Chmura jak tarcza państwa. Dlaczego multilokalność decyduje dziś o bezpieczeństwie infrastruktury krytycznej?

Materiał sponsorowany

Sabotaż na linii kolejowej z Warszawy do Lublina w listopadzie 2025 roku dobitnie pokazał, jak istotne znaczenie dla bezpieczeństwa ma infrastruktura krytyczna. Nie było to jednak pierwsze tego typu zdarzenie, które przyciągnęło uwagę opinii publicznej.

Na łamach CyberDefence24 kilka miesięcy przed incydentem na kolei zwracaliśmy uwagę na pożar w warszawskim metrze. Wokół niego pojawiły się teorie, jakoby miał to być sabotaż; dodatkowo wzmocniły je doniesienia o pożarach podstacji energetycznych w stolicy. Ostatecznie jednak działania osób trzecich we wszystkich przypadkach zostały wykluczone.

Odporność państwa to także bezpieczeństwo danych

Problem ochrony obiektów czy urządzeń kluczowych dla bezpieczeństwa państwa nie ogranicza się jednak do dziedziny transportu. Wiele istotnych branż korzysta z rozwiązań technologicznych, których dostawcy mogą posiadać niejasne powiązania z organami niekoniecznie nastawionymi pozytywnie do kraju działalności klienta.

Jak wskazuje Grzegorz Soczewka, VP Sales C&EE w OVHcloud w wypowiedzi dla naszej redakcji, w odporności państwa coraz częściej nie mówi się tylko o elektrowniach czy wodociągach, lecz także o danych i infrastrukturze dla bezpiecznego przetwarzania tychże.

„Suwerenność cyfrowa i multilokalność nie są dla nas modnymi hasłami, lecz fundamentem bezpieczeństwa. W OVHcloud wierzymy, że państwa i organizacje powinny mieć realną kontrolę nad tym, gdzie i w jakich warunkach przechowywane są ich strategiczne zasoby. Zaufana, europejska chmura pozwala tę kontrolę zachować, chroniąc dane przed zewnętrzną ingerencją i zapewniając zgodność z lokalnymi regulacjami” – przekazał Grzegorz Soczewka.

Nie są to słowa rzucane na wiatr – OVHcloud jest czołowym dostawcą chmury na Starym Kontynencie, wspierającym jednocześnie 1,6 mln klientów z przeszło 140 krajów. Firma jest również założycielem stowarzyszenia CISPE (Cloud Infrastructure Services Providers in Europe)  oraz projektu GAIA-X, a także aktywnie podejmuje działania w zakresie europejskich inicjatyw związanych interoperacyjnością, bezpieczeństwem danych oraz transparentnością.

Dostawcy wysokiego ryzyka poważnym problemem w infrastrukturze

Czołowym przykładem zagrożenia z zakresu technologii jest kwestia dostawców wysokiego ryzyka (DWR), którą ujęto m.in. w podpisanej na początku lutego br. przez prezydenta nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa. W styczniu pojawiły się informacje, że Unia Europejska chce rozszerzenia katalogu na 18 sektorów – od dronów, przez usługi chmurowe, systemy dostaw energii, na półprzewodnikach kończąc.

W problemie podzespołów od DWR może pomóc zastosowanie zasady kontroli łańcucha wartości, czyli w wypadku OVHcloud zasada gospodarki o obiegu zamkniętym. To stosowanie mniej energochłonnych rozwiązań, jak również recykling produktów oraz zapewnienie życia głównym komponentom. Serwery są budowane i produkowane w dwóch fabrykach w Kanadzie i Francji, a centra danych mieszczą się często w zrewitalizowanych budynkach postindustrialnych. Zaletą modelu łańcucha wartości jest nadzorowanie wszystkich etapów tworzenia i dostarczania usług IT – od analizy potrzeb, przez rozwój i wdrożenie, aż po utrzymanie i wsparcie. Koncepcja stanowi istotny element suwerenności danych. Pozwala to nie tylko na utrzymanie niezależności danych, ale także ciągłości operacyjnej – dzięki zastosowaniu tego modelu działania, spółka utrzymuje stabilną płynność dostaw.

