Polska Chmura

Wywiad dla Dziennik Gazeta Prawna: Infrastruktura informatyczna ma narodowość

Wiesław Wilk, Przewodniczący Związku Polska Chmura udzielił wywiadu dla Dziennika Gazety Prawnej. Zachęcamy do lektury.

Anna Wittenberg, DGP: Minister Gawkowski zapowiedział 2,8 mld zł z KPO na transformację cyfrową przedsiębiorstw, w tym zakup technologii chmurowych. Co to oznacza?

Wiesław Wilk, Polska Chmura: Zapowiadane przez ministra cyfryzacji, wicepremiera Krzysztofa Gawkowskiego pożyczki na transformację dla firm mogą mieć bardzo pozytywne – z punktu widzenia rozwoju transformacji cyfrowej i konkurencyjności polskich przedsiębiorstw – efekty. Niestety, patrząc na wcześniejsze doświadczenia z podobnymi programami, udział lokalnych dostawców chmury, może być w tym niewielki. Pomimo faktu, że posiadają świetne kompetencje oraz gotowe, profesjonalne ośrodki przetwarzania danych na terytorium kraju. Przypuszczam, że większość tych środków trafi głównie do globalnych przedsiębiorstw oferujących tego typu usługi. Oczywiście, nie tylko z uwagi na reprezentowaną organizację, ale przede wszystkim wiele czynników – np. cyberbezpieczeństwo – uważam, że nie jest to najlepszy dla Polski kierunek. Warto tutaj wspomnieć choćby o Cloud Act i pewną możliwość, aby amerykański operator chmury znajdującej się w innym państwie udostępnił zgromadzone dane na przykład FBI. Z drugiej strony mamy na szczęście Europejską Radę Ochrony Danych, która zwraca uwagę na sprzeczność Cloud Act względem RODO. 

Czyli co dokładnie kupią?

Chmura obliczeniowa to model outsourcingu usług informatycznych. W ten sposób oddajemy pewne kompetencje związane z budowaniem stosu technologicznego firmom, które robią to po prostu sprawniej. W praktyce wykupienie usług chmurowych zdejmuje z barków działu IT w organizacjach zajmowanie się serwisem serwerów, dbaniem o ich chłodzenie, czy tworzeniem kopii zapasowych danych. To duże ułatwienie, zwłaszcza dla małych i średnich firm, bo w dobie niedoboru specjalistów IT, na budowanie własnych serwerowni i zatrudnienie administratorów sieci mogą pozwolić sobie tylko najwięksi – m.in. banki czy firmy telekomunikacyjne. 

Problem polega na tym, że w Polsce rynek takich usług został zdominowany przez zaledwie kilka wielkich podmiotów, w tym: Microsoft, Google, Amazon czy Oracle. Wytworzyły one poprzez liczne działania marketingowe i lobbingowe przekonanie, że tylko najwięksi mają przewagę technologiczną i są w stanie dostarczyć rozwiązania. 

A to nieprawda? 

Zdecydowanie nie. W Polsce mamy wiele firm, które dostarczają usługi chmurowe na identycznym poziomie co globalni dostawcy. Jednocześnie posiadają krajowy kapitał, zatrudniają lokalnych specjalistów i płacą podatki w Polsce. Przegrywają one jednak wyścig marketingowy. 

Czytałem kiedyś felieton Stanisława Lema, który na początku lat 2000 przeanalizował strategię promocyjną Microsoftu. Doszedł do wniosku, że opiera się ona na dwóch mitach. Pierwszy z nich: jeśli człowiek będzie używać komputera, zwiększy swoje możliwości. Drugi: Microsoft jest neutralnym, bezstronnym wsparciem w skalowaniu tych możliwości. Ta strategia nadal jest aktualna i to dla wszystkich z tych wielkich spółek. Tymczasem powtórzę – chmura obliczeniowa to nie jest jakaś fundamentalna zmiana w sposobie korzystania z komputera, tylko przeniesienie danych na wynajętą przestrzeń serwerową. I właśnie dlatego, poza oczywistymi korzyściami, warto mieć na uwadze pewne ryzyka jakie niesie za sobą przetwarzanie danych u zagranicznych dostawców – w szczególności tam, gdzie nie sięga już nasza jurysdykcja.  

