CXO HUB: Cybersuwerenność w erze dominacji Cloud i ekspansji AI

Cybersuwerenność niejedno ma imię i jest jednym z najbardziej palących zagadnień współczesnej transformacji cyfrowej, szczególnie w erze dominacji rozwiązań chmurowych i gwałtownej ekspansji sztucznej inteligencji. To jedna z ważniejszych konkluzji spotkania społeczności CXO HUB zorganizowanego we współpracy z firmą OVHcloud.

Dyskusja, w której wzięli udział przedstawiciele największych polskich firm technologicznych, integratorzy oraz decydenci IT, pozwoliła nakreślić teoretyczne ramy pojęcia cybersuwerenność oraz jej praktyczne implikacje dla organizacji działających na naszym rynku.

Cybersuwerenność, ale jaka?

Gościem specjalnym spotkania był Nikodem Bończa Tomaszewski, ekspert i top menedżer, broker technologii w Centrum Optycznych Technologii Kwantowych, działającym w ramach Centrum Nowych Technologii Uniwersytetu Warszawskiego, który przedstawił swoją wizję cybersuwerenności, dostosowaną do potrzeb państw średniej wielkości, takich jak Polska. Jego propozycja stanowi alternatywę dla dominujących obecnie w świecie modeli.

Ekspert zwrócił uwagę na istnienie dwóch fundamentalnie różnych podejść do cybersuwerenności. Pierwsze z nich, określone jako „chińsko-amerykańskie”, opiera się głównie na kontroli i nadzorze społeczeństwa. Zdaniem Bończa Tomaszewskiego, w kontekście krajów o odmiennej tradycji politycznej, takich jak Polska, ta definicja jest „kompletnie prowadząca na manowce i w ogóle cywilizacyjnie szkodliwa”. Zaproponowana przez niego alternatywa brzmi: „cybersuwerenność to zdolność państwa do zapewnienia wolności i bezpieczeństwa obywatelom w cyberprzestrzeni”.

W ocenie eksperta prawdziwa walka w branży IT i ICT toczy się o talenty. Państwo, które posiada odpowiednią kulturę, sposób myślenia, system szkolnictwa oraz zdolność przyciągania utalentowanych specjalistów, ma szansę odnieść sukces. Dążenie do monopolizacji cyberprzestrzeni jest przy tym cyklicznie przełamywane przez kolejne przełomowe innowacje technologiczne.

Z perspektywy przedsiębiorczości kluczowe znaczenie mają dwa elementy: silny krajowy sektor IT oraz budowa własności intelektualnej. Import technologii osłabia cybersuwerenność państwa, a działalność usługowa oparta na infrastrukturze sprowadzanej z zagranicy prowadzi do kurczenia się marż. Bończa Tomaszewski ostrzega przed ryzykiem znalezienia się w sytuacji dostawcy pomidorów dla dyskontów, który zmuszony jest sprzedawać swoje produkty za narzucone ceny. „Czym więcej technologii importujemy z zewnątrz, tym bardziej osłabiamy własną cybersuwerenność. A jeśli inwestujemy więcej we własne firmy, we własne technologie, dajemy tym firmom zarabiać, rozwijać, gromadzić kapitał, tym stajemy się mocniejsi” – mówił Nikodem Bończa Tomaszewski.

Ekspert przypomniał także o zmarnowanych przez Polskę szansach. Przykładem było niedocenienie znaczenia cyfrowych archiwów w czasie, gdy kierował Narodowym Archiwum Cyfrowym (NAC). Startujący później Brytyjczycy w ciągu dwóch lat zbudowali odpowiednią infrastrukturę wartości dziesiątek milionów funtów i przeprowadzili cyfryzację archiwów na wielką skalę. Tymczasem NAC pozostaje niedoinwestowany. Obecnie podobne ryzyko przegrania wyścigu dotyczy sztucznej inteligencji i technologii kwantowych.

