Uzależnienie od obcej, nieudokumentowanej technologii jako istotne zagrożenie dla infrastruktury krytycznej w Polsce
Są takie obszary naszego życia, w których niezbędne jest stosowanie zaawansowanych narzędzi i technik. Bez wsparcia technologiami IT sektora bankowo-finansowego oraz systemów zaopatrzenia w energię, a także pracy służb porządku publicznego, administracji, a nawet sił zbrojnych trudno byłoby sobie wyobrazić ich sprawne funkcjonowanie.
Tak jak za czasów zimnej wojny, kiedy stosowaliśmy rozwiązania IT pochodzenia wschodniego i raczej nie było możliwości ich zdalnego wyłączenia, czy nawet destrukcji, tak obecnie wdrożone rozwiązania budzą wiele wątpliwości, co do ich bezpieczeństwa. Wynika to z faktu, że zdarzają się wdrożenia w sektorach, takich jak: energetyka, służby bezpieczeństwa i siły zbrojne, gdzie nierzadko jedyną technologią w obszarze telekomunikacji i informatyki są produkty spoza naszego kraju, a nawet obszaru UE.
Ciekawe, jaki wyszedłby rachunek zysków i strat w poszczególnych sektorach gospodarki, służb porządkowych i sił zbrojnych po dokonaniu weryfikacji przypadków wyboru rozwiązań IT wykonawców z poza naszego kraju pomimo ubiegania się o dany kontrakt polskiej firmy oferującej nasze narodowe rozwiązania, nad którymi z pewnością mielibyśmy większą kontrolę, co do ich bezpieczeństwa i kosztów eksploatacji?
Obserwując stopień zinformatyzowania poszczególnych sektorów wpływających na funkcjonowanie organów państwa i życie obywateli można zauważyć pewne prawidłowości:
- większość stosowanych produktów IT nie jest pochodzenia polskiego,
- znaczną domenę rozwiązań IT stanowią urządzenia sieciowe i systemy zarządzania bazami danych spoza naszego kraju, a nawet obszaru UE,
- najczęściej użytkowane aplikacje biurowe i narzędzia pracy grupowej nie mają nic wspólnego z licencjami krajowego pochodzenia,
- zdarzają się instalacje, dla których zamawiający nie dysponuje kodami źródłowymi, schematami budowy i funkcjonowania, a czasem nawet kompletnymi instrukcjami użytkowania i administrowania,
- zbyt często brak dokumentacji eksploatacyjnej, konstrukcyjnej oraz naprawczej dla produktów zagranicznych przy równoczesnym wymaganiu ich od firm krajowych,
- zauważa się prowadzenie przez firmy zagraniczne polityki ograniczającej otwartość rozwiązań, w zapewnienie pełnej interoperacyjności, szczególnie w obszarze urządzeń sieciowych i możliwości ich współpracy z innymi produktami, przez co często wymagają one pełnej akceptacji danej korporacji na warunkach tylko dla nich korzystnych,
- nadmierne dążenie do wdrażania produktów IT pochodzenia zagranicznego pod pseudo pretekstem ich niezawodności i kompletności, prowadzące jak gdyby do wspierania religii danej korporacji.
Czy można zaprzeczyć, że stan posiadania i używania rozwiązań IT w Polsce nie świadczy o uzależnieniu od obcej technologii? Czy w związku z tym, można powiedzieć, że nie ma żadnego zagrożenia, nawet zdalnego, celowego zakłócenia lub zniszczenia instalacji i urządzeń istotnych z punktu widzenia utrzymania niezbędnych funkcji społecznych i gospodarki kraju?
Przypatrując się polityce korporacji zagranicznych w zakresie oferowanych i wdrażanych rozwiązań IT można dostrzec, że proponują oni pełne programy szkoleniowe i ścieżki certyfikacji, przez co nie tyle kształcą kadrę dla swoich produktów, ale i wiążą ze sobą określoną grupę użytkowników. Po co nam wyższe uczelnie z doskonale przygotowaną kadrą skoro można przejść szkolenia w takiej korporacji?
