Co když nám USA vypnou cloudy a změní licence aneb Jaká jsou rizika technologií pod vlivem politiky

Evropské firmy stále více spoléhají na cloudové platformy a AI služby provozované americkými společnostmi. To s sebou nese strategická rizika, protože geopolitické či regulační zásahy mohou omezit dostupnost těchto služeb pro evropské uživatele. Důležitým příkladem je vysoká závislost Evropy na amerických cloudech – téměř polovina evropských podniků používá cloudové služby od firem jako Amazon, Microsoft či Google.

V MoroSystems jsme se proto rozhodli zmapovat technologie a nástroje, které používáme pro práci, nebo je na nich závislý byznys našich klientů. Položili jsme si otázky, jaká jsou hlavní rizika, co se může stát v případě nedostupnosti některých služeb a jaké jsou možné alternativy. Přirozeně jsme nečekali, že dokážeme ošetřit všechny hrozby a extrémní scénáře. Cenným přínosem pro nás byla identifikace rizik a uvědomění, jak vysoká závislost na amerických technologiích u nás panuje. 

Jaká vidím hlavní rizika

• Omezení dostupnosti pokročilých cloudových služeb, nebo nástrojů. Geografické omezení služeb, jako pokročilé AI modely, určité typy databází nebo specializované analytické nástroje
• Cenová diskriminace. Výrazně vyšší ceny pro zákazníky mimo preferované regiony.
• Datová lokalizace a suverenita. Přísnější požadavky na lokální ukládání dat, které mohou komplikovat globální škálování (typicky to vidíme u finančních institucí – požadavky na to, že některá data nesmí opustit danou zemi, nebo region – může být navázáno i na regulace ze strany EU).
• Změny v licencování open source softwaru. Potenciální omezení pro některé země nebo typy uživatelů.
• Omezení podpory. Zhoršená technická podpora pro určité regiony.
• Compliance rizika. Nesoulad mezi požadavky různých jurisdikcí (opět typicky regulace ze strany EU, či separátních zemí – příkladem může být ChatGPT v Itálii po jeho zavedení, kdy nebyl několik týdnů dostupný).
• Přerušení dodavatelského řetězce. Narušení přístupu k hardwarovým komponentám nebo specializovaným službám.

Jaké otázky si položit

• Na jakých cloudových službách běžíme? 
• Jaké komponenty nejde přenést a jsou klíčové pro běh našich aplikací?
• Kde jsou zdrojové kódy a artefakty?
• Jak je to u našich zákazníků, kde máme infrastrukturu pod kontrolou? Konkrétně: Jaký je kompletní technologický stack? Využíváme nástroje pro IaaC k vytváření infrastruktury? Využíváme všude kontejnery (Docker apod.) pro izolaci prostředí? Jaké monitorovací nástroje používáme?
• Jaké nástroje používáme a jsou pro nás kritické? 
• Je možné přejít na alternativy? (Týká se jak toho, jakým způsobem vyvíjíme aplikace, ale také jaké nástroje využíváme pro jejich řízení.)

“Nebezpečný” je celý SaaS

Na základě naší analýzy se ukázalo, že nebezpečí nečíhá jen v samotném provozování aplikací u cloudových poskytovatelů, ale také v závislosti na SaaS službách, které využíváme. Vedle tradičních cloudových platforem jako Google Cloud, AWS nebo Azure používáme i klíčové SaaS nástroje, například Google Workspace, MongoDB Cloud a další.

Přečtěte si také:

Nejrychlejší reakce Bruselu za mnoho let. Evropa řeší, jak bleskově nahradit Starlink nevypočitatelného Muska

Tyto služby jsou často hostovány v USA a také na infrastruktuře hyperscalerů (Google Cloud, AWS a spol.). Například u Slacku ve verzi zdarma nemáme možnost zvolit datovou rezidenci, což znamená, že veškerá data jsou standardně uložena na serverech v USA. V této souvislosti není problém jen samotný cloud, ale i veškeré SaaS nástroje, které na něm běží a na které jsme denně odkázáni.

Je důležité si také uvědomit, že to, že software původně vznikl v EU nebo mimo USA, neznamená, že data nejsou uložena v USA. Například:

• Atlassian (Jira, Confluence, Opsgenie) je australská firma, ale většinu infrastruktury má v USA.
• GitLab Inc. je registrován v USA, i když má evropské kořeny (lze využívat i on-premise).
• MongoDB Inc. je americká firma, přestože MongoDB Atlas běží na více cloudech včetně EU regionů.
• Můžeme sice využít evropský cloud, ale nevíme jak jsou na tom s IaaS.