Quantum computing szansą dla Polski

Jednocześnie Nikodem Bończa Tomaszewski dostrzega ogromny potencjał w dziedzinie technologii kwantowych. Polska dysponuje ośmioma silnymi ośrodkami naukowo-badawczymi działającymi na poziomie światowym. Jego zdaniem inwestycja rzędu dwustu-trzystu milionów złotych rocznie mogłaby postawić Polskę w czołówce krajów rozwijających tę przełomową technologię.

Szczegółowo systematyczny program wsparcia dla tego obszaru przedstawia „Manifest kwantowy”, opracowany przez kwantowy klaster naukowo-biznesowy Klaster-Q. „W mojej ocenie, gdyby państwo polskie zamiast wydawać setki milionów złotych na zakup komputerów kwantowych, które są technologią zagraniczną i na tym etapie rozwoju po prostu nie działają, zainwestowało te środki na rozwój naszych ośmiu silnych ośrodków kwantowych, to bylibyśmy w globalnej pierwszej piątce, jeżeli chodzi o kraje rozwijające technologie kwantowe” – podkreślił.

Aby w pełni wykorzystać ten potencjał, konieczne jest jednak stworzenie odpowiednich mechanizmów łączących świat nauki z biznesem. Naukowcy pracują w innym trybie i z innym sposobem myślenia, dlatego potrzebni są pośrednicy – „brokerzy technologii”. Ekspert postuluje również reformę Narodowego Centrum Badań i Rozwoju oraz systemu zarządzania własnością intelektualną na uczelniach, sugerując przyjęcie modelu, w którym twórcy mają większą swobodę i decyzyjność w komercjalizacji wyników własnych badań.

Chmura obliczeniowa 2025 – od migracji do strategii biznesowej

Rynek usług i architektury chmurowej jest jednym z tych obszarów, na których toczy się i rozstrzyga starcie o cybersuwerenność. Dlatego pierwsza debata podczas spotkania poświęcona była ewolucji potrzeb klientów w zakresie usług chmurowych oraz zmieniającej się roli integratorów na polskim rynku. W panelu udział wzięli: Sławomir Soszyński, prezes zarządu Ailleron; Łukasz Ozimek, dyrektor operacyjny Exea; Maciej Radzik, dyrektor działu sprzedaży i zarządzania projektami Asseco Cloud, Tomasz Sobol Deputy Marketing Director Central & Eastern Europe w OVHcloud oraz Stanisław Krzyżanowski, Strategy and New Business Director w CloudFerro.

Sławomir Soszyński, odnosząc się do zmian nastawienia do chmury, przytoczył kontekst sektora finansowego na świecie, gdzie przez wiele lat pełnił funkcję CIO i CTO i opisał istotną zmianę nastrojów na rynku. W Polsce, po wprowadzeniu komunikatu chmurowego przez Komisję Nadzoru Finansowego nastąpił okres wyczekiwania, który został mocno zweryfikowany przez wejście w życie regulacji DORA. „Po komunikacie KNF nastąpiła cisza, flauta. Większość banków nie decydowała się na pełną migrację w kierunku chmury obliczeniowej, raczej oceniała co należy zrobić i jak być w pełni zgodnym z wymogami regulatora. Aż przyszła DORA i dyskusja o odporności cyfrowej (również w znaczeniu geograficznym), która mocno zmieniła paradygmat. Obecnie jest prawdziwy wysyp różnych projektów chmurowych” – powiedział Sławomir Soszyński.