Niezależność cyfrowa: chmura czy hybryda?

Obok dostawców, niemniej ważnym komponentem jest sprawa samych centrów danych. W przypadku dużych firm technologicznych, ich ulokowanie w Europie stało się jedną z podstawowych kwestii. Obowiązujące od kilku lat przepisy RODO wymagają od nich bowiem przechowywania danych mieszkańców Unii na terenie Wspólnoty, a nie poza nią.

Znaczenie lokalnej infrastruktury jest coraz częściej zauważane przez firmy. Statystyki z najnowszego raportu State of Physical Security 2026 Genetec wskazują, że 43 proc. badanych mówiło o wdrożeniu rozwiązań hybrydowych, będących połączeniem rozwiązań on-premise z chmurowymi. Jako główny argument wskazywano pozostawienie danych na terenie kraju, z którego pochodzą dane klientów oraz użytkowników, przy jednoczesnym korzystaniu z chmury dla aktualizacji.

Tymczasem, w opublikowanym w lutym br. raporcie„Suwerenność cyfrowa – między autonomią i pragmatyzmem” przygotowanym przez Instytut Poznański zaznaczono, że rekomendowanym modelem do zastosowania byłaby „kontrolowana współpraca” łącząca wymagania związane z bezpieczeństwem państwa, uwarunkowaniami globalnego rynku technologicznego oraz dynamiką innowacji.

W bezpieczeństwie nie ma kompromisów

Wraz ze wzrostem znaczenia suwerenności cyfrowej, również same państwa zaczęły kłaść nacisk na tę kwestię. Widać to było zwłaszcza w kwestii chmury, gdy w ostatnim kwartale 2025 roku doszło do awarii AWS oraz Cloudflare - ich problemy uniemożliwiły dostęp do wielu portali internetowych na całym świecie. Sam Parlament Europejski również zwraca uwagę na problem, apelując o ograniczenie zależności członków UE od amerykańskich firm technologicznych.

Suwerenna chmura oznacza jednocześnie, że dane klientów nie będą wykorzystywane przez dostawcę rozwiązania. OVHcloud wypełnia to zobowiązanie, w wyjątkowych sytuacjach prosząc o zgodę na dostęp np. w celu przeprowadzania prac technicznych, przy jednoczesnym pełnym zachowaniu niezależności danych i przejrzystości działań. Potwierdzają to m.in. pozyskana w 2021 roku od francuskiej ANSSI wiza bezpieczeństwa SecNumCloud, czy współpraca z europejskimi instytucjami oraz ENISA.

Jednym z zagadnień niezależności cyfrowej w Polsce zajmuje się Politechnika Gdańska. Platforma CAISE ma umożliwić małym i średnim przedsiębiorstwom tworzenie inteligentnych usług. Strona rządowa, według informacji uzyskanych przez CyberDefence24, miała prowadzić ocenę wdrożenia platformy w podmiotach administracji publicznej.

Tysiące cyberataków – nie tylko na wodociągi

Suwerenność ma znaczenie zwłaszcza w przypadku operacji w cyberprzestrzeni. Najpopularniejszą metodą ataków mających zakłócić prawidłowe funkcjonowanie infrastruktury energetycznej w Polsce pozostają cyberataki. Tych, według statystyk CERT Polska, są tysiące – tylko w 2025 roku obsłużono aż 260 tys. zdarzeń. Celem aktorów zagrożeń nie są wyłącznie obiekty infrastruktury energetycznej, jak w przypadku głośnego cyberataku z grudnia, czy powtarzające się co kilka miesięcy operacje przeciwko wodociągom czy oczyszczalniom.

