Kdo v resnici nadzoruje digitalno infrastrukturo Evrope

Predstavljajmo si situacijo, ko mora javna institucija v nujnem primeru hitro ukrepati, a se na zaslonu pojavi obvestilo, da storitev ni na voljo zaradi omejitev ponudnika. V takšnem trenutku postane jasno, da nadzor nad sistemom ni v rokah uporabnika, temveč nekoga drugega. Takšni mehanizmi vključno z možnostjo oddaljenega izklopa sistemov v sodobnem digitalnem okolju niso izjema, temveč resničnost.

Podobno velja za upravljanje podatkov. Uporabnik lahko upravičeno pričakuje, da bodo njegovi podatki obdelani v skladu z evropskimi standardi varstva podatkov. A če za programsko opremo stoji ponudnik zunaj Evropske unije ali se podatki obdelujejo na strežnikih zunaj EU, se pravni okvir hitro spremeni. V takšnih primerih lahko začnejo veljati tudi zakoni tretjih držav, ki omogočajo dostop do podatkov brez neposrednega nadzora evropskih institucij. Prav zato postaja pomembno tudi vprašanje, kje tehnologija nastaja in pod katerimi pravili deluje. Oznaka Made in Europe tako ni pomembna samo zaradi izvora tehnologije, ampak tudi zaradi pravil, po katerih deluje, in stopnje nadzora, ki jo omogoča uporabniku.

Tukaj se odpira vprašanje digitalne suverenosti, sposobnosti države, podjetja ali javne ustanove, da ohrani nadzor nad sistemi, procesi in odločitvami. Vprašanje, kdo ima dejanski vpliv na delovanje digitalne infrastrukture, postaja ključno za delovanje gospodarstva, javnih storitev in države kot celote. Zakaj je to danes postalo strateško vprašanje vsakega podjetja in celo države? Zato, ker tehnologija ni več zgolj podporno orodje, ampak infrastruktura, od katere so odvisni poslovanje, dostop do podatkov, varnost komunikacij in sposobnost ukrepanja v kriznih razmerah.

Geopolitične napetosti vse bolj vplivajo tudi na digitalno infrastrukturo in njeno zanesljivost. FOTO: Shutterstock

Zakaj je digitalna suverenost danes širše geopolitično vprašanje

V zadnjih letih je postalo jasno, da je tehnologija eno ključnih področij globalnega vpliva. Dostop do podatkov, nadzor nad infrastrukturo, razvoj programske opreme in upravljanje digitalnih storitev so tesno povezani z gospodarsko močjo, političnimi interesi in varnostjo držav. Prav zato razprava o digitalni suverenosti postaja pomembna tema v podjetjih ter med odločevalci in regulatorji.

Evropa se pri tem spopada s posebnim izzivom. Na eni strani postavlja visoke standarde na področju varstva podatkov, skladnosti in zaščite uporabnikov, na drugi pa ostaja v številnih segmentih digitalnega okolja odvisna od rešitev, ki nastajajo zunaj Evropske unije. Ta odvisnost ni pomembna le z vidika tehnološke učinkovitosti, ampak tudi z vidika pravnega okvira, dostopa do podatkov in dolgoročne zanesljivosti storitev. Ko podjetje ali javna ustanova uporablja infrastrukturo, ki je vezana na pravila drugih trgov in drugih političnih interesov, se vprašanje nadzora zelo hitro spremeni v vprašanje varnosti, stabilnosti in odpornosti.

Dodaten pritisk ustvarjajo aktualne geopolitične razmere. Vojna v Ukrajini, zaostrene trgovinske napetosti, vedno izrazitejši boj za tehnološko prevlado in hkratna digitalizacija skoraj vseh ključnih procesov so pokazali, kako hitro lahko infrastruktura, ki je bila še včeraj razumljena kot samoumevna storitev, postane del širšega strateškega preračunavanja. V takšnem okolju digitalna suverenost pomeni predvsem sposobnost, da država, institucija ali podjetje tudi v negotovih razmerah ohrani nadzor nad ključnimi funkcijami, podatki in komunikacijskimi potmi.