Podkreślił, że dzisiejsze oczekiwania względem modelu chmury obliczeniowej nie dotyczą jedynie pozyskania mocy obliczeniowej, a raczej wsparcia kompleksowej transformacji biznesowej. „Klienci przestali oczekiwać prostej migracji maszyn wirtualnych. Dziś poszukują kompleksowych rozwiązań typu end-to-end oraz chcą przeprojektować aplikacje tak, aby rzeczywiście przynosiły zwrot z inwestycji i oferowały nowe funkcjonalności. Bo business-case chmury publicznej to nie tylko optymalizacja kosztowa, ale jak szybko nowe rozwiązania mogą przyciągnąć nowych klientów, zaoferować nowa usługę czy produkt biznesowy czy podnieść NPS” – mówił Sławomir Soszyński. Łukasz Ozimek określił obecną sytuację mianem „romantycznego chaosu”. Potwierdził, że rynek wymaga dostarczania gotowego partnerstwa obejmującego cały proces wdrożenia. Jednocześnie zwrócił uwagę na brak edukacji w zakresie długofalowego postrzegania suwerenności technologicznej, szczególnie w mniejszych projektach. „Dzisiaj widoczna jest koncentracja na tym, żeby technologia była sprawna, łatwa, pomagała w osiąganiu założonych celów biznesowych. Natomiast w pewnym momencie, kiedy te cele biznesowe osiągamy, okazuje się, że jesteśmy tak uzależnieni, że odzyskanie cybersuwerenności staje się problematyczne i wiąże się z dużymi wyzwaniami. Klienci często popełniają błąd, patrząc jedynie na koszt finansowy, a nie ekonomiczny całości przedsięwzięcia” – powiedział Łukasz Ozimek. „Jeśli policzymy koszt korzystania z rozwiązań, koszt wyjścia, całkowity koszt migracji, to zwykle okazuje się on olbrzymi. Niestety, teraz rynek patrzy krótkofalowo przez pryzmat tego kosztu finansowego” – dodał.

IT strategicznym zasobem biznesowym

„Żeby uzyskać takie holistyczne spojrzenie, trzeba dysponować szerokim spektrum kompetencji w swoich zespołach. Obecnie na polskim rynku tego dramatycznie brakuje” – zauważył Maciej Radzik, który też nakreślił dziesięcioletnią ewolucję oczekiwań klientów. Dekadę temu priorytetem była wysoka dostępność maszyn wirtualnych, później nastąpił etap outsourcingu warstwy middleware: rozpoczynając od warstwy systemów operacyjnych, przez warstwę baz danych, na warstwie dostępowej kończąc. Obecnie firmy szukają kompleksowych odpowiedzi na swoje potrzeby biznesowe. Maciej Radzik podkreślił, że współczesne rozwiązania chmurowe nie mogą istnieć bez zaawansowanego bezpieczeństwa cybernetycznego. Przywołał również dane z raportu „Cyfrowe wyzwania polskiego biznesu”, wskazujące, że ponad połowa (57%) dużych firm deklaruje oparcie swoich usług na jednym dostawcy, rozumianym jako integrator.

Zdaniem Tomasza Sobola z OVHcloud, nastąpiła fundamentalna zmiana w postrzeganiu technologii informatycznych. IT przestało być domeną zamkniętego grona specjalistów i stało się strategicznym zasobem przedsiębiorstwa. „W tym kontekście suwerenność technologiczna oznacza przede wszystkim opcjonalność działania w sytuacji kryzysowej – możliwość przetrwania, gdy dostawca zbankrutuje lub podejmie działania wymuszające” – podkreślał Tomasz Sobol. Przywołał też dane z brytyjskiego rynku chmurowego pokazujące, że wydatki na działy FinOps, stanowiące fundament niezależności chmurowej przedsiębiorstw, wzrosły o ponad 50% w skali roku.

Stanisław Krzyżowski, reprezentujący firmę CloudFerro, wyspecjalizowanego dostawcę dla europejskiego sektora kosmicznego, potwierdził głęboką zmianę w świadomości klientów. „Jeszcze niedawno duże polskie instytucje na hasło „chmura publiczna” reagowały pytaniem wyłącznie o Amazon lub Azure. Ta sytuacja uległa istotnej zmianie” – powiedział Stanisław Krzyżanowski. Jednocześnie, jak zwrócił uwagę, w sytuacji, gdy pozycję monopolisty w dostarczaniu chipów, rozwiązań czy modeli AI uzyska określona gospodarka, na przykład amerykańska, los rynków zależnych okaże się nie do pozazdroszczenia. „Jeżeli ten cel osiągną, to jako europejski dostawca dostanę wyłącznie taki wycinek łańcucha wartości i biznesu” – powiedział.

