Żyjemy w epoce, w której cyberataki na państwową infrastrukturę, kampanie dezinformacyjne czy masowe wyłudzenia danych są codziennością. Cyfrowe granice państw wymagają dziś ochrony równie mocno co te fizyczne. Odpowiedzią polskiego rządu na to wyzwanie jest projekt budowy ultranowoczesnego Centrum Cyberbezpieczeństwa NASK (CCN) zlokalizowanego na warszawskiej Pradze Północ. Inwestycja ta to doskonałe studium przypadku pokazujące, jak skomplikowanym procesem jest budowanie technologicznej niezależności państwa i z jakimi wyzwaniami proceduralnymi mierzy się sektor publiczny przy tworzeniu kluczowej infrastruktury.
Czym jest i jakie zadania pełni CCN
Centrum Cyberbezpieczeństwa NASK zostało zaprojektowane jako polska tarcza w cyberprzestrzeni. Misją tego ośrodka jest monitorowanie i zwalczanie zagrożeń w sieci, począwszy od dezinformacji i prób siania propagandy, przez ataki hakerskie na infrastrukturę krytyczną, aż po codzienne oszustwa finansowe dotykające zwykłych obywateli.
Zamiast rozproszonych działań postawiono na potężny efekt synergii. W jednym miejscu zgromadzono zaawansowane laboratoria i centra dowodzenia, w tym między innymi:
- Krajowe Centrum Operacyjne Cyberbezpieczeństwa
- Laboratorium Bezpieczeństwa AI, które rozwija narzędzia sztucznej inteligencji do automatycznego wykrywania incydentów
- Krajowe Centrum Odzyskiwania Danych
- Pierwsze w Polsce laboratorium fuzzingu i badania złośliwego oprogramowania
Wartość projektu współfinansowanego ze środków unijnych (program Fundusze Europejskie na Rozwój Cyfrowy) to ponad trzysta milionów złotych. Jednym z głównych filarów ideologicznych tego przedsięwzięcia jest stworzenie chmury usługowej i obliczeniowej, która ma uniezależnić państwo od zagranicznych dostawców i zapewnić Polsce tak zwaną cyfrową suwerenność. Jak pokazały jednak wydarzenia z okresu powstawania inwestycji, realizacja tej idei w praktyce rynkowej rodzi ogromne wyzwania.
Pułapki zamówień publicznych w branży IT
Droga do stworzenia CCN nie była pozbawiona przeszkód, a najciekawsze lekcje płyną ze sposobu, w jaki realizowano przetargi na kluczowe elementy inwestycji. Historie te są doskonałym przykładem problemów, z jakimi boryka się administracja publiczna przy zakupach skomplikowanych technologii.
Błąd w procedurze architektonicznej Pierwsze potknięcie dotyczyło wyboru samej koncepcji budynku. Instytut NASK ogłosił standardowy przetarg na opracowanie dokumentacji projektowej dla warszawskiego ośrodka. Pomimo wyłonienia wykonawcy po kilku tygodniach zamawiający musiał unieważnić postępowanie. Powodem był błąd formalny związany z niedopełnieniem obowiązku przeprowadzenia konkursu architektonicznego, którego wymaga w takich sytuacjach ustawa Prawo zamówień publicznych. Choć Krajowa Izba Odwoławcza ostatecznie podważyła decyzję o unieważnieniu, całe zamieszanie ściągnęło na instytut zawiadomienia do prokuratury i wezwania do składania wyjaśnień przed instytucjami antykorupcyjnymi. Sytuacja ta pokazuje, jak kluczowe przy tak strategicznych projektach jest perfekcyjne przygotowanie trybu postępowania od strony prawnej.
Spór o cyfrową suwerenność i rynkowe giganty Znacznie poważniejszym i ciekawszym edukacyjnie problemem okazał się przetarg na dostawę usług chmurowych dla CCN. Zamawiający określił swoje potrzeby, wskazując bezpośrednio w dokumentacji nazwy konkretnych amerykańskich rozwiązań technologicznych. Dopuszczał co prawda zaoferowanie produktów równoważnych, ale jednocześnie nakładał na potencjalnych konkurentów gigantyczne koszty i skrajnie krótkie terminy ewentualnej migracji systemów, co w praktyce uniemożliwiało skuteczne złożenie oferty przez polskie firmy chmurowe.
Sytuacja ta wywołała ogromny protest krajowego rynku IT skupionego wokół inicjatywy Polska Chmura. Zwracano uwagę na fundamentalną sprzeczność celów. Skoro projekt CCN jest finansowany ze środków unijnych i ma budować niezależność cyfrową Polski, to uzależnianie go od największych zagranicznych korporacji przeczy tej idei. Zjawisko to, nazywane w branży pozorną równoważnością, jest powszechnym problemem w zamówieniach publicznych. Zamawiający podświadomie faworyzują znane, globalne marki, wykluczając innowacyjne, lokalne przedsiębiorstwa.
W tym przypadku nacisk branży odniósł skutek, a przetarg został unieważniony w celu przygotowania nowych, bardziej otwartych i konkurencyjnych warunków.
Lekcje na przyszłość
Historia tworzenia Centrum Cyberbezpieczeństwa NASK jest dowodem na to, że budowa odporności państwa w sieci to nie tylko kwestia nowoczesnych algorytmów i sztucznej inteligencji. Równie ważna jest umiejętność przeprowadzania złożonych inwestycji publicznych.
Z tej lekcji płyną trzy główne wnioski:
- Prawdziwa suwerenność wymaga otwarcia na lokalny rynek. Chcąc budować własne zasoby cyfrowe, państwo musi w większym stopniu angażować krajowych przedsiębiorców, rezygnując z wygodnego, ale ryzykownego uzależniania się od globalnych monopolistów.
- Transparentność eliminuje chaos. Przejrzyste procedury przetargowe i rzetelne przygotowanie merytoryczne dokumentacji chronią inwestycje przed opóźnieniami, sporami przed Krajową Izbą Odwoławczą oraz bezpodstawnymi zawiadomieniami organów ścigania.
- Cyberbezpieczeństwo to zadanie wspólne. Zarówno potężne instytucje badawcze, jak i obywatele muszą stale współpracować. Nawet najlepiej wyposażone centrum nas nie ochroni, jeśli nie będziemy sami zachowywać ostrożności w sieci i zgłaszać podejrzanych incydentów odpowiednim służbom.
Budowa CCN to istotny krok naprzód dla bezpieczeństwa Polaków. To także niezwykle cenne doświadczenie, które powinno pomóc w lepszym planowaniu i realizacji kolejnych wielkich inwestycji technologicznych w sektorze publicznym.
Kamil Boruta – radca prawny, Hubert Zapolski
