AI pod kontrolou: Domácí cloud jako bezpečný základ pro české firmy

Pro odvětví pracující s citlivými údaji je ochrana dat a legislativní soulad klíčová. Společnosti, provozující své AI modely v cloudovém prostředí umístěném v zahraničí, čelí vážným rizikům především v oblasti bezpečnosti dat.

Klíčová rizika provozu AI v zahraničním cloudu

1. Ztráta datové suverenity a cizí jurisdikce

Provoz AI modelů v cizím cloudu znamená, že firemní data opouštějí území ČR – fyzicky i právně. Tato data pak podléhají zákonům a vládním autoritám země, kde jsou servery umístěny. Například americký zákon CLOUD Act umožňuje tamním úřadům vyžádat data od poskytovatelů cloudu, a to i tehdy, jsou-li uložená v Evropě. Velcí globální hráči (poskytovatelé cloudových služeb) přiznávají, že se těmto požadavkům musejí podřídit. Jinými slovy – informace českého úřadu, nemocnice či advokátní kanceláře uložené u zahraničního poskytovatele mohou být zpřístupněny cizím vládním institucím, aniž by o tom česká organizace rozhodovala.

Co znamená riziko nedobrovolného zpřístupnění dat pro jednotlivé sektory?

• Veřejná správa: V době geopolitického napětí se datová suverenita stává existenční otázkou - firmy i státy masivně přehodnocují, kde mají svá data uložena. A některé instituce již vyžadují, aby klíčová data zůstala v „suverénním“ prostředí (tj. v datových centrech pod domácí jurisdikcí) právě kvůli eliminaci cizího vlivu.
• Právní sektor: Advokátní kanceláře jsou vázány advokátním tajemstvím a ochranou klientských dat. Uložení důvěrných spisů či důkazních materiálů na zahraničním cloudu představuje riziko porušení této důvěrnosti. Každý neoprávněný přístup (byť třeba legální v cizí zemi) může znamenat porušení povinnosti mlčenlivosti. Únik dat znamená ztrátu reputace a důvěry, v právním odvětví to znamená kritickou hrozbu.
• Zdravotnictví: Zdravotnická data (např. chorobopisy, výsledky vyšetření) jsou mimořádně citlivá osobní data chráněná zákony. Pokud zdravotnické zařízení ukládá tyto informace v zahraničním cloudu, může dojít k porušení lékařského tajemství a GDPR, dostane-li se k nim nepovolaný subjekt v jiné zemi. Kromě právních postihů hrozí i ztráta důvěry pacientů.

2. Kybernetická bezpečnost a riziko útoků

Ani ti největší globální cloudoví poskytovatelé nejsou imunní vůči kybernetickým útokům, zranitelnostem či chybám konfigurace. Citlivá data, svěřená „cizímu“ cloudu, tak mohou být ohrožena řadou scénářů:

• Úniky dat a hackerské útoky: V minulosti již došlo k masivním únikům dat z cloudových úložišť. Například chybně nastavená úložiště (tzv. misconfigured cloud buckets) způsobila, že byly veřejně přístupné stovky tisíc cloudových databází, obsahující až 200 miliard souborů včetně přístupových údajů, zdrojových kódů a důvěrných dokumentů. Takové incidenty také často zůstávají dlouho neodhaleny.
• Využití zranitelností cloudových platforem: V minulosti již hackeři objevili chyby v cloudových službách samotných poskytovatelů. I globální cloud s nejlepší pověstí může obsahovat slabé místo, jehož zneužitím se útočník dostane k datům velkého množství klientů najednou.
• Insider threat a sekundární úniky: Rizikem není jen přímý útok zvnějšku. Administrátoři cloudu v zahraničí, subdodavatelé, nebo třeba právní požadavky v dané zemi mohou vést k tomu, že se k datům dostane někdo nepovolaný. Únik může nastat i neúmyslně – například pokud zaměstnanec poskytovatele udělá chybu nebo je sám obětí phishingu.

Právní či zdravotnické firmy se stávají přímým cílem hackerů, protože uchovávají cenné informace.  Ve zdravotnictví přibývá ransomwarových útoků na nemocnice, s únikem pacientských dat. Pokud jsou takové informace v globálním cloudu, může být situace o to složitější – k běžným následkům útoku (narušení provozu, ohrožení pacientů, právní postihy) se přidává komplikace, že data jsou uložena mimo přímý dosah napadené organizace a incident response může záviset na dohodě s cizím subjektem.

