Polska Chmura

Autor: polskachmura

Dyskusja: Polska w suwerennej technologicznie Europie

Posted on by polskachmura

W dyskusji pt. „Polska w suwerennej technologicznie Europie” zorganizowanej 15 kwietnia przez Politykę Insight, z ramienia Polskiej Chmury udział wzięli:

📍 Marcin Lebiecki – Wiceprezes Zarządu Asseco Cloud
📍 Marek Magryś – p.o. Dyrektora CYFRONET AGH.

Marcin Lebiecki, Asseco Cloud


Tematem debaty było rozumienie suwerenności cyfrowej oraz praktyczne aspekty dążenia do niej w konkretnych obszarach, wśród których znalazła się infrastruktura chmurowa, dane oraz AI.

Marek Magryś, CYFRONET

W spotkaniu w formule zamkniętej (Chatham House) udział wzięli przedstawiciele Ministerstwa Cyfryzacji, Ministerstwa Rozwoju i Technologii oraz Kancelarii Prezesa Rady Ministrów, a także przedstawiciele biznesu, organizacji eksperckich i pozarządowych, w tym związek pracodawców Polska Chmura.

Dziękujemy za zaproszenie do dyskusji redakcji Polityka Insight oraz partnerowi spotkania europosłowi Michałowi Kobosko.

Współpraca z Ministerstwem Cyfryzacji

Posted on by polskachmura

W piątek 28 marca odbyło się spotkanie wicepremiera i ministra cyfryzacji Krzysztofa Gawkowskiego oraz wiceministra cyfryzacji Pawła Olszewskiego z przedstawicielami Polskiej Chmury. Cieszymy się z rozpoczętego w ten sposób dialogu z Ministerstwem i mamy nadzieję, że będzie to pierwszy krok w kierunku wzmocnienia suwerenności cyfrowej Polski i rozwoju krajowych technologii chmurowych.

Podczas spotkania omówione zostały kluczowe kwestie związane z suwerennością cyfrową oraz wykorzystaniem publicznych chmur obliczeniowych w administracji. Przewodniczący Rady Polskiej Chmury Wiesław Wilk na ręce ministrów przekazał postulaty Polskiej Chmury dotyczące suwerenności prawnej, terytorialnej oraz funkcjonalnej, a także apel o:

 ● wprowadzenie regulacji wymuszających przechowywanie strategicznych danych na terenie Polski, np. poprzez wprowadzenie niezbędnych certyfikacji jakie musi posiadać centrum przetwarzania danych na wzór francuskiego SecNumCloud, nadawanego przez tamtejszą ANSSI (Krajową Agencję ds. Bezpieczeństwa Informatycznego),

● zmianę zapisów SCCO, tak by wspierały suwerenność cyfrową kraju, 

● rewizję Prawa Zamówień Publicznych oraz zapewnienie równego dostępu do zamówień publicznych dla krajowych dostawców chmury,

● ograniczenie wpływu zagranicznych regulacji na polskie dane,

● ograniczenie możliwości lobbingowych zagranicznych gigantów technologicznych w tematach dotyczących suwerenności cyfrowej i bezpieczeństwa danych,

● wprowadzenie podatku cyfrowego dla największych graczy zagranicznych,

● zmniejszenie kosztów energii dla profesjonalnych ośrodków przetwarzania danych obsługujących administrację rządową i samorządową oraz krajowe instytucje i organy.  

Zostały już zaplanowane kolejne rozmowy. Zobowiązujemy się do informowania o następnych spotkaniach i ich efektach. Wspólnie pracujemy na rzecz bezpiecznej, innowacyjnej i suwerennej polskiej chmury.

Wśród uczestników znaleźli się reprezentanci firm i instytucji: Polska Chmura, COIG S.A., POLCOM, Cyfronet, Park Naukowo-Technologiczny w Opolu, Wrocławskie Centrum Sieciowo-Superkomputerowe, NETIA, Comarch, Beyond, PCSS, PFR oraz Cloudferro.

Polska Chmura na Forum Data Center

Posted on by polskachmura

Tegoroczna edycja Forum Data Center poświęcona była kluczowym zagadnieniom związanym z zarządzaniem energią elektryczną i cieplną w centrach danych. Forum, będące przestrzenią do wymiany wiedzy, doświadczeń i branżowych innowacji, odbyło się 3 marca w Warszawie.

Jednym prelegentów z ramienia Polskiej Chmury był Damian Nowaczyk, Zastępca Dyrektora Działu Data Center ds. Programowania i Automatyki w Polcom, który podzielił się swoimi doświadczeniami i wiedzą na temat automatyzacji procesów zarządzania infrastrukturą Data Center.

Poniżej informacja prasowa podsumowująca Forum Data Center.

Centra danych kluczowe w polskiej transformacji energetycznej

Energia cieplna wytwarzana przez centra danych może być istotna w dywersyfikacji polskiego ciepłownictwa – uważają eksperci i przedstawiciele świata biznesu biorący udział w III Forum Data Center, którego głównym tematem była energia. Podkreślali, że przy planowaniu i realizacji inwestycji data center potrzebna jest współpraca z samorządami, spółkami ciepłowniczymi oraz strategiczne planowanie rozwoju branży na szczeblu centralnym. 

Rynek centrów danych to obecnie jeden z najszybciej rozwijających się obszarów technologicznych na świecie w związku z cyfryzacją gospodarek, wykorzystaniu mocy obliczeniowej przez modele AI oraz przenoszeniu danych do chmury. Oprócz przechowywania danych i wykonywania obliczeń serwerownie produkują ciepło odpadowe, którym można zasilać lokalne sieci ciepłownicze. 

Uczestnicy Forum podkreślali, że obecnie główną przeszkodą w rozwoju branży data center w Polsce są jedne najwyższych w Europie cen energii. Odpowiedzią na to wyzwanie – według ekspertów – powinien być m.in. szybki rozwój sieci przesyłowych oraz mocy wytwórczych – najlepiej zeroemisyjnych i dysponowanych – energetyki jądrowej, w tym małych reaktorów jądrowych, zintegrowanych z przyszłymi data center oraz elektrowni biogazowych. 

Udział w Forum wzięli przedstawiciele firm sektora data center oraz instytucji polskiego rynku energii, m.in. Polskich Sieci Elektroenergetycznych, komunalnych i prywatnych elektrociepłowni, samorządowcy oraz analitycy rynku data center. 

Zdaniem Piotr Łady, Dyrektor ds. Zarządzania Projektami firmy Hillwood na przyspieszenie budowy nowych centrów danych w Polsce może mieć wpływ rząd, dzięki tworzeniu miejsca i środowiska dla rozwoju usług chmurowych. – Ze względów bezpieczeństwa jak najwięcej danych polskich obywateli powinno być przetwarzanych w Polsce, optymalnie z wykorzystaniem krajowego oprogramowania i platform softwarowych. Wtedy pojawi się więcej planów budowy data center – podkreślał. W jego opinii Polska i Warszawa powinny stać się marką data center i miejscem pierwszego wyboru lokalizacji biznesu w tej części Europy. – Południe Warszawy powinno być promowane jako Hub Data Center w Polsce i w regionie. Nowe inwestycje potrzebują połączeń światłowodowych i dostępności energii elektrycznej. Rozsądna polityka planowania rozwoju powinna uwzględniać już istniejące uwarunkowania i wspierać dalsze inwestycje poprzez rządową strategię dla takiego hubu – podkreślał. 

Damian Nowaczyk, Zastępca Dyrektora Departamentu Centrum Danych ds. Programowania i Automatyzacji firmy Polcom mówił z kolei o znaczeniu zastosowania Sztucznej Inteligencji do monitoringu, analizy i zarządzania wykorzystaniem energii w centrach danych. – Wykorzystujemy technologię do podejmowania odpowiednich decyzji związanych z optymalizacją wykorzystywania energii. Idziemy w kierunku Inteligent Management System – to zbiór narzędzi, które pomagają nam zarządzać zużyciem energii, monitorować je i analizować – podkreślał. Wskazywał także, że przyszłością branży jest specjalizacja firm i optymalizacja procesów z wykorzystaniem zautomatyzowanych systemów analitycznych. 

III edycję Forum Data Center zorganizowały: Forum Prawo dla Rozwoju, Instytutu Spraw Cyfrowych, Szkoła Główna Handlowa i Instytut Transformacji. Patronat merytoryczny nad spotkaniem objęło Forum Energii. Partnerami wydarzania były firma Hillwood (partner główny) oraz Polcom i Polska Chmura. 

– Ważna jest współpraca podmiotów sektora data center, aby pokazać rosnące znaczenie rozwoju tej branży dla polskiej gospodarki, ale także by jej głos był lepiej słyszalny w kontaktach z decydentami – podkreślała Kamila Pendyk, prezeska Instytutu Spraw Cyfrowych.  – Ponad 150 aktywnych i zaangażowanych uczestników trzeciej edycji Forum daje nadzieję na rosnącą dojrzałość firm do zapewnienia adekwatnego miejsca krajowej branży centrów danych w polityce cyfryzacji państwa.