Czyżby na pokładzie naszych uczelni wyższych nie było doskonale przygotowanej kadry, a na krajowym rynku polskich firm zatrudniających wyśmienitych inżynierów, którzy niejednokrotnie przygotowywali i są nadal w stanie opracowywać gotowe produkty IT znacznie przewyższające niezawodnością i funkcjonalnością rozwiązania pochodzenia zagranicznego, przy jednoczesnych o wiele niższych kosztach ich zakupu i dalszej eksploatacji? Czy rzeczywiście jest tak, że nie dysponujemy wybitnymi zespołami projektowymi, którzy nie potrafią opracować równie dobrych, jak nie lepszych produktów z obszaru IT?
Może warto byłoby zbadać wpływ już wdrożonych rozwiązań IT w poszczególnych obszarach działalności organów państwa na bezpieczeństwo infrastruktury krytycznej. Jeśli w wyniku przeprowadzonej weryfikacji okazałoby się, że spora część funkcjonujących systemów nie ma nic wspólnego polskimi produktami, a nawet nie jest znana nam ich szczegółowa struktura i sposób działania, wówczas należałoby niezwłocznie podjąć działania zmieniające taki stan rzeczy.
Jak to się dzieje, że dość często trafia do nas produkt pochodzenia zagranicznego, a nie krajowego? Okazuje się, że mottem przewodnim w zakupach dokonywanych w administracji, służbach bezpieczeństwa i porządku publicznego oraz siłach zbrojnych jest cena. Wyobraźmy sobie taki przypadek, że mamy na stole dwie oferty na system TI z zakresu cyfrowej łączności radiowej, czy też systemu audiowizualnego dla ograniczonej liczby użytkowników specjalnych. SIWZ został tak przygotowany, że o wyborze oferty decyduje praktycznie cena. I oto oferta firmy zachodniej opiewa na kwotę 70 tys. EUR za przedmiotowy system, a oferta firmy polskiej na 100 tys. EUR.
KTÓRA Z OFERT JEST NAJKORZYSTNIEJSZA DLA NAS, DLA POLSKIEJ GOSPODARKI?
Odpowiedź jest zdumiewająco prosta. Oferta firmy zarejestrowanej w Polsce, pomimo, że jest o 30 tys. EUR droższa w rezultacie jest najkorzystniejsza dla nas. Wynika to z następujących faktów:
- Już po miesiącu, od momentu zapłaty, do budżetu RP wpłynie 23% z kwoty 100 tys. EUR z tytułu VATu, czyli 23 tys. EUR
- Jeśli założymy że 50 tys. EUR zostanie przeznaczone na płace to najpóźniej po dwóch miesiącach firma ta odprowadzi 19% podatek dochodowy od osób fizycznych w wysokości 9500 EUR oraz 18% składki ZUS pracodawcy w wysokości 9000 EUR.
- Nie uwzględniamy podatku dochodowego od osób prawnych oraz podatków (VAT, akcyza) opłaconych przez ostatecznych klientów, czyli pracowników.
W efekcie tego oferta polskiej firmy kosztowałaby nas 60 tys. EUR, a nie 100 tys. EUR, jak w przypadku wykonania zamówienia przez firmę nierozliczającą się w Polsce. Nie można również zapominać tutaj o tym, że brak kontraktów dla polskich firm oznacza zwolnienia pracowników, zaciąganie zobowiązań bez pokrycia i ostatecznie bankructwo, co z pewnością znajdzie swoje odzwierciedlenie w kondycji naszej gospodarki. Analogiczna sytuacja zachodzi w przypadku braku zdecydowanego wspierania produktów narodowego pochodzenia, co szczególnie jest istotne dla zapewnienia odpowiedniego bezpieczeństwa infrastruktury krytycznej, m.in. poprzez ograniczenie ryzyka manipulacji i przejęcia kontroli nad określonymi rozwiązaniami mogącymi posiadać wbudowane, ukryte mechanizmy sterowania i destrukcji.
Artykuł o podobnej treści ukazał się w Computerworld nr 14-2011 (14/930), str. 38, 17 maj 2011 pod tytułem Czy obce jest bezpieczne?