Что скрывается за понятием суверенных данных

В последние годы стремительный рост провайдеров облачных вычислений привел к появлению множества цифровых бизнесов, сократив сложность создания локальных систем хранения и обработки данных. Однако переход в облако приносит дополнительные сложности по поводу местоположения, шифрования и доступа к данным. Данные вопросы находятся в центре внимания концепции суверенитета данных — способность страны или территории контролировать данные на своей территории.

Независимо от того, речь идет о соблюдении нормативных требований, стремлении получить конкурентное преимущество или обеспечить доверие клиентам и партнерам, все больше компаний обращаются к концепции суверенитета данных. Один из ключевых факторов влияния заключается в том, что многие законодательные акты, такие как Акт о доступе облака (CLOUD Act) США или Генеральный регламент по защите персональных данных (GDPR) Европейского союза, выходят за рамки своих стран происхождения и влияют на то, как компании хранят и обрабатывают данные глобально. Это часто создает противоречия в правовых обязательствах.

Кроме того, усиленное внимание к соблюдению нормативных требований не должно заставлять забывать о безопасности данных в облаке. Необходимо обеспечивать высокий уровень защиты и при этом сохранять доступность данных для операционной гибкости бизнеса.

Одним из вызовов является классификация данных по степени их чувствительности, что может быть сложным и изменчивым процессом. Все это приводит к тому, что суверенитет данных занимает одно из первых мест в списке возникающих проблем безопасности среди компаний, согласно ежегодному отчету Thales Data Threat Report.

Компании нуждаются в инструментах для непрерывного мониторинга, защиты и классификации данных по риску. Для этого организации обычно начинают с классификации своих данных, что может быть крайне сложным процессом из-за разнообразия бизнес-функций и потребностей. Затем следует анализ применимых нормативных требований, таких как GDPR или CCPA.

IT-команды должны определить местоположение данных, так как в некоторых юрисдикциях законы обязывают хранить и обрабатывать данные на территории страны. Это может повлиять на выбор облачного хранилища или потребовать дополнительных мер по защите для соблюдения требований.

Три основные стратегии управления ключами включают Bring Your Own Keys (BYOK), где организации генерируют и импортируют ключи в облако; Hold Your Own Key (HYOK), где ключи остаются в пределах организации, и Bring Your Own Encryption (BYOE) для максимальной защиты.

Фундаментально шифрование обеспечивает контроль над доступом к данным. В многих юрисдикциях это также является обязательным требованием законодательства. Однако эффективность шифрования зависит от инфраструктуры управления ключами и приватности.

Квантовые вычисления могут представлять значительную угрозу для существующих алгоритмов шифрования и привести к необходимости разработки постквантовой криптографии (PQC) для защиты данных. Эволюция мобильной связи, от 5G до 6G, также влияет на суверенитет данных, увеличивая объемы генерируемых и обрабатываемых данных и усложняя управление конфиденциальностью.

Искусственный интеллект (AI) требует особого внимания к защите персональных данных, используемых для обучения моделей. Развитие технологий опережает принятие нормативных актов, создавая риск недостаточной защиты.

Словом, компании должны активно работать над собственными мерами безопасности и гибко адаптироваться к изменениям в технологии и законодательстве.