Paneliści zgodnie ocenili, że w obliczu dynamicznie rosnącego rynku publicznej chmury obliczeniowej – szacunki mówią o wzroście rzędu 15-30% rocznie – o zwycięstwie zadecyduje jakość świadczonych usług.

Problem architect lock-in i nadchodzące regulacje

Jednym z kluczowych tematów debaty było zjawisko określone mianem „architecture lock-in” – uzależnienia od architektury konkretnego dostawcy chmury. Tomasz Sobol odniósł się do tego problemu wprost, podkreślając, że zasady rynkowe są bezlitosne i idealna sytuacja – tj. pełna otwartość rozwiązań IT na poziomie architektury – nie nastąpi nigdy. Przyszłość technologii chmurowych będzie zdecydowanie hybrydowa, co wymaga od przedsiębiorstw świadomego zarządzania ryzykiem uzależnienia od konkretnych dostawców.

Tomasz Sobol zwrócił szczególną uwagę na nadchodzące zmiany regulacyjne. „Od 17 września br. wszyscy hiperskalerzy i dostawcy chmur publicznych są zobowiązani do zagwarantowania swoim klientom tak zwanej odwracalności oraz możliwości łatwego wyjścia z ich chmury. Ta regulacja ma fundamentalne znaczenie dla ograniczenia ryzyka architect lock-in i może istotnie zmienić dynamikę rynku” – podkreślił.

Z kolei Sławomir Soszyński wskazał na biznesowy wymiar suwerenności technologicznej. „Z perspektywy przedsiębiorstwa kwestia suwerenności jest w dużej mierze problemem ekonomiczno-biznesowym, związanym z unikaniem dominacji pojedynczego dostawcy” – mówił. Przyznał jednocześnie, że rozwiązania takie będą zazwyczaj droższe, trudniej integrowalne i mniejszej interoperacyjności, co z perspektywy czystej efektywności ekonomicznej mogą przegrywać z ofertą chmurowych gigantów.

Odpowiadając na ten zarzut, Tomasz Sobol doprecyzował, że istotą suwerenności jest możliwość wyboru i przełączania się między różnymi dostawcami. To właśnie ta opcjonalność stanowi fundament odporności organizacji na sytuacje kryzysowe. Paneliści zgodzili się, że kluczem do budowania rzeczywistej niezależności i unikania pułapki architect lock-in jest inwestowanie w rozwiązania open source oraz rozwijanie jak najszerszych własnych kompetencji w całym stosie technologicznym. Tylko takie podejście pozwala zachować realną kontrolę nad własnymi systemami i minimalizuje ryzyko uzależnienia od pojedynczego dostawcy.

Cybersuwerenność w praktyce

Ostatni panel spotkania dotyczył praktycznych aspektów cybersuwerenności z perspektywy dyrektorów IT oraz ich relacji z zarządami i dostawcami technologii. W dyskusji udział wzięli: Krzysztof Wykręt, dyrektor IT w spółce VINCI Construction Usługi Wsparcia; Krzysztof Stumpf, Head of Delivery Stream w Raiffeisen Tech; Michał Głowiński, CIO w EG A/S; Tomasz Sobol z OVHcloud CEE oraz Tomasz Wojciechowski, CISO i Head of Cyber Security w firmie Spyrosoft.

Uczestnicy dyskusji podjęli próbę wypracowania praktycznej definicji cybersuwerenności, która byłaby użyteczna w codziennej pracy. Michał Głowiński sięgnął po słownikową definicję, zgodnie z którą cybersuwerenność to po prostu niezależność. Zastrzegł jednak, że w praktyce nie istnieje uniwersalna definicja tego pojęcia, która byłaby użyteczna w konkretnych warunkach działania organizacji.

Krzysztof Stumpf odniósł się natomiast do regulacji DORA, interpretując suwerenność jako odporność. Poparł także wcześniejszą tezę Nikodema Bończa Tomaszewskiego, że dzisiaj suwerenność to przede wszystkim posiadanie odpowiednich talentów.