W Polsce działa obecnie 112 data center o łącznej mocy 200 MW, ale tylko 65 z nich zajmuje ponad 200 m². Polska należy do grona rynków potencjalnego wzrostu, określanych jako Tier II. W kolejnych dwóch latach nastąpi dynamiczny przyrost mocy w Polsce wraz z inwestycjami Microsoft, Atman, Data4 i Krajowego Centrum Przetwarzania Danych. 

Stanowisko Polskiej Chmury dot. SCCO

Posted on by polskachmura

Podsumowanie stanowiska Polskiej Chmury wobec projektu Standardów Cyberbezpieczeństwa Chmur Obliczeniowych (SCCO)

W odpowiedzi na zaproszenie Ministerstwa Cyfryzacji do uczestnictwa w konsultacjach projektu Standardów Cyberbezpieczeństwa Chmur Obliczeniowych (SCCO) Polska Chmura przedstawiła swoje uwagi. Naszym priorytetem jest zapewnienie suwerenności cyfrowej Polski. W naszej ocenie dokument wymaga szeregu zmian, które zapewnią suwerenność cyfrową państwa oraz uwzględnią interesy polskich przedsiębiorców. 

Najważniejsze postulaty:

  1. Suwerenność danych – dane o kluczowym znaczeniu dla bezpieczeństwa publicznego, dane wrażliwe oraz tajne (z kategorii SCCO2, SCCO3 i SCCO4) powinny być przechowywane wyłącznie w krajowych centrach danych. Umożliwi to ochronę przed ingerencją zagranicznych podmiotów i zabezpieczy integralność państwowych systemów informatycznych. Proponowane brzmienie SCCO umożliwi przekazywanie danych o kluczowym znaczeniu dla kraju poza jego jurysdykcję i nie zapewnia odpowiednich mechanizmów ochrony przed wpływem zagranicznych regulacji (np. Patriot Act, FISA) na dane przechowywane przez globalnych dostawców chmury. Istnieje więc ryzyko dostępu do danych przez służby wywiadowcze państw trzecich w infrastrukturę podmiotów operujących na lokalnych rynkach bądź podmiotów kapitałowo powiązanych z przedsiębiorstwami związanych z tymi rynkami. Działania te polegać mogą choćby na zlecaniu instalowania oprogramowania szpiegującego. Przyjmowanie, że kraje te, pomimo funkcjonowania z Rzecząpospolitą Polską w relacji uznanych na arenie międzynarodowej sojuszy nie będą podejmować się prowadzenia działań wywiadowczych z jednej strony uznane może być w kategoriach naiwności, z drugiej zaś, z uwagi na brak istniejących powszechnie narzędzi, niemożliwym stanie się uznanie takiego twierdzenia za falsyfikowalne – co samo w sobie stanowi asumpt do konieczności dokonania oszacowania ryzyka już na tym etapie prac nad SCCO. 

    Jednocześnie popieramy przetwarzanie mniej wrażliwych danych administracji publicznej (SCCO1) w centrach zagranicznych.
  1. Suwerenność prawna wobec podmiotów funkcjonujących na krajowym rynku – Umożliwienie administracji publicznej przekazywania danych kluczowych dla funkcjonowania kraju podmiotom prawa handlowego, na które wpływu nie posiada polski ustawodawca, może rodzić ryzyko dokonywania – zgodnych z lokalnym prawem – przejęć praw własności takich przedsiębiorców przez podmioty pośrednio lub bezpośrednio powiązane z państwami intensyfikującymi działalność wywiadowczą z uwagi na aktualne, dynamicznie zmieniające się uwarunkowania geopolityczne (np. Federacja Rosyjska, czy Chińska Republika Ludowa). Uniemożliwi to podjęcie przez polską władzę wykonawczą odpowiednich przeciwdziałań. 
  1. Suwerenność terytorialna: jurysdykcja i kontrola nad danymi – przetwarzanie krytycznych danych poza terytorium RP może utrudnić nadzór i reakcję na incydenty cyberbezpieczeństwa. Polska Chmura postuluje centralizację danych w kraju, co pozwoli na skuteczniejszą kontrolę i szybsze interwencje w przypadku zagrożeń. Ponadto brak regulacji dotyczących kontroli nad podmiotami przechowującymi kluczowe dane może prowadzić do przejęcia strategicznych firm przez inwestorów powiązanych z państwami o potencjalnie wrogich intencjach.
  1. Suwerenność funkcjonalna – możliwość prowadzenia audytów – podkreślamy konieczność zapewnienia realnej możliwości przeprowadzania audytów fizycznych i systemowych w centrach danych obsługujących polską administrację publiczną. Globalni dostawcy często uniemożliwiają takie wizyty, co ogranicza skuteczność weryfikacji zabezpieczeń. 

W praktyce dostawcy zagraniczni często ograniczają audyty do zdalnych metod weryfikacji, co uniemożliwia przeprowadzenie pełnej, kompleksowej oceny stanu zabezpieczeń, w tym fizycznych aspektów infrastruktury. Brak możliwości fizycznego dostępu do obiektu utrudnia weryfikację stosowanych procedur bezpieczeństwa, takich jak zabezpieczenia fizyczne, kontrola dostępu do pomieszczeń, systemy monitoringu oraz procedury awaryjne. Polscy dostawcy usług chmurowych, działając na rodzimym rynku, umożliwiają klientom przeprowadzenie audytów, często z możliwością fizycznej wizyty w danej lokalizacji, co pozwala na szczegółowe zbadanie wszystkich aspektów bezpieczeństwa, w tym precyzyjną weryfikację stanu technicznego sprzętu i systemów zabezpieczających. Takie podejście gwarantuje pełną przejrzystość i umożliwia dokładną ocenę ryzyka, co jest niezbędne dla budowania zaufania między klientem a dostawcą usług. W sytuacji, gdy zagraniczni dostawcy stosują politykę ograniczania dostępu do swoich centrów danych, istnieje realne ryzyko, że audyty przeprowadzane na odległość nie oddadzą pełnego obrazu stanu zabezpieczeń, co w konsekwencji może prowadzić do nieprawidłowej oceny ryzyka oraz wdrożenia niewystarczających środków ochronnych.

W proponowanych zapisach SCCO brakuje zaleceń regulujących te kwestie. 

Za pośrednictwem złożonego w dniu 28 lutego 2025 roku stanowiska Polska Chmura postuluje wprowadzenie zmian do SCCO, które zagwarantują ochronę suwerenności cyfrowej Polski oraz wzmocnią konkurencyjność krajowego rynku dostawców chmury. Kluczowe jest zapewnienie, aby dane administracji publicznej o znaczeniu strategicznym były przechowywane i przetwarzane wyłącznie przez podmioty podlegające krajowej jurysdykcji i nadzorowi.

Pełna treść stanowiska poniżej:

Stanowisko Polskiej Chmury wobec projektu Standardów Cyberbezpieczeństwa Chmur Obliczeniowych, stanowiących akt wykonawczy do uchwały Rady Ministrów w sprawie inicjatywy „Wspólna Infrastruktura Informatyczna Państwa”

Na wstępie Polska Chmura zaznacza, że prace dot. przyjęcia nowego aktu wykonawczego do uchwały Rady Ministrów w sprawie Inicjatywy „Wspólna Infrastruktura Informatyczna Państwa” w treści ustalonej 23 października 2024 roku uchwałą nr 127 Rady Ministrów, zmieniającą uchwałę w sprawie Inicjatywy „Wspólna Infrastruktura Informatyczna Państwa” (dalej: „WIIP”), traktuje jako działania pozytywne, nakierowane na immanentną potrzebę zapewnienia należytego stopnia zabezpieczeń infrastruktury teleinformatycznej Rzeczypospolitej Polskiej. Niezależnie jednak od powyższego, proces ten, celem umożliwienia właściwego wdrażania rozwiązań prawnych wobec możliwych i uzasadnionych, aktualnych rozwiązań technologicznych powinien w dużo szerszym aspekcie opierać się na konsultacjach społecznych, z większym udziałem przedstawicieli krajowego biznesu. W obliczu tego faktu Polska Chmura pragnie wyrazić głębokie ubolewanie nad nieuwzględnieniem Polskiej Chmury przez Ministra Cyfryzacji w konsultacjach, których przedmiotem były prace nad ustanowieniem nowego, na dziś aktualnego brzmienia WIIP, tym bardziej że podmioty zrzeszone w tej organizacji stanowią najbardziej reprezentatywną grupę dla oceny przedmiotowej regulacji.

Opracowując niniejsze stanowisko, Polska Chmura kierowała się potrzebą zapewnienia najwyższego poziomu bezpieczeństwa infrastruktury informatycznej Rzeczypospolitej Polskiej, ochrony danych osobowych, przetwarzanych przez podmioty administracji publicznej i bezpieczeństwa świadczenia usługi z zakresu rozwiązań chmurowych, oferowanych przez dostawców tychże usług, przy jednoczesnym zapewnieniu, że przyjmowane rozwiązania prawne oddziaływać będą proaktywnie na krajowy rynek prywatny dostawców usług chmurowych, implikując – bądź wręcz stanowiąc asumpt – do dalszego rozwoju rodzimego rynku. W związku z powyższym, biorąc pod uwagę fundamentalne znaczenie omawianych zagadnień dla bezpieczeństwa państwa, zasad pewności prawa oraz konkurencyjności krajowego rynku IT, Polska Chmura przedstawia swoje stanowisko.

