Sześć filarów cyfrowej suwerenności Polski

"Sześć warunków niepodległości w cyberprzestrzeni". Tak tytuł nosi artykuł Nikodema Bończa-Tomaszewskiego, który ukazał się w "Rzeczypospolitej". Tekst prezesa Exatela, który do stycznia br. kierował Centralnym Ośrodkiem Informatycznym (COI) przejętym od MSW przez Ministerstwo Cyfryzacji, czyta się chwilami jak natchniony manifest. 

"Suwerenność jest dla Polaków podstawową kategorią polityczną. Jako naród jesteśmy gotowi wybaczyć naszemu państwu i innym narodom wiele, ale stan ograniczenia lub braku niepodległości jest nie do przyjęcia" - oznajmia były dyrektor COI, dodając, że "dziś suwerenność to nie tylko posiadanie przez naród własnego terytorium, prawa oraz państwa i armii. Silne narody rozciągają ją na inne dziedziny: kulturę, naukę, gospodarkę. Ale państwo w XXI wieku musi być również suwerenne w cyberprzestrzeni".

Bończa-Tomaszewski piętnuje krótkowzroczność administracji publicznej wytykając jej przedstawicielom, że "chętnie dyskutują o chmurze obliczeniowej, interoperacyjności i cyberbezpieczeństwie", ale "o suwerenności jednak jakby zapomniano".

Za ostatni tak znaczący przyczynek do rozważań na temat cyberbezpieczeństwa byłego funkcjonariusza publicznego można uznać głos byłego szefa ABW i Narodowego Centrum Kryptologii gen. bryg. Krzysztof Bondaryk (więcej Ciszej nad tą cybertrumną?). O ile jednak publikacja twórcy NCK stanowiła wyczerpujący opis indolencji, zaniechań i niestety prawdopodobnie również prywaty przedstawicieli MON i Sił Zbrojnych RP, o tyle o tyle tekst Bończa-Tomaszewskiego można odczytać jako dezyderat skierowany pod adresem najwyższych władz państwowych, którym autor przypomina, że"podmiotem suwerenności w cyberprzestrzeni jest naród", a "państwo jest instytucją służebną wobec wspólnoty, narodu i obywateli".

"Z tej perspektywy - kontynuuje swój wywód publicysta - kiedy mówimy o e-usługach, musimy przede wszystkim mówić o zaspokojeniu potrzeb obywateli, a jeśli mówimy o cyberbezpieczeństwie, to o ochronie ich danych, prywatności i swobód obywatelskich, zarówno przed działaniami typu kryminalnego, jaki i wszelkiej agresji zewnętrznej". Tymczasem - jak dowodzi Bończa-Tomaszewski - "obecnie Polska nie jest w pełni suwerenna w cyberprzestrzeni. Marnym pocieszeniem jest to, że sektor publiczny na całym świecie nie nadąża za cyfryzacją i niewiele państw spełnia kryteria niezależności w tej sferze". 

W opinii prezesa Exatela, wyjście z tej pułapki jest możliwe, ale po drodze  "czeka nas wielka informatyczna praca organiczna. Państwo polskie musi przyciągać kompetentnych specjalistów z różnych dziedzin IT, zapewnić stabilny ład instytucjonalny dla cyfryzacji, zbudować i chronić własną infrastrukturę informatyczną. Musi też jasno wytyczyć granice ochrony publicznych danych oraz oprzeć się pokusie outsourcingu e-usług oraz narzędzi cyberbezpieczeństwa". Aby osiągnąć swoje cele strategiczne i zapewnić narodowi suwerenność na miarę XXI w. "Polska powinna dysponować instytucją zdolną budować i utrzymywać e-usługi publiczne, organizacją posiadającą samodzielną infrastrukturę telekomunikacyjną (zapewniającą łączność przewodową, bezprzewodową i satelitarną), rozwijać archiwa cyfrowe zdolne udostępniać i chronić publiczne dane. Musi też mieć zdolność do prowadzenia przez wojsko i inne służby działań ofensywnych i defensywnych w cyberprzestrzeni" - uważa były dyrektor COI.

Nikodem Bończa-Tomaszewski przestrzega również przed mirażem, jaki stanowi dzisiaj „pokusa roszady na piedestale politycznych wartości i zastąpienia suwerenności przez wygodę życia, a wolności przez iluzję spokoju”. Zauważa przy tym, że „jedynymi podmiotami realnie suwerennymi w cyberprzestrzeni są niektóre globalne koncerny informatyczne. Państwa małe i średniej wielkości słabo odnajdują się w cyfrowej rzeczywistości. Mocarstwa dysponują potężnym aparatem nadzoru sieci, ale i one są w pewnej mierze uzależnione od technologii i danych dostarczanych im przez koncerny”. Warto dodać w tym miejscu, że sugestywną lekcję poglądową tej zależności administracji publicznej od prywatnego biznesu stanowił głośny w ostatnim czasie i wielokrotnie opisywany przez Cyberdefence24.pl (np. „Zgniłe jabłko czy owoc zakazany?”) spór pomiędzy FBI i koncernem Apple, który odmówił władzom USA wsparcia w odszyfrowaniu dostępu do zawartości iPhone’a terrorysty z San Bernardino zmuszając państwo, by za cenę 1.3 mln USD uciekło się do pomocy konsultanta o tożsamości nieznanej do dziś opinii publicznej.

