Když 24. února začala invaze Ruska na Ukrajinu, rozjela se řada krizových a válečných plánů a aktivit. Velkou prioritu dostala ochrana kritické infrastruktury, což dnes zahrnuje telekomunikace, datová centra a informační technologie. Moderní státy bez takových věcí neumí efektivně fungovat. Ukrajinská vláda začala řešit, jak zajistit provoz státních systémů a jak klíčová data a aplikace dostat mimo dosah ruské armády. Rozjela se série aktivit a pomoci ze zahraničí, kterou poskytly i velké americké korporace nebo subjekty z Česka.
Řada projektů prozatím nebyla veřejně popsaná, což je vzhledem k probíhajícímu konfliktu logické. Na konferenci AWS re:Invent v Las Vegas nicméně nedávno vystoupil ukrajinský místopředseda vlády a ministr pro digitální transformaci Mykhailo Fedorov, aby zde prezentoval úspěchy, které se mu ve spolupráci s největším cloudem světa Amazon Web Services povedly.
„Probíhající válka ukázala, že digitální infrastruktura je tou nejodolnější. Tak jednoduše ji bombami nezničíte,“ uvedl Fedorov na setkání s novináři. To ukázala třeba pomoc od Elona Muska a jeho satelitního internetu Starlink, který k velké nelibosti Rusů nadále poskytoval Ukrajině slušnou a těžko zničitelnou konektivitu.
Jednu z klíčových rolí sehrál právě Amazon s jeho cloudem AWS. Fedorov sdělil, že pomoc, kterou tato společnost poskytla, má hodnotu v řádech mnoha milionů dolarů. „Ale abych byl upřímný, bylo to k nezaplacení,“ řekl Fedorov, jako by citoval reklamní hlášku Mastercardu.
Rychlé schválení cloudového zákona
Ukrajinské vládě a IT odborníkům se za pomoci AWS podařilo velmi rychle migrovat státní systémy do cloudu a mimo hranice bombardované země. Vláda rozjela přípravu už před samotnou invazí, protože samozřejmě měla informace o tom, že Rusko pravděpodobně do země vtrhne.
Ukrajinský ministr pro digitalizaci Mykhailo Fedorov
Země také začala s modernizací IT a kybernetické odolnosti po dřívějších a Ruskem vyvolaných konfliktech, například v rámci obsazení Krymu. Kybernetické útoky Ruska na Ukrajinu jsou dlouhodobě běžné, útočníkům se třeba podařilo skrze kampaň BlackEnergy odstavit část energetické sítě a způsobit blackout. Podle insiderů byla státní digitální infrastruktura v minulosti na bídné úrovni a vše se začalo řešit s vpády Ruska.
Na Ukrajině ještě krátce před poslední invazí ruské armády platil zákon, který požadoval, aby data vlády a vybraných institucí soukromého sektoru byly uloženy na serverech fyzicky umístěných na Ukrajině. Jde o běžnou věc, státy si takto chrání digitální suverenitu u kritické infrastruktury. Ukrajinský parlament nicméně týden před ruským útokem schválil novou legislativu umožňující přesun těchto dat do cloudu. Vláda následně požádala cloudové společnosti o pomoc.
Rychle zareagoval Amazon, který měl v rámci AWS připravený tým včetně technických odborníků a solution architektů. Ti zprovoznili bezpečnou komunikaci s představiteli vlády v Kyjevě a reprezentanty Ukrajiny v celé Evropě. Už 24. února během prvního dne invaze se členové týmu AWS pro veřejný sektor setkali s členy ukrajinské vlády, aby vyřešili, jak provést migraci dat.
Kufříky na přenos dat
O zhruba dva dny později, byla to sobota ráno, dorazily do polského Krakova zařízení označovaná jako Snowball (Sněhová koule). Jde o specializované „kufříky“, které díky své konstrukci a obrněném vnějšku dokáží odolat až čtyřiceti kilogramům výbušniny ve vzdálenosti šest metrů a přetížení 70 G. Do kufříků lze nahrát data, zašifrovat je, převést a zkopírovat do cloudu (úložiště S3). AWS má k dispozici Snowbally o kapacitách 80 a 50 TB a pomalu přechází na další generaci.
