Bo można kupić najnowocześniejszy sprzęt, podpisać wielomiliardowy kontrakt, przeciąć wstęgę i ogłosić sukces, a potem odkryć, że prawdziwa kontrola nie znajduje się w kraju, który sprzęt kupił, tylko u dostawcy, który zarządza oprogramowaniem, licencją, serwisem, certyfikacją albo możliwością aktualizacji. Właśnie o tym mówił Donald Tusk podczas Europejskiego Kongresu Finansowego w Sopocie, zapowiadając tak zwany test suwerenności dla dużych zakupów technologicznych i inwestycji infrastrukturalnych państwa.

Według zapowiedzi premiera nowe podejście ma obejmować systemy, rejestry i usługi IT powyżej 5 mln zł oraz inwestycje infrastrukturalne powyżej 15 mln zł.

Państwo ma sprawdzać, czy dany projekt nie tworzy ryzyka uzależnienia od jednego dostawcy i czy Polska zachowuje realną kontrolę nad własnymi systemami oraz danymi. To brzmi technicznie, ale w praktyce dotyczy najbardziej podstawowej sprawy: czy państwo, które kupuje technologię, rzeczywiście może nią samodzielnie zarządzać. Suwerenność technologiczna nie oznacza dziś odcięcia się od świata ani produkowania wszystkiego samemu. To byłaby fantazja bardziej z epoki gospodarki niedoboru niż z czasów sztucznej inteligencji, chmur obliczeniowych i globalnych łańcuchów dostaw. Chodzi raczej o możliwość wyboru, kontroli i wyjścia awaryjnego. Jeśli państwo korzysta z systemu obsługującego podatki, wojsko, energetykę, kolej, szpitale albo infrastrukturę krytyczną, musi wiedzieć, kto może ten system aktualizować, kto może go wyłączyć, gdzie znajdują się dane, kto zna kod źródłowy, kto ma dostęp administracyjny i co stanie się w sytuacji kryzysu politycznego, wojny albo konfliktu z dostawcą.

To jest najważniejszy zwrot w myśleniu o technologii. Przez lata przy dużych przetargach liczyła się głównie cena, termin, funkcjonalność i doświadczenie wykonawcy. Teraz do tej listy dochodzi pytanie znacznie głębsze: czy ta technologia zostawia państwu władzę nad samym sobą.

Bo cyfrowe systemy nie są już dodatkiem do administracji. One są administracją. Rejestr obywateli, system podatkowy, sieć energetyczna, sterowanie ruchem kolejowym, infrastruktura wojskowa, szpitale i usługi publiczne funkcjonują dziś poprzez warstwę oprogramowania. Kto kontroluje tę warstwę, kontroluje zdolność państwa do działania. Najbardziej intuicyjny przykład pochodzi z wojska, choć trzeba go traktować ostrożnie. W debacie publicznej często pojawia się argument, że nawet jeśli państwo kupuje nowoczesne samoloty, rakiety albo systemy obrony, nie zawsze oznacza to pełną niezależność użycia. Część możliwości zależy od oprogramowania, kodów, aktualizacji, systemów identyfikacji, komponentów kryptograficznych, danych misji, serwisu i politycznej zgody producenta lub państwa dostawcy. Nie chodzi więc o prostą opowieść, że ktoś ma jeden czerwony guzik i może zdalnie wyłączyć polski sprzęt. Chodzi o coś bardziej przyziemnego i właśnie dlatego groźniejszego: nowoczesna technologia wojskowa jest ekosystemem zależności. Bez dostępu do aktualizacji, części, dokumentacji, diagnostyki, integracji i know how nawet najdroższy sprzęt z czasem może tracić część swojej realnej wartości.

Ten sam problem dotyczy infrastruktury cywilnej.

