Όταν η Amazon Web Services (AWS) σταμάτησε να λειτουργεί παγκοσμίως τον Οκτώβριο του 2025, εκατομμύρια χρήστες θυμήθηκαν ξαφνικά πόσο αόρατη αλλά απαραίτητη έχει γίνει η τεχνολογία cloud.
Από τράπεζες και νοσοκομεία μέχρι αεροπορικές εταιρείες και πλατφόρμες λιανικής, ολόκληροι τομείς επιβραδύνθηκαν ή σταμάτησαν. Η αναστάτωση ακολούθησε μια ξεχωριστή καταστροφή νωρίτερα, τον Ιούλιο του 2024, όταν η ενημέρωση λογισμικού της CrowdStrike καθήλωσε δραστηριότητες σε όλο τον κόσμο.
Διαφορετικές εταιρείες. Διαφορετικοί λόγοι. Ωστόσο, και τα δύο γεγονότα αποκάλυψαν την ίδια δυσάρεστη αλήθεια: η ψηφιακή υποδομή του κόσμου, τα δίκτυα, οι διακομιστές και το λογισμικό που υποστηρίζουν σχεδόν κάθε σύγχρονη υπηρεσία, είναι πολύ πιο εύθραυστη από ό,τι θέλουμε να πιστεύουμε.
Τεχνικά, επρόκειτο για πολύ διαφορετικές αποτυχίες, αλλά η ομοιότητα έγκειται στο πόσο γρήγορα εξαπλώθηκαν. Ένα μόνο σφάλμα σε μία εταιρεία επηρέασε παγκόσμια συστήματα χωρίς άμεση σχέση με αυτήν.
Η ψευδαίσθηση της ανθεκτικότητας
Για χρόνια, οι πάροχοι cloud έχουν προωθήσει τους εαυτούς τους ως απάντηση σε τέτοια ευθραυστότητα. Η κατανεμημένη υπολογιστική, τα αυτοματοποιημένα αντίγραφα ασφαλείας και τα πλεονάζοντα συστήματα υποτίθεται ότι διατηρούν δεδομένα και υπηρεσίες online ακόμη και όταν επιμέρους στοιχεία αποτυγχάνουν. Ωστόσο, το μοντέλο cloud εξαρτάται σε μεγάλο βαθμό από τη συνδεσιμότητα δικτύου και μπορεί να εισαγάγει καθυστερήσεις και άλλα τρωτά σημεία, που μετριάζουν ορισμένες βλάβες, χωρίς όμως να εξαλείφουν την ευθραυστότητα.
Όπως δείχνουν τα περιστατικά AWS και CrowdStrike, η πλεονάζουσα παροχή υπηρεσιών σε θεωρητικό επίπεδο δεν σημαίνει πάντα ανθεκτικότητα στην πράξη. Πολλοί οργανισμοί που βασίζονται στην AWS για κρίσιμες υπηρεσίες χρησιμοποιούν επίσης την ίδια πλατφόρμα για αντίγραφα ασφαλείας, παρακολούθηση ή έλεγχο ταυτότητας. Όταν ένα βασικό δίκτυο αποτυγχάνει, αποτυγχάνουν και οι μηχανισμοί fail-over που έχουν σχεδιαστεί για να αποτρέπουν τον χρόνο διακοπής λειτουργίας. Με άλλα λόγια, η «διαφοροποίηση» συχνά υπάρχει μόνο εντός του ίδιου οικοσυστήματος του ίδιου παρόχου, μια κλασική περίπτωση όπου όλα τα αυγά βρίσκονται σε ένα ψηφιακό καλάθι.
Στην καρδιά του ζητήματος βρίσκεται η συγκέντρωση στο cloud. Ένας μικρός αριθμός εταιρειών, κυρίως η AWS, η Microsoft και η Google, φιλοξενούν πλέον το μεγαλύτερο μέρος της παγκόσμιας ψηφιακής υποδομής. Ακόμη περισσότερο, το cloud computing έχει γίνει ραχοκοκαλιά της σύγχρονης Τεχνητής Νοημοσύνης, βασιζόμενο σε μεγάλα, κεντρικά κέντρα δεδομένων που προσφέρουν ισχύ και επεκτασιμότητα.
Κυβερνήσεις, πανεπιστήμια, νοσοκομεία και επιχειρήσεις εκτελούν κρίσιμες υπηρεσίες στις ίδιες πλατφόρμες. Η ευκολία και η οικονομική αποδοτικότητα είναι αναμφισβήτητες. Ωστόσο, αυτή η ενοποίηση δημιουργεί μία δομική ευπάθεια. Μια μεμονωμένη λανθασμένη διαμόρφωση ή ένα ελάττωμα λογισμικού σε έναν από αυτούς τους παρόχους μπορεί να έχει παγκόσμιες συνέπειες, παρόμοιες με τον τρόπο που μια μεγάλη τραπεζική χρεοκοπία μπορεί να αποσταθεροποιήσει το χρηματοπιστωτικό σύστημα.