Snowball není výrobek určený pouze pro válečné a krizové operace. Technologii používají libovolní zákazníci, kteří jsou citliví na svá data a potřebují specifickou migraci tohoto druhu.
Snowbally se připojují do klasické elektrické zásuvky a disponují potřebnou konektivitou, kdy jsou k dispozici dva 10Gb porty, jeden 25Gb a jeden 100Gb port. Uvnitř je rovněž slušná výpočetní kapacita čítající až 32 jader procesoru AMD (architektura Naples) na 3,4 GHz, 208 GB RAM a grafický akcelerátor Nvidia V100. Polohu lze sledovat přes GPS a připojovat se lze k tradičním mobilním sítím.
Jak vypadají kufříky AWS Snowball a AWS Snowcone:
Snowbally z Krakova do různých lokalit na Ukrajině dorazily v noci ze soboty na neděli. Rozjela se technicky mezinárodně koordinovaná akce kopírování jedniček a nul a následného převozu a nahrávání do cloudu AWS.
Daty naplněné Snowbally nemohly být přesouvány pomocí letecké dopravy, protože už běžel vojenský konflikt a vzduch je jedna z dimenzí války. Ukrajina a AWS nejsou příliš konkrétní v tom, jak přesně převoz Snowballů probíhal a probíhá, čemuž se vzhledem ke strategické citlivosti tématu nelze divit. Amazon pro tyto účely nabízí i vlastní kamion Snowmobile schopný za přítomnosti ochranky přepravit 100 PB dat, jeho nasazení ale v případě války nehrozí.
Desítky PB dat
„Migrace se týká státních registrů, databází a obecně kritické IT infrastruktury. Jde o jádro, pomocí něhož můžeme provozovat ekonomiku, daňový systém, banky, fungování vlády a tak dále. Nenastal den, kdy bychom nebyli schopní pracovat, a to ani pod těžkým bombardováním a při nedostatku elektřiny,“ shrnul Fedorov.
AWS a Ukrajina prozatím přesunuly desítky PB dat ze 38 ministerstev a státních úřadů, 24 univerzit a řady soukromých společností. Přesuny dat a aplikací nadále pokračují.
Přesunuta byla například ukrajinská banka PrivatBank, která má tržní podíl kolem 40 procent. Podle insiderů jde dlouhodobě o poměrně technologicky progresivní finanční instituci. Když jsem například před pár lety navštívil Kyjev, PrivatBank všude měla billboardy propagující Apple Pay. V Česku jsme se dočkali o více než rok později.
PrivatBank přesunula údajně všechny své operace do cloudu. To zahrnuje 270 aplikací a 4 PB zákaznických dat ležících na 3500 na Ukrajině umístěných serverech. Podařilo se to za méně než 45 dnů. „Chtěli jsme snížit naši závislost na hardwaru umístěném v různých částech Ukrajiny, protože hrozilo riziko zničení během války,“ sdělil šéf IT v PrivatBank Mariusz Kaczmarek. Banka chce v cloudu zůstat i v lepších časech.
Válka technologů
Přesun těchto a dalších systémů v podstatě znamená, že Ukrajina může i během bombardování a stále se vlekoucí války fungovat jako stát, což znamená řídit každodenní agendy, poskytovat vzdělávání a tak dále.
„Tohle je v mnoha ohledech válka technologů. Já a můj tým věříme v big data, analytiku a neustálé vylepšování,“ navázal Fedorov. „Jde o technologicky nejvíce pokročilou válku v historii lidstva,“ sdělil také ukrajinský ministr s tím, že řada technologií sice v této válce slouží k zabíjení a ničení, další ale naopak slouží k pozitivním věcem.
