- Przez lata utrzymywano przekonanie, że chmura jest czymś wirtualnym, a dane nie są właściwie nigdzie. To mit - mówi Wiesław Wilk, przewodniczący Związku Polska Chmura.
Minister cyfryzacji Krzysztof Gawkowski zapowiedział 2,8 mld zł z KPO na transformację cyfrową przedsiębiorstw, w tym zakup technologii chmurowych. Co to oznacza?
ikona lupy />
Wiesław Wilk, przewodniczący Związku Polska Chmura / Materiały prasowe / fot. Materiały prasowe

Zapowiadane pożyczki na transformację dla firm mogą mieć bardzo pozytywne efekty z punktu widzenia rozwoju transformacji cyfrowej i konkurencyjności polskich przedsiębiorstw. Niestety, jeśli spojrzeć na wcześniejsze doświadczenia z podobnymi programami, to udział lokalnych dostawców chmury może w tym być niewielki, i to mimo tego, że mają oni świetne kompetencje oraz gotowe profesjonalne ośrodki przetwarzania danych na terytorium kraju. Przypuszczam, że większość tych środków trafi do globalnych przedsiębiorstw oferujących tego typu usługi.

Z uwagi nie tylko na to, jaką reprezentuję organizację, lecz także na wiele innych czynników – np. cyberbezpieczeństwo – uważam, że jest to zły dla Polski kierunek. Warto tutaj wspomnieć choćby o cloud act, który daje możliwość, by amerykański operator chmury znajdującej się w innym państwie udostępniał zgromadzone dane służbom, np. FBI. Mamy Europejską Radę Ochrony Danych, która zwraca uwagę na sprzeczność cloud act z RODO. Tej sprawy nie powinno się w żadnym razie ignorować.

Co dokładnie firmy będą kupować za pieniądze na transformację?

Chmura obliczeniowa to model outsourcingu usług informatycznych. W ten sposób oddajemy pewne kompetencje związane z budowaniem stosu technologicznego firmom, które robią to po prostu sprawniej. W praktyce wykupienie usług chmurowych zdejmuje z barków działu IT w organizacjach zajmowanie się serwisem serwerów, dbaniem o ich chłodzenie czy tworzeniem kopii zapasowych danych. To duże ułatwienie, zwłaszcza dla małych i średnich firm, bo w dobie niedoboru specjalistów IT na budowanie własnych serwerowni i zatrudnienie administratorów sieci mogą sobie pozwolić tylko najwięksi – m.in. banki czy firmy telekomunikacyjne.

Problem w tym, że w Polsce rynek takich usług został zdominowany przez zaledwie kilka wielkich podmiotów. Wytworzyły one – dzięki licznym działaniom marketingowym i lobbingowym – przekonanie, że najwięksi mają tak dużą przewagę technologiczną, że tylko oni są w stanie dostarczyć rozwiązania.

A to nieprawda?

Zdecydowanie nie. W Polsce mamy wiele firm, które dostarczają usługi chmurowe na identycznym poziomie jak globalni dostawcy. Jednocześnie mają krajowy kapitał, zatrudniają lokalnych specjalistów i płacą podatki w Polsce. Przegrywają jednak wyścig marketingowy.

Pamiętam felieton Stanisława Lema, który na początku lat 2000. przeanalizował strategię promocyjną Microsoftu. Doszedł do wniosku, że opiera się ona na dwóch mitach. Pierwszy: jeśli człowiek będzie używać komputera, zwiększy swoje możliwości. Drugi: Microsoft jest neutralnym, bezstronnym wsparciem w skalowaniu tych możliwości. Ta strategia nadal jest aktualna, i to dla wszystkich z tych wielkich spółek. Tymczasem powtórzę – chmura obliczeniowa to nie fundamentalna zmiana w sposobie korzystania z komputera, tylko przeniesienie danych na wynajętą przestrzeń serwerową. I właśnie dlatego, poza oczywistymi korzyściami, warto mieć na uwadze ryzyka, jakie niesie ze sobą przetwarzanie danych u zagranicznych dostawców – w szczególności tam, gdzie nie sięga nasza jurysdykcja.

Co pan ma na myśli?

Przez lata utrzymywano przekonanie, że chmura jest czymś wirtualnym, a dane nie są właściwie nigdzie. To mit, bo zawsze są przecież na jakimś fizycznym serwerze, który znajduje się w konkretnej lokalizacji. Ich właściciel powinien wiedzieć, gdzie dokładnie są one przechowywane, i zdecydować, czy się na to godzi. Jesteśmy świadomi, że części przedsiębiorców – z uwagi na niezbyt wysoki poziom wrażliwości przetwarzanych danych – jest wszystko jedno, czy są one na Wschodnim Wybrzeżu Stanów Zjednoczonych, w Niemczech, czy w Chinach. Niemniej istnieją kategorie informacji, co do których absolutnie nie powinniśmy się zgadzać, by przechowywano je poza naszą kontrolą oraz lokalną jurysdykcją. Ponad wszystko nie powinna się na to zgadzać administracja publiczna. Czas, żebyśmy zrozumieli, że – podobnie jak kapitał – infrastruktura informatyczna ma narodowość.

Warto wspomnieć, że rośnie szeroko pojęta świadomość społeczna na temat bezpieczeństwa danych. Jak wynika z badania EY Future Consumer Index, aż 65 proc. konsumentów planuje zwracać większą uwagę na sposób, w jaki konkretne firmy przechowują ich dane.

Niektóre globalne firmy budują data centers w Polsce.

