İngiltere hükümetinin Eylül 2024’te veri merkezlerini kritik ulusal altyapı (CNI) olarak atama kararı, güvenli ve küresel olarak rekabetçi bir dijital ekonomi oluşturma hırsını işaret etti.
Ancak siber suçlara karşı korunma konusundaki başlıkların arkasında ve BT kesintileri daha karmaşık bir gerçeklik yatıyor – politika belirsizliği, yabancı bulut devlerine güvenme ve giderek daha fazla tehlikeye atılan bir veri egemenliği gündemiyle boğuşuyor.
Bir blog yazısında, Forrester baş analisti Tracy Woo şöyle yazdı: “Secnumcloud, Fransa’dan Cloud de Confriance ve Bulut Bilişim Uyumluluk Kontrolleri (C5) gibi yeni egemenlik gereksinimleri, verileri ülke içinde tutma baskısı ile birlikte. özel ve egemen bulutlar için daha geniş bir baskı yarattılar. ”
Ancak, “korunan altyapı” vaadi, hiperserler Microsoft 365 ve Azure gibi bulut hizmetlerinde depolanan İngiltere hükümet verilerinin ulusal sınırlar içinde kalacağını garanti edemeyeceklerini açıkça kabul ettiklerinde oyuk.
Woo, Avrupa Birliği (AB) ve Asya-Pasifik’teki (APAC) ülkelerin ABD tabanlı olmayan bulut olmayan sağlayıcılardan daha fazla yararlanmaya, egemen bulutlar yaratmaya veya şirket içi iş yüklerini bırakmaya çalıştıklarına dikkat çekiyor.
İngiltere’de düzenleyici inceleme, İngiltere’nin dijital bağımsızlığının kırılgan durumunu ortaya koyuyor. İngiltere’nin veri egemenliğine yaklaşımına bakıldığında, hukuk bürosu Kennedys yasası, Ekim 2024’te yayınlanan Veri Kullanımı ve Erişim (DUA) faturasını “uluslararası veri transferleri için daha esnek bir riske dayalı yaklaşım” olarak tanımlamaktadır.
Kennedys, yeni testin hedef yargı alanındaki veri koruma standartlarının İngiltere’dekinden önemli ölçüde daha düşük olmamasını gerektirdiğini belirtiyor. Kennedys’e göre, bu standart AB’nin “temel denklik” gereksiniminden daha az katıdır, ancak pratikte “maddi olarak daha düşük” nin nasıl yorumlanacağı hakkında sorular gündeme getirir.
Anlaşılır bir şekilde, hükümetin bulut tabanlı verimlilik araçlarına güvenmesi ile İngiltere veri koruma yasalarına uygunlukla ilgili endişeler yoğunlaşmıştır.
Rekabet ve Piyasalar Otoritesi (CMA) artık müşterileri yabancı sağlayıcılara kilitleyebilecek bulut piyasası uygulamalarını araştırıyor. 2025’in başlarında, veri egemenliğini artırmayı ve tekelci uygulamaları engellemeyi amaçlayan potansiyel düzenleyici reformların zeminini oluşturan geçici bir rapor bekleniyor.
Veri egemenliğini yeniden şekillendirme
Bu, İngiltere merkezli bir bulut barındırma uzmanı Civo CEO’su Mark Boost için zamandan önce değil. “Verilerin İngiltere sınırları içinde kalmasını sağlayamama, hipersalerlere bağlı olarak risklerin altını çiziyor” diye uyarıyor. “Kritik veri altyapısını dış kaynak kullanmaya devam edersek, teknik kontrolden daha fazlasını kaybetme riskiyle karşı karşıya kalırız, ulusal bağımsızlığı kaybederiz.”
CMA’nın incelemesi, ülkenin dijital geleceğini yeniden şekillendirebilir, potansiyel olarak daha fazla şeffaflığı zorunlu kılabilir ve küresel bulut sağlayıcılarından İngiltere veri depolama garantileri gerektirebilir. Bu, bir süredir Boost’un bahsettiği bir şey.
“Şeffaflık sadece verilerin nerede saklandığı değil, veri merkezlerinin nasıl güçlendirildiği, korunduğu ve güvence altına alındığıyla ilgili” diyor. Argümanı, veri egemenliği ile operasyonel netlik arasındaki temel bağlantıyı vurgular ve sağlayıcıları daha net hesap verebilirlik önlemleri benimsemeye çağırır.