Lokacija obdelave podatkov danes neposredno vpliva na to, kdo ima dejanski dostop do informacij. FOTO: Shutterstock

Razmere potrjujejo tudi konkretni podatki. Kibernetski napadi na evropska podjetja in javne ustanove naraščajo in postajajo vse bolj izpopolnjeni, pri čemer vse večjo vlogo prevzemajo tudi državno podprti akterji. Po podatkih združenja Bitkom je bilo v zadnjem letu kar 81 % nemških podjetij žrtev kraje podatkov, vohunjenja ali sabotaže, skupna gospodarska škoda pa je dosegla približno 266,6 milijarde evrov. To je 29-odstotno povečanje v primerjavi s prejšnjim letom.

Napadi niso več usmerjeni le v posamezna podjetja, temveč tudi v ključno infrastrukturo in javne sisteme, pogosto v povezavi z geopolitičnimi napetostmi. To potrjuje, da digitalna varnost presega okvir posamezne organizacije in postaja vprašanje širše družbene in gospodarske stabilnosti.

Ko nadzor nad digitalno infrastrukturo ni več v rokah organizacije ali države, posledice niso nujno takoj vidne. Pogosto se pokažejo šele v trenutkih, ko je odziv ključen.

Eden od scenarijev je pravni. Če se podatki obdelujejo v okoljih, ki sodijo pod zakonodajo zunaj Evropske unije, lahko dostop do njih urejajo pravila, ki niso usklajena z evropskimi standardi. To pomeni, da podjetje ali institucija nima popolnega pregleda nad tem, kdo lahko do teh podatkov dostopa in pod kakšnimi pogoji.

Drugi scenarij je operativen. Organizacije, ki so odvisne od zunanjih ponudnikov, so vezane na njihove odločitve glede nadgradenj, varnostnih popravkov in delovanja storitev. V primeru motenj ali sprememb pogojev uporabe lahko pride do omejitev, na katere uporabnik nima neposrednega vpliva. V skrajnih primerih lahko to pomeni tudi začasno nedostopnost ključnih sistemov ali podatkov.

Tretji scenarij se nanaša na preglednost. Pri kompleksnih digitalnih rešitvah ni vedno jasno, kako delujejo v ozadju. Če izvorna koda, način obdelave podatkov ali varnostni mehanizmi niso preverljivi, se povečuje tveganje za neopažene ranljivosti, nepooblaščen dostop ali druge varnostne incidente.

Takšni scenariji ne pomenijo nujno takojšnjega incidenta, lahko pa postopno zmanjšujejo zanesljivost sistema, povečujejo tveganja in otežujejo odziv v kriznih razmerah. Prav zato digitalna suverenost postaja predvsem poslovno in upravljavsko vprašanje.

Kibernetski napadi postajajo pogostejši in vse bolj usmerjeni v ključno infrastrukturo ter javne sisteme. FOTO: Shutterstock

Kako na to odgovarja Evropa

Evropska unija je v zadnjih letih precej jasneje začrtala smer, v katero želi razvijati svoj digitalni prostor. V ospredje postavlja večjo odpornost, več nadzora nad podatki in manjšo odvisnost od tehnologij, ki nastajajo zunaj njenega pravnega in vrednostnega okvira. To se kaže tako v zakonodaji kot v širših strateških usmeritvah, ki digitalno suverenost vse bolj povezujejo z gospodarsko stabilnostjo, varnostjo in konkurenčnostjo.

Pomemben del tega premika so novi evropski predpisi. Direktiva NIS2 širi krog organizacij, ki morajo uvajati strožje ukrepe za kibernetsko varnost in upravljanje tveganj. Uredba DORA postavlja strožja pravila digitalne operativne odpornosti v finančnem sektorju. Zakon o kibernetski odpornosti uvaja minimalne varnostne zahteve za izdelke z digitalnimi elementi, Splošna uredba o varstvu podatkov pa že vrsto let določa pravila za zakonito, pregledno in varno obdelavo osebnih podatkov. Skupni imenovalec teh okvirov je jasen: evropski digitalni prostor naj bo bolj predvidljiv, varnejši in manj odvisen od zunanjih vplivov.