Η κατάσταση περιπλέκεται περαιτέρω από την αδιαφάνεια: οι πάροχοι cloud σπάνια αποκαλύπτουν πλήρεις λεπτομέρειες σχετικά με τις αλληλεξαρτήσεις τους ή τις εσωτερικές πρακτικές ανθεκτικότητας. Οι πελάτες συχνά δεν διαθέτουν σαφή εικόνα για το πώς κατανέμονται οι υπηρεσίες τους, πού βρίσκονται τα δεδομένα τους ή σε ποια άλλα συστήματα βασίζονται έμμεσα. Όταν συμβαίνουν διακοπές, ακόμη και ο εντοπισμός του υπεύθυνου μπορεί να αποτελέσει πρόκληση.
Η εξάρτηση της Ευρώπης και η «ψηφιακή κυριαρχία»
Αυτό που καθιστά τα συγκεκριμένα περιστατικά ιδιαίτερα ανησυχητικά είναι ότι αφορούν ιδιωτικές εταιρείες που διαχειρίζονται δημόσιες υποδομές. Η AWS και η CrowdStrike δεν εξυπηρετούν μόνο εμπορικούς πελάτες, αλλά υποστηρίζουν νοσοκομεία, αεροδρόμια, ενεργειακά δίκτυα και κυβερνητικά συστήματα. Όταν αυτές οι υπηρεσίες αποτυγχάνουν, δεν πλήττονται μόνο οι άμεσοι πελάτες τους, αλλά ολόκληρα οικοσυστήματα. Ωστόσο, η εποπτεία αυτών των κρίσιμων εξαρτήσεων παραμένει περιορισμένη.
Για την Ευρώπη, αυτές οι διακοπές μετέτρεψαν μια αφηρημένη συζήτηση περί «ψηφιακής κυριαρχίας» σε ένα πολύ συγκεκριμένο πρόβλημα εξάρτησης.
Η ψηφιακή κυριαρχία αφορά την ικανότητα διασφάλισης ότι τα κρίσιμα δεδομένα, οι υποδομές και τα συστήματα Τεχνητής Νοημοσύνης λειτουργούν σύμφωνα με τους κανόνες της ΕΕ και παραμένουν ελεγχόμενα σε περίπτωση κρίσης. Η προσέγγιση αυτή συνδέει τις διακοπές λειτουργίας με ευρύτερα ζητήματα δικαιοδοσίας (όπως η πρόσβαση των ΗΠΑ σε δεδομένα), εμπορικής ισχύος και στρατηγικής αυτονομίας σε κρίσιμους τομείς όπως τα χρηματοοικονομικά, η υγεία και η δημόσια διοίκηση.
Σε πολιτικό επίπεδο, αντανακλά την εξάρτηση από μια μικρή ομάδα αμερικανικών υπερεπεκτατών που κατέχουν πάνω από το 70% της ευρωπαϊκής αγοράς cloud και υπόκεινται παράλληλα σε αμερικανικούς νόμους, όπως ο CLOUD Act. Σύμφωνα με τις ερμηνείες αναλυτών και θεσμικών παραγόντων στην ΕΕ, ο νόμος αυτός μπορεί να υποχρεώσει εταιρείες cloud με έδρα τις ΗΠΑ - (όπως η AWS, η Microsoft και η Google) να παραδώσουν δεδομένα ακόμη και αν αυτά είναι αποθηκευμένα σε ευρωπαϊκά κέντρα δεδομένων.
Το πλαίσιο για την κυριαρχία στο cloud και την Τεχνητή Νοημοσύνη εξετάζουν πού και υπό ποιους κανόνες εκτελούνται ευαίσθητα δεδομένα και φόρτοι εργασίας, καθώς και πόσο εύκολα μπορούν οι ευρωπαϊκοί φορείς να μετακινηθούν, να αναδιαμορφώσουν ή να αλλάξουν πάροχο σε περίπτωση διακοπών ή γεωπολιτικών αναταράξεων.
Πρόσφατες ευρωπαϊκές πρωτοβουλίες αντιμετωπίζουν πλέον ρητά τους υπερεπεκτατές και τους μεγάλους παρόχους Τεχνολογιών Πληροφορικής και Επικοινωνιών (ΤΠΕ) ως συστημική υποδομή και όχι απλώς ως προμηθευτές.
Στο πλαίσιο του Νόμου για την Ψηφιακή Επιχειρησιακή Ανθεκτικότητα (DORA), που ισχύει από το 2025, οι χρηματοπιστωτικές ρυθμιστικές αρχές της ΕΕ μπορούν να ορίζουν «κρίσιμους τρίτους παρόχους υπηρεσιών ΤΠΕ» και να τους υπάγουν σε άμεση εποπτεία, με στόχο τον περιορισμό του συστημικού κινδύνου.