Birleşik Krallık sınırları içinde verilerin kalmasını sağlayamama, hiper ölçeklere bağlı olarak risklerin altını çizmektedir. Kritik veri altyapısını dış kaynak kullanmaya devam edersek, teknik kontrolden daha fazlasını kaybetme riskiyle karşı karşıya kalırız, ulusal bağımsızlığı kaybederiz
Mark Boost, Civo
Şeffaflık konusundaki bu zorluklara rağmen, İngiltere veri merkezi endüstrisi, özellikle bölgesel yatırımlarda umut verici işaretler gördü. Hükümetin Salford’da 250 milyon sterlinlik bir veri merkezi projesini duyurması, yerel yönetim işbirliğinin ve hedeflenen yatırımın nasıl büyümeyi sağlayabileceğini gösteriyor. Ancak bu tür projeler kuraldan ziyade istisnalar olmaya devam etmektedir.
Luisa Cardani, Datacentres başkanı ve raporun yazarı Geleceğin Temelleri: Datacentres İngiltere’nin ekonomik büyümesini nasıl üstlenebilirUlusal Politika Beyanı (NPS) olmadan, veri merkezli sektörün parçalanma riskiyle karşı karşıya olduğu konusunda uyarıyor. Yerel planlama yetkilileri, projeleri verimli bir şekilde onaylamak için uzmanlık ve kaynaklardan yoksundur ve yıllarca kritik altyapı gelişmelerini geciktirebilecek darboğazlar oluşturur.
Cardani, “Endüstri yerel halk ve yetkililerle çalışmak istiyor, ancak açık ulusal planlama rehberliği eksik” diyor. “Tutarlı bir strateji olmadan, parçalanmış kararlar ve düzenleyici atalet döngüsüne sıkıştık.”
Ulusal olarak önemli altyapı projeleri (NSIP) rejimi altına alınan veri merkezlerinin dahil edilmesi, onay sürecini kolaylaştırarak daha hızlı karar verme sürecini sağlayabilir. Bununla birlikte, bu en azından şimdilik, daha fazla bir arzu. Gerçekte, İngiltere proje onay sürecini düzene sokarken kamu ve özel çıkarları dengeleyen tutarlı, ulusal bir yaklaşım geliştirene kadar yatırım durmaya devam edecektir.
Veri egemenliği ve güvenlik gereksinimleri bunun için esastır ve büyük ölçüde İngiltere’nin Datacentre endüstrisinin şeklini ve büyüklüğünü belirleyen piyasa güçleri olacaktır. Bu cephede, Forrester kıdemli analisti Alvin Nguyen, işletmelerin yerel ve hiperscaler tarafından işletilen veri merkezlerinin yarattığı farklı risk profillerini tanıması gerektiğini söylüyor.
“Hiperskalerin daha fazla bant genişliğine, daha fazla ölçeklenebilirliğe ve daha fazla fazlalıklara sahip olması beklenmelidir, ancak İngiltere’nin altyapısı için kritik olarak sınıflandırılan veri merkezlerine sahip olmak, güvenlik risklerini değil, bazılarının değil, bazılarının azaltılmasına yardımcı olabilir” diyor.
Verileri ulusal sınırlarda tutmanın karmaşıklığı
Nguyen ayrıca, veri egemenliği tartışmalarının bazı durumlarda aşırı basitleştirilip basitleştirilemeyeceğini de sorguluyor.
“Veri güvenliği ile, bir hiperscaler veya yerel bir veri merkezine gitip gitmeyeceğini belirlemek kuruluşun gereksinimlerinin ne olduğuna bağlı” diyor. “Egemenlikle, bu biraz farklı. Yerel veri merkezlerinin dışında verilerin erişimini veya kullanımını kısıtlamak için egemenlik yasalarının bileşenleri varsa, horçaların korkulukların mevcut olmasını sağlamaları gerekecektir. ”
Nguyen’in yorumları, hibrid ortamlarda hassas verilerin yönetilmesinin karmaşıklığının altını çiziyor. İşletmeler, yalnızca yerel veya küresel bir sağlayıcı seçip seçilmeyeceğine odaklanmak yerine, hibrid bulut ortamlarında iş yüklerini daha stratejik olarak yönetmeyi düşünmelidir.