Dále panovaly obavy, že evropští cloudoví poskytovatelé nebudou dostatečně podporováni Terraformem nebo Pulumi, tedy že by jim chyběli oficiální providery. To se ale nepotvrdilo – existují Terraform i Pulumi providery pro několik evropských cloudů, například OVHcloud, Scaleway, Hetzner, Exoscale nebo IONOS Cloud.

Mít infrastrukturu definovanou v Terraformu nebo Pulumi není v tomto kontextu automaticky výhrou a nemělo by to vytvářet falešný pocit jednoduchosti při případné migraci mezi cloudovými poskytovateli. Hlavním přínosem IaaC je především zajištění konzistence prostředí a možnost sledování změn, ale samotná migrace infrastruktury není jen o změně několika řádků kódu. V realitě se jedná o složitý a nákladný proces, protože různí cloudoví poskytovatelé mají odlišné služby, API a architektonická řešení. 

Co se může stát

Sankce a politické konflikty. Geopolitické napětí může vést k náhlému odříznutí některých regionů od cloudových služeb. V extrémním případě mohou politická rozhodnutí v USA omezit nebo ukončit poskytování služeb pro určité země či regiony – byť předpokládáme, že se bude jednat pouze o taktiku vyjednávání. Například v roce 2024 byly cloudové služby Microsoftu v Rusku zcela odstaveny kvůli sankcím EU. Podobně by eskalace napětí mezi USA a EU mohla teoreticky ohrozit dostupnost služeb amerických providerů v Evropě. I když to u spojeneckých zemí není pravděpodobný scénář, varuje to před přeceňováním spolehlivosti – „vždy tu bylo riziko odříznutí přístupu a teď se naplnilo“ . Firmy plně závislé na zahraniční infrastruktuře by se tak ocitly ve vážných problémech.

Regulatorní omezení v EU. Evropská legislativa může určitým technologiím zkomplikovat nebo znemožnit provoz. Příkladem byl dočasný zákaz ChatGPT v Itálii v roce 2023 na základě obav z porušování GDPR. Evropské země začaly zvažovat přísnější opatření pro generativní AI, dokud provozovatel nedoložil soulad s předpisy. Do budoucna mohou AI Act a další zákony EU podmínit používání služeb jako ChatGPT splněním přísných požadavků na transparentnost, bezpečnost a ochranu dat. Pokud by OpenAI či Anthropic (Claude) tyto požadavky nesplnily, hrozí omezení jejich služeb pro evropské zákazníky. Aktuálně EU zvažuje certifikační schéma cloudových služeb (EUCS), které by mohlo vyloučit neevropské poskytovatele z tzv. vysoce důvěryhodných cloudů pro vládní a kritické komerční sektory. To by pro firmy znamenalo omezení výběru – v citlivých odvětvích by nebylo možné používat například AWS nebo Google Cloud Platform, což by si vyžádalo migraci na evropská řešení. Dále nařízení EU Data Act zavádí pravidla pro snadnější přenositelnost dat a služeb mezi cloudy. Na druhou stranu se na to firmy připravují a snaží se nabídnout alternativy, které vyhoví EU požadavkům.

Datová suverenita a přenos dat. Přeshraniční tok dat mezi EU a USA je právně citlivý kvůli GDPR. Iniciativy jako Schrems II znejistily právní rámec pro ukládání osobních dat Evropanů na amerických serverech. Pokud by právní výklad znemožnil přenos citlivých dat do USA, mohly by být služby vyžadující zpracování dat v zámoří omezeny či zakázány evropskými regulátory. To by se dotklo například serverless funkcí nebo AI služeb, které data zpracovávají mimo EU (nemají možnost zvolit si, kde se data zpracovávají).

Rozhodnutí poskytovatelů služeb. Samotné firmy mohou preventivně omezit dostupnost služeb v určitých regionech, pokud cítí právní rizika. Důvodem mohou být obavy z GDPR či připravovaných regulací AI, kvůli kterým firma vyčkává. Podobně i Google zpočátku neuvedl Bard v EU kvůli regulační nejistotě, nebo to nyní sledujeme u Apple Intelligence. Tyto případy ukazují, že inovativní služby nemusí být pro evropské uživatele automaticky dostupné, pokud se poskytovatel obává geopolitických či legislativních komplikací.