3. Regulatorní compliance a odpovědnost

Firmy v regulovaných odvětvích mají zákonnou povinnost data chránit a uchovávat v souladu s předpisy. Jejich uložení do zahraničního cloudu přináší nejistotu, zda lze všechny požadavky plnit:

• GDPR a ochrana osobních údajů: Přenos osobních dat mimo EU je přísně omezen. Pokud by došlo k incidentu či neoprávněnému přístupu k osobním údajům v zahraničním cloudu, firma nese plnou odpovědnost před evropskými úřady. Neomluví ji, že data spravoval subdodavatel v cizině. Sankce za únik dat či porušení GDPR mohou být likvidační. Pro nemocnice to může znamenat pokuty i zákaz zpracování, pro advokáty disciplinární řízení, pro státní orgány reputační skandál.
• Odvětvové zákony a normy: Ve zdravotnictví platí zákony na ochranu zdravotní dokumentace, v právu povinnost mlčenlivosti a často i utajovaných informací (např. u advokátů pracujících pro stát či bezpečnost). Veřejná sféra podléhá Zákonu o kybernetické bezpečnosti a požadavkům kritické infrastruktury státu, které ukládají přísné podmínky provozu IT systémů. Mnohé z těchto předpisů de facto vyžadují, aby data byla uložena v zabezpečených lokalitách pod dohledem domácích orgánů. Použití veřejného cloudu v zahraničí tak může kolidovat s compliance – a pokud by došlo ke kontrole či auditu, organizace by mohla být nucena provoz okamžitě ukončit nebo přenést jinam, s nemalými náklady.
• Audit a dohled: Představte si situaci, že dojde k incidentu a je potřeba provést šetření. U dat v zahraničním cloudu může být problém získat auditní logy, záznamy o přístupech atd. v potřebném detailu a rychlosti. Firmy také často nemají možnost pravidelně auditovat bezpečnostní opatření u zahraničního poskytovatele – musí věřit jeho prohlášením a certifikacím. To znamená určitou ztrátu kontroly, kdo a jak s daty nakládá.
• Odpovědnost vůči klientům a veřejnosti: Pokud by únik dat nastal, firma se nemůže vymlouvat na externí cloud – její klienti/pacienti/občané budou vinit firmu, že s daty nakládala špatně. Důsledkem může být ztráta důvěry a poškození pověsti.

Výhody domácího AI cloudu (CRA) oproti globálnímu

Pro organizace, které chtějí využívat výhody umělé inteligence a cloudu, ale zároveň minimalizovat výše popsaná rizika, představuje řešení AI Cloud od Českých Radiokomunikací (CRA) vhodnou alternativu. CRA provozují největší komerční cloud v ČR se specializovanými službami pro AI (GPU as a Service, Model as a Service aj.) – a kladou důraz na bezpečnost, suverenitu dat a podporu lokálních potřeb.