Co Pan ma na myśli? 

Przez lata utrzymywano przekonanie, że chmura jest czymś wirtualnym, a dane są właściwie nigdzie. To mit, bo zawsze są przecież na jakimś fizycznym serwerze, który znajduje się w konkretnej lokalizacji. Ich właściciel powinien wiedzieć, gdzie dokładnie są one przechowywane i zdecydować, czy się na to godzi. Jesteśmy świadomi, że dla części przedsiębiorców – z uwagi na niezbyt wysoki poziom wrażliwości przetwarzanych danych – jest wszystko jedno, czy są one na wschodnim wybrzeżu Stanów Zjednoczonych, w Niemczech czy też w Chinach. Niemniej są kategorie informacji, co do których absolutnie nie powinniśmy się zgadzać, by przechowywano je poza naszą kontrolą oraz lokalną jurysdykcją. Ponad wszystko nie powinna się na to zgadzać administracja publiczna. Czas, żebyśmy zrozumieli, że podobnie jak kapitał, tak i infrastruktura informatyczna również ma narodowość. 

Warto wspomnieć, że rośnie szeroko pojęta świadomość społeczna nt. bezpieczeństwa danych. Jak wynika z badania EY Future Consumer Index, aż 65% konsumentów planuje zwracać większą uwagę na sposób, w jaki konkretne firmy przechowują ich dane.  

Niektóre globalne firmy budują data center w Polsce. 

To krok w dobrą stronę, ponieważ kwestia lokalizacji danych powinna być bezdyskusyjna z punktu widzenia ich bezpieczeństwa. Powiem nawet przewrotnie moim zdaniem takie inwestycje są dobre dla całego ekosystemu. Ponieważ, jeśli gdzieś powstaje jeden taki obiekt, to bardzo szybko koło niego tworzone są kolejne. Takie zjawisko dotknęło kiedyś Irlandię, która nie była wówczas zagłębiem technologicznym. Z uwagi jednak na fakt, że do dochodzą do niej kable podmorskie, które pozwalają na utrzymywanie ruchu internetowego między Ameryką, Wielką Brytanią i Europą, stała się dobrą lokalizacją dla rozwoju data center. Kraj ten przyciągał też inwestorów ulgami podatkowymi i w ten sposób doprowadzono do sytuacji, że Irlandia została jednym z potentatów na rynku IT. Dlatego uważam, że to dobrze, że giganci chcą się u nas rozwijać. Natomiast to nie wystarczy – potrzebny jest także rozwój lokalnych przedsiębiorstw z tego sektora, żeby mogły stanowić naturalną przeciwwagę i dywersyfikować rynek. 

Oczekuje Pan np. preferencyjnych warunków dla polskich firm w przetargach sektora publicznego? 

Krajowe data center nie potrzebują żadnych preferencyjnych warunków. Wystarczy, że urzędy będą w równym stopniu traktować wszystkich dostawców usług. Dla przykładu: w jednym z przetargów organizowanych przez publiczną instytucję zapisano, że dane muszą być przechowywane w dwóch ośrodkach oddalonych od siebie o konkretną liczbę kilometrów. Był tylko jeden dostawca, który mógł wypełnić taki warunek. Jak w takiej sytuacji można mówić o uczciwej konkurencji? 

Celem naszego związku jest pokazanie, że jako krajowi dostawcy usług chmurowych mamy kompletną ofertę usług, z której polskie firmy i administracja mogą skorzystać od zaraz. Nie musimy w tym celu budować nowych ośrodków data center, ani inwestować w dodatkowy sprzęt czy zwiększać kompetencji. Rynek polskich usług IT robi to nieustannie. Warto też zauważyć, że działalność części naszych członków częściowo była finansowana z publicznych pieniędzy. W związku mamy m.in. Wrocławskie Centrum Sieciowo Super-Komputerowe czy Akademickie Centrum Komputerowe Cyfronet AGH. To są przykładowe miejsca, w których znajduje się odpowiednia infrastruktura do przetwarzania danych, z której można byłoby lokalnie skorzystać.  