To krok w dobrą stronę, ponieważ kwestia lokalizacji danych powinna być bezdyskusyjna z punktu widzenia ich bezpieczeństwa. Powiem więcej – moim zdaniem takie inwestycje są dobre dla całego ekosystemu. Jeśli gdzieś powstaje jeden taki obiekt, to bardzo szybko koło niego są tworzone kolejne. Takie zjawisko dotknęło kiedyś Irlandię, która nie była wówczas zagłębiem technologicznym. Ale z uwagi na to, że dochodzą do niej kable podmorskie, które pozwalają na utrzymywanie ruchu internetowego między Ameryką, Wielką Brytanią i Europą, stała się dobrą lokalizacją dla rozwoju data centers. Kraj przyciągał też inwestorów ulgami podatkowymi i w ten sposób doprowadzono do sytuacji, w której Irlandia została jednym z potentatów na rynku IT. Dlatego uważam, że to dobrze, że giganci chcą się u nas rozwijać. Jednak to nie wystarczy – potrzebny jest także rozwój lokalnych przedsiębiorstw z tego sektora, żeby mogły stanowić naturalną przeciwwagę i dywersyfikować rynek.

Oczekuje pan np. preferencyjnych warunków dla polskich firm w przetargach sektora publicznego?

Krajowe data centers nie potrzebują żadnych preferencyjnych warunków. Wystarczy, że urzędy będą równo traktować wszystkich dostawców usług. Dla przykładu: w jednym z przetargów organizowanych przez publiczną instytucję zapisano, że dane muszą być przechowywane w dwóch ośrodkach, oddalonych od siebie o konkretną, liczoną w setkach kilometrów odległość. Żaden zlokalizowany w Polsce dostawca nie był w stanie spełnić tego warunku. Jak w takiej sytuacji można mówić o uczciwej konkurencji? Absolutnym obowiązkiem instytucji oddających dane polskich obywateli lub firm do dostawców usług chmurowych powinno być wymaganie spełnienia zasady pełnej rozliczalności danych. Chodzi o konieczność udowodnienia przez dostawcę, że przetwarzanie danych odbywa się dokładnie w zdefiniowany w umowie sposób, łącznie z kontrolą fizyczną i pełnym wykazem podwykonawców.

Celem naszego związku jest pokazanie, że jako krajowi dostawcy usług chmurowych mamy kompletną ofertę usług, z której polskie firmy i administracja mogą skorzystać od zaraz. Nie musimy w tym celu budować nowych data centers ani inwestować w dodatkowy sprzęt czy zwiększać kompetencji. Rynek polskich usług IT robi to nieustannie. Warto też zauważyć, że działalność części naszych członków była częściowo finansowana z publicznych pieniędzy. W związku mamy m.in. Wrocławskie Centrum Sieciowo Superkomputerowe czy Akademickie Centrum Komputerowe Cyfronet AGH. To są przykładowe miejsca, w których znajduje się odpowiednia infrastruktura do przetwarzania danych, z której można by lokalnie skorzystać.

Należy zaznaczyć, że polskie firmy najchętniej wybierają partnerów z centrami danych w Polsce. Odniosę się tu do badania „Chmura i cyberbezpieczeństwo wśród średnich i dużych firm oraz w sektorze GovTech w Polsce 2022”, przygotowanego przez firmę PMR. Centrum danych w Polsce woli 74 proc. badanych, a w innym kraju UE – 62 proc.

Rząd powinien budować własne data centers?

Jak najbardziej. Z całą pewnością są systemy rządowe, które nie powinny być powierzane żadnym zewnętrznym dostawcom. Dziś mamy tylko data center w Radomiu. NASK ogłaszał też budowę Krajowego Centrum Przetwarzania Danych w Warszawie. Taka rządowa profesjonalna infrastruktura powinna istnieć już dawno.

Na świecie obserwujemy coraz większą świadomość dotyczącą znaczenia suwerenności danych w kontekście usług chmurowych. Podam przykład: na uniwersytetach niemieckich nie można używać komunikatorów od globalnych firm. Wynika to z obawy przed przejęciem treści przez osoby nieuprawnione. U nas odpowiedzialność za wybór narzędzi spoczywa na dziale IT. Tymczasem takie decyzje powinien podejmować rektor.

Do rządu też należy określenie, jakie kategorie przetwarzanych danych są szczególnie wrażliwe. A w konsekwencji – gdzie te dane powinny się znajdować: w rządowym data center, w data center zlokalizowanym w Polsce, czy też poza krajową lub nawet europejską jurysdykcją. Dywersyfikacja w tym zakresie jest konieczna, podobnie jak określenie kategorii przetwarzanych danych.

Co można zrobić, żeby środki z KPO przysłużyły się nie tylko gigantom, lecz także polskim przedsiębiorcom chmurowym?

W interesie Polski byłoby, gdyby KPO zostało wykorzystane na cyfryzację przedsiębiorstw w taki sposób, by również krajowe firmy chmurowe mogły poprawić swoją pozycję rynkową. Inspirację może stanowić rynek brytyjski, gdzie powstała idea chmury rządowej. Polega to na tym, że administracja publiczna dokonuje wstępnej preselekcji dostawców takich usług, sprawdza ich wiarygodność, pozycję, dane finansowe. Powstaje lista rekomendowanych dostawców, spośród których jednostka samorządu terytorialnego może wybrać właściwego dla siebie. Takiego, który ma odpowiednie dla niej usługi. W Polsce mieliśmy próbę skopiowania tego rozwiązania, projekt nazywał się System Zapewniania Usług Chmurowych (ZUCh). Jednak bez zmiany ustawy o zamówieniach publicznych wszystko okazało się nietrafione, bo i tak trzeba było robić przetargi na usługi. ©℗

Rozmawiała Anna Wittenberg