Podczas zorganizowanego we współpracy z firmą SUSE spotkania ekspertów, przedstawiciele administracji publicznej, kluczowych spółek infrastruktury krytycznej oraz europejskich dostawców technologii open source omówili problematykę polskiej i europejskiej suwerenności cyfrowej w perspektywie roku 2025. Uczestnicy skupili się na strategii państwa, ryzykach związanych z vendor lock-in oraz możliwościach, jakie stwarza open source. Co zamiast cyfrowej samowystarczalności? Ryszard Łuczyn, wicedyrektor Biura Ministra w Ministerstwie Cyfryzacji, podkreślił, że choć w Ministerstwie preferuje się pojęcie suwerenności cyfrowej, to jej definicja nie jest jednolita. Przytoczył definicję zawartą w rozporządzeniu STEP (Strategic Technologies for Euro Program), która mówi o „zdolności państwa lub regionu do samodzielnego rozwijania, wdrażania i kontrolowania kluczowych technologii”. Ryszard Łuczyn stanowczo zaznaczył, że celem nie jest autarkia cyfrowa, ponieważ jest ona niemożliwa, ale rodzaj współpracy z partnerami. Zamiast tego, strategia koncentruje się na działaniach zmierzających do obniżenia ryzyka technologicznego uzależnienia, a nie przygotowaniach do całkowitego zamknięcia się na rozwiązania dostawców z innych krajów i regionów. Jak podkreślił Ryszard Łuczyn, w perspektywie publicznej, kluczowymi korzyściami płynącymi ze zwiększania suwerenności cyfrowej są: wolność - zdolność do suwerennego kształtowania regulacji i polityki społecznej, np. dotyczących transparentności algorytmów; rozwój gospodarczy - inwestycje należy rozpatrywać w terminie średnim i długim, ponieważ „w dłuższym czasie nieinwestowanie w ogóle jest znacznie droższe niż inwestowanie”; bezpieczeństwo - zapewnienie ciągłości funkcjonowania państwa w sferze cyfrowej oraz ochrona danych. Wicedyrektor biura Ministra Cyfryzacji wskazał też na cztery najważniejsze pytania dotyczące oceny cyfrowej niezależności, w przypadku których odpowiedź negatywna jednoznacznie określa brak cybersuwerenności: „Czy mogę bezpiecznie zmienić dostawcę ważnej dla funkcjonowania państwa albo czy w wielu przypadkach spółki usługi IT, czy nie mam takiej możliwości? Czy w razie pogorszenia relacji z krajem, z którego pochodzą wykorzystywane przeze mnie rozwiązania, mam alternatywę, najlepiej polską albo europejską? Czy mam pewność, że dane spółki albo dane państwa są bezpieczne, chronione przed wyciekiem, ale też przed dostępem zagranicznych służb? I wreszcie - to już nie jest kwestia spółek, tylko państw i sojuszy - czy mam, i jaką, wolność kształtowania regulacji w sferze cyfrowej?”. Odniósł się również do kwestii polityki podatkowej, argumentując, że duże korporacje cyfrowe operują na ogromnych marżach (często powyżej 40%), więc wprowadzenie podatku cyfrowego nie musi prowadzić do wzrostu cen dla konsumentów. Wśród działań Ministerstwa Cyfryzacji zmierzających do zapewnienia suwerenności cyfrowej Ryszard Łuczyn wymienił plan tworzenia w Polsce Open Source Program Office (OSPO), które ma za zadanie wspomaganie wdrożenia alternatyw wobec rozwiązań w Big Tech w administracji. Open source jako antidotum na podległość cyfrową W dalszej części spotkania Gerald Pfeifer, CTO na region Europy, Środkowego Wschodu i Afryki w firmie SUSE, podkreślił niemal całkowite uzależnienie Europy od globalnych dostawców chmurowych. Rzeczywiście, dane są alarmujące: 70% chmury w Europie kontrolują trzej hyperscalerzy (Google, AWS i Microsoft), a zaledwie za 15% rynku odpowiadają dostawcy europejscy. Dowodzi to, że trudno mówić o rzeczywistej suwerenności cyfrowej Europy. "Jesteśmy zależni, a nasza odporność i niezależność są w rzeczywistości zagrożone" – powiedział Gerald Pfeifer. Jak zaznaczył, osiągnięcie całkowitej suwerenności nie jest możliwe nawet dla Stanów Zjednoczonych czy Chin. Jednocześnie, w jego ocenie, koncept open source stanowi kluczowy element przeciwdziałania takiemu uzależnieniu. Wynika to z łatwego dostępu do kodu oprogramowania i możliwości przejęcia wsparcia przez inną firmę w razie problemów z oryginalnym dostawcą. „Otwarte oprogramowanie to jeden ze sposobów, w jaki możemy przełamać ścisłą blokadę ze