Polskie firmy z polskimi programami dla polskiej administracji. I ochotnicy, którzy z miłości do ojczyzny pomagają walczyć z hakerskimi atakami. Mrzonka czy może jednak powinniśmy zawalczyć o technologiczną niezależność?
Co łączy wyszukiwarkę Google (kilkanaście dni temu na kilka godzin wyłączoną w Rosji), głośny spór pomiędzy FBI a koncernem Apple, który odmówił władzom USA wsparcia w odszyfrowaniu dostępu do zawartości iPhone’a terrorysty z San Bernardino, zmuszając państwo, by za 1,3 mln dol. zatrudniło do pomocy konsultanta, polski rejestr domen służących do oferowania gier hazardowych niezgodnie z ustawą oraz chińskie plany, by do 2020 r. zostać czołowym światowym producentem procesorów? To wszystko objawy tego samego zjawiska: walki o cybersuwerenność, technologiczną niezależność i informatyczną samodzielność.
W największym serwisie społecznościowym konto ma już niemal co trzeci mieszkaniec globu. Najpopularniejsza wyszukiwarka internetowa zdobyła tak silną pozycję rynkową, że mogła zacząć jej używać do promowania własnej porównywarki cen (za co Komisja Europejska naliczyła jej ponad 2,4 mld euro kary). Okazuje się, że w zglobalizowanym świecie nawet silne gospodarki i duże państwa w zderzeniu z potentatami internetowymi zaczynają się czuć pozbawione podmiotowości. I dochodzą do wniosku, że czas zawalczyć o suwerenność – tym razem w sferze cyfrowej. Ale czy nie jest to walka z wiatrakami? Czy rządowy – lub po prostu stymulowany państwowo – produkt ma szansę wygrać z komercyjnym towarem, który już podbił rynek? Czy jest sens oburzać się na to, że administracja powszechnie korzysta z tego samego – w końcu najpopularniejszego – systemu operacyjnego na świecie?
– Idea cybersuwerenności jest wielowymiarowa. Jej podstawową zasadę można sprowadzić do konieczności zaspokojenia podstawowych praw każdego użytkownika internetu – prawa do bezpieczeństwa i prawa do wolności. Można tu znaleźć analogię do realnego świata – tłumaczy Nikodem Bończa-Tomaszewski, szef spółki Exatel, która nadzoruje światłowodową sieć rządową. – Jako obywatele oczekujemy od państwa np. zapewnienia możliwości swobodnego i bezpiecznego poruszania się po ulicy. I takie samo oczekiwanie mamy, kiedy poruszamy się w wirtualnym świecie. Z tej perspektywy najważniejszym gwarantem cybersuwerenności jest państwo, bo to ono organizuje ład publiczny – dodaje.
To, co w jego ustach brzmi prosto, wcale nie jest aż tak jednoznaczne. A przynajmniej nie jest jednoznaczne w gospodarkach, które próbują zachować otwartość, a zarazem nie pozwolić, by działania biznesu ograniczały kompetencje państwa.
Bo oczywiście są państwa, które tu specjalnych rozterek nie mają.
Czeburaszka
W czwartek, 22 czerwca, niespodziewanie w Rosji padła strona wyszukiwarki Google. Nie był to ani atak hakerski, ani problemy techniczne. Po prostu rosyjski regulator Roskomnadzor nakazał operatorom internetowym zablokować domenę Google.ru. W taki komunikat trudno uwierzyć: rząd jakiegoś państwa zamyka choćby na trzy godziny dostęp do Google’a? Może ganić, może się procesować, nakładać kary. Ale zamknąć? A jednak przez kilka godzin Google znajdował się w spisie stron, które rosyjscy dostawcy internetu mają obowiązek blokować. Oficjalny powód: strona została zablokowana na wniosek Federalnej Służby Podatkowej, bo Google miał przekierowanie do firmy bukmacherskiej, dlatego operatorzy wprowadzili blokadę. Co więcej, okazało się, że domena Google.ru znalazła się w spisie zakazanych stron już w 2016 r. Jednak do tej pory operatorzy po prostu nie dostawali polecenia jej blokowania. Po ok. 3 godz. dostęp do rosyjskiej wersji Google,a został przywrócony. Roskomnadzor tłumaczył, że potentat się pokajał i skasował przekierowanie do serwisu hazardowego.