Należy zaznaczyć, że polskie firmy najchętniej wybierają partnerów z centrami danych w Polsce. Odniosę się tu do z badania „Chmura i cyberbezpieczeństwo wśród średnich i dużych firm oraz w sektorze GovTech w Polsce 2022” przygotowanego przez firmę PMR. Centrum danych w Polsce preferuje 74 proc. badanych, a w kraju UE 62 proc.

Rząd powinien budować data center? 

Jak najbardziej. Z całą pewnością są systemy rządowe, które nie powinny być powierzane zewnętrznym firmom. Już dziś mamy data center w Radomiu. NASK ogłaszał też budowę Krajowego Centrum Przetwarzania Danych w Warszawie. 

Na świecie obserwujemy coraz większą świadomość znaczenia suwerenności danych w kontekście usług chmurowych. Podam przykład: na uniwersytetach niemieckich nie można używać komunikatorów od Google, czy też Microsoftu. Wynika to z obawy przed przejęciem przez osoby nieuprawnione treści rozmów. U nas odpowiedzialność za wybór narzędzi spoczywa na dziale IT. Tymczasem takie decyzje powinien podejmować rektor. 

Do rządu też należy określenie tego, jakie kategorie przetwarzanych danych są szczególnie wrażliwe. A przez to, gdzie te dane powinny się znajdować: w rządowym data center, w data center zlokalizowanym w Polsce, czy też poza krajową lub nawet europejską jurysdykcją. Dywersyfikacja w tym zakresie jest konieczna, podobnie jak określenie kategorii przetwarzanych danych. 

Co można by zrobić, żeby środki z KPO przysłużyły się nie tylko gigantom, ale też polskim przedsiębiorcom chmurowym? 

W interesie Polski byłoby dobrze, gdyby KPO zostało wykorzystane na cyfryzację przedsiębiorstw tak, aby również krajowe firmy chmurowe mogły poprawić swoją pozycję rynkową. Inspirację stanowić może rynek brytyjski, gdzie powstała idea chmury rządowej. Polega to na tym, że administracja publiczna dokonuje wstępnej preselekcji dostawców takich usług, sprawdza ich wiarygodność, pozycję, dane finansowe. Powstaje wówczas lista rekomendowanych dostawców, spośród których jednostka samorządu terytorialnego może wybrać dla siebie właściwego, który ma odpowiednie dla niej usługi. W Polsce mieliśmy próbę skopiowania tego rozwiązania, projekt nazywał się system Zapewniania Usług Chmurowych (ZUCh). Natomiast bez zmiany ustawy o zamówieniach publicznych wszystko okazało się nietrafione, bo i tak trzeba było robić przetargi na usługi. 

Czy są jakieś nisze, w których polscy dostawcy mogą być konkurencyjni wobec cyfrowych gigantów?

Świetne pytanie! Rzeczywiście jest tak, że prawdopodobnie w przypadku usług masowych, typu maile czy pakiety biurowe, nic nie pobije rozwiązań od wielkich firm. Oczywiście i tutaj mogę się mylić, ponieważ polskie start upy rozwijają się obecnie w tak niesamowitym tempie, że nie zdziwiłbym się, gdybym zobaczył i tutaj jakieś godne zastępstwo.  

Moim zdaniem – na bazie rozmów z klientami, którzy są odbiorcami naszych usług – istnieje pewna konkretna nisza. Usługi polskich dostawców są często skrojone na miarę, pod konkretne zastosowanie. W ten sposób klient czy instytucja publiczna otrzymuje wówczas nie tylko infrastrukturę IT dopasowaną do potrzeb czy specyfikacji, ale także pomoc ze strony inżynierów w procesach takich jak migracja danych, wsparcie w języku polskim, serwis w Polsce oraz brak łańcucha pośredników czy podwykonawców. Sprawia to, że przy rozległych projektach, gdzie trudno od początku przyjąć jednolitą strategię migracji, krajowi dostawcy przodują nie tylko kompetencjami, ale także szybkim czasem reakcji i elastycznością. 

Proszę mi powiedzieć, jak przekonać polskich przedsiębiorców do tego, żeby zwracali się do krajowych  dostawców i Polskiej Chmury?