Přečtěte si také:

Z čínských kamer na úřadu vlády si každý dělal legraci. Ale sranda už to není, varuje přední český výrobce

Výpadky a narušení infrastruktury. Geopolitická krize (například kyberútok nebo fyzické narušení kabelů či datacenter) může způsobit rozsáhlé výpadky služeb. Ačkoliv cloudoví giganti mají datacentra i v EU, některé služby (řídící prvky, autentizace, globální AI modely) mohou záviset na US infrastruktuře. V případě války nebo sankcí by mohla být omezená i mezinárodní konektivita, což by zpomalilo či přerušilo přístup evropských uživatelů ke kritickým API. Firmy proto musí počítat i s tímto katastrofickým scénářem v rámci krizového plánování.

Zvýšení cen vlivem politických rozhodnutí. Politika může ovlivnit i cenovou dostupnost cloudových služeb. Nové regulace nebo obchodní spory mohou zvýšit náklady provozovatelům – ti je pak promítnou do cen pro zákazníky. Například pokud by EU výrazně omezila působení amerických cloudů na svém trhu, firmy v EU by mohly být nuceny přejít k lokálním poskytovatelům za vyšší ceny, což by mohlo evropské ekonomice způsobit škody v řádu stovek miliard eur během pár let. Už nyní menší státy EU upozorňují, že přehnaně restriktivní požadavky na „digitální suverenitu“ by zvýšily náklady a omezily konkurenci v cloudových službách. Dalším faktorem jsou například místní daně či poplatky (například digitální daň) nebo rostoucí ceny energií v Evropě – to vše se může promítnout do zdražení cloudu pro koncové uživatele.

Riziko vendor lock-in. Obecně pokud firma používá specializované služby, které se vážou pouze k jednomu nástroji/cloudu, vzniká vysoká závislost na tomto dodavateli. Případná migrace jinam může být technicky i finančně náročná – proto je závislost na jediném cloudovém vendorovi strategickým rizikem sama o sobě. Na druhou stranu jsme v průběhu času viděli, že firmy začínaly s cloud-agnostic přístupem (tzn. využívaly služby tak, aby mohly kdykoliv migrovat jinam), což s sebou neslo také nákladná řešení a rozhodnutí. V globálním světě, kde je obrovská provázanost služeb a zároveň kde cloudy nabízí specializované služby, které jsou velmi nákladné na vytvoření, je jejich využívání jak strategickou výhodou, tak i hrozbou.

Kontroverze majitelů. Možná nepravděpodobné, nicméně stále reálné riziko, jsou kontroverze spojené s majiteli a klíčovými osobnostmi velkých společností. Aktuálně to vidíme například u bojkotu Tesly ve spojitosti s Elonem Muskem a jeho politickým angažmá. Hlavním rizikem je nepředvídatelnost takové situace, výhodou je snazší hledání náhrady než v případě plošných omezení.

Je to celé overthinking?

Nabízí se otázka, jak velké riziko omezení amerických technologií představuje a jaké existují smysluplné alternativy. Obecně je ale byznys je tak silně provázaný, že si jen stěží lze představit, že by se velcí poskytovatelé služeb jen tak nechali připravit o zisky. V případě regulací by například reagovali verzí pro EU. Nicméně pokud by došlo na černý scénář, že v EU nepojedou Google nebo Amazon, bude to daleko větší problém, než že nepojedou služby některých našich klientů.

Zcela určitě je třeba zamyslet se nad samotným výběrem technologií – dnes vybíráme ty, které jsou pro daný use case nejvhodnější často cloudově zaměřené (cloud native). Na začátku nového projektu chceme zařadit také bod, zda vybrat technologický stack, který lze snadněji migrovat – například zda jít cestou MongoDB Atlas, které jednoduše přesuneme na vlastní servery, nebo zda prozkoumat alternativy v podobě evropských cloudových poskytovatelů.

Přečtěte si také:

Jak údajné pašování AI čipů Nvidia přes Česko a omezení jejich dovozu z USA mobilizovalo půlku státu

• Chcete mít Lupu bez bannerů?
• Chcete dostávat speciální týdenní newsletter o zákulisí českého internetu?
• Chcete mít k dispozici strojové přepisy podcastů?
• Chcete získat slevu 1 000 Kč na jednu z našich konferencí?

Staňte se naším podporovatelem

Chci se stát podporovatelem