• Data zůstávají na území ČR – Veškerá data i běh AI modelů probíhají v rámci datových center CRA. Tím je zaručena datová suverenita – data podléhají pouze českým a evropským zákonům, nehrozí cizí jurisdikce ani předávání dat zahraničním subjektům.
• Fyzická i kybernetická bezpečnost na nejvyšší úrovni – CRA provozuje vlastní špičková TIER III datová centra v ČR, splňující přísné standardy odolnosti a zabezpečení. Datová centra CRA jsou dokonce součástí kritické infrastruktury státu. Data jsou uložena redundantně ve dvou lokalitách a cloudová architektura je navržena s vysokou dostupností (garantovaný uptime SLA až 99,999 %). CRA cloud má také integrované špičkové nástroje pro zálohování (Veeam) a disaster recovery plány. Bezpečnost dat je prioritou – všechny služby procházejí pravidelnými audity, splňují požadavky GDPR a ISO standardů. Důležité je i to, že CRA vaše data nijak nevyužívá pro vlastní účely – obsah vašich databází a modelů není analyzován či použit k trénování cizích algoritmů.
• Lokální technická podpora a smluvní záruky – Na rozdíl od globálních platforem nabízí CRA podporu 24/7 v českém jazyce. V případě problému tak máte k dispozici místní tým specialistů, který okamžitě reaguje. Komunikace v češtině a znalost lokálního prostředí usnadňuje řešení incidentů i implementaci bezpečnostních opatření. Současně CRA poskytuje jasně vymezené smluvní podmínky a garance (SLA) na výkon a dostupnost – např. garantovaný výkon CPU/disku, kapacitu GPU atd., s finančními sankcemi při nedodržení. Pro zákazníky z veřejného sektoru či regulovaných odvětví může CRA uzpůsobit smlouvu tak, aby vyhovovala všem zákonným povinnostem (vč. dohledových auditů, logování přístupů apod.)
• Soulad s legislativou a auditovatelnost – Volbou domácího cloudu se firmám zjednoduší práce s regulacemi. Nemusí řešit komplikace kolem přeshraničního přenosu dat, tzv. Standardní smluvní doložky či výjimky GDPR. Zdravotnická data mohou zůstat v tuzemsku, což je v souladu s doporučeními ÚOOÚ i evropských regulátorů pro citlivé údaje. CRA cloud také splňuje požadavky Zákona o kybernetické bezpečnosti pro kritickou informační infrastrukturu. Pro interní či externí audity může klient získat od CRA prokazatelné záruky, že data jsou uložena pouze v ČR a jak je s nimi nakládáno – včetně logů přístupů a managementu dat. Tato auditovatelnost pomáhá firmám v právní obhajobě bezpečnosti (např. vůči dohledovým orgánům či při certifikacích).
• Výkonná a flexibilní AI infrastruktura – CRA AI Cloud nabízí technologické benefity srovnatelné či lepší než velcí hráči, ovšem pod plnou lokální kontrolou. K dispozici jsou vysoce výkonné GPU servery pro trénování a provoz náročných AI modelů formou služby. Firmy tak mohou škálovat svůj výkon dle potřeby, bez nutnosti investovat do vlastního hardwaru. Služby jsou flexibilní – od pronájmu GPU kapacity, přes hostování vlastních AI modelů, až po využití předtrénovaných modelů jako službu. Kompatibilita se standardy OpenAI API usnadňuje případný přechod aplikací z globálních AI služeb na CRA cloud, firma může relativně snadno migrovat své AI workflow z veřejného cloudu k CRA, aniž by musela přepisovat software. Získá tím suverenitu a bezpečí, ale neztratí výhody cloudu jako je pružnost a škálovatelnost.
• Předvídatelné náklady a finanční výhody – V neposlední řadě hrají roli i ekonomické aspekty. CRA cloud má transparentní cenovou politiku – neúčtuje skryté poplatky za přenos dat do/ven z cloudu a nevyžaduje dlouhodobé závazky minimální útraty. Firmy tak mohou lépe plánovat náklady a nestane se jim, že by byly překvapeny dodatečnými fakturami. Díky samoobslužnému portálu Virtix lze navíc optimalizovat zdroje a náklady v reálném čase – manažeři IT mají okamžitý přehled, za co se platí, a mohou kapacity upravovat dle aktuální potřeby. Pro státní sektor a zdravotnictví, kde jsou rozpočty napjaté, je předvídatelnost a kontrola nákladů dalším benefitem lokálního cloudu.

CRA je známý domácí hráč se stabilním zázemím a pro mnohé instituce je to garance důvěry. Může navíc nabídnout i individuální přístup, např. privátní cloudové řešení na klíč přímo v lokalitě zákazníka (CRA nabízí službu Business Cloud InHouse pro klienty s mimořádnými požadavky na bezpečnost a lokalitu dat).

Firmy by měly pečlivě zvážit, komu svěří svá „digitální rodinné stříbro“. Pokud je pro ně bezpečí dat a právní jistota prioritou, dává AI cloud v českém prostředí jasný smysl. Umožní využít potenciál umělé inteligence naplno, aniž by bylo nutné obávat se rizik spojených se zahraničním hostingem. Pro mnohé organizace tak může být domácí cloud klíčem k úspěšné a bezpečné digitalizaci v éře AI.