W pierwszej kolejności wskazać należy, że możliwość zapewnienia przez państwo inherentnego jego przeznaczenia w dochowywaniu w należytym bezpieczeństwie przedmiotów, bez zagrożenia na życie społeczne i gospodarcze własnych obywateli, wykonywane może być wyłącznie za pośrednictwem odgórnie opisanych reguł, które już u swej podstawy powinny być nakierowane w głównej mierze na realizowanie interesu państwa. Stąd też Polska Chmura za kluczowe uznaje właściwe i wystarczająco ostre opisanie standardów dla zachowania cyberbezpieczeństwa chmur obliczeniowych w oparciu o następujące uwagi do przedstawionego projektu. 

  1. Suwerenność danych przetwarzanych przez podmioty administracji publicznej

Polska Chmura przyjmuje za główny miernik nośnika potencjalnych niebezpieczeństw możliwość rozszerzenia jurysdykcyjnego oraz terytorialnego przetwarzania danych kluczowych dla znaczenia państwa.

SCCO definiuje 4 kategorie danych państwowych, z rozróżnieniem dostępności i istotności ich charakteru. Niechronione prawnie informacje publiczne stanowią dane kategoryzowane na poziomie SCCO1, dane istotne dla realizacji działań statutowych instytucji administracji publicznej, tajemnice przedsiębiorstw, dane mające charakter wrażliwych – prawnie chronionych informacji, czy w końcu podlegające ustawowej ochronie dane osobowe obywateli, w tym także dane referencyjnych krajowych rejestrów o kluczowym znaczeniu dla bezpieczeństwa publicznego zdefiniowane zostały na poziomie SCCO2. Kategorie SCCO3 oraz SCCO4 obejmują zaś dane chronione klauzulami dostępu – odpowiednio informacje zastrzeżone, dla pierwszej i informacje niejawne, tajne i ściśle tajne dla drugiej.

Polska Chmura, optując za optymalizowaniem kosztów funkcjonowania administracji publicznej, które możliwe jest dzięki rozszerzeniu konkurencyjności rynku usług chmurowych, całkowicie pozytywnie odnosi się do możliwości przetwarzania danych w ośrodkach prowadzonych przez podmioty zagraniczne, w tym w ośrodkach zlokalizowanych poza granicami kraju, z zastrzeżeniem jednak, że będzie to miało miejsce wobec danych o najniższej istotności dla państwa, tj. danych skategoryzowanych na poziomie SCCO1. Jakakolwiek kompromitacja tak prowadzonej bazy danych nie będzie stanowić efektora zagrażającego funkcjonowaniu kraju.

Całkowicie odmienne stanowisko należy jednak przyjąć dla danych objętych kategoriami SCCO2, SCCO3 oraz SCCO4. Z uwagi na fakt, swoją drogą właściwego zdefiniowania w projekcie SCCO, konsekwencji kompromitacji danych ujętych w wyższych kategoriach, przez które rozumie się możliwość nieuprawnionego ujawnienia informacji, nieautoryzowaną modyfikację lub zniszczenie danych o silnych lub katastrofalnych wpływach na operacje organizacyjne, zasoby lub osoby fizyczne, w ocenie Polskiej Chmury interesem państwa jest przyjęcie restrykcyjnych reguł wyboru podmiotów, które dane te będą przechowywać lub przetwarzać.

  1. Suwerenność jurysdykcyjna danych w kontekście międzynarodowym

    Umożliwienie przetwarzania danych skategoryzowanych na poziomie SCCO2 oraz SCCO3 w centrach przetwarzania alokowanych poza terytorium Rzeczypospolitej Polskiej, pomimo faktu, że centra te znajdować się będą na terenie Unii Europejskiej, czy też – po spełnieniu warunków – na terenie Europejskiego Obszaru Gospodarczego, uznać należy za działanie skrajnie nieodpowiedzialne, które bezpośrednio wpływać może na ryzyko utraty integralności powierzanych danych. Ustawodawcy krajów sojuszniczych (funkcjonujących w ramach Unii Europejskiej, bądź też Organizacji Traktatu Północnoatlantyckiego), celem zapewnienia bezpieczeństwa własnej podmiotowości, w tym umożliwienia interoperacyjności działań na arenie międzynarodowej, przyjęli szereg rozwiązań prawnych, które legalizują nieuprawniony odczyt danych. Za formę przykładu posłużyć mogą Stany Zjednoczone Ameryki, które na podstawie Foreign Intelligence Surveillance Act bądź też Patriot Actprzyznały kompetencje służbom wywiadowczym do dokonywania odczytów danych zlokalizowanych na serwerach zewnętrznych dostawców. Podobne rozwiązania znajdują uzasadnienie prawne choćby w Wielkiej Brytanii – na podstawie Investigatory Powers Act, Republice Irlandii – na podstawie Criminal Justice (Surveillance) Act, Francji – na podstawie Loi sur le renseignement. Innymi słowy, mając na względzie możliwie najwłaściwsze uświadomienie niebezpieczeństwa przedmiotu zachodniej legislatury dla suwerenności krajowych danych, za krytyczny czynnik ryzyka należy przyjąć możliwość zalegalizowanej ingerencji służb wywiadowczych państw trzecich w infrastrukturę podmiotów operujących na lokalnych rynkach bądź podmiotów kapitałowo powiązanych z przedsiębiorstwami z tymi rynkami związanymi, którym SCCO – w aktualnie proponowanej treści – umożliwi przekazywanie danych o kluczowym znaczeniu dla kraju. Działania te polegać mogą choćby na zlecaniu instalowania oprogramowania szpiegującego, czy też budowania u podstaw architektury serwerowej w sposób, który taki odczyt danych umożliwi.

    Przyjmowanie, że kraje te, pomimo funkcjonowania z Rzecząpospolitą Polską w relacji uznanych na arenie międzynarodowej sojuszy nie będą podejmować się prowadzenia działań wywiadowczych z jednej strony uznane może być w kategoriach naiwności, z drugiej zaś, z uwagi na brak istniejących powszechnie narzędzi, niemożliwym stanie się uznanie takiego twierdzenia za falsyfikowalne – co samo w sobie stanowi asumpt do konieczności dokonania oszacowania ryzyka już na tym etapie prac nad SCCO.

    2. Suwerenność prawna wobec podmiotów funkcjonujących na krajowym rynku

    Umożliwienie administracji publicznej przekazywania danych kluczowych dla funkcjonowania kraju podmiotom prawa handlowego, na które wpływu nie posiada polski ustawodawca, może rodzić ryzyko dokonywania – zgodnych z lokalnym prawem – przejęć praw własności takich przedsiębiorców przez podmioty pośrednio lub bezpośrednio powiązane z państwami intensyfikującymi działalność wywiadowczą z uwagi na aktualne, dynamicznie zmieniające się uwarunkowania geopolityczne (np. Federacja Rosyjska czy Chińska Republika Ludowa). Uniemożliwi to podjęcie przez polską władzę wykonawczą odpowiednich przeciwdziałań. Warto w tym miejscu wskazać, że wobec spółek działających na podstawie polskiego kodeksu handlowego, zgodnie z ustawą z 24 lipca 2015 roku o kontroli niektórych inwestycji, Rada Ministrów w drodze rozporządzenia uprawniona jest do objęcia podmiotów wymagających szczególnego zabezpieczenia z punktu widzenia bezpieczeństwa publicznego ograniczeniami w sprzedaży praw własności, tj. uprawniona jest ograniczyć możliwość zbywania udziałów lub akcji tych spółek. Działania takie podjęte zostały choćby wraz z końcem 2024 roku, gdy Rada Ministrów podjęła decyzję o zabezpieczeniu możliwości zbycia akcji spółek TVN S.A. oraz Cyfrowy Polsat S.A., uniemożliwiając przejęcie przez fundusz inwestycyjny, który w ocenie Prezesa Rady Ministrów mógł być powiązany z kapitałem zagrażającym bezpieczeństwu krajowemu. Zakres interwencji Rady Ministrów – jak i możliwość prowadzenia uprzedniego monitoringu – wobec spółek zagranicznych nie jest tożsamy, przez co podjęcie działań przynoszących podobny skutek możliwe byłoby jedynie w obliczu skutecznie przeprowadzonych działań dyplomatycznych, o ile te udałoby się zakończyć w oczekiwanym czasie i przy założeniu, że kraj, w którym siedzibę znajduje dany podmiot, dysponuje podobnymi zabezpieczeniami prawnymi z zakresu interwencjonizmu państwowego.