Mogłoby to wyglądać jak mały pstryczek wymierzony amerykańskiej firmie, ale Rosja wcale nie ukrywa, że był to element konkretnej i realizowanej od kilku lat strategii. Trzy lata temu Nikołaj Nikiforow, szef Ministerstwa Łączności i Środków Masowego Przekazu Rosji, obiecał, że w kraju będzie „pełna suwerenność informatyczna” i „zostanie ona osiągnięta w ciągu od pięciu do siedmiu lat”. W końcu, dowodził, „Rosja zawsze słynęła ze swoich programistów. U nas działają znane na całym świecie spółki informatyczne, takie jak Yandex, Mail.ru i inne. Przygotowujemy krok po kroku plan działań, żeby wspierać rozwój i kształtowanie się całej rosyjskiej branży oprogramowania zastępującego oprogramowanie z importu”. Nie były to pierwsze takie zapowiedzi. Władimir Putin już od wielu lat twierdził, że produkcja oprogramowania i sprzętu elektronicznego jest wśród sektorów, w których rosyjski rynek powinien wrócić do rodzimych producentów. Przy czym nie jest to wcale teoria oznaczająca całkowite wyrzucenie z rynku wszystkich obcych. „Rosyjskie” w tym rozumieniu to także zagraniczne firmy, o ile działają w Rosji i w 100 proc. podlegają tamtejszemu prawu.
Na początku 2013 r. Ministerstwo Łączności i Środków Masowego Przekazu przedstawiło inicjatywę utworzenia w Moskwie specjalnej dzielnicy informatycznej. Po to, by zachować technologiczne spółki w Moskwie. Równolegle członek Rady Federacji Maksim Kawdżaradze stwierdził, że Rosja musi stworzyć własny internet (sugerował nawet nazwę Czeburaszka, od imienia popularnego bohatera książeczek i filmów dla dzieci – w Polsce znamy go jako Kiwaczka). W ślad za buńczucznymi zapowiedziami szybko poszły konkretne działania. Opracowano własną wersjsę systemu operacyjnyego Android, zgodnie z wytycznymi władz tworzony jest system rezerwacji hoteli, podobny do Booking.com, ale wspierający rodzimą bazę noclegową, zaś Yandex (największa rosyjska wyszukiwarka) nakłonił Federalny Urząd Antymonopolowy, by wszczął postępowanie przeciwko Google’owi. Postępowanie zakończone nałożeniem ponad 450 mln rubli kary. Co więcej, Kreml pod pretekstem obaw dotyczących bezpieczeństwa zażądał od Apple’a i niemieckiej firmy SAP dostępu do kodu źródłowego rozwijanego przez te firmy oprogramowania.
Mur chiński 2.0
Równie zdecydowaną strategię mają Chiny, które w tym samym czasie co Rosja zapowiedziały, że w branży IT chcą być w pełni niezależne do 2030 r. Tym razem jednak Państwo Środka nie będzie budować muru, którym odgrodzi się od reszty świata. Pomysł jest zgoła odmienny: do 2020 r. Chiny chcą być światowym liderem w produkcji mikroprocesorów. Cel wydaje się całkiem realny. To przecież największy cyfrowy rynek świata, z ponad 4 mln stron, 600 mln internautów i 4 spośród 10 największych firm internetowych świata.
