W ostatnich tygodniach da się zaobserwować, iż w polskiej debacie publicznej nakładają się na siebie tylko pozornie dwa różne wątki. Jeden dotyczy amerykańskiego ostrzeżenia przed wykorzystaniem ekosystemów open-source jako wektorów do ataków w rękach Rosji, ale także Chin, czyli konkurencji Amerykanów i Europy. Z drugiej strony mamy raport Fundacji Instrat z publikacją CyberDefence24 wskazujące na głębokie uzależnienie się polskiej administracji od systemu Microsoftu w zamówieniach publicznych. Wspólnym mianownikiem dej dyskusji powinna być odporność państwa polskiego na ryzyka technologiczne, ponieważ bezkrytyczne zaufanie do open-source, ale także zamykanie się w bańce usług korporacyjnych, prowadzą do tego samego, czyli do utraty kontroli nad kluczowymi elementami infrastruktury cyfrowej, co postaram się poniżej wytłumaczyć.
Czy open source zaczyna przeszkadzać?
Amerykańska narracja dotycząca open source zmienia się na naszych oczach. Jeszcze kilka lat temu otwarty kod był synonimem transparentności i oszczędności, a choćby innowacyjności. Dziś na poziomie strategicznym ów open-source jest postrzegany jako element łańcucha dostaw systemu do zhackowania.
I tutaj najważniejsze nie jest to, czy kod jest jawny, czy zamknięty, ale iż oba podejścia wymagają utrzymania i aktualizowania. Dlaczego się o tym zapomina?
Wspominaliśmy o mObywatel. Jest to doskonały przykład, jak kod źródłowy może służyć obywatelom do budowania zaufania do państwa, do otwartego oprogramowania, do zgłaszania nieprawidłowości i ogólnej przejrzystości schematów. Oczywiście należy pominąć fatalną decyzję o „publikacji kodu” mObywatel, która w rzeczywistości nie miała miejsca – obywatele zostali wprowadzeni w błąd przez urzędników decyzyjnych.
Open Source. Oprogramowanie może składać się z dziesiątek, setek krytycznych komponentów (bibliotek, frameworków, protokołów, ich forków, licencji…), które są rozwijane przez niewielkie zespoły lub pojedynczych programistów. Są finansowane nieregularnie, często bez formalnych audytów, bardzo kosztownych. Jako przykład mamy incydent XZ Utils, który pokazał, iż prawdziwym zagrożeniem nie jest spektakularny i medialnie głośny atak (dobrze „sprzedający” się w mediach), ale zagarnianie przez państwo komponenty open-source do projektu rządowego i wojskowego, gdzie państwo nie raczyło dofinansować kodu lub przeprowadzić audytu bezpieczeństwa z publicznych środków.
A w Polsce monopol jednego ekosystemu...
Równolegle raport Instrat oraz analiza CyberDefence24 odsłaniają inny wymiar tego samego problemu, mianowicie państwo polskie uzależnia swoją administrację publiczną od jednego dostawcy technologii. Nie chodzi wyłącznie o fakt dominacji korporacji Microsoft, ale o sposób przeprowadzania przetargów, które oczywiście są zgodne z literą prawa, aczkolwiek sprzeczne z formą zamówień publicznych, ponieważ rozwiązania europejskie lub rozwiązania open source (albo jedno i drugie) po prostu przegrywają.
Co mówią komentarze ekspertów i praktyków?
Dyskusja w polskich internetach wnosi do tej debaty element jeszcze jeden element – zamykanie się na jedną architekturę. Jeden pakiet biurowy (MS Office) i makra. Jeden system do centralnego zarządzania użytkownikami i urządzeniami (Active Directory, Group Policy). Aplikacja administracji projektowana wyłącznie dla Windows. Finalnie choćby uczciwie przeprowadzony przetarg kończy się wyborem tego samego ekosystemu, ponieważ administracja nie kupuje pojedynczego produktu, ale zwykle „kompatybilność” technologiczną.
Albo open source, albo „bezpieczne, sprawdzone rozwiązania komercyjne”. Czy to dobra alternatywa?
Z punktu widzenia bezpieczeństwa państwa najważniejsze nie jest to, czy oprogramowanie jest otwarte czy zamknięte. Państwo (konkretni ludzie na stanowiskach) muszą zrozumieć technologiczne zależności, ograniczenia, możliwość rozbudowy.
Open source bez nadzoru może stać się wektorem do ataku. Tak samo zamknięte oprogramowanie bez konkurencji prowadzi do stagnacji i rosnących kosztów.
Jeżeli chodzi o nowe rozwiązania, które dopiero będą tworzone:
- Nowe systemy administracji powinny być projektowane jako aplikacje webowe lub kontenerowe, aby nie być zależne od jednego systemu operacyjnego.
- Kontrola łańcucha dostaw systemu powinna dotyczy zarówno open source, jak i rozwiązań komercyjnych, w tym obowiązkowe powinny być audyty i monitoring, co też wynika w tej chwili z przepisów dotyczących cyberbezpieczeństwa.
- Urzędnicy w ministerstwach powinni zrozumieć, iż ewentualna migracja w urzędach to projekt wieloletni a nie jednoroczny np. w kontekście coraz częstszej migracji administracji europejskiej do europejskiego rozwiązania NextCloud/Collabora zamiast Microsoft 365.
Podsumowując zarówno obecne amerykańskie ostrzeżenia dotyczące open source, jak i polska debata o zamówieniach usług i systemu Microsoftu, nasuwają wnioski, iż po pierwsze technologia używana przez państwo nie może opierać się na tzw. zaufaniu ani na przyzwyczajeniu, ale na dywersyfikacji, na kontroli i na kompetencjach ludzi, którzy mogą budować systemy odporne na większość ataków i na awarie. Nie ma znaczenia, czy kod jest otwarty, czy zamknięty, bo ślepe zawierzanie jednemu dostawcy nie jest odpowiednim drogowskazem.