    3. Suwerenność terytorialna wobec infrastruktury przesyłowej

      Terytorialne rozszerzenie możliwości przetwarzania danych kluczowych dla funkcjonowania państwa, niesie dodatkowe ryzyka. Polska Chmura zwraca uwagę, że przechowywanie takich danych w centrach danych zlokalizowanych poza granicami kraju, np. w państwach Europejskiego Obszaru Gospodarczego, uniemożliwiać będzie prowadzenie scentralizowanego nadzoru oraz dokonywania szybkich interwencji w przypadku zidentyfikowania zagrożeń ze strony intencjonalnych działań zespołów hackerskich powoływanych przez kraje o wrogim nastawieniu do Rzeczypospolitej Polskiej. Lokalne zespoły CSIRT, dysponujące narzędziami analitycznymi, skutecznie – w czasie rzeczywistym – są w stanie monitorować ruch sieciowy i podejmować się odpowiedzi na wykryte anomalie. W przypadku przechowywania danych poza granicami kraju kontrola nad infrastrukturą IT ulegnie istotnemu rozproszeniu, co bezpośrednio przyczyni się do utrudnienia koordynacji działań pomiędzy różnymi jednostkami nadzorczymi, jak również wydłuży sam czas reakcji na incydenty. Rozproszenie odpowiedzialności administracyjnej przyczynić się zaś może do zintensyfikowania się sporów sądowych, czy też utrudni egzekwowanie krajowych norm ochrony danych (w tym ochrony danych osobowych). Z technicznego punktu widzenia, wdrożenie jednolitych systemów monitoringu oraz procedur reagowania na incydenty cybernetyczne jest kluczowe dla zapewniania ciągłości działania państwowej infrastruktury teleinformatycznej. Centralizacja przetwarzania danych na terenie Rzeczypospolitej Polskiej umożliwi wykorzystywanie spójnych systemów takich jak SIEM, IDS czy IPS, co przyczyni się do wzrostu efektywności prowadzonego monitoringu.

      4. Suwerenność funkcjonalna – audyty klienckie

      Równocześnie należy zwrócić uwagę na praktyki utrudniania przeprowadzania audytów klienckich przez głównych zagranicznych dostawców usług chmurowych, którzy w przeciwieństwie do swoich krajowych odpowiedników uniemożliwiają dokonywanie fizycznych wizyt w konkretnych lokalizacjach swoich centrów danych. W praktyce dostawcy zagraniczni często ograniczają audyty do zdalnych metod weryfikacji, co uniemożliwia przeprowadzenie pełnej, kompleksowej oceny stanu zabezpieczeń, w tym fizycznych aspektów infrastruktury. Brak możliwości fizycznego dostępu do obiektu utrudnia weryfikację stosowanych procedur bezpieczeństwa, takich jak zabezpieczenia fizyczne, kontrola dostępu do pomieszczeń, systemy monitoringu oraz procedury awaryjne. Polscy dostawcy usług chmurowych, działając na rodzimym rynku, umożliwiają klientom przeprowadzenie audytów, często z możliwością fizycznej wizyty w danej lokalizacji, co pozwala na szczegółowe zbadanie wszystkich aspektów bezpieczeństwa, w tym precyzyjnej weryfikacji stanu technicznego sprzętu i systemów zabezpieczających. Takie podejście gwarantuje pełną przejrzystość i umożliwia dokładną ocenę ryzyka, co jest niezbędne dla budowania zaufania między klientem a dostawcą usług. W sytuacji, gdy zagraniczni dostawcy stosują politykę ograniczania dostępu do swoich centrów danych, istnieje realne ryzyko, że audyty przeprowadzane na odległość nie oddadzą pełnego obrazu stanu zabezpieczeń, co w konsekwencji może prowadzić do nieprawidłowej oceny ryzyka oraz wdrożenia niewystarczających środków ochronnych. W efekcie praktyka ta nie tylko zwiększa ryzyko naruszenia danych, ale także wpływa negatywnie na konkurencyjność rynku, gdyż przedsiębiorstwa korzystające z usług takich dostawców mogą być zmuszone do ponoszenia dodatkowych kosztów związanych z koniecznością stosowania bardziej rygorystycznych zabezpieczeń, aby zrekompensować brak możliwości przeprowadzenia pełnego audytu. Polska Chmura do rozważenia pozostawia także fakt multiplikacji skali kosztów prowadzenia audytów klienckich, w przypadku umożliwienia powyższego przez podmioty zagraniczne. Dokonywanie audytów poza granicami kraju wiązać się będzie z koniecznością pokrywania kosztów delegacji zagranicznych, które odbywać będą audytorzy, względnie zaś wiązać się będzie z koniecznością prowadzenia ich przez zagraniczne firmy audytorskie. 

      W tym miejscu wartym zaznaczenia jest fakt, że uzasadnione ograniczenia przepływu usług, za który Polska Chmura przyjmuje powyższy abstrakt, nie stoją w sprzeczności z prawem unijnym, w szczególności z art. 56 Traktatu o Funkcjonowaniu Unii Europejskiej. Stanowić o tym może choćby orzecznictwo Trybunału Sprawiedliwości Unii Europejskiej, który niejednokrotnie podnosił, że Państwa Członkowskie Unii Europejskiej uprawnione są do ograniczenia prawa do przepływu usług, o ile znajduje to uzasadnienie względami porządku publicznego, czy bezpieczeństwa wewnętrznego (vide: wyrok Trybunału Sprawiedliwości Wspólnot Europejskich z 14 października 2004 rok o sygn. akt: C-36/02, czy też wyrok Trybunału Sprawiedliwości Unii Europejskiej z 19 grudnia 2012 roku o sygn. akt: C-577/10). Tym samym, zasadnym wydaje się kierowanie tymi kryteriami w trakcie ustanawiania ostatecznej wersji SCCO.

      II. Konieczność dookreślenia treści SCCO

      1. Nieostrość terminologiczna

        Przechodząc do kolejnych aspektów proponowanej treści SCCO, Polska Chmura dostrzega niedostateczny sposób określenia terminologii dotyczącej wpływów na bezpieczeństwo danych, przez co należy rozumieć brak jednoznacznych definicji dla kategorii takich jak wpływ ograniczony, silny i katastrofalny (bądź odwołań do definicji zawartych w innych aktach prawnych). Stwarza to realne ryzyko uznaniowości, które może skutkować arbitralnym stosowaniem norm ochrony danych oraz niejednolitym egzekwowaniem przepisów. Brak wyraźnie opisanych kryteriów oceny wpływu na bezpieczeństwo prowadzi do rozbieżności w interpretacji ryzyka oraz do niepewności prawnej i faktycznej, co w efekcie może negatywnie wpłynąć na bezpieczeństwo całego systemu ochrony danych osobowych oraz stabilności funkcjonowania polskiego rynku usług chmurowych. SCCO zawiera szereg wytycznych dotyczących wymagań bezpieczeństwa dla systemów chmurowych, niemniej 
        w części poświęconej określaniu atrybutów bezpieczeństwa dla systemów chmurowych oraz kategorii wpływu na bezpieczeństwo informacji brakuje precyzyjnych definicji, które umożliwiałyby jednoznaczną ocenę ryzyka. Brak sprecyzowania co dokładnie oznacza wpływ ograniczony, silny czy katastrofalny pozostawia duże pole interpretacji dla jednostek odpowiedzialnych za ocenę ryzyka. Takie rozwiązanie może skutkować tym, że same zdarzenia będą kwalifikowane w różny sposób w zależności od subiektywnej oceny konkretnego podmiotu, co zwiększa ryzyko dyskrecjonalnych decyzji i sprzyja braku jednolitości stosowanych norm bezpieczeństwa.

        W kontekście rozporządzenia, do którego odwołuje się SCCO, tj. rozporządzenia Rady Ministrów z 31 października 2018 roku w sprawie progów uznania incydentu za poważny, należy podkreślić, że choć dokument ten precyzyjnie definiuje, co stanowi incydent poważny, pozostawia on inne kategorie wpływu na bezpieczeństwo bez klarownych wytycznych. Taka sytuacja jest niebezpieczna, gdyż w efekcie całościowa ocena ryzyka opiera się na niepełnych kryteriach, co może skutkować błędną kwalifikacją zagrożeń i niewłaściwym doborem środków zaradczych. W praktyce oznacza to, że incydenty, które nie spełniają kryteriów incydentu poważnego, mogą być oceniane w sposób subiektywny, a ich wpływ na bezpieczeństwo może być różnie interpretowany.

        W obliczu powyższych przesłanek postulatem Polskiej Chmury jest wprowadzenie precyzyjnych, jednoznacznych definicji wpływu na bezpieczeństwo danych osobowych, aby zminimalizować ryzyko uznaniowości oraz zapewnić jednolite i przewidywalne stosowanie przepisów ochrony danych. Zachowując przy tym właściwą proporcję pomiędzy szczegółowością tych definicji a ich otwartym ujęciem, dzięki czemu możliwe będzie efektywne zarządzanie ryzykiem, przy jednoczesnym zapewnieniu stabilności i bezpieczeństwa systemu ochrony danych w Polsce.