– Chiny początkowo kopiowały to, co wytwarzają innowacyjne firmy ze Stanów czy Europy Zachodniej, a w dodatku robiły to taniej. Jednak teraz pokazują, że potrafią samodzielnie tworzyć produkty wysokiej jakości – zauważa Zdzisław Wiater, dyrektor obszaru wojskowego w Asseco Poland. Rzeczywiście, chińskie firmy informatyczne już produkują własne pakiety biurowe konkurujące z Office’em i właściwie uniezależniły się od Androida. Ich e-commerce’owy serwis Alibaba jest skuteczną konkurencją dla eBay'a, a wyszukiwarka Baidu lokalnie wygrywa z Google’em. Chińska doktryna cyfrowej suwerenności – nawet mimo kolejnych oskarżeń, że z Chin wypływają politycznie inspirowane ataki hakerskie – zaczyna wchodzić na salony. Niedawno Lu Wei, szef Państwowego Urzędu Informacji Internetowej, oficjalnego chińskiego urzędu odpowiedzialnego za administrację cyberprzestrzenią, opublikował w „Huffington Post” manifest „Cybersuwerenność musi rządzić globalnym internetem”, w którym przekonywał, że „wszystkie państwa, tak duże jak i małe, powinny być równe. Powinniśmy szanować nawzajem cudzą cybersuwerenność, zarządzanie internetem i różnice kulturalne. Sukces internetu w Chinach w ostatnich 20 latach pokazuje, że zagraniczne korporacje, którym udało się w Chinach z sukcesem działać, zawdzięczają to szacunkowi wobec chińskiego środowiska rynkowego, uznawaniu lokalnego prawa i regulacji. Ci, którzy próbują stawiać się w opozycji, są izolowani i ostatecznie wyrzucani przez chiński rynek”. Trzeba to czytać tak: kto nie zgadza się na chińskie warunki, kto za bardzo zagrozi lokalnym graczom, będzie musiał zniknąć z tego rynku. Oczywiście to działania wymierzone przede wszystkim w zachodnie firmy. Efekt: a to rewizja w biurach Microsoftu w Chinach, a to zakaz używania w administracji systemu operacyjnego Windows 8. Powody oczywiście oficjalnie jak najbardziej uzasadnione: podejrzenie o korupcję i obawy o bezpieczeństwo i możliwość szpiegowania przez amerykańskie służby specjalne.
Cyber nie nasze
Rosja i Chiny to przypadki skrajne. Ale wdrażanie cybernetycznej suwerenności – nawet jeśli nie zawsze ten termin się pojawia – staje się coraz bardziej powszechne. Na Ukrainie Służba Bezpieczeństwa prowadziła niedawno rewizje w biurach rosyjskiego Yandexu, a rząd rozszerzył sankcje wobec Rosji, które objęły m.in. firmy z branży IT. Dotknęły one również użytkowników popularnych serwisów takich jak Mail.ru, Odnoklassniki oraz VKontakte. Dostęp do tych serwisów zablokowano na trzy lata.
Elementem walki o cyfrową suwerenność są także prawnicze krucjaty Komisji Europejskiej skierowane przeciw Facebookowi i Google’owi. Jak choćby ostatnia kara w wysokości 110 mln euro nałożona na serwis Marka Zuckerberga za niedokładne informacje dostarczone urzędnikom w Brukseli, gdy wydawali zgodę na przejęcie przez FB komunikatora WhatsApp. Oczywiście za tymi decyzjami stoją różne, także politycznie, powody, ale prawda jest taka, że wszystkie są podejmowane z podtekstem wspierania technologicznej niezależności.
Wydawać by się mogło, że w Polsce nikt jeszcze o cybersuwerenności nie myśli. Każda inwestycja zagranicznego koncernu jest nad Wisłą przyjmowana z entuzjazmem. Ale i u nas nieśmiało, bez jasnej koncepcji, zaczynają się pojawiać głosy o konieczności uniezależniania się technologicznego. Minister cyfryzacji Anna Streżyńska kilka tygodni temu w rozmowie z „Newsweekiem” przyznała, że polska administracja jest uzależniona od Microsoftu. Jednak w czasie autoryzacji uznała, że lepiej tej opinii nie upubliczniać i wycofała zgodę na publikację.