Fedorov také v kuloárech mluvil více odlehčeně a snažil se v rámci možností vtipkovat. Podle jeho slov se z jeho země vlivem krizové situace v podstatě stává nejvyspělejší e-government na světě. Při setkání v Las Vegas také vyzval další technologické firmy, aby se do pomoci Ukrajině zapojily, protože tato země je nyní nejlepším testovacím prostředím pro jejich produkty.
Přesun země do cloudu zároveň umožňuje vytvořit její infrastrukturní repliku a případně zásadně pomoci při obnově. Další vývoj se samozřejmě ukáže po konci války. Amazon a další společnosti dnes poskytují pomoc zdarma s tím, že občas si na tom udělají PR (nijak přehnané nebo parazitující). Cloud ale není levný a ne vždy se musí vyplatit, takže není jasné, jak výhodný by byl provoz celého státu za normální situace.
Pomoc z Česka
S informačními technologiemi Ukrajině pomáhá také český stát. „Hned v únoru to evropští ministři pro digitalizaci začali řešit,“ řekl Lupě místopředseda vlády Ivan Bartoš (Piráti). Začaly se například tvořit seznamy potřebných materiálů nebo řešit zapojení firem. Zdejší společnosti se podílely na dodávkách notebooků a dalších IT komponent nebo obnově zasažených datových center.
Hodně infrastruktury a aplikací se podle Bartoše přesunulo do Polska. Rychlé migrace umožnil nejenom krizový stav, kdy je třeba jednat okamžitě, ale také určitá připravenost. „Ukrajina je co se týče e-governmentu poměrně vyspělý stát,“ doplnil Bartoš. „Na Ukrajině už v minulosti řešili, zda a jak dát věci do cloudu, a krize to za ně rozhodla.“
Další české aktivity zapojení státu nepotřebovaly a firmy, organizace a jednotlivci pomáhali a pomáhají po své ose. Správce české národní domény CZ.NIC společně s internetovým uzlem NIX.CZ například pomáhají provozovat ukrajinskou doménu .UA. Část podpůrných systémů ukrajinského doménového registru byla přesunuta do českého datacentra a na našem území byl zřízen autoritativní DNS cluster. Tyto české organizace za přispění firem vyšly vstříc ukrajinskému doménovému správci Hostmaster.
To, jak celá akce probíhala, ve své dvacetiminutové přednášce (plus prezentace v PDF) popsal Lukáš Vacek z CZ.NIC. Čtyřiadvacátého února začala ruská invaze. O den později už padl návrh na zapojení a o tři dny později byl přislíben router. Druhého března byly zajištěny uplink switche a router v racku. Třetího se objednaly servery. Jedenáctého proběhla konfigurace routeru, o den později byly připraveny MGMT switche a čtrnáctého byl připojen 100Gb transit. Patnáctého dorazily servery, následující den byly instalovány do racků včetně kabeláže a jednatřicátého byla instalace hotová.
Odvetu nevidíme
Amazon jako nejviditelnější z velkých korporátních představitelů prozatím neregistruje odvetné útoky ze strany Ruska. AWS se relativně běžně musí vypořádávat s DDoS útoky o síle v řádech terabitů za sekundu. „AWS pohání část internetu, takže jsou na nás útoky vedené pořád. V souvislosti s naší pomocí Ukrajině jsme nicméně nezaregistrovali žádné zvýšené aktivity,“ popsal Lupě Mark Ryland, který působí jako šéf pro kyberbezpečnost AWS.
„Obecně spolupracujeme se státními aktéry po celém světě – například si vyměňujeme takzvaná intelligence data. Vlády nám posílají indikátory toho, na co bychom si měli dát pozor,“ naznačil dále Ryland. Amazon je nyní jedním z iniciátorů aktivity Open Cybersecurity Schema Framework (OCSF), který chce například sjednotit bezpečnostní telemetrii skrze produkty a služby.