Tomasz Wojciechowski zaproponował zaś najbardziej operacyjną definicję, określając cybersuwerenność jako możliwość wyboru i posiadanie planu alternatywnego, ale nie tylko teoretycznego – równie istotne jest przetestowanie tego planu w praktyce. Obrazowo porównał suwerenność do pociągu jeżdżącego wciąż po tej samej trasie, gdzie prawdziwy problem zaczyna się w przypadku konieczności zmiany trasy i bardzo kosztownego dostosowania pociągu do nowego rodzaju torów.

Jak o suwerenności mówią zarządy?

Paneliści zgodnie stwierdzili, że członkowie zarządów w praktyce rzadko posługują się terminem „cybersuwerenność”, ale regularnie pytają o ryzyka z nią związane. Tomasz Wojciechowski zauważył, że dla decydentów biznesowych istotne są przede wszystkim scenariusze awaryjne. „Członkowie zarządów pytają, jak sytuacja będzie wyglądała w przypadku wystąpienia problemów, jakie istnieją plany awaryjne i procedury disaster recovery. Pytania o vendor lock są na porządku dziennym” – powiedział.

Krzysztof Wykręt podkreślił z kolei, że zarząd posługuje się językiem czysto biznesowym. „W rozmowach regularnie pojawiają się pytania o konkretnych dostawców – czy dany dostawca jest konieczny, czy może być zastąpiony innym” – mówił Krzysztof Wykręt.

Krzysztof Stumpf opisał natomiast konkretną decyzję podjętą w Raiffeisen Tech, gdzie zdecydowano się na migrację z głębokiego uzależnienia od AWS na rzecz architektury multicloud. „Regulacje DORA spowodowały, że nawet wewnętrzni dostawcy usług są obecnie sprawdzani pod kątem wiarygodności” – twierdził Krzysztof Stumpf.

Michał Głowiński zwrócił uwagę na szczególną sytuację swojej firmy działającej w głównie Skandynawii, która musi myśleć trzy kroki do przodu ze względu na geopolitykę. Jako przykład podał brak pewności, czy administracja amerykańska nie zdecyduje się na wyłączenie dostępu do usług firmy z tego regionu, na których w dużej mierze polegają usługi publiczne w krajach skandynawskich. „W mojej organizacji vendor lock traktowany jest jako realne cyberzagrożenie” – wyjaśniał Michał Głowiński.

Sztuczna inteligencja jako nowy wymiar ryzyka

Co ciekawe, podczas dyskusji pojawił się wątek AI. Uczestnicy panelu uznali sztuczną inteligencję za czynnik wywołujący istotne zmiany, choć jej wdrażanie w firmach wciąż znajduje się na wczesnym etapie. Michał Głowiński określił AI jako rozbudowaną formę uczenia maszynowego, zwracając uwagę na jej nieoczekiwany pozytywny efekt uboczny – pojawienie się sztucznej inteligencji i związane z tym wymagania dotyczące jakości danych skłoniły ludzi do lepszego opisania i uproszczenia procesów biznesowych, co wcześniej często było zaniedbywane.

Tomasz Wojciechowski stwierdził, że AI to kolejny obszar wymagający należytej opieki i zarządzania. Jego firma pracuje nad rozwiązaniami z zakresu rozwoju oprogramowania wspomaganego sztuczną inteligencją, a mimo to wewnętrznie boryka się z potrzebą wdrożenia kompleksowej polityki AI, co okazuje się zadaniem złożonym i czasochłonnym.

Krzysztof Stumpf wyraził obawę, że AI może prowadzić do utraty suwerenności, jeśli zacznie podejmować autonomiczne decyzje strategiczne, takie jak blokowanie ruchu sieciowego. Michał Głowiński ripostował, że to kwestia właściwej implementacji. Jeśli organizacja stawia własnego agenta AI we własnym, zamkniętym środowisku, wyłącznie na własnej infrastrukturze, to zachowuje pełną kontrolę nad systemem – co nie jest ani tanie, ani wygodne w wielu zastosowaniach komercyjnych.