Ale takie uzależnienie nie jest tajemnicą. Bo choć każde ministerstwo, każda instytucja centralna i każdy samorząd robią zakupy na własną rękę, to przecież powszechnie i tak wybierają oprogramowanie od Microsoftu i za każdym razem płacą inaczej za licencje. Nawet nie wiadomo, ile funkcjonuje takich administracyjnych stacji roboczych opartych na Windowsie. Gdy w połowie maja zaatakował WannaCry, ransomware wykorzystujący lukę w Windows 10, pytaliśmy resort cyfryzacji, czy wie, ilu urzędników pracuje na tym systemie. Oczywiście nie wie.
Elementami budzenia się tej refleksji nad cybersuwerennością są też takie działania, jak choćby rejestr niedozwolonych domen hazardowych. Gdy ten pomysł pojawił się po raz pierwszy w 2010 r., wywołał wybuch społecznego niepokoju i zaowocował Kongresem Wolności w Internecie. A dziś? Operatorzy pokornie przygotowali listę blisko 500 adresów, które od 1 lipca są blokowane, bo firmy oferujące na nich hazard nie zarejestrowały się w Polsce, nie płacą tu podatków, choć przez lata zarabiały na polskich graczach. Można by nawet tej koncepcji przyklasnąć, ale nigdy nie wiadomo, czy pewnego dnia nie trafi do tego rejestru – choćby na kilka godzin – Google.pl.
Niepodległościowe argumenty pojawiły się nawet w przypadku niespodziewanej awantury kilka miesięcy temu, gdy były problemy w nadawaniu sygnału naziemnej telewizji cyfrowej przed orędziem premier Beaty Szydło. Nagle władzy przypomniało się, że EmiTel, jedyny operator naziemnej infrastruktury radiowo-telewizyjnej, jest prywatny, i to jeszcze jest w „obcych rękach” amerykańskiej firmy. Prezes TVP Jacek Kurski skierował nawet sprawę do Agencji Bezpieczeństwa Wewnętrznego. Oczywiście z tej awantury o odbicie naszych praw do telewizji naziemnej nic nie wyszło.
Równie niespodziewanie i bez większych efektów zaczęła się też afera o Facebooka i jego praktyki blokowania treści. Choć serwis ten zupełnie bez kontroli i jasnych zasad taką politykę prowadzi od lat, to dopiero pod wpływem politycznej awantury, jaką rozpętali prawicowi działacze, zainteresował się tym Urząd Ochrony Konkurencji i Konsumentów.
I tu także jak się można było domyślić: bez większych sukcesów.
E-Rzeczpospolita
Takie mniejsze lub większe potyczki mogą sprawiać wrażenie próby zawracania kijem Wisły. Ale to w rzeczywistości pierwsze objawy tego, że i u nas zaczyna się refleksja nad pozycją państwa w globalizującym się świecie. – Są takie aspekty technologicznej gospodarki, gdzie już jest pozamiatane. Oczywiście silne, duże państwa mogą tu jeszcze próbować coś rozegrać, ale małe czy średnie gospodarki nie mają co tu tracić energii – zauważa Konrad Białoszewski, ekspert kryminalistyki i biegły sądowy, były doradca ministra cyfryzacji i współautor Paszportowego Systemu Informacyjnego.
– Nawet jeżeli w zakresie obronności państwa, również w obszarze cyberbezpieczeństwa, mamy do czynienia ze zmonopolizowaniem polskiego rynku przez zagranicznych dostawców sprzętu i technologii, to szansa na radykalne zmiany i całkowite uniezależnienie się w tych aspektach jest nikła, bo jako kraj mamy na tym polu wieloletnie zapóźnienia – tłumaczy Zdzisław Wiater i dodaje, że do tej koncepcji musimy podejść inaczej.
– Nie chodzi o cybersuwerenność budowaną poprzez zerwanie łączności ze światem tak, jak to robią niektóre państwa, tylko o skuteczne i podmiotowe funkcjonowanie w globalnym, cyfrowym świecie – zarzeka się Bończa-Tomaszewski. – Do budowy cybersuwerenności w Polsce możemy podchodzić bez kompleksów. Polacy mają silny gen myślenia w kategoriach wolności i niepodległości. Mamy też bardzo kompetentną kadrę inżynierską, która może stawić czoła czekającym nas wyzwaniom. Oczywiście mamy wiele do zrobienia zarówno po stronie państwa, jak i biznesu. Państwo musi przede wszystkim budować i utrzymywać własne kompetencje, a biznes śmielej podchodzić do innowacyjnych projektów i włączyć się w globalne rynki zbytu produktów IT – tłumaczy.