strony dostawców globalnych oprogramowania i rozwiązań zamkniętych” – stwierdził Gerald Pfeifer. Podczas dyskusji Marcin Madey, prezes zarządu SUSE Polska, dodał, że technologie open source są skutecznym rozwiązaniem dla problemu suwerenności cyfrowej tylko wtedy, gdy są wykorzystywane w sposób zgodny ze standardami. Taka standaryzacja daje możliwość szybkiego przemigrowania rozwiązań albo zmiany wsparcia, np. w sytuacji rezygnacji z usług dotychczasowego dostawcy. W efekcie rynkowych wstrząsów (np. przejęcie VMware przez Broadcom), jak zauważa Marcin Madey, firmy coraz częściej wdrażają strategię „dual vendor”, czyli utrzymywanie dwóch dostawców technologii równocześnie. Praktyczne wyzwania Uczestnicy dyskusji panelowej - Sebastian Lasek, prezes spółki Aplikacje Krytyczne, Dariusz Kluska, dyrektor ds. cyberbezpieczeństwa Tauron Polska Energia, Marcin Madej, prezes SUSE Polska i Dariusz Świąder, prezes Linux Polska - podjęli się omówienia kilku zasadniczych wyzwań polskiej cyfryzacji: Czy problem cybersuwerenności istnieje w agendzie zarządów polskich organizacji? Jakie praktyki ograniczenia vendor lock-in i niwelowania ryzyka utraty cybersuwerenności można stosować? Czy suwerenność w AI jest istotna na poziomie firmy? Czy istnieją realne możliwości zapewnienia cybersuwerenności na poziomie firmy? Paneliści zgodnie uznali, że jednym z największych wyzwań jest tzw. vendor lock-in. Sebastian Lasek podkreślił, że przy wdrażaniu rozwiązań chmurowych kluczowa jest strategia wyjścia z konkretnej platformy chmurowej lub ponownej migracji do środowisk on-premise. Zwrócił również uwagę na wyjątkową sytuację sektora administracji centralnej. Skala projektów w resorcie finansów jest ogromna, a pod względem wolumetrii danych i wpływu na działanie państwa nieporównywalna z żadnymi innymi przedsięwzięciami. Inny jest także czas życia rozwiązań: w administracji finansowej działają niekiedy systemy 10-letnie, ale też ciągle powstają nowe. Dobrym przykładem jest Krajowy System e-Faktur (KSeF), którego czas życia zaplanowany jest na 11 lat. To wyjątek w skali IT – cała epoka. „Ze względu na skalę naszych rozwiązań w niektórych obszarach jesteśmy uzależnieni od konkretnych dostawców i trudno tam szukać alternatywy. Natomiast w głównych nurtach programistycznych, na których się skupiamy, mamy zdefiniowane dwa podstawowe stosy technologiczne i staramy się zapewnić w nich możliwie dużą suwerenność. Regularnie zdarzają się próby ze strony vendorów, którzy chcą nam zaproponować zamknięte frameworki, które uzależniłyby nas na kilka dobrych lat. Przed tym chroni nas czujność naszych ekspertów IT i architektów oraz analiza potencjalnych zagrożeń. Nie mamy w tym zakresie żadnych zautomatyzowanych algorytmów – liczy się doświadczenie i umiejętność przewidywania tego, co może się wydarzyć” – powiedział Sebastian Lasek. Dariusz Kluska podkreślił z kolei, że Tauron stawia na bezpieczeństwo i atrakcyjność cenową, a nie wyłącznie na pochodzenie technologii. "Kryterium wyboru jest to, czy w naszej ocenie spełnia naprawdę najwyższy poziom bezpieczeństwa. Decydującego znaczenia nie ma tu fakt, czy to jest rozwiązanie amerykańskie, azjatyckie, chińskie czy europejskie” – wyjaśniał Dariusz Kluska. Opisał też przykład Emiratów Arabskich, gdzie funkcjonowanie obok siebie systemów i urządzeń wielu dostawców, tworzy całościowe zabezpieczenie jednej z największych rafinerii ropy naftowej na świecie. Prawo nie pomaga Co ważne, podczas dyskusji wielokrotnie podnoszono problemy wynikające ze specyfiki Prawa Zamówień Publicznych (PZP). „PZP wymusza na spółkach wybór tych rozwiązań, dla których to cena jest kluczowa. W rezultacie cena jest nierzadko dwukrotnie lub trzykrotnie wyższa dla europejskich czy amerykańskich odpowiedników produktów azjatyckich” – zauważył Dariusz Kluska. Wtórował mu Dariusz Świąder. „Tej ustawy na pewno nie wymyślono po to, żeby kupować dobrze i tanio, a PZP często prowadzi do zawierania umów dualnych - z polskimi wykonawcami na prawie polskim, podczas gdy umowa z faktycznym, najczęściej zagranicznym, producentem, jest na prawie jakiegoś stanu USA. W efekcie