Tomasz Sobol podkreślił, że AI to forma hiperautomatyzacji bardzo dużych zbiorów danych, stąd tak ważne jest wypracowanie właściwych ram jej działania. Zwrócił też uwagę na rosnący problem Shadow AI w firmach, tj. sytuację, w której pracownicy samodzielnie wrzucają wrażliwe dane firmowe do ogólnodostępnych modeli językowych.

Integratorzy – partnerzy czy źródło nowego uzależnienia?

Dyskusja o roli integratorów nawiązywała do wcześniejszego panelu, w którym mówiono o ich ewolucji w kierunku strategicznych architektów rozwiązań. Tomasz Wojciechowski zauważył potencjalny konflikt interesów, pytając retorycznie, czy integratorzy rzeczywiście dbają o suwerenność klienta, skoro to oni dostarczają kompleksowe rozwiązania z zakresu cyberbezpieczeństwa. „Czy nie prowadzi to do powstania nowej formy uzależnienia – company lock?” – pytał Tomasz Wojciechowski.

Michał Głowiński podkreślił, że integratorzy rzeczywiście przesuwają się do roli partnerów, oferując inne spojrzenie i alternatywną perspektywę na problemy klienta. On także postawił prowokacyjne pytanie o przyszłość – czy sztuczna inteligencja nie zastąpi w końcu integratorów, jeśli nie dostosują się do nowych realiów?

Krzysztof Wykręt wyraził optymizm, twierdząc, że człowiek z człowiekiem zawsze będzie rozmawiał. Zauważył jednocześnie istotną zmianę na rynku – integratorzy zdecydowanie przechodzą do roli partnera, który nie tylko może, ale rzeczywiście doradza.

Krzysztof Stumpf zgodził się, że integratorzy mają istotny obszar do działania w roli konsultanta do spraw cybersuwerenności. Zaznaczył jednocześnie, że – paradoksalnie – to właśnie pomoc dostawców jest często niezbędna na początku drogi do większej niezależności.

Od iluzji do realnych działań

W podsumowaniu dyskusji paneliści wskazali konkretne kierunki przekształcenia teoretycznej cybersuwerenności w realne działania organizacyjne. Krzysztof Wykręt podkreślił potrzebę harmonii wszystkich elementów systemu. „Dopiero gdy wszystko współgra razem, biznes będzie naprawdę zadowolony z wdrażanych rozwiązań” – mówił.

Tomasz Wojciechowski zauważył, że w cybersuwerenności nie chodzi tylko o fakt posiadania wyboru, ale przede wszystkim o to, jak z niego skorzystać. Wymagać ma to jednak konkretnego planu, który organizacja jest w stanie rzeczywiście wdrożyć.

Tomasz Sobol oraz Stanisław Krzyżanowski wspólnie wskazali na konieczność budowania niezależności poprzez rozwiązania open source oraz posiadanie maksymalnie szerokich kompetencji własnych w wykorzystywanym stosie technologicznym.

Krzysztof Stumpf podsumował: „Budowanie dużej niezależności poprzez rozwijanie kompetencji w stosie software’owym jest stosunkowo łatwiejsze. Hardware pozostaje wyzwaniem, a całkowity koszt ekonomiczny takiego podejścia jest olbrzymi. Rynek niestety często patrzy krótkofalowo przez pryzmat kosztu finansowego”.

Michał Głowiński podniósł kwestię przyszłości konkurencji w branży. „Gdy usługi operacyjne zrównają się dzięki automatyzacji opartej na AI, rzeczy operacyjne przestaną być czynnikiem wyróżniającym organizacje. Na czym wówczas firmy będą zarabiać i gdzie będzie budowana przewaga konkurencyjna?” – powiedział.

Wszyscy paneliści byli zgodni, że debata o suwerenności, zwłaszcza w sektorze finansowym, dynamicznie się zmienia i jest absolutnie potrzebna w kontekście współczesnych wyzwań technologicznych i geopolitycznych. Dyskusja w społeczności CXO HUB dowodzi, że cybersuwerenność przestała być abstrakcyjnym pojęciem – stała się kluczowym elementem strategii biznesowej polskich organizacji w erze dominacji chmury obliczeniowej i ekspansji sztucznej inteligencji.