Przytakuje mu Wiater: – By budować cybersuwerenność administracja państwowa powinna mieć do tego narzędzia. Może je pozyskać albo od zagranicznych, albo krajowych dostawców. Takie komponenty, jak silniki i bazy danych, układy scalone lub systemy operacyjne – to wszystko już jest gotowe i nie ma sensu tu wyważać drzwi. Próba samodzielnego produkowania tego typu rzeczy nie ma ekonomicznego uzasadnienia. Ale na ich bazie powinniśmy w przyszłości budować nasze własne polskie rozwiązania wyższego poziomu – tłumaczy i dodaje, że to one będą za chwilę decydujące dla określenia pozycji danego państwa i tego, czy będzie ono niezależnym podmiotem gospodarczym czy kolonią dla wielkich graczy. – To, że zagraniczny koncern buduje w Polsce fabrykę części samochodowych albo zakłada centrum usług, jest ważne z punktu widzenia tworzenia miejsc pracy. Ale ambicją naszego kraju nie powinno być pozostanie ośrodkiem siły roboczej, tylko stanie się samodzielnym podmiotem, który ma kompetencje i możliwości, aby tworzyć zaawansowane produkty i usługi. Żeby zrealizować taki scenariusz, niezbędny jest udział administracji, która jako jedyna ma możliwość stymulowania krajowej innowacyjności – mówi ekspert i dodaje, że według niego ważne jest np. to, aby przy dystrybucji środków publicznych czy unijnych na rozwój innowacyjnych rozwiązań zwrócić uwagę na to, by trafiały one do polskich firm. Nie da się bowiem budować cybersuwerenności państwa, będąc uzależnionym od zagranicznych dostawców. W tym kontekście rozwój silnego krajowego sektora IT jest kluczowy.
– Wiele polskich firm pokazuje, że można osiągnąć sukces w bardzo różnych obszarach. Na pewno dziedzinami z bardzo długim horyzontem wzrostu są usługi cyberbezpieczeństwa oraz cały obszar cyfrowej rozrywki, a więc produkcja gier i treści rozrywkowych. Realnie jest tak, że już niedługo nawet najprostsze przedmioty zostaną oprogramowane, więc możliwości cyfrowego rozwoju naszego kraju są ograniczone tylko naszą własną kreatywnością – dodaje Bończa-Tomaszewski.
Pospolite ruszenie
Czym innym są jednak polityczne, gładkie zapowiedzi i apele, a czym innym twarda rzeczywistość. To zderzenie można pokazać na konkretnych przykładach. Powstaje właśnie Ogólnopolska Sieć Edukacyjna, czyli nie tylko podłączenie wszystkich szkół do internetu, ale także stworzenie wspólnego, jednego państwowego operatora tej sieci. Ma nim być Naukowa i Akademicka Sieć Komputerowa, czyli instytut badawczy podległy pod Ministerstwo Cyfryzacji. I jako ten operator NASK ma odpowiadać za zarządzanie OSE, dbać o cyberbezpieczeństwo, o to, by każda szkoła miała ten internet nie tylko dostarczony ale i podłączony. Znajomi eksperci od e-administracji żartują więc, że teraz te 100 MB, co ma do szkół trafić, będzie lepsze, bo „narodowe”.
Sporo w tym ironii, bo rzeczywiście może i nadzór będzie państwowy, ale już sprzęt i oprogramowe w szkołach i w urzędach, które tworzą system narodowe, oczywiście nie będzie. Podobnie jak i te, na których pracują podwładni Bończy-Tomaszewskiego w Exatelu.