Οι συζητήσεις στην ΕΕ για το cloud δίνουν πλέον έμφαση στη δυνατότητα εξόδου, στη φορητότητα και στις αρχιτεκτονικές πολλαπλού cloud, με την άποψη ότι η ανθεκτικότητα δεν εξαρτάται απλώς από περισσότερους παρόχους, αλλά από την αποφυγή δομικών «κλειδωμάτων» που καθιστούν πρακτικά αδύνατη την αλλαγή ή την εφεδρεία. Το DORA εξετάζει ποιος διαχειρίζεται τις κρίσιμες ψηφιακές υποδομές για τη χρηματοδότηση και πώς η Ευρωπαϊκή Ένωση μπορεί να τις επιβλέπει, καθώς και να τις υποβάλλει σε δοκιμές αντοχής ως συστημικούς παράγοντες.
Εγγύηση της κυβερνοασφάλειας σε όλη την Ευρώπη
Ο Νόμος για την Ανθεκτικότητα στον Κυβερνοχώρο (CRA), που ισχύει από τον Δεκέμβριο του 2024, αποτελεί τον τρόπο της ΕΕ για την ενσωμάτωση της «ανθεκτικότητας εκ σχεδιασμού» στο σύνολο του συνδεδεμένου υλικού και λογισμικού που στηρίζει την ψηφιακή υποδομή της Ευρώπης.
Το CRA καθορίζει τα χαρακτηριστικά που πρέπει να έχουν όλα τα δικτυωμένα ψηφιακά προϊόντα, ώστε να μην εισάγουν στην ΕΕ μη διαχειρίσιμο κυβερνοκίνδυνο ή αδιαφανή διαχείριση τρωτών σημείων.
Η NIS2 (Οδηγία (ΕΕ) 2022/2555) τέθηκε σε ισχύ τον Ιανουάριο του 2023 και απαιτούσε μεταφορά στο εθνικό δίκαιο έως τον Οκτώβριο του 2024, επεκτείνοντας το στενό πεδίο εφαρμογής της NIS1 ώστε να καλύπτει μεσαίες και μεγάλες οντότητες στους τομείς της ενέργειας, των μεταφορών, της υγείας, των χρηματοοικονομικών, των ψηφιακών υποδομών (συμπεριλαμβανομένου του cloud), της δημόσιας διοίκησης, της μεταποίησης και άλλων. Η NIS2 καθιστά λειτουργική την κυριαρχία σε επίπεδο οντότητας: οι κρίσιμοι φορείς εκμετάλλευσης πρέπει να ευθυγραμμίσουν τις πρακτικές τους με τα πρότυπα της ΕΕ, ακόμη και όταν βασίζονται σε παρόχους εκτός ΕΕ, δημιουργώντας μια εναρμονισμένη βάση ανθεκτικότητας σε ολόκληρη την ενιαία αγορά. Ενσωματώνεται με τις πρωτοβουλίες CRA, DORA και cloud, απαιτώντας από τις οντότητες να διασφαλίζουν ισοδύναμη ανθεκτικότητα από τους προμηθευτές, γεφυρώνοντας τα κενά στην αλυσίδα εξάρτησης.
Πέρα από τους κανονισμούς, η Επιτροπή αναπτύσσει πρακτικά εργαλεία κυριαρχίας γύρω από το cloud και την Τεχνητή Νοημοσύνη.
Ένας διαγωνισμός για το «Πλαίσιο Κυριαρχίας στο Cloud» (έως 180 εκατ. ευρώ για 6 έτη), που ξεκίνησε το 2025 και ανατέθηκε τον Απρίλιο του 2026 στην Post Telecom του Λουξεμβούργου, την StackIT της Γερμανίας, τη Scaleway της γαλλικής μονάδας κέντρων δεδομένων της Iliad και την Proximus του Βελγίου, θέτει συγκεκριμένα κριτήρια κυριαρχίας, στρατηγικά, νομικά, επιχειρησιακά, περιβαλλοντικά, διαφάνειας της αλυσίδας εφοδιασμού, ανοιχτότητας, ασφάλειας και συμμόρφωσης με το δίκαιο της ΕΕ, για υπηρεσίες cloud που παρέχονται από τα θεσμικά όργανα της ΕΕ.
Η Christine Abdalla Mikhaeil είναι επίκουρη καθηγήτρια Πληροφορικών Συστημάτων στη Σχολή Διοίκησης IESEG. Το άρθρο της αναδημοσιεύεται αυτούσιο στο Liberal, μέσω άδειας Creative Commons, από τον ιστότοπο TheConversation.com.