        2. Niejednoznaczność normatyw stosowania klucza głównego

        Kolejnym aspektem, który w nienależycie lakoniczny sposób został opisany w SCCO jest kwestia zdefiniowania przypadków, w których dane mogą być odszyfrowywane za pomocą klucza głównego, będącego w posiadaniu dostawcy usług chmury obliczeniowej. Brak jednoznacznego uregulowania tej kwestii niesie za sobą istotne ryzyko uznaniowości na etapie zawierania umów pomiędzy dysponentem danych a podmiotem świadczącym usługi chmurowe.

        Przetwarzanie danych w środowiskach chmurowych stanowi nieodzowny element nowoczesnej gospodarki cyfrowej. Jednakże w obliczu rosnących zagrożeń cybernetycznych oraz coraz bardziej złożonych systemów informatycznych, konieczne jest stosowanie rygorystycznych norm dotyczących ochrony danych. SCCO, jako narzędzie zapewniające jednolite wymagania dla usług chmurowych, powinno zawierać precyzyjne postanowienia dotyczące sposobu zarządzania kluczami prywatnymi. W szczególności, dyspozycja dotyczące kluczy prywatnych, która brzmi, że klucze prywatne używane do szyfrowania powinny być znane tylko odbiorcy usług chmur obliczeniowych, powinna zostać uzupełniona o wytyczne określające, w jakich przypadkach możliwe jest użycie klucza głównego przez dostawcę usług chmurowych, a także, dla jakich kategorii danych – według klasyfikacji SCCO – takie rozwiązanie może być dopuszczalne.

        Polska Chmura, analizując ryzyko wynikające z zastosowania klucza głównego, wskazuje, że zastosowanie takiego mechanizmu powinno być ograniczone wyłącznie do danych o najniższym poziomie ochrony, czyli danych sklasyfikowanych jako SCCO1. Kategorie te obejmują informacje, które nie są prawnie chronione ani nie wymagają szczególnych zabezpieczeń, gdyż ich ujawnienie nie niesie ze sobą znaczących konsekwencji dla bezpieczeństwa państwa, czy prywatności obywateli. Przetwarzanie tych danych często dotyczy informacji publicznych, takich jak dane o charakterze informacyjnym, które mogą być udostępniane w sposób kontrolowany i nie narażają odbiorców na ryzyko utraty poufności. Dlatego też, w przypadku SCCO1, zastosowanie klucza głównego, przy zachowaniu ścisłej, kontrolowanej procedury uzgodnionej z odbiorcą usług, może być uzasadnione. Procedura ta powinna obejmować m.in. audyt użycia klucza, potwierdzenie zgodności procedur z obowiązującymi normami bezpieczeństwa oraz regularne testowanie systemów zabezpieczających.

        Dla danych skategoryzowanych na poziomie SCCO2 i wyższym, których charakter jest zdecydowanie bardziej wrażliwy, konieczne jest stosowanie wyraźnie opisanych dedykowanych procedur, a w skrajnych przypadkach wyłącznie prywatnych (indywidualnych) kluczy, które ograniczają ryzyko masowego ujawnienia informacji w przypadku kompromitacji jednego elementu systemu zabezpieczeń.

        III. Wnioski 

          Podsumowując przytoczone w niniejszym stanowisku argumenty, Polska Chmura w wyraźny sposób apeluje o ograniczenie terytorialnego i jurysdykcyjnego przetwarzania tych kategorii danych, których ujawnienie, modyfikacja lub usunięcie doprowadzić może do ograniczenia funkcjonalności krajowych systemów administracyjnych, a w najgorszym przypadku zaś do zagrożenia suwerenności kraju. Ponadto postulujemy dookreślenie treści SCCO, dzięki czemu możliwym będzie uznanie, że dokument ten w realny sposób stanowić będzie zbiór wytycznych, na których opierać się mają instytucje administracji publiczne w trakcie zawierania umów z zakresu świadczenia usług chmurowych. 

          Niezależnie od powyższego, głównym kryterium zmian nie powinna być wyłącznie chęć optymalizacji kosztów administracyjnych, a przede wszystkim zabezpieczenie suwerenności cybernetycznej Rzeczypospolitej Polskiej na kolejne lata.

          Polska AI rozwija się dzięki członkom Polskiej Chmury! 

          Posted on by polskachmura

          Z dumą i radością obserwujemy rozwój polskiej inteligencji z zaangażowaniem firm członkowskich Polskiej Chmury: Wrocławskiego Centrum Sieciowo-Superkomputerowego (Politechnika Wrocławska) i Akademickie Centrum Superkomputerowe CYFRONET AGH. Cieszymy się, że nasi partnerzy strategiczni realizują tak ambitny i ważny projekt.


          Projekt PLLuM, czyli rodzina modeli językowych stworzonych specjalnie dla języka polskiego, to wielki krok w stronę cyfrowej suwerenności i innowacji technologicznych w naszym kraju. Co napędza PLLuM? Polskie superkomputery!
          🔹 Politechnika Wrocławska i jej Wrocławskie Centrum Sieciowo-Superkomputerowe odegrało kluczową rolę w pierwszej fazie trenowania modelu.
          🔹 Teraz pałeczkę przejmuje superkomputer HELIOS w CYFRONET – kolejny członek naszej organizacji.

          To pokazuje, jak ważna jest współpraca między nauką, biznesem i administracją, aby Polska była liderem w nowoczesnych technologiach!

          Cieszymy się, że firmy z naszej organizacji – CYFRONET i WCSS – są sercem tego przełomowego projektu!

          Więcej informacji o superkomputerach na stronie: https://cc.eurohpc.pl/

          Polska Chmura w Money.pl o zacieśnianiu współpracy polskiego rządu z big techami

          Posted on by polskachmura

          Zapowiedzi ze strony rządu o pogłębionej współpracy z globalnymi gigantami technologicznymi, takimi jak Google, Amazon i Microsoft, budzą obawy o zbyt preferencyjne traktowanie zagranicznych podmiotów co może odbić się negatywnie na polskich przedsiębiorstwach – alarmuje stowarzyszenie Polska Chmura.

          Więcej na ten temat w artykule Money.pl autorstwa Jacka Losika: https://www.money.pl/gospodarka/rzad-zaciesnia-wspolprace-z-big-techami-polska-chmura-wskazuje-na-duzy-problem-7124856233331520a.html

          Stanowisko Polskiej Chmury odnośnie do cyfryzacji i inwestycji technologicznych podmiotów zagranicznych oraz wynikających z nich ryzyk związanych z bezpieczeństwem danych polskich obywateli oraz instytucji publicznych

          Posted on by polskachmura

          Zapowiedzi ze strony rządu  o pogłębionej współpracy z globalnymi gigantami technologicznymi, takimi jak Google, Amazon i Microsoft, budzą obawy o zbyt preferencyjne traktowanie zagranicznych podmiotów co może odbić się negatywnie na polskich przedsiębiorstwach. Co więcej, takie działania mogą prowadzić do utraty suwerenności danych oraz osłabienia krajowych przedsiębiorstw technologicznych, co może wpłynąć na bezpieczeństwo narodowe oraz podważyć niezawisłość i uzależnić gospodarczo nasz kraj. 

          Rozwój gospodarczy Polski powinien opierać się przede wszystkim na polskich przedsiębiorcach, którzy od lat inwestują w rozwój firm, za którymi idą miejsca pracy, podatki płacone lokalnie oraz działania na rzecz cyfrowej suwerenności kraju.

          Marginalizacja polskiego sektora technologicznego stwarza zagrożenia  związane z kontrolą i bezpieczeństwem danych – dane polskich obywateli, firm i instytucji, bez należytej staranności i analizy ryzyk coraz częściej przetwarzane są poza krajem oraz polską, a nawet europejską jurysdykcją, co stanowi realne zagrożenie dla bezpieczeństwa i rozwoju gospodarczego kraju. 

          Jako kluczowi reprezentanci branży technologicznej i eksperci z obszaru cloud computingu, telekomunikacji oraz przetwarzania danych, wyrażamy głębokie zaniepokojenie obecnym stanem rzeczy. W związku z tym apelujemy o pilne zwrócenie uwagi przez stronę rządową na znaczenie i rolę polskich przedsiębiorstw technologicznych w budowaniu polskiej gospodarki oraz związaną z tym rolę przechowywania danych na terenie kraju (pod polską jurysdykcją), w szczególności z uwagi na cztery główne aspekty: 

