Na blogu poświęconym cyberbezpieczeństwu staram się nie poruszać tematów politycznych. Są jednak takie sytuacje, gdzie polityka ingeruje w nasze życie tak znacząco, że nie da się w oderwaniu od niej podejmować decyzji biznesowych. Osoby odpowiedzialne za analizę ryzyka i budowę planów ciągłości działania (BCP) wiedzą o tym doskonale. Będąc odpowiedzialnym za procesy biznesowe w dużej firmie (nie wspominając już o międzynarodowych korporacjach) pod uwagę bierze się wiele czynników, takich jak np.:
- zagrożenia geograficzne (np. trzęsienia ziemi, tsunami)
- zagrożenia klimatyczne (np. powodzie, tornada)
- nastroje społeczne (ryzyka strajków bądź zamieszek)
- sytuacja polityczna (zagrożenia atakiem terrorystycznym, zamachem stanu, nagłą zmianą władzy)
- łańcuch dostaw (zagrożenia związana z nagłym brakiem towarów lub podwykonawców, od których nasz biznes jest w 100% zależny)
Czynników tych jest oczywiście o wiele więcej. Jednak to ostatnie dwa z wymienionych powyżej stały się tematem gorącej dyskusji w obliczu zmieniającej się sytuacji politycznej w Stanach Zjednoczonych.
Zagrożone łańcuchy dostaw
Specjaliści od ciągłości biznesowej od jakiegoś czasu w swoich analizach wskazują na ryzyka związane ze stosowaniem technologii pochodzenia rosyjskiego bądź chińskiego. Wiele firm wymieniło w ostatnich latach swój park technologiczny aby uniknąć ryzyk związanych ze szpiegostwem gospodarczym, ale też uniezależnić się od producentów, którzy znajdują się pod kontrolą rządu Chin czy Rosji, a tym samym od negatywnych skutków decyzji politycznych.
Nikt chyba jednak w najśmielszych nawet analizach nie brał pod uwagę scenariusza, w którym największy sojusznik Europy – Stany Zjednoczone mogą nagle na scenie politycznej dokonać zwrotu o 180 stopni i odwrócić się plecami do Unii Europejskiej uznając ją za zagrożenie.
Oczywiście za wcześnie jest jeszcze na panikę, ale odpowiednio wcześnie na rozważania na temat „co by było gdyby…”. Gdyby Donald Trump potraktował Unię Europejską podobnie jak Kanadę i nałożył na nią np. 25% cła, a Unia odpowiedziałaby tym samym powodując wzrost cen u dostawców amerykańskich. Scenariusz mało prawdopodobny? Pewnie tak. Ale kto jeszcze kilka tygodni temu uznałby za prawdopodobne, że prezydent Stanów Zjednoczonych nazwie Ukrainę agresorem, a jej prezydenta dyktatorem? Albo rosyjskich oligarchów „miłymi ludźmi” i otworzy im drogę do uzyskania amerykańskiego obywatelstwa?
Bądź przygotowany
Niezależnie zatem od tego jak mało prawdopodobny wydaje nam się dany scenariusz, rolą procesów analizy ryzyka jest dostarczenie odpowiedzi na pytanie co by było gdyby się jednak zmaterializował. Expect unexpected (spodziewaj się nieoczekiwanego) to dewiza tych, którzy wolą być przygotowani zawczasu. Zastanówmy się zatem przez chwilę jak wygląda infrastruktura teleinformatyczna w typowej europejskiej firmie:
- Rozwiązania sieciowe – Cisco, Fortinet, Juniper, Dell, HP, Aruba, Ubiquity, PaloAlto,
- Serwery, desktopy, laptopy: HP, Dell, Apple
- Pamięci masowe: EMC, Dell, HP
- Wirtualizacja: VMware, HyperV (Microsoft), Oracle
- Cloud computing: AWS, Google, Microsoft
- Oprogramowanie i platformy SaaS: Microsoft, Google, Salesforce, Oracle, Slack, Asana, Jira
- Platformy społecznościowe i video: FB, Instagram, X, YouTube, Vimeo
- Inne: CloudFlare
Domyślacie się już pewnie, że 100% z wymienionych powyżej firm to firmy amerykańskie. Strzelam w ciemno, że przeciętna polska firma korzysta z usług i produktów co najmniej kilku powyższych producentów. A jest wysoce prawdopodobne, że w większych firmach jest to przynajmniej jeden dostawca amerykański w każdej kategorii.
Wzrost kosztów o zaledwie kilka procent spowodowałby zapewne nierentowność wielu przedsięwzięć biznesowych. Kilkanaście, czy nawet 25 procent, jak w przypadku Kanady i Meksyku to już chyba całkowity armagedon dla większości polskich i europejskich przedsiębiorstw.
Koszty to nie jedyny problem
Nawet odrzucając ten scenariusz jako praktycznie niemożliwy, pod uwagę wziąć należy jeszcze jedno zagrożenie. Według ostatnich doniesień administracja Donalda Trumpa zabroniła amerykańskim służbom jakichkolwiek działań w przestrzeni cyfrowej skierowanych przeciwko Rosji. Do tego z instytucji państwowych odpowiedzialnych za bezpieczeństwo narodowe usuwani są wieloletni pracownicy, a decyzję o tym podejmują dwudziestolatkowie z departamentu DOGE Elona Muska, dla których jedynym wyznacznikiem działania jest cięcie kosztów. W ten sposób pozbyto się m.in. pracowników odpowiedzialnych za nadzór nad arsenałem nuklearnym.