“Birçok kuruluş bir bulut ve veri merkezlerinin bir karışımını bulacak … her birinin risk profili farklıdır ve bulut ve veri merkezlerini birleştirirken bu risk karışımı onlar için optimize edilebilir” diyor.
Veri egemenliği ile ilişkili güvenlik riskleri çok yönlüdür ve basit veri depolama endişelerinin çok ötesine uzanır. Düzenlenmiş sektörlerdeki işletmeler, özellikle finansal hizmetler için riskler çok büyüktür.
Şirket içi tek seçenek olduğunda
Servet yönetim firması JM Finn’in BT başkanı ve Baş Bilgi Güvenlik Görevlisi Jon Cosson, işletmeler büyük bir bulut sağlayıcı kullanmanın güvenliği otomatik olarak garanti ettiğini varsaydığında potansiyel tehlikelerin altını çiziyor.
“Verilerinizin nerede olduğunu ve nasıl güvence altına alacağınızı bilmeniz kesinlikle zorunludur” diye uyarıyor. “Kaç işletmenin hala başka birine güvendiğine inanmazsınız.”
Sorun, küresel bulut hizmetlerinin yargı karmaşıklığı ile birleşiyor. Hassas veriler sınırları aştığında, yasal erişim ve hükümet aşırı erişim hakkında sorular ortaya çıkararak birden fazla düzenleyici rejim altına girebilir. Bu endişe ABD Bulut Yasası gibi mevzuatla güçlendirildi.
2019 yılında, o zamanki İçişleri Bakanı Priti Patel, ABD ve İngiltere hükümetlerinin yetkili kolluk amaçları için elektronik verilere zamanında erişim sağlamayı kabul ettikleri İngiltere ve Kuzey İrlanda’yı kapsayan bir ABD Bulut Yasası anlaşması imzaladı. Bulut Yasası, ABD tabanlı hiper ölçekleri ABD yetkililerine yerel yasaları atlayarak yabancı depolanmış veriler sağlamaya zorlayabilir.
Cosson, “Verilerimin nereye gittiğini, nasıl şifrelendiğini ve gerekirse ne kadar çabuk çıkabileceğimi bilmek istiyorum” diyor Cosson, opak veri yollarının ve sınırlı sözleşme güvencelerinin işletmeleri önemli uyum risklerine maruz bırakabileceği daha geniş bir endüstri endişesini yansıtıyor.
Cosson, “Bulutu yapmamız gerektiğinde kullanıyoruz, ancak yine de temel sistemleri kontrol için çalıştırıyoruz” diye ekliyor. Bu yaklaşım, hassas finansal verileri ele alan şirketler için tipiktir. “Güvenli bulut depolama” vaatleri almaya hazır olmayan kuruluşlara güven eksikliği vardır.
Cosson, bulut benimsemesinin Microsoft 365 gibi bazı hizmetler için kaçınılmaz olduğunu kabul ederken, hassas veriler üzerinde mutlak kontrol gerektiren işletmeler için şirket içi altyapının kalıcı rolünün altını çiziyor. Bu, elbette, hibrid veri ortamlarının güvenli ve verimli bir şekilde nasıl yönetileceğine dair ek bir sorun ortaya çıkarır.
Cosson’a göre, Nutanix gibi şirketler burada kritik bir rol oynuyor ve kuruluşların veri kontrolünü sürdürürken bulut ve şirket içi ortamlarda iş yüklerini yönetmelerini sağlıyor. Nutanix’in altyapı hizmetleri, işletmelerin net veri yönetimi politikalarına sahip olmasını ve yerel düzenlemelere uygun kalmasını sağlayarak egemenlik endişelerini gidermek için tasarlanmıştır.
Esnek bir veri merkezli ekosistemi oluşturmak için hükümet, endüstri ve yerel yetkililer arasında koordineli çabalara ihtiyacımız var. Bu, paylaşılan sorumluluk, daha net politika çerçeveleri ve hem hiper ölçekli hem de İngiltere merkezli sağlayıcılar için teşvikler anlamına gelir
Luisa Cardani, Techuk
“Önümüzdeki beş yıl belirleyici olacak,” diyor Civo’s Boost. “Şeffaflık yasal bir gereklilik haline gelirse, sadece verilerin bulunduğu yerlerde değil, aynı zamanda altyapının nasıl yönetildiğini ve güçlendirildiğini de sağlayıcılardan daha fazla talep eden işletmeleri göreceğiz.”