O przedsiębiorców się nie martwię. Proszę mi uwierzyć, że biznes dokładnie czuje te różnice i ryzyka, o których wspomniałem. Banki, firmy przemysłowe czy technologiczne mają dokładną wiedzę na temat usług, które jesteśmy w stanie świadczyć im w ramach Polskiej Chmury. Zdają sobie sprawę z tego, że obecnie – biorąc pod uwagę podejście multicloud – realizacja wszystkich potrzeb przez jednego dostawce usług chmurowych nie byłaby możliwa do zaadresowania. Nie uważam więc, że naszą misją jest przekonywanie przedsiębiorców. Co do strony instytucjonalnej to mam nadzieję, że zacznie przeważać podejście na rzecz rozwoju krajowych podmiotów, a przez to też wprost polskiej gospodarki. 

Przewodniczący Polskiej Chmury na Forum Data Center

Przewodniczący Polskiej Chmury Wiesław Wilk wziął udział w panelu dyskusyjnym „Nowe trendy w branży Data Center”, który otwierał konferencję Forum Data Center. W dyskusji, która odbyła się 8.10 w Warszawie, udział wzięli również: Paweł Oracz, dyrektor Działu Systemów Informatycznych w Narodowym Centrum Badań i Rozwoju, Jolanta Jaworska z IBM, oraz Poseł na Sejm RP Bartłomiej Pejo. Rozmowę moderowała Dagmara Krzesińska z Instytutu Spraw Cyfrowych.

Wypowiedź Polskiej Chmury znalazła się również w raporcie „Mapa Trendów”, który miał premierę w dniu konferencji. Pełna treść stanowiska naszej organizacji, przygotowana przez Wiesława Wilka, znajduje się poniżej.

Chmura „made in Poland” – bezpieczeństwo, suwerenność i innowacje 


W dobie dynamicznych zmian w gospodarce, monitorowanie trendów i innowacji technologicznych powinno stanowić kluczowy element strategii każdej organizacji. Niemniej, niezależnie od trendów, warto mieć na uwadze uniwersalne i ponadczasowe wartości, które powinny stanowić fundament działalności każdej firmy, która bierze odpowiedzialność za przetwarzanie danych, takie jak ich bezpieczeństwo i suwerenność. Jako przedstawiciel Polskiej Chmury – związku polskich data center – pragnę zwrócić na nie uwagę. Uważamy bowiem, że tylko solidne fundamenty, zgodne z polską i europejską literą prawa, mogą dawać organizacjom przestrzeń na podążaniem za trendami. 


Jurysdykcja i suwerenność danych

W istniejącym od ponad 8 lat związku Polska Chmura zebrały się we wspólnym głosie polskie centra danych, które od lat wspierają cyfrową transformację kraju i budują świadomość wokół suwerenności danych. Nasze organizacje specjalizują się w dostarczaniu bezpiecznych i nowoczesnych rozwiązań, które nie tylko niczym nie ustępują ofercie globalnych dostawców, a dodatkowo wyróżniają się atrakcyjną ceną, elastycznością dostosowywania do konkretnych projektów biznesowych oraz partnerskim podejściem na każdym etapie współpracy.

W kontekście rosnącej globalizacji i powszechnej dostępności usług chmurowych, chcemy zwrócić szczególną uwagę na problematykę związaną z jurysdykcją i suwerennością danych. Zgodnie z wieloma aktami prawnymi takimi jak,  art. 3 ustawy o ochronie danych osobowych z dnia 10 maja 2018 r., przepisami  ustawy o krajowym systemie cyberbezpieczeństwa z dnia 5 lipca 2018 r.,rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2019/881 z dnia 17 kwietnia 2019 r. w sprawie ENISA (Agencji Unii Europejskiej ds. Cyberbezpieczeństwa) oraz certyfikacji cyberbezpieczeństwa (tzw. Cybersecurity Act), dane obywateli Polski, zwłaszcza te przetwarzane w systemach kluczowych dla bezpieczeństwa państwa, powinny być przetwarzane w sposób gwarantujący ich ochronę i zgodność z krajowym oraz unijnym prawem. Warto wiedzieć, że transfer i przechowywanie danych poza granicami kraju, szczególnie poza jurysdykcją Unii Europejskiej, stanowi poważne zagrożenie dla bezpieczeństwa oraz suwerenności danych, zwiększając ryzyko nieautoryzowanego dostępu, modyfikacji lub niewłaściwego wykorzystania danych.