          1. Potencjał inwestycyjny polskich firm technologicznych – od lat słyszymy o miliardowych inwestycjach Big Techów w Polsce, lecz do tej pory ich realny wpływ na polską gospodarkę pozostaje niejasny. W 2025 roku inwestycje w Polsce mają wynieść 650 miliardów złotych dzięki środkom z KPO – to liczba, która brzmi imponująco, ale bez transparentnych szczegółów nie stanowi wiarygodnego dowodu na wsparcie krajowego biznesu. Należy zauważyć, że środki, które od lat są  inwestowane w rozwój usług, technologii i kompetencji przez polskie firmy technologiczne, w tym firmy reprezentujące Polską Chmurę, to realne wartości, jakie co roku wnosimy do budżetu państwa. 
          2. Miejsca pracy i podatki – polskie firmy technologiczne budują swój potencjał lokalnie i opłacają podatki do krajowego budżetu. Przykładem są ośrodki data center członków Polskiej Chmury. Są one zlokalizowane na terenie kraju, do ich budowy wykorzystano polski kapitał – trudno nie zauważyć, że oznaczają także wiele tysięcy miejsc pracy dla polskich inżynierów.
          3. Bezpieczeństwo i konieczność kontroli sprawozdawczej danych publicznych przetwarzanych poza granicami kraju  kluczową kwestią pozostaje również suwerenność danych. Pozwalając na przetwarzanie wrażliwych danych poza granicami kraju, narażamy się na utratę kontroli nad nimi i uzależniamy od technologii, które w każdej chwili mogą zostać nam ograniczone. Takie podejście jest krótkowzroczne i potencjalnie groźne z geopolitycznego punktu widzenia. Warto przypomnieć, że w innych krajach, takich jak Francja czy Niemcy, funkcjonują regulacje wspierające lokalnych dostawców usług chmurowych i chroniące suwerenność cyfrową. Polska powinna pójść tą samą drogą. Postulujemy więc, w obliczu licznych, poważnych cyberzagrożeń a także zwiększonego poziomu incydentów bezpieczeństwa, o wprowadzenie wymogu przechowywania danych wrażliwych polskiej administracji i obywateli na terenie kraju, dla zapewnienia ich bezpieczeństwa i suwerenności cyfrowej. Z uwagi na bezpieczeństwo, wzorem regulacji stosowanych we Francji, Niemczech czy Australii, wymóg taki powinien stać się obowiązkowy i znaleźć wyraz w dokumentach takich jak np. WIIP czy SCCO oraz w znowelizowanej Ustawie o Zamówieniach Publicznych.
          4. Ryzyka związane ze zjawiskiem uzależnienia administracji publicznej od rozwiązań jednego globalnego dostawcy usług w zakresie przetwarzania danych w chmurze, w centrach przetwarzania zlokalizowanych poza obszarem UE. Obecne działania rządu zdają się być sprzeczne z Prawem Zamówień Publicznych oraz zasadami wydatkowania środków z KPO. Promowanie jedynie globalnych dostawców bez zapewnienia równego dostępu dla krajowych firm stoi w sprzeczności z zasadami uczciwej konkurencji. Decyzje te powinny podlegać szczegółowej analizie, uwzględniając długoterminowe skutki dla polskiej gospodarki.

          W związku z powyższym apelujemy do rządu o podjęcie realnych działań na rzecz wsparcia polskiego sektora technologicznego i równego traktowania krajowych firm. Jesteśmy gotowi do dialogu i współpracy, aby wspólnie wypracować rozwiązania wspierające rozwój polskiej gospodarki, zapewniające suwerenność cyfrową i konkurencyjność rodzimych przedsiębiorstw.

          Wywiad dla Dziennik Gazeta Prawna: Infrastruktura informatyczna ma narodowość

          Posted on by polskachmura

          Wiesław Wilk, Przewodniczący Związku Polska Chmura udzielił wywiadu dla Dziennika Gazety Prawnej. Zachęcamy do lektury.

          Anna Wittenberg, DGP: Minister Gawkowski zapowiedział 2,8 mld zł z KPO na transformację cyfrową przedsiębiorstw, w tym zakup technologii chmurowych. Co to oznacza?

          Wiesław Wilk, Polska Chmura: Zapowiadane przez ministra cyfryzacji, wicepremiera Krzysztofa Gawkowskiego pożyczki na transformację dla firm mogą mieć bardzo pozytywne – z punktu widzenia rozwoju transformacji cyfrowej i konkurencyjności polskich przedsiębiorstw – efekty. Niestety, patrząc na wcześniejsze doświadczenia z podobnymi programami, udział lokalnych dostawców chmury, może być w tym niewielki. Pomimo faktu, że posiadają świetne kompetencje oraz gotowe, profesjonalne ośrodki przetwarzania danych na terytorium kraju. Przypuszczam, że większość tych środków trafi głównie do globalnych przedsiębiorstw oferujących tego typu usługi. Oczywiście, nie tylko z uwagi na reprezentowaną organizację, ale przede wszystkim wiele czynników – np. cyberbezpieczeństwo – uważam, że nie jest to najlepszy dla Polski kierunek. Warto tutaj wspomnieć choćby o Cloud Act i pewną możliwość, aby amerykański operator chmury znajdującej się w innym państwie udostępnił zgromadzone dane na przykład FBI. Z drugiej strony mamy na szczęście Europejską Radę Ochrony Danych, która zwraca uwagę na sprzeczność Cloud Act względem RODO. 

          Czyli co dokładnie kupią?

          Chmura obliczeniowa to model outsourcingu usług informatycznych. W ten sposób oddajemy pewne kompetencje związane z budowaniem stosu technologicznego firmom, które robią to po prostu sprawniej. W praktyce wykupienie usług chmurowych zdejmuje z barków działu IT w organizacjach zajmowanie się serwisem serwerów, dbaniem o ich chłodzenie, czy tworzeniem kopii zapasowych danych. To duże ułatwienie, zwłaszcza dla małych i średnich firm, bo w dobie niedoboru specjalistów IT, na budowanie własnych serwerowni i zatrudnienie administratorów sieci mogą pozwolić sobie tylko najwięksi – m.in. banki czy firmy telekomunikacyjne. 

          Problem polega na tym, że w Polsce rynek takich usług został zdominowany przez zaledwie kilka wielkich podmiotów, w tym: Microsoft, Google, Amazon czy Oracle. Wytworzyły one poprzez liczne działania marketingowe i lobbingowe przekonanie, że tylko najwięksi mają przewagę technologiczną i są w stanie dostarczyć rozwiązania. 

          A to nieprawda? 

          Zdecydowanie nie. W Polsce mamy wiele firm, które dostarczają usługi chmurowe na identycznym poziomie co globalni dostawcy. Jednocześnie posiadają krajowy kapitał, zatrudniają lokalnych specjalistów i płacą podatki w Polsce. Przegrywają one jednak wyścig marketingowy. 

          Czytałem kiedyś felieton Stanisława Lema, który na początku lat 2000 przeanalizował strategię promocyjną Microsoftu. Doszedł do wniosku, że opiera się ona na dwóch mitach. Pierwszy z nich: jeśli człowiek będzie używać komputera, zwiększy swoje możliwości. Drugi: Microsoft jest neutralnym, bezstronnym wsparciem w skalowaniu tych możliwości. Ta strategia nadal jest aktualna i to dla wszystkich z tych wielkich spółek. Tymczasem powtórzę – chmura obliczeniowa to nie jest jakaś fundamentalna zmiana w sposobie korzystania z komputera, tylko przeniesienie danych na wynajętą przestrzeń serwerową. I właśnie dlatego, poza oczywistymi korzyściami, warto mieć na uwadze pewne ryzyka jakie niesie za sobą przetwarzanie danych u zagranicznych dostawców – w szczególności tam, gdzie nie sięga już nasza jurysdykcja.  

          Co Pan ma na myśli? 

          Przez lata utrzymywano przekonanie, że chmura jest czymś wirtualnym, a dane są właściwie nigdzie. To mit, bo zawsze są przecież na jakimś fizycznym serwerze, który znajduje się w konkretnej lokalizacji. Ich właściciel powinien wiedzieć, gdzie dokładnie są one przechowywane i zdecydować, czy się na to godzi. Jesteśmy świadomi, że dla części przedsiębiorców – z uwagi na niezbyt wysoki poziom wrażliwości przetwarzanych danych – jest wszystko jedno, czy są one na wschodnim wybrzeżu Stanów Zjednoczonych, w Niemczech czy też w Chinach. Niemniej są kategorie informacji, co do których absolutnie nie powinniśmy się zgadzać, by przechowywano je poza naszą kontrolą oraz lokalną jurysdykcją. Ponad wszystko nie powinna się na to zgadzać administracja publiczna. Czas, żebyśmy zrozumieli, że podobnie jak kapitał, tak i infrastruktura informatyczna również ma narodowość. 

          Warto wspomnieć, że rośnie szeroko pojęta świadomość społeczna nt. bezpieczeństwa danych. Jak wynika z badania EY Future Consumer Index, aż 65% konsumentów planuje zwracać większą uwagę na sposób, w jaki konkretne firmy przechowują ich dane.  

          Niektóre globalne firmy budują data center w Polsce. 

          To krok w dobrą stronę, ponieważ kwestia lokalizacji danych powinna być bezdyskusyjna z punktu widzenia ich bezpieczeństwa. Powiem nawet przewrotnie moim zdaniem takie inwestycje są dobre dla całego ekosystemu. Ponieważ, jeśli gdzieś powstaje jeden taki obiekt, to bardzo szybko koło niego tworzone są kolejne. Takie zjawisko dotknęło kiedyś Irlandię, która nie była wówczas zagłębiem technologicznym. Z uwagi jednak na fakt, że do dochodzą do niej kable podmorskie, które pozwalają na utrzymywanie ruchu internetowego między Ameryką, Wielką Brytanią i Europą, stała się dobrą lokalizacją dla rozwoju data center. Kraj ten przyciągał też inwestorów ulgami podatkowymi i w ten sposób doprowadzono do sytuacji, że Irlandia została jednym z potentatów na rynku IT. Dlatego uważam, że to dobrze, że giganci chcą się u nas rozwijać. Natomiast to nie wystarczy – potrzebny jest także rozwój lokalnych przedsiębiorstw z tego sektora, żeby mogły stanowić naturalną przeciwwagę i dywersyfikować rynek. 