mamy do czynienia z fikcją prawną” – powiedział prezes Linux Polska. Sytuacja jest pod pewnymi względami patowa, ale z drugiej strony – także uwadze zarządów organizacji biznesowych najczęściej umykają kwestie dotyczące prawa, jakiemu podlega kupowane rozwiązanie oraz zapisy wykluczające interoperacyjność i zamykające na jednego dostawcę. „Klienci nie czytają wszystkich dokumentów związanych z zakupem. Znajdziemy tam na przykład zapisy, że jeśli kontener będzie działał na innym systemie operacyjnym, cała platforma traci wsparcie. Mamy też inne mechanizmy vendor lock-in: format danych lub logów jest tak skonstruowany, aby uniemożliwić interoperacyjność z innymi systemami. Znane są również sytuacje, gdy w wyniku opóźnień w PZP nie udało się odnowić licencji na czas i oprogramowanie przestaje działać. To normalne metody uzależniania odbiorcy, które są dziś powszechne” – wyliczył Dariusz Świąder. Na trudny kontekst prawny zwrócił uwagę także Sebastian Lasek. "Nie mamy odpowiednich narzędzi regulacyjnych. Z jednej strony obowiązują wymogi dotyczące bezpieczeństwa, z drugiej – produkty z Dalekiego Wschodu formalnie spełniają wszystkie zapisy. Nie mamy jednak komfortu wojska, które może powołać się na niejawne regulacje. Ministerstwo Cyfryzacji nigdy nie dostarczyło nam listy wyłączeń czy niebezpiecznych technologii” – powiedział Sebastian Lasek. W ocenie prezesa Aplikacji Krytycznych, obecnie zakup technologii lub rozpisanie przetargu, który zawęziłby krąg do bezpiecznych wykonawców, jest praktycznie niemożliwe. „Zatarł się oddział na bezpieczne technologie z jednego regionu świata i niebezpieczne z drugiego. Z całym szacunkiem – spójrzmy na iPhone'a: 70% komponentów pochodzi z Azji. Trudno więc argumentować, że to amerykański produkt. I tak samo jest z innymi rozwiązaniami” – wyjaśnił Sebastian Lasek. Potwierdził tę obserwację Dariusz Kluska, podając przykład z rynku energetycznego i sposób neutralizacji potencjalnych zagrożeń. „Mamy naprawdę dobre urządzenia z naszego podwórka – weźmy przykład magazynu energii, który w 90% wykorzystuje komponenty chińskie. To świetny produkt, funkcjonujący również w Wielkiej Brytanii, we Francji i innych krajach, i jesteśmy w stanie go zakupić. Musimy jednak stworzyć bezpieczne środowisko otoczenia. To nasza rola – przeprowadzić testy penetracyjne i dopiąć poziom bezpieczeństwa, aby system funkcjonował prawidłowo pod względem cyberbezpieczeństwa” – mówił dyrektor ds. cyberbezpieczeństwa Tauron Polska Energia. Suwerenność w dobie AI Eksperci odnieśli się również do wyzwań związanych ze sztuczną inteligencją. I tak, Dariusz Kluska podkreślił, że AI jest technologią nieprzewidywalną, a w zakresie jej wykorzystania brakuje zarówno uregulowań prawnych, jak i mechanizmów kontroli. Z kolei Sebastian Lasek zwrócił uwagę, że w kontekście sztucznej inteligencji należy zadać fundamentalne pytanie: „Po co używać AI, a dopiero potem – jak?". Jednocześnie zauważył, że ze względu na specyfikę danych w wielu przypadkach w sektorze publicznym wykorzystanie AI nie jest efektywne. „Nie zawsze warto sięgać po AI, jeśli ten sam efekt można osiągnąć mniejszym kosztem i mniejszym zużyciem zasobów” – argumentował. Marcin Madey wskazał natomiast, że największym ryzykiem w AI jest suwerenność danych, zwłaszcza gdy firmy testują publiczne modele, wrzucając do nich dokumenty. Z tego powodu SUSE skupia się na stworzeniu odseparowanego środowiska - tzw. piaskownicy - dla AI, w którym można uruchamiać różne moduły, a ”reguły bezpieczeństwa zdefiniowane raz dla całego środowiska są automatycznie aplikowane do każdego nowego modułu”. Dariusz Świąder przestrzegł zaś, że w kontekście globalnych modeli AI „niepłatne wersje są bezwartościowe" i konieczne jest krytyczne myślenie, ponieważ „wywód sztucznej inteligencji wygląda pięknie, ale po prostym fact-checkingu okazuje się, że nie ma nic wspólnego z rzeczywistością". Zwrócił również uwagę na problem drenażu mózgów: młodzi specjaliści natychmiast zaczynają pracować dla firm zachodnich zamiast w Polsce, co wiąże się z brakiem wsparcia publicznego dla projektów open source'owych na uczelniach.
