежна» від обробки даних закордонними провайдерами. «Основними постачальниками технологій залишаються США — OpenAI, Google, Anthropic. Оскільки ми використовуємо їхні ресурси, ми залежні від них», — каже він. Наслідок — обмеження можливостей регулювати, контролювати й монетизувати власні продукти.
Антон Хвастунов тут додає практичну ремарку щодо правового ризику: «Усі гіперскейлери підпадають під CLOUD Act — це ризик, що на вимогу іноземних органів дані можуть бути розкриті».
Топменеджер GigaCloud підкреслює, що після чергового обрання Дональда Трампа у 2025 році ризик втрати власних даних став більш очевидним.
«Особливо після ситуації, коли за його указом Microsoft забрав доступ до робочої пошти в одного з прокурорів Міжнародного кримінального суду. Тобто фактично є ризик втрати даних, їхнього використання в політичних цілях чи на користь американських компаній у межах недобросовісної конкуренції», — наголошує Хвастунов.
Обидва спікери погоджуються: для побудови цифрового суверенітету даних потрібні великі ресурси. «Навіть для нашого продукту потрібно інвестувати мінімум мільйон доларів в інфраструктуру, щоб підтримувати якість», — каже Вʼячеслав Салоїд.
Водночас він бачить вікно можливостей:
«Зараз ми перебуваємо на стадії „зароджування“ — у нас є приблизно півтора‑два роки запасу, поки технологічний бум не змінить правила гри».
Проте далеко не всі українські бізнеси залежать від обробки та зберігання великих масивів даних. Для деяких навпаки використання власних локальних серверів — це більш економічний шлях, ніж похід до глобальних хмар.
Максим Ястреб, засновник компанії Profitmark, яка займається реєстрацією торгівельних марок, використовує власну інфраструктуру на орендованих серверах в Hetzner.
«Ми не використовуємо хмарні рішення оскільки в нашому випадку це буде досить дорого. Питання виключно економії», — підкреслює Ястреб.
Приблизно такої ж логіки дотримується і співзасновник сервісу хмарної телефонії Phonet Григорій Осадчий. Його компанія використовує місцевий дата-центр, в якому розміщує свої сервери.
«Історично так стартували, тоді ще не були так розвинені хмари», — додає бізнесмен.
Але зараз частину сервісів Phonet запустив в Google Cloud. «Вона дуже крута хмара, але і коштує відповідно. Саме через це не розглядаємо повну міграцію туди», — підкреслює він.
У контексті нашої теми цікаво розібрати свіжий кейс — як Мінцифри вирішила зберігати дані державних AI-проєктів, яким нещодавно був даний старт. Мова про AI-Factory, на базі якої будуть функціонувати чат-боти «Дії» та «Мрії», а також про національну велику мовну модель, яку Мінцифри розробляє разом з «Київстар».
Підходи щодо збереження національних даних у цих двох проєктів відрізняються.
Отже, для того щоб створити нове середовище для AI-чатботів, які будуть обробляти запити користувачів в реальному часі, «Дія» вирішила закупати власне залізо та софт. Бюджет закупівлі доволі високий — 227,5 млн гривень.
Тим часом у національній мовній моделі може бути як локальне залізо, так і хмарний кластер в одного з гіперскейлерів (AWS, Azure, GCP), — розповів dev.ua директор із розробки диджитал-продуктів «Київстар» Михайло Нестор.
На його думку, вибір локального заліза для AI Factory очевидний. Тому що кожен запит в чат-боті від користувача буде вимагати обробки на GPU (навіть при наявності нетренованої моделі під рукою). Тому, як вважає Нестор, локальні сервери (які зараз закуповує «Дія») — це перевага через меншу затримку сигналу та вартість. Стояти ці сервери будуть також в локальному датацентрі.
На основі коментарів учасників ринку, можна виділити конкретні практичні кроки, які допоможуть зменшити ризики та пришвидшити побудову цифрового суверенітету.
1. Класифікація і контролювання даних
Перший крок — чітко класифікувати, які дані державні й корпоративні є критичними (оборонні реєстри, знімки з дронів, маршрути, реєстри критичної інфраструктури). Їх зберігання і обробка має бути під повним національним контролем.
2. Локальні ЦОДи та суверенні хмари
В ідеалі — зберігати державні дані у суверенній хмарі, де розміщення, техпідтримка і контроль відбуваються в межах країни». Сертифікація (КСЗІ, ISO 27001/27701/27017/27018, PCI DSS для платіжних сервісів) і наявність спеціалізованих рішень (наприклад, сертифікат VMware Sovereign Cloud Provider) — базова вимога для довіри до провайдера.
3. Багаторівневий захист і BCP
Просто розмістити дані у хмарі вже недостатньо. Потрібні фізичні заходи (екрановані модулі, сенсори, відеоспостереження), шифрування, PAM, SIEM, SOC, міжмережеві екрани та регулярні аудити. Обов’язкова умова — план безперервності бізнесу і регулярне тестування відновлення даних.
4. Регуляторні та юридичні обмеження
Для фінансових установ діють жорсткі правила НБУ. Гіперскейлери підпадають під CLOUD Act — це ризик, що на вимогу іноземних органів дані можуть бути розкриті. Тому при обробці чутливої інформації варто віддавати перевагу локальним або суверенним рішенням або застосовувати жорстку модель шифрування і розділення доступу.
5. Інвестувати у власну інфраструктуру й R&D
«Ми абсолютно повністю залежні від великих провайдерів у сфері мовних моделей і синтезу мови», — констатує Вʼячеслав Салоїд. Його висновок простий: без інвестицій у власні сервери, GPU‑ферми та розробку мовних моделей Україна залишатиметься «цифровою колонією». Разом з тим Салоїд бачить «вікно можливостей» — треба закладати власну інфраструктуру та R&D, поки зростає попит і поки ціни на обчислювальні потужності можуть змінитися.
6. Публічно‑приватне партнерство і роль телекомів
Експерти радять залучати великих гравців ринку — операторів звʼязку та банків — до будівництва суверенної інфраструктури. «Якби частина активів зберігалася в Україні, це стимулювало б зовнішні інвестиції», — каже Вʼячеслав. Антон Хвастунов додає: українські провайдери «легше дотримуються місцевого законодавства», тож співпраця з ними знижує юридичні ризики для держави й бізнесу.
7. Підтримка open‑source і локальних проєктів
Вʼячеслав Салоїд нагадує, що для низки задач (наприклад, транскрибування) вже є сильні open‑source рішення, які можна розгортати локально. Підтримка таких ініціатив, створення центрів компетенцій і грантів для локальних команд — шлях до зменшення залежності від західних платформ.