Zaawansowane technologie i współpraca

Dzięki zastosowaniu nowoczesnych technologii oraz kompetencjom rodzimych specjalistów, polskie centra danych efektywnie zarządzają ogromnymi wolumenami danych, zapewniając jednocześnie najwyższy poziom bezpieczeństwa. Doskonałym przykład stanowią superkomputery, którymi dysponują należące do Polskiej Chmury Wrocławskie Centrum Sieciowo-Superkomputerowe (WCSS) oraz Akademickie Centrum Komputerowe Cyfronet AGH w Krakowie. WCSS operuje superkomputerem „Bem”, natomiast Cyfronet zarządza jednym z najszybszych superkomputerów w Polsce – „Prometheus”, który znajduje się w czołówce listy TOP500 najszybszych superkomputerów na świecie.

Te zaawansowane jednostki obliczeniowe stanowią kręgosłup technologiczny nie tylko dla projektów badawczych, ale także dla zaawansowanych rozwiązań komercyjnych. Polskie centra danych systematycznie inwestują w rozwój technologii, m.in. w zakresie sztucznej inteligencji (AI), co pozwala na tworzenie nowoczesnych, złożonych rozwiązań spełniających wymagania zarówno lokalnego, jak i globalnego rynku. Innowacje te są integralnym elementem strategii rozwoju polskich centrów danych, co pozwala na ciągłe podnoszenie jakości świadczonych usług.

Firmy zrzeszone w Polskiej Chmurze znajdują się w różnych częściach kraju. Charakteryzują się gotowością wzajemnej współpracy i oferowanie rozwiązań, które wykraczają poza możliwości jednego centrum danych. Oznacza to ogromny potencjał i gotowość do działania przy najtrudniejszych i największych projektach. O tej gotowości świadczą prowadzone przez związek projekty wspólne, m.in. PCH-X, czyli pierwsza sieć internetowa pomiędzy centrami danych w Polsce. Celem projektu jest zwiększenie bezpieczeństwa komunikacji i suwerenności danych. Projekt wymiany ruchu internetowego PCH-X połączył siecią firmy należące do Polskiej Chmury 

Chmura „Made in Poland” i standardy bezpieczeństwa

Polskie centra danych są w pełni zgodne ze standardami takimi jak: NIS2, DORA, ISO 27001, ISO 27017, ISO 22301, ISO 9001, ISO 20000-1, NORM PN EN 1047-2, EN 50600, AQAP 2110, ANSI/TIA-942. Certyfikaty te potwierdzają, że spełniają one najwyższe normy w zakresie bezpieczeństwa informacji, ciągłości działania oraz zarządzania jakością. Oznacza to, że zarówno administracja rządowa, jak i firmy mogą z pełnym zaufaniem korzystać z usług polskich dostawców, mając pewność, że ich dane są przetwarzane zgodnie z najwyższymi standardami bezpieczeństwa oraz pod nadzorem europejskiej jurysdykcji.

Warto również pamiętać, że współpraca z polskimi centrami danych przekłada się na dodatkowe korzyści w wymiarze makroekonomicznym, takie jak tworzenie lokalnych miejsc pracy oraz wspieranie gospodarki poprzez odprowadzanie podatków do krajowego budżetu. 

W dobie powszechnej dostępności oraz walki zagranicznych podmiotów o polski rynek, warto pamiętać, że polskie centra danych oferują zaawansowane technologicznie rozwiązania, zgodne z europejskimi i międzynarodowymi standardami bezpieczeństwa. Jako przedstawiciele tego sektora, podkreślamy, że bezpieczeństwo danych oraz poszanowanie jurysdykcji powinny być priorytetem każdej firmy działającej w branży IT. Niezależnie od trendów, dane polskich obywateli powinny być przetwarzane w sposób bezpieczny, zgodny z obowiązującymi przepisami, przy wykorzystaniu najnowocześniejszych technologii. Jeśli dodatkowo wybór polskiego dostawcy wspiera polską gospodarkę oraz rynek pracy to jest to sytuacja win-win dla każdej ze stron.