Evropski pristop k digitalni suverenosti dopolnjujejo tudi standardi in neodvisne pobude. Združenje TeleTrusT, ki povezuje več kot 400 organizacij, razvija merila za varnostne rešitve IT Security made in EU, ki vključujejo razvoj znotraj EU, skladnost z GDPR in preverljivo odsotnost skritih dostopov. Takšni standardi postavljajo okvir, v katerem digitalna suverenost postaja merljiva in primerljiva, ne le deklarativna.

Odvisnost od tujih ponudnikov lahko v kriznih razmerah omeji odzivnost organizacij. FOTO: Shutterstock

Evropska kompetenca v praksi

Digitalna suverenost postane oprijemljiva šele takrat, ko jo podpirajo konkretne tehnologije, infrastruktura in strokovno znanje.

Med evropskimi ponudniki kibernetske varnosti izstopa podjetje ESET, ki že več kot tri desetletja razvija varnostne rešitve znotraj Evropske unije. Njegova prednost je v celotnem ekosistemu, od lastnega razvoja in raziskovalnih centrov do aktivne vloge pri oblikovanju evropskih standardov na področju kibernetske varnosti.

ESET svoje varnostne platforme gradi na telemetriji v realnem času iz milijonov končnih točk, kar omogoča hitro zaznavanje vzorcev napadov in zgodnje prepoznavanje groženj. Tak pristop dopolnjuje kombinacija umetne inteligence, forenzičnih analiz, obveščevalnih podatkov o grožnjah in večplastne zaščite, s katero zaznava tudi kompleksne, ciljno usmerjene napade na podjetja in ključno infrastrukturo.

Pomemben del ponudbe so napredne storitve zaznavanja in odzivanja, kot sta ESET MDR in AI Advisor, ki organizacijam pomagajo pri hitrem razumevanju, razvrščanju in obvladovanju varnostnih incidentov. AI Advisor je bil razvit v Evropi, pri teh rešitvah pa je ključna tudi preglednost delovanja, saj so zasnovane v skladu z evropskimi standardi varstva podatkov in omogočajo jasno interpretacijo varnostnih dogodkov.

Digitalna suverenost pomeni ohraniti nadzor nad tehnologijo, od katere je odvisno vsakodnevno poslovanje. FOTO: Shutterstock

Dodatna vrednost so obsežni viri obveščevalnih podatkov o grožnjah, ki vključujejo analize skupin napadalcev, botnetov in napadov tipa zero day. Takšne informacije uporabljajo podjetja, državni organi in centri za odzivanje na incidente ter upravljavci ključne infrastrukture pri oblikovanju svojih varnostnih strategij.

Pri tem ostaja ključno tudi vprašanje infrastrukture. Podatki se obdelujejo v skladu z GDPR in znotraj Evropske unije, med drugim z lastnim podatkovnim središčem v Frankfurtu in varnostno-operativnim centrom v Jeni. Takšna zasnova omogoča večji nadzor, pravno jasnost in hitrejši odziv v primeru varnostnih incidentov.

Takšen pristop kaže, kako je mogoče evropske vrednote, kot so varstvo podatkov, preglednost in neodvisnost, prenesti v konkretne varnostne rešitve. Za podjetja to pomeni, da digitalna suverenost lahko postane praksa, ki jo je mogoče vključiti v vsakodnevno poslovanje.

Evropske kompetence pa dobijo pravo vrednost šele, ko jih je mogoče učinkovito prenesti v konkretno poslovno okolje. V Sloveniji to vlogo opravlja podjetje SI SPLET, ki kot Esetov partner organizacijam pomaga pri izbiri, uvedbi in upravljanju varnostnih rešitev v skladu z evropskimi standardi ter jih prilagaja njihovim dejanskim potrebam.