Na podstawie omawianego tekstu trudno ocenić jednoznacznie, po której stronie w konflikcie między zwolennikami wzmocnienia bezpieczeństwa narodowego (FBI) a popierającym stanowisko Apple lobby obrońców praw obywatelskich opowiada się autor, dla którego wszak nie ulega najmniejszej wątpliwości, że „oddanie miejsca państwa w cyberprzestrzeni podmiotom komercyjnym byłoby jednak niewybaczalnym błędem”. Oznaczałoby to bowiem, że „ze świata cyfrowego zniknąłby kluczowy wektor siły, który nie jest skierowany w stronę zysku. Wycofując się z cyberprzestrzeni, państwo zgodziłoby się na zmianę logiki jej działania. Ideę dobra wspólnego zastąpiłaby doktryna maksymalizacji zysku. W przestrzeni cyfrowej zredukowano by wolnych obywateli do konsumentów”.

Paradoksalnie perspektywa, jaką kreśli przed czytelnikiem były dyrektor COI, okazuje się apokaliptyczna także z punktu widzenia obrońców praw człowieka przestrzegających przed skutkami zwiększenia uprawnień regulatora pod hasłem walki z terroryzmem czy innymi zagrożeniami bezpieczeństwa narodowego. „Ostatecznie byłaby to katastrofa dla wszystkich; także samego rynku, który wróciłby do chaosu, brutalności i monopoli początków XIX wieku. Bez silnego państwa nie ma silnego rynku; także w cyberprzestrzeni – przewiduje Bończa-Tomaszewski konstatując, że „globalną cyberprzestrzeń spaja internet, który jako całość nie należy do nikogo”, zaś „suwerenność w cyberprzestrzeni oznacza (…) zdolność do samodzielnego w niej funkcjonowania”. Aby ją osiągnąć, trzeba spełnić sześć warunków – jak wyliczył prezes Exatela.

Pierwszym jest odpowiedni personel. „Potrzebne są kompetencje cyfrowe budowane w oparciu o własne kadry. Wysokość płac i niezwykłe warunki pracy, jakie oferuje dziś przemysł IT, jasno pokazują, jakie znaczenie w gospodarce opartej na wiedzy ma posiadanie wysokiej klasy zespołu” – czytamy w artykule Bończa-Tomaszewskiego.

W jego przekonaniu drugi warunek osiągnięcia suwerenności w cyberprzestrzeni to własna infrastruktura, na której likwidacji zależy niektórym koncernom informatycznym. „Zastanawiające jest, że o ile nikt przy zdrowych zmysłach nie namawia otwarcie, by zastąpić służby publiczne firmami konsultingowymi, policję - agencjami ochrony, a wojsko - wynajętymi najemnikami, o tyle w debacie publicznej często słychać przekonywanie, że administracja nie potrzebuje własnych operacyjnych kadr IT, pełnej kontroli nad systemami i własnej, chronionej infrastruktury teleinformatycznej” -  nie może wyjść ze zdumienia prezes Exatela.

Państwo suwerenne w cyberprzestrzeni to dla niego takie, które – co jest trzecim warunkiem suwerenności - potrafi twardo regulować rynek handlu danymi, efektywnie ograniczać nadużycia i chronić informacje o swoich obywatelach. „W cyberprzestrzeni to dane są obiegową walutą. Są niczym surowce naturalne, substratem przekuwanym na produkty i pieniądze” – stwierdza Bończa-Tomaszewski podkreślając, że „jeśli nawet państwo ma kompetencje, infrastrukturę i chroni wrażliwe dane, to mówienie o cyfrowej suwerenności jest przedwczesne”, gdyż „potrzebne są realne mechanizmy działania, które możemy nazwać e-usługami”, stanowiącymi czwarty, nieodzowny warunek suwerenności.

Piątym jest dla byłego dyrektora COI cyberbezpieczeństwo, jakże często sprowadzane mylnie do kwestii zabezpieczeń i utożsamiane wyłącznie z działalnością wywiadowczą lub ochroną infrastruktury krytycznej. Tymczasem cyberbezpieczeństwo to – według definicji prezesa Exatela - także ochrona obywateli w Internecie, bezpieczny obrót gospodarczy, działania militarne w sieci etc.

Ostatni, szósty warunek to – wedle programu Nikodema Bończa-Tomaszewskiego - narodowy sektor informatyczny. Pozostanie on jednak fikcją istniejącą tylko na papierze bez zagwarantowania takich fundamentów jak ustalenie czytelnych reguł współpracy z dostawcami, szerokie finansowanie przez państwo prac badawczo-rozwojowych, działania na rzecz innowacyjności polskiego przemysłu informatycznego, a także wykorzystanie jego dotychczasowego dorobku oraz infrastruktury. Co więcej, „sektor IT nie będzie się prawidłowo rozwijał bez wsparcia uczelni i instytucji naukowych, które powinny zapewniać stały dopływ specjalistów, nowych pomysłów i technologii” - prognozuje prezes Exatela.

Obwarowana wieloma warunkami wizja, jaką roztoczył on przed władzami RP, jest tyleż racjonalna, co kusząca, a od stopnia jej realizacji m.in. zależy, czy np. w razie ponownego kryzysu na miarę katastrofy smoleńskiej znów będziemy musieli liczyć wyłącznie na materiały operacyjne od służb specjalnych sojusznika z NATO (amerykańska NSA) lub UE (szwedzki Instytut Obrony Radiołączności/FRA) czy też tym razem będziemy mogli zaufać własnym zdolnościom.