Em 30 de setembro, uma legislação dos EUA da qual a maioria das pessoas fora da indústria de data centers nunca ouviu falar irá expirar silenciosamente. A Lei Federal de Melhoria de Data Centers estabelece padrões mínimos para data centers federais, abrangendo tempo de atividade, confiabilidade de energia, resiliência e, o mais importante, proteção contra invasões físicas. Quando o sol se põe, não há substituto à espera. O chão simplesmente desapareceu.
É fácil pensar nisso como uma questão estritamente governamental americana. Acho que o oposto é verdadeiro. O tempo dirá. Numa altura em que a inteligência artificial está a impulsionar a maior e mais rápida construção de infraestruturas que a indústria alguma vez viu, estamos a eliminar o padrão de referência para a proteção física dos centros de dados.
Esta combinação deve ser motivo de preocupação para qualquer pessoa que opere, financie ou dependa de um data center, não importa onde esteja no mundo.
Para ser mais preciso, o projeto de lei vincula apenas os data centers federais dos EUA e os prestadores de serviços que operam data centers para o governo, e não os operadores comerciais. É exactamente por isso que o seu fracasso é mais importante como um sinal do que como uma mudança nas regras locais. Quando se permite que até mesmo o limite inferior de um governo desapareça, a linha de base à qual todos os outros são referenciados tende a desaparecer com ele.
A primeira reação que costumo ouvir é que outras regras irão detectá-lo, afinal os catálogos de controle FISMA e NIST ainda se aplicam. Até certo ponto, eles fizeram. Mas a Lei de Melhoria é uma autorização operacional que exige implementação e avaliação específicas para data centers. Ao eliminá-la, as agências têm amplo poder de decisão sobre como e se devem implementar a proteção física. A FISMA fornece os princípios. A Lei de Aprimoramento prevê isso. Sem mecanismos de aplicação, os princípios serão interpretados de forma ampla.
Já vimos esse filme antes. O antecessor do projeto de lei, a Lei Federal de Melhoria dos Centros de Dados (FDCEA), expirou em 2022 e levou anos para ser restabelecido, apesar do apoio bipartidário e de uma justificativa clara para a renovação.
O risco aqui não é uma revogação dramática que ganhe as manchetes. Foi uma deriva administrativa e a exigência silenciosamente não voltou porque não havia força forçando a questão. É assim que as linhas de base da segurança são desgastadas: não por causa de decisões, mas por falta de decisões.
Existe uma preocupação óbvia de que os intervenientes estabelecidos irão remover a segurança física à medida que os regulamentos falham, mas esse não é o risco real. As suas instalações existentes, os contratos existentes e a sua própria apetência pelo risco mantêm os pagamentos inalterados. A exposição é em construção nova.
Os projetos de expansão atualmente em andamento para a era da IA estão sendo concebidos e adquiridos muito rapidamente. Grande parte da capacidade é privada, construída por hiperscaladores e desenvolvedores e não está sujeita a mandatos federais. É por isso que sua perda é importante. Este é o único resultado final aplicável no sistema e, uma vez cumpridos os parâmetros de referência públicos, os edifícios privados não têm nada com que se medir. Remova a estrutura de avaliação obrigatória e a segurança física poderá ser reduzida silenciosamente durante o processo de aquisição para cumprir o orçamento ou os prazos, sem sinalizadores de conformidade e sem alertas formais. No nosso data center existente, esta lacuna ainda não surgiu. Abre no projeto que estamos correndo para construir.
É por isso que a importância desta história vai muito além da infra-estrutura federal da América. Todos os mercados estão na mesma corrida. A pressão para desenvolver rapidamente capacidades de IA e a tentação de tratar a segurança física como um projeto flexível são generalizadas. O declínio regulamentar de Washington ilustra mais claramente os riscos que já existem em todos os edifícios em rápido crescimento. A segurança física é a coisa mais fácil de adiar silenciosamente e a mais difícil de reformar após a concretagem do concreto.
Há uma contradição mais profunda que vale a pena mencionar. Os governos classificam cada vez mais os centros de dados como infraestruturas nacionais críticas, e com razão. Puxando a linha de base de segurança em duas direções ao mesmo tempo. Você não pode chamar algo de crítico e tornar sua proteção opcional ao mesmo tempo.
A resposta não é apenas mais regulamentação, embora atualizações inteligentes ajudassem. As operadoras devem parar de ver a segurança física como uma obrigação de conformidade que cresce e diminui com as regulamentações e começar a vê-la como um projeto central.
A lição consistente da proteção de grandes instalações críticas é que a segurança física não pode ser um conjunto desarticulado de ferramentas: uma câmera aqui, um leitor de acesso ali, aparafusado no final do cronograma do projeto. Deve ser concebido desde o início como um sistema integrado onde o controlo de acesso, o vídeo, a identidade e os alertas funcionam em conjunto, e as anomalias em qualquer lugar desencadeiam uma resposta coordenada.
O fracasso da lei não deve ser um factor para determinar se isto acontece. Dado que todos concordamos ser um activo vital, obter a protecção correcta não deveria exigir autorização obrigatória. Mas ajudaria se parássemos de excluir silenciosamente o conteúdo existente.
Kumar Sokka atua como CEO Acres segurosum provedor global de segurança física