          Oczekuje Pan np. preferencyjnych warunków dla polskich firm w przetargach sektora publicznego? 

          Krajowe data center nie potrzebują żadnych preferencyjnych warunków. Wystarczy, że urzędy będą w równym stopniu traktować wszystkich dostawców usług. Dla przykładu: w jednym z przetargów organizowanych przez publiczną instytucję zapisano, że dane muszą być przechowywane w dwóch ośrodkach oddalonych od siebie o konkretną liczbę kilometrów. Był tylko jeden dostawca, który mógł wypełnić taki warunek. Jak w takiej sytuacji można mówić o uczciwej konkurencji? 

          Celem naszego związku jest pokazanie, że jako krajowi dostawcy usług chmurowych mamy kompletną ofertę usług, z której polskie firmy i administracja mogą skorzystać od zaraz. Nie musimy w tym celu budować nowych ośrodków data center, ani inwestować w dodatkowy sprzęt czy zwiększać kompetencji. Rynek polskich usług IT robi to nieustannie. Warto też zauważyć, że działalność części naszych członków częściowo była finansowana z publicznych pieniędzy. W związku mamy m.in. Wrocławskie Centrum Sieciowo Super-Komputerowe czy Akademickie Centrum Komputerowe Cyfronet AGH. To są przykładowe miejsca, w których znajduje się odpowiednia infrastruktura do przetwarzania danych, z której można byłoby lokalnie skorzystać.  

          Należy zaznaczyć, że polskie firmy najchętniej wybierają partnerów z centrami danych w Polsce. Odniosę się tu do z badania „Chmura i cyberbezpieczeństwo wśród średnich i dużych firm oraz w sektorze GovTech w Polsce 2022” przygotowanego przez firmę PMR. Centrum danych w Polsce preferuje 74 proc. badanych, a w kraju UE 62 proc.

          Rząd powinien budować data center? 

          Jak najbardziej. Z całą pewnością są systemy rządowe, które nie powinny być powierzane zewnętrznym firmom. Już dziś mamy data center w Radomiu. NASK ogłaszał też budowę Krajowego Centrum Przetwarzania Danych w Warszawie. 

          Na świecie obserwujemy coraz większą świadomość znaczenia suwerenności danych w kontekście usług chmurowych. Podam przykład: na uniwersytetach niemieckich nie można używać komunikatorów od Google, czy też Microsoftu. Wynika to z obawy przed przejęciem przez osoby nieuprawnione treści rozmów. U nas odpowiedzialność za wybór narzędzi spoczywa na dziale IT. Tymczasem takie decyzje powinien podejmować rektor. 

          Do rządu też należy określenie tego, jakie kategorie przetwarzanych danych są szczególnie wrażliwe. A przez to, gdzie te dane powinny się znajdować: w rządowym data center, w data center zlokalizowanym w Polsce, czy też poza krajową lub nawet europejską jurysdykcją. Dywersyfikacja w tym zakresie jest konieczna, podobnie jak określenie kategorii przetwarzanych danych. 

          Co można by zrobić, żeby środki z KPO przysłużyły się nie tylko gigantom, ale też polskim przedsiębiorcom chmurowym? 

          W interesie Polski byłoby dobrze, gdyby KPO zostało wykorzystane na cyfryzację przedsiębiorstw tak, aby również krajowe firmy chmurowe mogły poprawić swoją pozycję rynkową. Inspirację stanowić może rynek brytyjski, gdzie powstała idea chmury rządowej. Polega to na tym, że administracja publiczna dokonuje wstępnej preselekcji dostawców takich usług, sprawdza ich wiarygodność, pozycję, dane finansowe. Powstaje wówczas lista rekomendowanych dostawców, spośród których jednostka samorządu terytorialnego może wybrać dla siebie właściwego, który ma odpowiednie dla niej usługi. W Polsce mieliśmy próbę skopiowania tego rozwiązania, projekt nazywał się system Zapewniania Usług Chmurowych (ZUCh). Natomiast bez zmiany ustawy o zamówieniach publicznych wszystko okazało się nietrafione, bo i tak trzeba było robić przetargi na usługi. 

          Czy są jakieś nisze, w których polscy dostawcy mogą być konkurencyjni wobec cyfrowych gigantów?

          Świetne pytanie! Rzeczywiście jest tak, że prawdopodobnie w przypadku usług masowych, typu maile czy pakiety biurowe, nic nie pobije rozwiązań od wielkich firm. Oczywiście i tutaj mogę się mylić, ponieważ polskie start upy rozwijają się obecnie w tak niesamowitym tempie, że nie zdziwiłbym się, gdybym zobaczył i tutaj jakieś godne zastępstwo.  

          Moim zdaniem – na bazie rozmów z klientami, którzy są odbiorcami naszych usług – istnieje pewna konkretna nisza. Usługi polskich dostawców są często skrojone na miarę, pod konkretne zastosowanie. W ten sposób klient czy instytucja publiczna otrzymuje wówczas nie tylko infrastrukturę IT dopasowaną do potrzeb czy specyfikacji, ale także pomoc ze strony inżynierów w procesach takich jak migracja danych, wsparcie w języku polskim, serwis w Polsce oraz brak łańcucha pośredników czy podwykonawców. Sprawia to, że przy rozległych projektach, gdzie trudno od początku przyjąć jednolitą strategię migracji, krajowi dostawcy przodują nie tylko kompetencjami, ale także szybkim czasem reakcji i elastycznością. 

          Proszę mi powiedzieć, jak przekonać polskich przedsiębiorców do tego, żeby zwracali się do krajowych  dostawców i Polskiej Chmury?

          O przedsiębiorców się nie martwię. Proszę mi uwierzyć, że biznes dokładnie czuje te różnice i ryzyka, o których wspomniałem. Banki, firmy przemysłowe czy technologiczne mają dokładną wiedzę na temat usług, które jesteśmy w stanie świadczyć im w ramach Polskiej Chmury. Zdają sobie sprawę z tego, że obecnie – biorąc pod uwagę podejście multicloud – realizacja wszystkich potrzeb przez jednego dostawce usług chmurowych nie byłaby możliwa do zaadresowania. Nie uważam więc, że naszą misją jest przekonywanie przedsiębiorców. Co do strony instytucjonalnej to mam nadzieję, że zacznie przeważać podejście na rzecz rozwoju krajowych podmiotów, a przez to też wprost polskiej gospodarki. 

          Przewodniczący Polskiej Chmury na Forum Data Center

          Posted on by polskachmura

          Przewodniczący Polskiej Chmury Wiesław Wilk wziął udział w panelu dyskusyjnym „Nowe trendy w branży Data Center”, który otwierał konferencję Forum Data Center. W dyskusji, która odbyła się 8.10 w Warszawie, udział wzięli również: Paweł Oracz, dyrektor Działu Systemów Informatycznych w Narodowym Centrum Badań i Rozwoju, Jolanta Jaworska z IBM, oraz Poseł na Sejm RP Bartłomiej Pejo. Rozmowę moderowała Dagmara Krzesińska z Instytutu Spraw Cyfrowych.

          Wypowiedź Polskiej Chmury znalazła się również w raporcie „Mapa Trendów”, który miał premierę w dniu konferencji. Pełna treść stanowiska naszej organizacji, przygotowana przez Wiesława Wilka, znajduje się poniżej.

          Chmura „made in Poland” – bezpieczeństwo, suwerenność i innowacje 


          W dobie dynamicznych zmian w gospodarce, monitorowanie trendów i innowacji technologicznych powinno stanowić kluczowy element strategii każdej organizacji. Niemniej, niezależnie od trendów, warto mieć na uwadze uniwersalne i ponadczasowe wartości, które powinny stanowić fundament działalności każdej firmy, która bierze odpowiedzialność za przetwarzanie danych, takie jak ich bezpieczeństwo i suwerenność. Jako przedstawiciel Polskiej Chmury – związku polskich data center – pragnę zwrócić na nie uwagę. Uważamy bowiem, że tylko solidne fundamenty, zgodne z polską i europejską literą prawa, mogą dawać organizacjom przestrzeń na podążaniem za trendami. 


          Jurysdykcja i suwerenność danych

          W istniejącym od ponad 8 lat związku Polska Chmura zebrały się we wspólnym głosie polskie centra danych, które od lat wspierają cyfrową transformację kraju i budują świadomość wokół suwerenności danych. Nasze organizacje specjalizują się w dostarczaniu bezpiecznych i nowoczesnych rozwiązań, które nie tylko niczym nie ustępują ofercie globalnych dostawców, a dodatkowo wyróżniają się atrakcyjną ceną, elastycznością dostosowywania do konkretnych projektów biznesowych oraz partnerskim podejściem na każdym etapie współpracy.