Na celownik trafiają także podmioty z innych branż, równie krytyczne dla prawidłowego funkcjonowania społeczeństwa. Niedawne działania wymierzone w szpitale w Krakowie czy Szczecinie dowodzą, że wystarczy odpowiednie przygotowanie ataku, aby w znacznej mierze utrudnić funkcjonowanie podmiotu, a nawet doprowadzić do jego paraliżu.

Ignorowanie ostrzeżeń w ramach tego samego sektora również nie kończy się dobrze. Przewoźnicy kolejowi funkcjonujący w Polsce zwracają uwagę na cyberataki na ich systemy sprzedaży, przez co niemożliwe staje się zakupienie biletu na pociąg. Poważniejszym ostrzeżeniem był jednak brak zabezpieczeń kontrolera oświetlenia oraz zgromadzonych przez niego danych na jednej z pętli tramwajowych we Wrocławiu. Niecałe dwa miesiące później cyberatak na MPK Kraków wyłączył nie tylko systemy przewoźnika, lecz także dane o wszystkich biletach cyfrowych zakupionych przez pasażerów.

W przypadku OVHcloud, w razie wykrycia podatności przez zespół Security Managera, specjaliści przedsiębiorstwa przeprowadzają analizę, wskazują środki łagodzące do zastosowania, a także opracowują plan naprawczy. Każdy ze środków, który zostanie wdrożony w celu eliminacji podatności, jest kontrolowany i weryfikowany pod kątem jego skuteczności.

W zakresie incydentów w przedsiębiorstwie funkcjonuje z kolei proces zarządzania awariami, obejmujący m.in. obsługę zdarzeń bezpieczeństwa, testy planu reakcji na awarie czy ćwiczenia symulacyjne. Możliwe jest również wykonanie kopii bezpieczeństwa konfiguracji sieci, aby możliwie szybko przywrócić usługę do działania po incydencie.

Multilokalność – nowa cyfrowa tarcza?

Jak zatem można się zabezpieczyć przed tego rodzaju zagrożeniami? Oprócz edukowania, możliwością jest wybór odpowiedniej strategii do kontroli łańcucha dostaw w sektorach strategicznych. Jedną z nich jest wdrażana przez OVHcloud strategia „Multilocal”, która łączy globalny rozwój technologii wraz z lokalną odpowiedzialnością za dane oraz infrastrukturę.

Dzięki takiej strategii, podmiot może spełnić wymogi prawne danego kraju bądź regionu, w którym funkcjonuje za pośrednictwem lokowania danych oraz kluczowych zasobów IT w jednym miejscu. Obawy co do zgodności nie powinny dziwić: przykładowo, sam unijny Akt o sztucznej inteligencji jest określany przez niektórych mianem „pola minowego”. Za wdrożeniem strategii multilokalności idzie również wzmocnienie odporności operacyjnej czy suwerenności cyfrowej.

„Multilokalność to dla nas coś więcej niż obecność centrów danych w różnych regionach. To zdolność budowania odpornej infrastruktury, która nawet w obliczu zakłóceń, cyberataków czy przerw w łańcuchach dostaw pozwala utrzymać ciągłość działania krytycznych systemów. Łączymy globalną skalę z lokalną odpowiedzialnością, aby administracja publiczna, sektor energetyczny, transport czy ochrona zdrowia mogły korzystać z innowacji bez kompromisów w obszarze bezpieczeństwa. W świecie tysięcy cyberataków rocznie takie podejście staje się nową, cyfrową tarczą ochronną” – podkreślał Grzegorz Soczewka w rozmowie z redakcją CyberDefence24.

Jednym z argumentów wskazywanych przez uczestników badania Genetec w zakresie wyboru modelu hybrydowego była skalowalność. Wbrew pozorom okazuje się, że multilokalność nie stoi w kontrze do tej możliwości. Firmy wykorzystujące tę strategię mogą budować swoją pozycję na wielu rynkach i regionach. Suwerenność cyfrowa staje się długofalowym elementem zmian zachodzących nie tylko w projektowaniu infrastruktury technologicznej, ale także w zarządzaniu danymi przez organizacje.