Elektrownia jądrowa, sieć energetyczna, systemy bankowe, chmura dla administracji, infrastruktura kolejowa czy systemy zarządzania ruchem nie są już wyłącznie betonem, stalą i kablami. Są także kodem, automatyką, sensorami, protokołami komunikacji i cyfrowym nadzorem. Polska pierwsza elektrownia jądrowa ma powstać w oparciu o technologię AP1000 firmy Westinghouse, przy udziale konsorcjum Westinghouse i Bechtel. To projekt strategiczny nie tylko energetycznie, ale również technologicznie. Dlatego pytanie o suwerenność nie sprowadza się do tego, kto zbuduje reaktor. Dotyczy także tego, kto będzie rozumiał systemy sterowania, kto będzie je serwisował, gdzie będą przechowywane dane, jak będą wyglądały procedury cyberbezpieczeństwa i czy Polska zbuduje własne kompetencje, czy pozostanie tylko użytkownikiem cudzej technologii.

W tym sensie test suwerenności może stać się czymś więcej niż dodatkową rubryką w dokumentach przetargowych. Może wymuszać zupełnie nowy sposób pisania zamówień publicznych.

Państwo będzie musiało pytać nie tylko o cenę, ale także o dostęp do dokumentacji, możliwość audytu kodu, prawo do niezależnego utrzymania systemu, lokalizację danych, otwarte standardy, interoperacyjność, warunki migracji do innego dostawcy oraz plan awaryjny na wypadek konfliktu politycznego lub technicznego. Innymi słowy, kupując system, państwo powinno kupować również prawo do zrozumienia, kontroli i długoterminowego zarządzania tym systemem. To nie jest polska obsesja ani nagły kaprys polityczny. Podobną drogą idą dziś kraje, które bardzo dobrze rozumieją, że zależność cyfrowa może być równie niebezpieczna jak zależność energetyczna. Europa po doświadczeniu uzależnienia od rosyjskiego gazu znacznie lepiej rozumie, że infrastruktura krytyczna nie może opierać się wyłącznie na zaufaniu do dostawcy. W świecie technologii ryzyko jest jednak bardziej niewidoczne. Rurociąg widać na mapie. Kod źródłowy, zależności licencyjne i zamknięte interfejsy są ukryte głęboko w dokumentacji, umowach i architekturze systemu.

Największe napięcie polega na tym, że pełna suwerenność technologiczna jest niemożliwa.

Polska nie stworzy sama wszystkich procesorów, systemów operacyjnych, platform chmurowych, algorytmów, reaktorów, samolotów i technologii obronnych. Tusk również to przyznał, mówiąc, że celem nie jest zamknięcie się przed światem, lecz budowanie takiej pozycji, w której państwo ma wybór pomiędzy różnymi dostawcami. To bardzo ważna różnica. Suwerenność nie oznacza samowystarczalności. Oznacza zdolność do negocjowania, audytowania, zmiany dostawcy i utrzymania działania własnych systemów, nawet kiedy świat zewnętrzny przestaje być przewidywalny.

Ta debata pokazuje zmianę definicji państwa w XXI wieku.

Dawniej państwo było suwerenne, jeśli miało granice, armię, walutę i instytucje. Dziś musi mieć jeszcze dostęp do własnych danych, kontrolę nad własnym oprogramowaniem i kompetencje pozwalające zrozumieć technologię, z której korzysta. Inaczej staje się tylko klientem. A klient, nawet bardzo duży, nie zawsze jest właścicielem sytuacji. Test suwerenności Tuska można więc czytać jako próbę odpowiedzi na pytanie, które będzie wracać przy każdej dużej inwestycji najbliższych lat. Czy kupujemy technologię, czy tylko licencję na korzystanie z cudzej władzy nad technologią. To pytanie dotyczy sztucznej inteligencji, chmury, energetyki, wojska, kolei, ochrony zdrowia i administracji. I być może właśnie dlatego jest jednym z najważniejszych pytań modernizacyjnych, jakie Polska musi sobie dziś zadać.