          W kontekście rosnącej globalizacji i powszechnej dostępności usług chmurowych, chcemy zwrócić szczególną uwagę na problematykę związaną z jurysdykcją i suwerennością danych. Zgodnie z wieloma aktami prawnymi takimi jak,  art. 3 ustawy o ochronie danych osobowych z dnia 10 maja 2018 r., przepisami  ustawy o krajowym systemie cyberbezpieczeństwa z dnia 5 lipca 2018 r.,rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2019/881 z dnia 17 kwietnia 2019 r. w sprawie ENISA (Agencji Unii Europejskiej ds. Cyberbezpieczeństwa) oraz certyfikacji cyberbezpieczeństwa (tzw. Cybersecurity Act), dane obywateli Polski, zwłaszcza te przetwarzane w systemach kluczowych dla bezpieczeństwa państwa, powinny być przetwarzane w sposób gwarantujący ich ochronę i zgodność z krajowym oraz unijnym prawem. Warto wiedzieć, że transfer i przechowywanie danych poza granicami kraju, szczególnie poza jurysdykcją Unii Europejskiej, stanowi poważne zagrożenie dla bezpieczeństwa oraz suwerenności danych, zwiększając ryzyko nieautoryzowanego dostępu, modyfikacji lub niewłaściwego wykorzystania danych.

          Zaawansowane technologie i współpraca

          Dzięki zastosowaniu nowoczesnych technologii oraz kompetencjom rodzimych specjalistów, polskie centra danych efektywnie zarządzają ogromnymi wolumenami danych, zapewniając jednocześnie najwyższy poziom bezpieczeństwa. Doskonałym przykład stanowią superkomputery, którymi dysponują należące do Polskiej Chmury Wrocławskie Centrum Sieciowo-Superkomputerowe (WCSS) oraz Akademickie Centrum Komputerowe Cyfronet AGH w Krakowie. WCSS operuje superkomputerem „Bem”, natomiast Cyfronet zarządza jednym z najszybszych superkomputerów w Polsce – „Prometheus”, który znajduje się w czołówce listy TOP500 najszybszych superkomputerów na świecie.

          Te zaawansowane jednostki obliczeniowe stanowią kręgosłup technologiczny nie tylko dla projektów badawczych, ale także dla zaawansowanych rozwiązań komercyjnych. Polskie centra danych systematycznie inwestują w rozwój technologii, m.in. w zakresie sztucznej inteligencji (AI), co pozwala na tworzenie nowoczesnych, złożonych rozwiązań spełniających wymagania zarówno lokalnego, jak i globalnego rynku. Innowacje te są integralnym elementem strategii rozwoju polskich centrów danych, co pozwala na ciągłe podnoszenie jakości świadczonych usług.

          Firmy zrzeszone w Polskiej Chmurze znajdują się w różnych częściach kraju. Charakteryzują się gotowością wzajemnej współpracy i oferowanie rozwiązań, które wykraczają poza możliwości jednego centrum danych. Oznacza to ogromny potencjał i gotowość do działania przy najtrudniejszych i największych projektach. O tej gotowości świadczą prowadzone przez związek projekty wspólne, m.in. PCH-X, czyli pierwsza sieć internetowa pomiędzy centrami danych w Polsce. Celem projektu jest zwiększenie bezpieczeństwa komunikacji i suwerenności danych. Projekt wymiany ruchu internetowego PCH-X połączył siecią firmy należące do Polskiej Chmury 

          Chmura „Made in Poland” i standardy bezpieczeństwa

          Polskie centra danych są w pełni zgodne ze standardami takimi jak: NIS2, DORA, ISO 27001, ISO 27017, ISO 22301, ISO 9001, ISO 20000-1, NORM PN EN 1047-2, EN 50600, AQAP 2110, ANSI/TIA-942. Certyfikaty te potwierdzają, że spełniają one najwyższe normy w zakresie bezpieczeństwa informacji, ciągłości działania oraz zarządzania jakością. Oznacza to, że zarówno administracja rządowa, jak i firmy mogą z pełnym zaufaniem korzystać z usług polskich dostawców, mając pewność, że ich dane są przetwarzane zgodnie z najwyższymi standardami bezpieczeństwa oraz pod nadzorem europejskiej jurysdykcji.

          Warto również pamiętać, że współpraca z polskimi centrami danych przekłada się na dodatkowe korzyści w wymiarze makroekonomicznym, takie jak tworzenie lokalnych miejsc pracy oraz wspieranie gospodarki poprzez odprowadzanie podatków do krajowego budżetu. 

          W dobie powszechnej dostępności oraz walki zagranicznych podmiotów o polski rynek, warto pamiętać, że polskie centra danych oferują zaawansowane technologicznie rozwiązania, zgodne z europejskimi i międzynarodowymi standardami bezpieczeństwa. Jako przedstawiciele tego sektora, podkreślamy, że bezpieczeństwo danych oraz poszanowanie jurysdykcji powinny być priorytetem każdej firmy działającej w branży IT. Niezależnie od trendów, dane polskich obywateli powinny być przetwarzane w sposób bezpieczny, zgodny z obowiązującymi przepisami, przy wykorzystaniu najnowocześniejszych technologii. Jeśli dodatkowo wybór polskiego dostawcy wspiera polską gospodarkę oraz rynek pracy to jest to sytuacja win-win dla każdej ze stron.

          Bezpłatne wsparcie polskich data center dla administracji rządoweji samorządowej z terenów dotkniętych powodzią

          Posted on by polskachmura

          Polskie data center, które posiadają skalowalną i bezpieczną infrastrukturę teleinformatyczną i zasoby chmury obliczeniowej, oferują wsparcie dla administracji rządowej i samorządowej z terenów dotkniętych powodzią. Dostawcy usług cloud computing zrzeszeni w Polskiej Chmurze oferują wsparcie i pomoc bezpłatnie. 

          Ministerstwo Cyfryzacji 16 września br. wydało komunikat Pełnomocnika Rządu ds. Cyberbezpieczeństwa  w sprawie zabezpieczenia infrastruktury teleinformatycznej administracji samorządowej na terenach zagrożonych powodzią. W komunikacie ministerstwo rekomenduje samorządom, których infrastruktura jest zagrożona zalaniem, m.in. wdrożenie planów awaryjnych, w tym ewakuację infrastruktury do lokalizacji zapasowych ze szczególnym wskazaniem wyboru zasobów chmurowych. 

          – Jako doświadczeni polscy dostawcy usług cloud computing posiadamy skalowalną i bezpieczną infrastrukturę teleinformatyczną i zasoby chmury obliczeniowej, które możemy udostępnić potrzebującym jednostkom administracji, które zostały dotknięte powodzią. W obecnej kryzysowej sytuacji oczywistym jest, że rządowe zasoby teleinformatyczne nie są wystarczające, aby zapewnić ciągłość działania wszystkim jednostkom. Zdajemy sobie sprawę z tego jak poważnym zagrożeniem dla bezpieczeństwa danych obywateli jest przerwanie ciągłości działania instytucji – mówi dr inż. Mateusz Tykiero, wiceprezes związku Polska Chmura.

          W obliczu trwającej powodzi zagrożona jest ciągłość działania instytucji i jednostek administracji, a także bezpieczeństwo infrastruktury teleinformatycznej i danych obywateli. W sytuacjach kryzysowych, takich jak powodzie, uszkodzenia infrastruktury fizycznej – serwerowni, systemów IT i sieci energetycznych – mogą doprowadzić do utraty danych, przerw w dostępie do systemów oraz uniemożliwić szybkie przywrócenie działania kluczowych usług administracyjnych. Aby tego uniknąć administracja rządowa oraz JST, czyli lokalne wspólnoty samorządowe, na co dzień odpowiadające za rejestry mieszkańców, gospodarkę odpadami, opiekę społeczną czy zarządzanie kryzysowe, muszą mieć pewność, że ich systemy informatyczne będą dostępne i bezpieczne nawet w obliczu katastrofy.

          – Dlatego też  centra danych zrzeszone w związku Polska Chmura oferują bezpłatne wsparcie dla JST z terenów zagrożonych powodzią. Zapewniamy pomoc w zakresie migracji danych oraz wykonywania kopii zapasowych i utrzymania ciągłości działania systemów. Nasze centra danych rozlokowane w bezpiecznych miejscach na terenie całego kraju, wyposażone w systemy redundancji energetycznej, zdalny dostęp oraz usługi backupu w chmurze, są gotowe wspierać JST w ochronie kluczowych zasobów danych i utrzymaniu ciągłości operacyjnej – dodaje Wiesław Wilk, przewodniczący związku Polska Chmura. 

          Członkowie Polskiej Chmury zgłaszają pełną gotowość wsparcia zarówno w postaci udostępniania niezbędnej infrastruktury IT w modelu chmurowym, pozwalającej na zachowanie ciągłości działania instytucji, jak i udzielenia konsultacji merytorycznych świadczonych przez kadrę wykwalifikowanych inżynierów. Bezpłatną pomoc można uzyskać kontaktując się pod adresem: pomoc_jst@polska-chmura.pl