Francja postawiła sprawę jasno: dane wrażliwe pozostają w kraju. Czy Polska może podjąć równie zdecydowane działania? A może właściwe pytanie brzmi: czy możemy sobie pozwolić na dalsze zwlekanie?

„Dane to nowa ropa naftowa” – to zdanie, powtarzane przez lata przez wizjonerów technologii, przestało być futurystyczną metaforą. Stało się twardą rzeczywistością biznesową. Jak każda cenna ropa, dane wymagają ochrony – najlepiej własnych rafinerii, własnych rurociągów, własnej kontroli nad całym łańcuchem wartości.

Tymczasem Polska, kraj dumny ze swoich informatyków, którzy w Dolinie Krzemowej tworzą przełomowe rozwiązania AI, obserwuje, jak nasze narodowe „złoto cyfrowe” płynie szerokim strumieniem do serwerowni w Irlandii, Niemczech czy Stanach Zjednoczonych. Zadajemy sobie pytanie, które Francja postawiła – i odpowiedziała na nie – już dekadę temu: czy możemy sobie na to pozwolić?

Francuski precedens, którego nie da się zignorować

Francja nie czekała na globalne incydenty bezpieczeństwa ani polityczne ultimatum. Kilkanaście lat temu, wyprzedzając europejskie trendy regulacyjne, podjęła decyzję, która wówczas wydawała się radykalna: wrażliwe dane, szczególnie medyczne, pozostają na terytorium kraju. Nie w chmurze „gdzieś w Europie”. Nie u zaufanego partnera z NATO. W kraju.

To była decyzja strategiczna: uznano, że dane obywateli, zwłaszcza te najbardziej osobiste, stanowią element suwerenności państwowej. Kontrola nad infrastrukturą krytyczną to nie opcja, lecz konieczność.

Co istotne, Francja nie uznała, że technologie amerykańskie są złe. Nie zablokowała Microsoftu czy Google. Po prostu postawiła warunek: jeśli chcecie działać na naszym rynku z wrażliwymi danymi, musicie grać według naszych zasad. A te są proste: dane zostają tutaj, pod naszą jurysdykcją i kontrolą.

Polska: spóźnieni, ale (miejmy nadzieję) nie za późno

Spójrzmy prawdzie w oczy – Polska jest spóźniona. O ile? Trudno powiedzieć, ale gdy francuska służba zdrowia od lat operuje na bezpiecznej, lokalnej infrastrukturze, polskie instytucje dopiero zaczynają dyskutować o tym, czy w ogóle mamy problem.

A mamy – i to poważny.

Przykład: sprawozdania finansowe polskiej spółki publicznej trafiają na serwery w Irlandii. Firma podlega polskiemu prawu, odpowiada przed polskimi regulatorami, ale jej najbardziej wrażliwe informacje „żyją” pod jurysdykcją innego państwa. Absurd? Niestety, codzienność.

To tylko wierzchołek góry lodowej. Gdy stosunkowo niedawno VMware – narzędzie, na którym opiera się znaczna część polskiej infrastruktury IT – podniosło ceny licencji dziesięciokrotnie, branża zrozumiała coś, co powinna pojąć znacznie wcześniej: uzależnienie od zagranicznych Big Techów to nie strategia, to pętla na szyi. To pętla, którą ktoś inny może zacisnąć w dowolnym momencie – niekoniecznie złośliwie, wystarczy zmiana modelu biznesowego, fuzja czy polityki korporacyjnej. Albo, jak pokazały ostatnie lata, zmiana polityki rządu po drugiej stronie Atlantyku.

Mentalność: największa bariera (niestety) wewnętrzna

Technologię mamy. Ludzi – najlepszych w Europie. Firmy – sprawdzone, działające na najwyższym poziomie. Co więc stoi na drodze do polskiej suwerenności cyfrowej?

Paradoksalnie: my sami.