Być może to przypadek, a być może właśnie efekt powyższych działań, że do Gabinetu Owalnego na spotkanie Trump-Zełeński bez żadnego nadzoru i akredytacji wchodzi przedstawiciel rosyjskiej agencji informacyjnej TASS. Jednocześnie zabrakło tam miejsca dla światowych agencji informacyjnych, takich jak Reuters czy Associated Press.
Jakie z tego wszystkiego wynika zagrożenie? Otóż istnieje spore ryzyko, że najpilniej dotychczas strzeżone tajemnice gospodarcze, wywiadowcze i militarne Stanów Zjednoczonych poprzez niekompetencje i brak odpowiedniego nadzoru w łatwy sposób trafią w ręce Rosjan. Może to mieć katastrofalne skutki dla wszystkich sojuszników USA.
Ale pomijając aspekty polityczne, co jeśli Rosja przejmie np. dane dotyczące backdoorów lub zero day-ów obecnych w produktach amerykańskich dostawców? Od czasów afery Snowdena chyba nikt już nie ma wątpliwości, że takowe istnieją.
Co w takim razie powinniśmy zrobić?
Podejmowanie pochopnych decyzji pod wpływem chwili jest tak samo nieodpowiedzialne, jak całkowite ignorowanie tematu. Jak już wyżej pisałem, za wcześnie jeszcze na panikę. Wspomniane ryzyka w ostatnich dniach na pewno jednak zyskały kilka punktów w arkuszach szacowania prawdopodobieństwa.
Co zatem możemy zrobić? Na razie proponuję prosty eksperyment myślowy polegający na próbie zastanowienia się czy w ogóle jesteśmy w stanie uniezależnić swoją infrastrukturę od amerykańskich dostawców. Nie po to, by planować całkowite pozbycie się ich usług i produktów, ale by np. trochę zdywersyfikować stosowane rozwiązania. Czy planując np. zapasowe data center w planach disaster recovery moglibyśmy część dotychczasowych rozwiązań zastąpić innymi? Może powinniśmy (podobnie jak to robi Donald Trump) pokierować się też lokalnym patriotyzmem i interesem firm europejskich wybierając ich produkty i usługi?
Wydawać się to może trudne, ale znamy już przypadki, gdzie takie kroki były podejmowane. Np. zmiana cennika VMware w ostatnich latach wywołała spore zainteresowanie wirtualizacją na bazie otwarto-źródłowego ProxMoxa. Poniżej kilka przykładów pokazujących, że pomimo dominującej pozycji na rynku amerykańscy dostawcy mają jednak konkurencję, która jest rozpoznawalna, uznana na rynku i co istotne jest w stanie świadczyć usługi odpowiedniej jakości. Z niewielką pomocą producentów z Japonii i Tajwanu da się więc zastąpić amerykańską technologię i to z większościowym udziałem dostawców z Unii Europejskiej.
Refleksja osobista
Domyślacie się pewnie, że powyższy wpis to trochę prowokacyjna reakcja na ostatnie wydarzenia w Stanach Zjednoczonych. Jest to takie trochę IT-political-fiction, ale nie wykluczone, że przyda się komuś w przyszłości do rozważań gdy te najmniej prawdopodobne scenariusze zaczną nabierać realnych kształtów.
Chyba nie tylko ja snuję podobne rozważania, bo właśnie kolega z bloga Informatyk Zakładowy opublikował na LinkedIn pismo do Ministra Cyfryzacji wnioskujące o zaprzestanie stosowania Google reCaptcha w serwisach administracji państwowej. Uargumentował to m.in. tym, iż status USA jako stabilnego i przewidywalnego sojusznika Polski stał się tematem wielu dyskusji.
Smutne to bardzo, bo cała sytuacja jest efektem wieloletnich, zaplanowanych i skrupulatnie realizowanych działań dezinformacyjnych będących elementem wojny hybrydowej prowadzonej przez Putina. Jeśli interesuje Was ten temat to polecam lekturę poniższych artykułów, w których dość obszernie omawiałem mechanizmy wykorzystywane przez Rosję:
Cyberpropaganda, dezinformacja, fake newsy i trolle – dlaczego i jak to działa?
Aktualizacja 04.03.2025
Dzięki zainteresowaniu jakie ten artykuł wywołał w mediach społecznościowych dowiedziałem się o istnieniu podobnego do mojej tabelki, ale dużo bardziej zaawansowanego projektu. Polecam zainteresowanym poniższy link:
https://european-alternatives.eu/alternatives-to
Zostaw e-mail aby otrzymać powiadomienia o nowościach oraz dostęp do wszystkich bonusowych materiałów przygotowanych wyłącznie dla subskrybentów.
Wszelkie próby uniezależniania się od USA na skalę krajową (czy w ogóle większą niż pojedynczy budynek), należy zacząć od tych pięciu warstw:
1. DNS
2. Routing globalny
3. Sieć zaufanych CA (organów wystawiających certyfikaty SSL).
4. Skalowalna i opłacalna finansowo chmura – nie tylko kolejny region AWS.
5. Sieć zaufanych serwerów czasu
Dokładnie w tej kolejności. Bez tego jesteśmy na poziomie globalnym całkowicie zależni od USA – w tym sensie że w razie czego są nam w stanie wszystko rozłączyć.
Tak, całkowite uniezależnienie jest praktycznie niemożliwe. Z chmurą chyba jeszcze nie jest tak źle, jest trochę europejskich dostawców. Większym problemem są procesory. Trochę więcej o tych zależnościach pisaliśmy przy okazji omawiania kwestii Runetu: https://opensecurity.pl/konsekwencje-wprowadzenia-runetu/