Kilka lat temu Estonia doszła do wniosku, że państwo musi działać, nawet jeśli jego integralność terytorialna zostanie poważnie naruszona. Uznała, że najważniejsze rejestry muszą być dostępne, a e-usługi świadczone, kiedy obce czołgi zajmą wszystkie krajowe centra danych. Tak najpierw powstała koncepcja, a potem wdrożony został projekt e-ambasady.

Oczywiście uważano, że przesadzają, bo przecież Tallinn dzieli od granicy z Rosją aż 200 km. Dzisiaj patrzymy na to zgoła inaczej. Wyróżnijmy trzy poziomy systemu odporności. Przed awarią będziemy chronić się, gdy w centrum danych zdublujemy niektóre podzespoły. Z kolei kiedy kopie naszych systemów będą w kilku data center w tym samym kraju, chronimy się przed problemami z zasilaniem, przed powodzią lub przed atakiem terrorystycznym na jedno CPD. Jednak dopiero stworzenie kopii poza naszym krajem daje szanse w zderzeniu z kataklizmem lub wojną. To właśnie jest poziom trzeci – to zrobiła Estonia. Określenie „e-ambasada” wzięło się z tego, że te rejestry, choć znajdowały się na terenie innego państwa, były eksterytorialne, wyłączone spod jurysdykcji kraju gospodarza. Tak jak ambasada.

Estonia była pierwsza, ale nie jedyna. Podobny projekt zapobiegawczo uruchomiła Ukraina. Ani jeden, ani drugi kraj nie przechwala się, gdzie znajdują się ich najcenniejsze informatyczne zasoby. Czy Polska powinna przygotować się do podobnego projektu? Zdecydowanie tak! Można to zrobić na kilka sposobów. Najbardziej oczywisty to uruchomienie zawczasu za granicą rezerwowych centrów danych. Jednak ich utrzymanie, ochrona, zapewnienie odpowiedniego personelu będzie kosztowało więcej niż zwykle. Można zatem stworzyć mobilne data center, które na co dzień stoi i funkcjonuje w Polsce, ale w momencie zagrożenia jest pakowane na TIR-a lub do Herculesa i transportowane do miejsca docelowego. Takie autonomiczne centra w kontenerach zostały już stworzone. Oczywiście ktoś może zapytać, czy do takiego kontenera uda się zapakować wszystkie najważniejsze rejestry kraju wielkości Polski. Jestem niemal przekonany, że dziś powinno się udać.

E-ambasada wprawdzie w znacznym stopniu podniesie odporność administracji i jej najbardziej „core’owych” rejestrów, ale nie rozwiązuje problemu cyfrowej odporności państwa. Kiedy pomyślimy o infrastrukturze krytycznej oraz o operatorach usług kluczowych, okaże się, że mamy do czynienia ze służbą zdrowia, z wielkimi bankami, operatorami telekomunikacyjnymi, operatorami zasilania w energię elektryczną i wodę, itd. Łącznie kilka setek przedsiębiorstw o ogromnych zasobach informatycznych. O tym, że ich dane mogą znaleźć się w e-ambasadzie nawet mowy nie ma. Wszystkie przepisy, ale także i pragmatyka dnia codziennego, nie wymagały od nich niczego ponad zapewnienie ciągłości działania na wypadek awarii informatycznej, problemów z zasilaniem czy lokalnymi załamaniami pogody. Plany ciągłości biznesowej czy plany ochrony nie wychodziły poza ten poziom. Po prawdzie to nawet nie bardzo było wiadomo, jak się do tego zabrać. Bo jak? Postawić swoje centrum danych w Szwecji czy Kanadzie? Żaden zarząd tego nie zatwierdzi, a każdy CFO osiwieje na widok kosztów utrzymania…

Jednak i tutaj pojawiły się możliwości. Backup chmurowy jest powszechnie stosowanym standardem, cóż zatem stoi na przeszkodzie, by jeden z nich utrzymywać w regionie dostatecznie odległym od wojny. Kopia danych to podstawa, więc może kolejnym krokiem byłoby wykonanie kopii pozwalającej na odtworzenie systemu po awarii. Najdalej posuniętym rozwiązaniem byłby bliźniak najważniejszych systemów firmy, centrum rezerwowe, chronione odległością i procedurami dostawcy chmurowego. Czy ta ochrona byłaby wystarczająca? Tak, bez wątpienia. Zwłaszcza że zawsze można jeszcze samemu podwyższyć bezpieczeństwo systemu. Czy dostawcy chmur mają dostateczne zasoby? Wątpliwości jest jeszcze mniej. To, czego dzisiaj brakuje, to zasad, jakimi mogą się kierować operatorzy infrastruktury krytycznej i operatorzy usług kluczowych. Czy Polska powinna mieć takie zasady? Czy państwo powinno wskazać, w jakich krajach takie „komercyjne ambasady” można tworzyć? Czy warto się spieszyć z takimi decyzjami? Odpowiedź na wszystkie pytania wydaje się oczywista.

A skoro już omówiliśmy, co mogłoby zrobić państwo i przedsiębiorstwa krytyczne dla jego normalnego funkcjonowania to… może, drogi przedsiębiorco, nie masz danych i systemów, bez których Polska nie będzie działać, ale masz dane, które są najcenniejsze dla twojej firmy i dla ciebie. Masz przygotowany swój, choćby najprostszy, plan ciągłości działania? Dlaczego by nie zrobić swojej „firmowej ambasady”?

Michał Jaworski – autor od niepamiętnych czasów związany z polskim oddziałem firmy Microsoft.