Polski rynek IT zmaga się z problemem, którego nie da się rozwiązać żadnym algorytmem – problemem wzajemnego szacunku. Gdy polska firma przedstawia rozwiązanie, pierwsze pytanie brzmi: „Czy to jest tak dobre jak to amerykańskie?”. Gdy amerykańska firma prezentuje rozwiązanie, pytania nie ma – jest akceptacja.

Ta asymetria prowadzi do absurdów. Polski integrator realizuje projekt dla polskiej instytucji, wykorzystując polskie know-how, polskich inżynierów i infrastrukturę. Ale fakturę wystawia zagraniczna korporacja, która de facto tylko „przykłada swoją pieczęć”. Bo wtedy projekt jest „wiarygodny”.

Dochodzi do tego syndrom „wiecznego testowania”. Każdy nowy rząd, każda nowa ekipa, każde nowe ministerstwo chce zaczynać od zera. Dyskusje, konferencje, raporty, analizy, white papers – i znowu dyskusje. Tymczasem czas ucieka. I pieniądze uciekają – miliardy złotych na licencje, które mogłyby budować polskie rozwiązania, zasilają budżety zagranicznych korporacji.

„Przecież to tylko dane” – największe nieporozumienie dekady

Największym błędem w myśleniu o suwerenności danych jest traktowanie ich jak zwykłego towaru. „No dobrze, dane są w Irlandii, ale przecież możemy je w każdej chwili ściągnąć. Co może pójść nie tak?”

Wszystko.

Dane to nie statyczne pliki na dysku, lecz strumienie, algorytmy i powiązania. To infrastruktura, która je przetwarza, analizuje, interpretuje. To ludzie, którzy mają do nich dostęp. To jurysdykcja, która określa, kto i kiedy może po nie sięgnąć.

Każda umowa z amerykańską korporacją technologiczną zawiera zapisy, które w razie potrzeby dają rządowi USA prawo dostępu do danych – legalnie, formalnie, zgodnie z ich prawem. Nawet jeśli dane są przechowywane w Europie, amerykańskie firmy mogą być zobowiązane do ich udostępnienia na żądanie władz USA (Cloud Act). Czy ktoś z tego skorzysta? Może tak, może nie. Ale samo istnienie takiej możliwości powinno budzić niepokój każdego, kto odpowiada za bezpieczeństwo krytycznej infrastruktury.

W erze sztucznej inteligencji dane to nie tylko informacja. To zdolność do przewidywania, modelowania, wpływania. Kto kontroluje dane, kontroluje przyszłość. I nie mówimy tu o science fiction – mówimy o algorytmach, które już dziś przewidują zachowania konsumentów, optymalizują łańcuchy dostaw, diagnozują choroby czy oceniają zdolność kredytową.

Polska chmura: sen czy realny scenariusz?

Czy Polska potrafi zbudować własną chmurę państwową? Technologicznie – bez wątpienia. Ekonomicznie – jeśli przestaniemy wydawać miliardy na licencje zagraniczne i zaczniemy inwestować w rozwój lokalny, również tak.

Problem leży gdzie indziej: w koordynacji, decyzyjności i długofalowej strategii.

Wyobraźmy sobie scenariusz: kilka największych polskich firm IT – sprawdzonych, z wieloletnim doświadczeniem, z własnymi data center na najwyższym poziomie – siada do stołu z przedstawicielami administracji państwowej. Cel? Zbudowanie rozproszonej sieci infrastruktury, która zapewni bezpieczeństwo, redundancję i niezależność.

Nie jedna gigantyczna serwerownia za dwa miliardy złotych (którą i tak musiałby obsługiwać któryś z Big Techów), lecz sieć mniejszych, rozproszonych obiektów, zarządzanych przez polskie firmy, pod polską jurysdykcją i z polskimi standardami bezpieczeństwa.

Utopia? W wielu krajach to już rzeczywistość. Estonia – kraj mniejszy od jednego polskiego województwa – zbudowała cyfrową infrastrukturę, którą podziwiają globalne mocarstwa. Austria wycofuje Microsoft z instytucji publicznych. Dania rozwija własne rozwiązania edukacyjne.

Dlaczego Polska miałaby nie móc?