Все по-голям брой европейски компании стигат до едно отрезвяващо осъзнаване: техните данни - един от най-ценните им активи - често са обект на юрисдикции, рискове и зависимости, които са извън техния контрол. Доминирането на глобални доставчици на облачни услуги, много от които със седалище извън Европа, излага бизнеса на геополитически несигурности и регулаторни усложнения, които могат пряко да повлияят на дейността му.
Тази промяна в осъзнаването води до фундаментална промяна в мисленето. Дигиталният суверенитет вече не е нишова тема - той е стратегическа необходимост. Той се намира в пресечната точка между конкурентоспособността, иновациите и сигурността и започва с един прост принцип: моите данни, моите правила.
Представеното по-долу отразява ключови изводи и мнения, споделени по време на сесия от Thales Cybersecurity Day в София, проведен на 18 март в Grand Hotel Millennium Sofia, на който присъстваха проф. Даниела Илиева, Дефне Халил, Михаела Фролошка и Виктор Янев като представители на Фондация „Право и интернет“.
Трите стълба на дигиталния суверенитет
Както беше обяснено от представителите на Thales по време на събитието, за да се разбере какво означава дигиталният суверенитет на практика, той може да бъде разгледан през три основни стълба:
- Суверенитет на данните – гарантиране на контрол върху това къде се съхраняват, обработват и достъпват данните;
- Технологичен суверенитет – намаляване на зависимостта от външни технологии и доставчици;
- Оперативен суверенитет – запазване на способността за функциониране независимо от геополитически сътресения.
Сред тях суверенитетът на данните се откроява като основополагащ. Без контрол върху данните останалите два стълба стават нестабилни.
Защо суверенитетът на данните е по-важен от всякога
Както беше изведено като заключение по време на събитието, суверенитетът на данните означава самостоятелен контрол върху данните - да знаете къде се намират, кой има достъп до тях и под коя правна рамка се управляват.
За компаниите, които оперират в безгранична дигитална среда, това поставя ключов въпрос:
Как можем да гарантираме, че бизнесът ни ще остане функциониращ, сигурен и съответстващ на изискванията- независимо от геополитическите развития?
Отговорът се крие в проактивен подход към сигурността и управлението на данните.
Основни предизвикателства
Постигането на суверенитет на данните не е безпроблемно, както беше подчертано по време на събитието. Днес организациите се сблъскват с няколко взаимосвързани предизвикателства:
- Липса на контрол и прозрачност- много компании разчитат на сложни облачни екосистеми, при които видимостта върху потоците от данни и обработката им е ограничена
- Оперативна сложност- управлението на данни в множество среди, често с ограничени вътрешни ресурси, създава фрагментация и риск
- Развиващи се киберзаплахи - от шифроващи вредителски програми и зловреден софтуер до усъвършенствани бот атаки, както и новите рискове, свързани с изкуствения интелект и квантовите технологии
Трите основи на сигурността на данните
За да отговорят на тези предизвикателства, организациите трябва да се фокусират върху три основни стълба:
- Откриване (Discover) -идентифициране, класифициране и непрекъснато наблюдение на данните
- Защита (Protect) - прилагане на силно криптиране и ефективно управление на ключовете
- Контрол (Control) -въвеждане на строги механизми за управление на идентичността и достъпа
Тези основи осигуряват необходимата структура за възстановяване на контрола върху данните в сложни дигитални среди.
Криптиране: златният стандарт
Експертите по време на събитието подчертаха, че в основата на суверенитета на данните стои криптирането - широко признато като „златния стандарт“ за защита на данните.
Силното криптиране позволява на организациите да:
- Защитават чувствителни и критични за бизнеса данни
- Налагат контрол на достъпа и разделение на отговорностите
- Гарантират целостта на данните
- Отговарят на регулаторните изисквания
Въпреки това, криптирането е толкова силно, колкото е най-слабата му връзка.
Защо управлението на ключове е критично
Често срещано погрешно схващане е, че криптирането само по себе си гарантира сигурност. В действителност:
Криптирането е толкова силно, колкото е защитата на ключовете.
Добри практики при управлението на криптографски ключове включват:
- Разделяне на съхранението и генерирането на ключове от самите данни
- Централизирано управление на жизнения цикъл на ключовете
- Стриктен контрол на достъпа и разделение на отговорностите
- Поддържане на подробни логове и отчети
Важно е да се отбележи, че в специфичния контекст на Франция представител на Microsoft признава, че пълен суверенитет на данните не може да бъде гарантиран, когато криптографските ключове остават под контрола на доставчика -позиция, отразена и в публични медийни публикации. Истинският суверенитет означава организациите да запазят контрол върху собствените си ключове.
Защита на данните в безграничен облак
Работата в облачна среда не изключва възможността за суверенитет -но изисква съзнателни архитектурни решения, както беше подчертано по време на събитието на Thales.
Основните принципи включват:
- Разделяне на данните и криптографските ключове
- Гарантиране, че ключовете никога не се съхраняват в открит текст
- Използване на сигурни и устойчиви системи за съхранение на ключове
- Прилагане на двоен контрол и разделение на отговорностите
- Прилагане на принципа на разделено знание (никой няма пълен достъп)
- Непрекъснат мониторинг на системите и достъпа
- Използване на силни и устойчиви във времето криптографски алгоритми
Тези мерки гарантират, че дори в разпределени среди контролът остава в ръцете на организацията.
Проактивен подход към суверенитета
Най-важният извод от събитието е следният:
Суверенитетът на данните не е пасивно състояние -той е непрекъснат процес.
Той изисква постоянна оценка, адаптация и инвестиции. Изчакването доставчиците или регулаторите да решат проблема не е опция.
С нарастващата сложност на дигиталните екосистеми и динамиката на геополитическата среда организациите трябва да поемат отговорност за своята стратегия за управление на данните.
Дигиталният суверенитет вече не е само въпрос на съответствие - той е въпрос на устойчивост, доверие и дългосрочна конкурентоспособност.
В свят, в който данните са сила, принципът е ясен:
Ако вие не контролирате данните си, някой друг го прави.