Techuk’un Cardani, kamu-özel ortaklıklarının burada önemli bir rol oynayacağına inanıyor. “Hükümet, sanayi ve yerel yetkililer arasında esnek bir veri merkezli ekosistem oluşturmak için koordineli çabalara ihtiyacımız var” diyor. “Bu, paylaşılan sorumluluk, daha net politika çerçeveleri ve hem hiper ölçekli hem de İngiltere merkezli sağlayıcılar için teşvikler anlamına geliyor.”
Boost ve Cardani’nin her biri, özellikle gelecekteki politikalar veri yerelleştirmesini zorunlu kılarsa veya açık garantiler olmadan sınır ötesi veri aktarımlarını yasaklıyorsa, hipersalerler ve yerel operatörler arasındaki güç dengesinin değişebileceği konusunda hemfikirdir. En başından itibaren yerel uyumluluğu karşılamak için altyapının oluşturulduğu egemenlik tasarımına göre yeni standart olabilir.
Mevcut standartlara bağlı kalmak
Bu noktaya kadar, kuruluşların mevcut standartları nasıl karşılayabileceklerini çözmeleri gerekiyor. Cardani, standartlara bağlılığın şeffaf raporlama ve açık hesap verebilirlik yapılarını mümkün kılan ulusal politikalarla desteklenmesi gerektiğini savunuyor.
Uygulamada bu, İngiltere’ye özgü yasal çerçevelere göre uyarlanmış zorunlu denetimler, veri ikamet sertifikaları ve güvenlik kriterlerinin uygulanması anlamına gelir. Bu önlemler olmadan, işletmeler onları veri ihlallerine, para cezalarına ve yasal anlaşmazlıklara maruz bırakabilecek uyum boşluklarına düşme riskiyle karşı karşıyadır.
Bilgi Güvenliği Yönetimi için ISO 27001, Veri Gizliliği ve Ödeme Kartı Endüstrisi Veri Güvenlik Standardı (PCI DSS) için Genel Veri Koruma Yönetmeliği (GDPR) gibi çerçeveler, ödeme güvenliği net operasyonel beklentileri belirler. Ancak bu standartlar, gelişen düzenlemeler veri egemenliğini ve tasarıma göre giderek daha fazla vurgulamaktadır.
Egemenlik garantileri sunarken veri merkezlerinin bu tür çerçevelere uymasını sağlamak acil bir zorluk haline gelmiştir. Birden fazla yargı alanında faaliyet gösteren hiper ölçekler, değişen yasal yükümlülükler ve veri aktarım kuralları nedeniyle denetimleri ve uyum kontrollerini karmaşıklaştırır.
CMA’nın soruşturmasının tanıtımına, sadece çoğu alıcı için kafa karıştırıcı bir konu haline geldiği konusunda biraz netlik sağlamak için acilen gereklidir.
BT liderleri için kritik paket, sorumluluğun dış kaynaklı olamayacağıdır. Güvenlik, uyumluluk ve egemenlik risk değerlendirmeleri, uyum denetimleri ve çok tedarik stratejileri ile aktif olarak yönetilmelidir.
Ve İngiltere’nin dijital altyapısı geliştikçe, sadece düzenlemenin önünde kalan ve sağlayıcılarından şeffaflık talep eden işletmeler belirsizliklerde gezinebilecek.
Bu skorda, İngiltere’nin veri merkezli endüstrisi bir kavşakta duruyor – ancak politika netliği, yerel yatırım ve endüstri şeffaflığı ile bu alanda küresel bir dijital lider olma potansiyeline sahiptir.
Bu güven ve aynı, adil kurallarla oynayan herkes, ancak İngiltere perspektifinden, aynı zamanda en değerli ulusal varlığın – verilerinin korunmasını da korumakla ilgilidir.
JM Finn’in Cosson’unda şunları söylüyor: “Veri egemenliği bir terim değil, hayatta kalıyor.”