W tej branży chińskie komponenty mogą pogrzebać nawet najlepszą technologię

• Polskie firmy mają technologie, które mogą zainteresować wojsko, ale w obszarze dual-use sama innowacyjność nie wystarczy. Kluczowe są bezpieczeństwo łańcucha dostaw, kontrola nad kodem i komponentami oraz zrozumienie wymagań regulacyjnych.
• Eksperci podczas CYBERSEC EXPO & FORUM w Katowicach podkreślali, że armia nie kupuje wyłącznie produktu, lecz także pewność jego pochodzenia, powtarzalność i odporność na kryzysy.
• Dla wzmocnienia cyberbezpieczeństwa w technologiach podwójnego zastosowania potrzebna jest też akceptacja „kultury porażki”, czyli faktu, że nie wszystko udaje się za pierwszym razem.
• Ważne jest stworzenie środowiska współpracy wojska, biznesu i nauki. Tak jest w przypadku projektu FORT Kraków.

Problemy wielu polskich firm w obszarze dual-use wynikają często nie z braku technologii, ale z braku świadomości regulacyjnej i organizacyjnej. Mamy naprawdę dobre firmy, ciekawe start-upy i ludzi świetnie nastawionych do rozwijania nowych rozwiązań. Problem zaczyna się wtedy, gdy próbują wejść z takim produktem do wojska, nie wiedząc, jakie wymagania się z tym wiążą.

- Firma przychodzi do MON z dobrym rozwiązaniem, a potem padają podstawowe pytania: gdzie powstaje produkt, kto go rozwija, czy deweloperzy pracują w firmie, czy za granicą, jakiej są narodowości, kto ma dostęp do danych i kodów źródłowych. I nagle okazuje się, że na tych pozornie prostych kwestiach zaczynają się poważne problemy - zwrócił uwagę gen. bryg. rez. Włodzimierz Nowak, ekspert w dziedzinie cyberbezpieczeństwa, podczas panelu „Cyberbezpieczeństwo a technologie podwójnego zastosowania: jak wzmocnić polski ekosystem?” na CYBERSEC EXPO & FORUM w Katowicach.

Podobnie jest z komponentami. Technologia może działać świetnie, ale jeśli kamera albo system optyczny pochodzi z Chin, a firma nie potrafi jasno wskazać pochodzenia elementów, kontroli nad kodem i dostępu do danych, to dla wojska staje się to ryzykiem. W tym obszarze wszystko musi być uporządkowane i udokumentowane.

- Dlatego potrzebny byłby praktyczny poradnik dla firm dual-use. Taki, który pozwoliłby przedsiębiorcy przejść całą ścieżkę wcześniej: zrozumieć, na co zwrócić uwagę, gdzie są najczęstsze pułapki i jak przygotować firmę, zanim trafi z produktem do wojska. Bo wojsko nie kupuje wyłącznie produktu. Wojsko kupuje pewność produkcji, jej powtarzalność, jakość oraz bezpieczeństwo - dodał.

Dual-use na wojnie hybrydowej. Suwerenność technologiczna nie oznacza izolacji

Zdaniem Wojciecha Góreckiego, eksperta dual-use z Centrum Cyberbezpieczeństwa Akademii Górniczo-Hutniczej w Krakowie, trzeba założyć, że rozwiązanie dual-use, którego opracowania podejmuje się firma, może być znane potencjalnemu przeciwnikowi. To powinien być punkt wyjścia do projektowania. Nigdy nie ma bowiem pełnej pewności, że biblioteki, komponenty, sprzęt czy gotowe elementy, które wykorzystujemy w naszym systemie, są w stu procentach bezpieczne. Nie zawsze wiadomo też, czy cały łańcuch dostaw został właściwie zabezpieczony i czy cała infrastruktura wokół rozwiązania spełnia wymagania szeroko rozumianego cyberbezpieczeństwa.

- Przyjęcie do wiadomości, że wcześniej czy później nasz system padnie, to jedna z podstawowych zasad bezpieczeństwa. System może zostać zaatakowany, może zostać zdegradowany, może działać mniej idealnie, niż zakładaliśmy. Kluczowe jest jednak to, aby nawet w takiej sytuacji nadal pozostawał użyteczny, kontrolowalny i przede wszystkim bezpieczny dla użytkownika. Dlatego security by design nie jest dodatkiem, sprawą, o której myśli się na końcu prac. To fundament odpowiedzialnego tworzenia rozwiązań w obszarze dual-use - stwierdził, dodając, że dziś granica między produktem cywilnym a wojskowym jest bardzo płynna. Autonomiczne kosiarki mogą dbać o porządek na trawniku, ale też mapować teren na potrzeby wojska.

Dlatego tak ważne jest to, skąd importuje się gotowe produkty, ale też komponenty, tym bardziej że wielu z nich w Polsce nie wytwarza na skalę przemysłową, przede wszystkim chipów. Potrzebna jest kontrola, ale też posiadanie zaufanego dostawcy.