Nie ma też jasności, czy my sami jako obywatele w ogóle odczuwamy potrzebę takiej suwerenności. Przecież z Ubera korzystamy, choć wiemy, że korporacja nie płaci w Polsce podatków, z drugiej strony budzi się powoli i tu pewien rodzaj patriotyzmu. – Spójrzmy na pentesterów, czyli hakerów, którzy widząc luki w zabezpieczeniach administracji, zgłaszają je, ostrzegają przed problemami. Robią to, choć przecież nie są zatrudnieni w tych instytucjach, po prostu z poczucia obowiązku – zauważa Konrad Białoszewski.
– Nie ma dziś mowy o budowaniu suwerenności państwa bez zabezpieczenia cyfrowej przestrzeni. Przecież cybersuwerenność to – najprościej tłumacząc – rozszerzenie kompetencji państwa do decydowania o sobie także w tym obszarze – tłumaczy Wiater.
– Tu nie ma co gdybać, tylko po prostu trzeba rozbudowywać kompetencje i zadbać o bezpieczeństwo nie tylko sfery publicznej, ale też sektora prywatnego – Białoszewski mocno podkreśla, że nie ma co tu liczyć na prywatne firmy, choćby nie wiadomo jak profesjonalne. – To jest domena państwa i koniec kropka. Tyle że oczywiście powinno ono wspierać i inicjować także oddolne inicjatywy, czy to wychodzące z biznesu, czy od ludzi. Ale to do państwa obowiązków powinno należeć pilnowanie i chronienie tej sfery – uważa ekspert.
Już kilka lat temu po raz pierwszy pojawiła się w polskich środowiskach związanych z cyberochroną koncepcja pospolitego ruszenia hakerów, takiej armii ochotników na wypadek ataku na polskie instytucje publiczne czy infrastrukturę krytyczną. Nie jako zastępstwa dla sił zbrojnych czy wyspecjalizowanych urzędników, tylko dodatkowej siły, która może pomóc na wypadek sytuacji nadzwyczajnej. Do tej pory jednak ten pomysł nie zyskał wsparcia administracji.
Za to Anna Streżyńska podczas niedawnego kongresu Impact stwierdziła, że coraz wyraźniej rośnie fala cyberpatriotów, niekoniecznie związanych z samym cyberbezpieczeństwem. Prywatnych osób, ekspertów w danej dziedzinie, specjalistów od dostępu do informacji publicznej czy systemów informatycznych, którzy dobijają się i podsuwają pomysły na poprawę usług, wskazują kwestie niewyjaśnione i nierozwiązane, czasem wręcz zamęczają urzędników, ale ostatecznie jednak doprowadzają do naprawy wadliwych rozwiązań. Podobnie jak w amerykańskich doświadczeniach, podczas kórych kilka osób ze środowiska biznesowego zgłosiło się, by postawić na nogi kluczową stronę w projekcie Obamacare.
U nas część z tych „cyberpatriotów” została już nawet doradcami społecznymi Streżyńskiej. Karol Breguła, który od wielu miesięcy koresponduje z resortem cyfryzacji, przyznaje, że ma po prostu misję w zakresie przejrzystości życia publicznego, w szczególności rejestrów umów, bo uważa, że jest to potrzebne Polsce: – Nawet kilka razy cytowałem w pismach do Ministerstwa Cyfryzacji konstytucję: „Obowiązkiem obywatela polskiego jest wierność Rzeczypospolitej Polskiej oraz troska o dobro wspólne” – opowiada i chwali się, że niektóre drobne rzeczy wystarczy opisać na Facebooku i urzędnicy bardzo szybko przyjmują to do naprawy. Ale z wieloma sprawami i wieloma wnioskami jednak kończy się w sądach na procesach o dostęp do informacji publicznej.
Procesach, w których władza broni, no cóż, swojej suwerenności przed własnymi obywatelami.
W zglobalizowanym świecie nawet duże państwa w zderzeniu z potentatami internetowymi zaczynają się czuć pozbawione podmiotowości. I dochodzą do wniosku, że czas walczyć o cyfrową suwerenność