- W dzisiejszym świecie suwerenność technologiczna nie zawsze oznacza pełną kontrolę nad każdym elementem. Są produkty, których sami nie wytworzymy i których nie będziemy w stanie w pełni kontrolować. Dlatego suwerenność musi opierać się także na zaufaniu, dywersyfikacji i modelu multi-vendor (sposób działania firmy, w którym nie opiera się ona na jednym dostawcy technologii, usług lub produktów, tylko korzysta z kilku dostawców równolegle - przyp. red.). Nie chodzi o to, żeby kontrolować wszystko, bo w wielu technologiach jest to nierealne. Chodzi o to, żeby w razie przerwania łańcucha dostaw, na przykład z powodu kryzysu czy powodzi na Tajwanie, mieć alternatywne źródła. Wtedy możemy nadal produkować, działać i utrzymać ciągłość kluczowych procesów - powiedział Mariusz Kujawski, prezes ComCERT z Grupy Asseco.

Zdaniem Adama Dzwonkowskiego, Defense & Intelligence Technology Lead w Microsoft, mówiąc o cyberbezpieczeństwie, trzeba jasno powiedzieć, że Polsce nie mamy już czasu pokoju. Co do tego, czy mamy czas wojny, można dyskutować, ale na pewno funkcjonujemy w warunkach bardzo bliskich wojennym.

- Jestem zwolennikiem podejścia, że jeśli coś możemy zrobić w Polsce, powinniśmy to robić. Nie możemy jednak przesadzać, bo suwerenność nie oznacza izolacji. Suwerenność to nie autarkia. Zwycięstwa odnosi się w sojuszach. Dziś sojusze to nie tylko relacje między państwami, lecz także współpraca z sektorem prywatnym, w tym z dużymi korporacjami technologicznymi i innymi podmiotami posiadającymi kluczowe kompetencje - ocenił.

Z perspektywy zarządzania ryzykiem jest to szczególnie ważne, bo wojsko pozostaje naszą ostatnią linią bezpieczeństwa. To ryzyko musi być więc zarządzane jak najlepiej. Dlatego kupujemy F-35, Abramsy i inne systemy, a jednocześnie rozwijamy własne zdolności tam, gdzie jest to możliwe.

Wspólne środowisko dla wojska, biznesu i nauki. Powstaje ekosystem dual-use

Dla wzmocnienia cyberbezpieczeństwa w technologiach podwójnego zastosowania potrzebna jest też akceptacja „kultury porażki”, czyli pogodzenie się z faktem, że nie każdy projekt przynosi zapowiadane rezultaty, czasami przychodzą one później. Świat to potrafi, a w Polsce nadal po pierwszym nieudanym projekcie skreśla się podmiot, który się go podjął i nie daje mu szansy na drugie podejście.

Zdaniem przedstawicieli biznesu i nauki biorących udział w panelu na CYBERSEC EXPO & FORUM, potrzebna jest też odwaga wojska w artykułowaniu swoich potrzeb. Musi ono wiedzieć, czego chce.

- To nie jest tak, że wojsko nie wie, czego chce. W zakresie technologii, które wykorzystuje od lat, dokładnie wie, czego oczekuje. Natomiast rozwiązania z obszaru cyberbezpieczeństwa, sztucznej inteligencji czy technologii dronowych są stosunkowo młode z punktu widzenia wdrażania ich do sprzętu wojskowego. Tu wojsko nie ma doświadczeń z przeszłości, które pozwalałyby jednoznacznie wskazać oczekiwania, dlatego szuka kierunków rozwoju - powiedział płk Jan Kelner, dziekan Wydziału Elektroniki Wojskowej Akademii Technicznej.

Ważne jest stworzenie środowiska współpracy wojska, biznesu i nauki. Tak jest w przypadku projektu FORT Kraków. To ośrodek innowacji obronnych i technologii podwójnego zastosowania, tworzony przez Akademię Górniczo-Hutniczą oraz Krakowski Park Technologiczny. Działa on w sieci DIANA, czyli natowskiego programu Defence Innovation Accelerator for the North Atlantic.

- Uczelnie cywilne i korporacje mają ciekawe pomysły, ale scenariusze użycia, specyfika działania i rzeczywiste potrzeby armii wymagają udziału osób, które miały kontakt z wojskiem. Dlatego tak ważne jest tworzenie konsorcjów mieszanych, aby zastosowanie technologii nie było wyimaginowane, lecz wynikało z realnych potrzeb sił zbrojnych - podkreślił.

Współpraca sektora cywilnego z wojskiem wymaga więc nie tylko finansowania i programów wsparcia, ale przede wszystkim stałych kanałów komunikacji. Dopiero połączenie kompetencji technologicznych firm, wiedzy naukowej oraz doświadczenia wojskowego pozwala tworzyć rozwiązania, które mają szansę przejść od pomysłu do praktycznego zastosowania w systemie bezpieczeństwa państwa.

* * *

Debata pt. „Cyberbezpieczeństwo a technologie podwójnego zastosowania: jak wzmocnić polski ekosystem?” odbyła się na CYBERSEC EXPO & FORUM w Katowicach 16 czerwca. Prowadził ją Piotr Myszor, dziennikarz WNP.

Zobacz pełny zapis wideo: