poniedziałek, 14 sierpnia 2017

Nowa książka

http://cybra.lodz.pl/dlibra/docmetadata?id=15023 
Prawdopodobnie najstarszą funkcjonującą firmą na świecie jest Nishiyama Onsen Keiunkan - hotel wraz z zespołem basenów termalnych położony w prefekturze Yamanashi w centralnej części wyspy Honsiu. Założony w roku 705 jest obecnie zarządzany przez pięćdziesiątego drugiego potomka właściciela (choć, mówiąc o "potomku", należy pamiętać o - praktykowanym od czasów późnego średniowiecza w Japonii - zwyczaju adopcji dorosłych osób niespokrewnionych ze sobą). Polskie firmy, z oczywistych względów, nie mogą liczyć na trzynaście wieków tradycji. Najstarsze (m.in. kopalnia soli w Wieliczce oraz kilka browarów) liczą sobie co najwyżej siedem stuleci. Przeważająca liczba firm ginie jednak stosunkowo młodo, w kilku pierwszych latach istnienia: w końcu - patrząc z punktu widzenia właściciela - nie jest rolą firmy istnieć długo, ale przynosić duże zyski, lepiej więc zamknąć niedochodowy interes i spróbować szczęścia w innej działalności (podobno przeciętny amerykański milioner ma za sobą kilkanaście nieudanych prób). Patrząc z szerszego punktu widzenia twierdzi się czasami, że brak stabilności w skali mikro zapewnia stabilność w skali makro.

Tym razem wybrałem (a w zasadzie wybraliśmy) się na wycieczkę w stronę ekonomiki przedsiębiorstw, czego efektem jest monografia o badaniach przeżywalności grupy firm utworzonych przy wsparciu z POKL  w ramach kilkunastu projektów realizowanych przez Fundację Inkubator świeżo wydana przez Wydawnictwo Politechniki Łódzkiej  i udostępniona w sieci. W środku między innymi statystyczne modele funkcji dożycia i próba wyodrębnienia kluczowych czynników sukcesu w oparciu o badanie ankietowe mikroprzedsiębiorców. Zapraszam do lektury.

Szmit A., Lisiak-Felicka D., Szmit M.: Badania przeżywalności firm utworzonych w ramach projektów realizowanych z Programu Operacyjnego Kapitał Ludzki. Studium empiryczne dla Fundacji Inkubator, Monografie Politechniki Łódzkiej, Łódź 2017, ISBN 978-83-7283-836-0, http://cybra.lodz.pl/dlibra/docmetadata?id=15023

wtorek, 28 marca 2017

Szkice do uwag... uzupełnienie


Po XX Międzynarodowej Konferencji TAPT, gdzie mówiłem o celach strategicznych małe uzupełnienie obrazka o uchwalone i przyjęte Krajowe Ramy Polityki Cyberbezpieczeństwa (czyli kolejną wersję tego samego dokumentu, jeszcze lepszą, ale... ;)).

Szkice do uwag o nowej Strategii Cyberbezpieczenstwa RP


Zgodnie z obietnicą poniżej kilka (nieuporządkowanych) uwag na temat niedawno ogłoszonej „Strategii Cyberbezpieczeństwa Rzeczypospolitej Polskiej na lata 2017-2021” (jakiś większy tekst się pisze). 

Przede wszystkim wypada zaznaczyć, że sam dokument stanowi postęp – jeśli idzie o wartość merytoryczną – zarówno w porównaniu z wcześniejszymi „strategicznymi” dokumentami administracji państwowej dotyczącymi cyberbezpieczeństwa, jak i z poprzednimi wersjami publikowanymi i przekazywanymi do publicznych konsultacji przez Ministerstwo Cyfryzacji w 2016 roku, natomiast poniżej zebrałem tylko kilka uwag krytycznych.


Pierwszym, co daje się zauważyć jest podtrzymanie trendu wydłużania okresu planowania strategicznego (poprzednie Rządowe Programy Ochrony Cyberprzestrzeni były odpowiednio: 3 i pięcioletnie, obecna „Strategia…” miała być pierwotnie również pięcioletnia. Biorąc pod uwagę wątpliwości, o których poniżej, nie jest to właściwy trend. Niepokojącą rzeczą jest krótki (choć i tu należy odnotować poprawę w stosunku do niektórych wcześniejszych sytuacji) czas przeznaczany na konsultacje społeczne: na zapoznanie się z obszernym (z górą dwa i pół arkusza wydawniczego) dokumentem „Założeń…” i przygotowanie stanowiska w ramach konsultacji ewentualni zainteresowani mieli zaledwie dwa tygodnie, potem nastąpił półroczny okres przerwy i opublikowanie projektu (tym razem liczącego tylko nieco ponad jeden arkusz wydawniczy), na konsultacje społeczne którego przeznaczono zaledwie tydzień. Po zakończeniu konsultacji nastąpiła kolejna przerwa, po której – 1. marca 2017 r. – Ministerstwo Cyfryzacji poinformowało o zakończeniu prac Międzyresortowej grupy roboczej nad projektem Strategii Cyberbezpieczeństwa Rzeczypospolitej Polskiej na lata 2017 – 2022. Zatem Ministerstwo, w którym "Strategią..." zajmują się - jak mniemam - zespoły zawodowców w ramach ich czasu pracy, pracuje pół roku nad czymś, co organizacje społeczne i osoby prywatne mają przeanalizować w tydzień czy dwa. Owszem: łatwiej jest krytykować niż budować, ale jeśli krytyka ma być twórcza, a nie sprowadzać się do punktowania błędów, to czasu powinno być więcej. Tym bardziej, że mowa o planach na długi horyzont czasowy.

O pojęciu cyberbezpieczeństwa (i o nadużywaniu prefiksu cyber-) powiedziano już wystarczająco wiele złego warto zatem zastanowić się nad drugiem z występujących w tytule pojęć: strategii. Występuje ono zarówno w naukach o obronności, jak i w naukach o zarządzaniu i w jednych i drugich oznacza sztukę wytyczania i realizacji celów długoterminowych (odpowiednio: polityki militarnej bądź działalności organizacji). Od Strategii Cyberbezpieczeństwa Rzeczpospolitej Polskiej na lata 2017-2020 można zatem oczekiwać przede wszystkim sformułowania owych celów. Rzeczywiście omawiana „Strategia…” formułuje cel ogólny („Zapewnienie wysokiego poziomu bezpieczeństwa sektora publicznego, sektora prywatnego oraz obywateli w zakresie świadczenia lub korzystania z usług kluczowych oraz usług cyfrowych”) i cztery cele szczegółowe: 
  • Cel szczegółowy 1: Osiągnięcie zdolności do skoordynowanych w skali kraju działań służących zapobieganiu, wykrywaniu, zwalczaniu oraz minimalizacji skutków incydentów naruszających bezpieczeństwo systemów teleinformatycznych istotnych dla funkcjonowania państwa.
  • Cel szczegółowy 2: Wzmocnienie zdolności do przeciwdziałania cyberzagrożeniom.
  • Cel szczegółowy 3: Zwiększanie potencjału narodowego oraz kompetencji w zakresie bezpieczeństwa w cyberprzestrzeni.
  • Cel szczegółowy 4: Zbudowanie silnej pozycji międzynarodowej RP w obszarze cyberbezpieczeństwa. 
Cel ogólny sformułowany w strategii budzi szereg wątpliwości. Z jednej strony wygląda on raczej nie na cel, ale na coś w rodzaju wizji bezpiecznego państwa, a przynajmniej jego aspektu informatycznego, z drugiej łączy w sobie bezpieczeństwo różnych podmiotów, a przecież oczywiste jest, że niejednokrotnie zwiększenie bezpieczeństwa jednego z interesariuszy pociąga za sobą zmniejszenie bezpieczeństwa innych. Nawet zresztą jeśli uznać, że takie konflikty nie zaistnieją, bądź będą miały charakter pozorny albo istotny tylko w perspektywie krótkookresowej, to – w sytuacji ograniczonej dostępności środków – należałoby jasno zadeklarować, bezpieczeństwo której z tak określonych grup podmiotów będzie dla realizatorów „Strategii…” priorytetowe. Warto przywołać w tym kontekście na przykład stanowisko Polski w ankiecie przeprowadzonej latem 2016 roku przez przewodniczącą Radzie Unii Europejskiej Słowację, dotyczącej opinii i rekomendacji na temat tego, jak ich organy ścigania radzą sobie z napotykanym szyfrowaniem danych (tekst źródłowy: https://www.asktheeu.org/en/request/3347/response/11727/attach/12/Encryption%20questionnaire%20PL.pdf czy ostatnie próby nowelizacji Kodeksu Karnego i działania w sprawie art 269b - raz zaostrzające maksymalną karę a później, dodające - wreszcie - kontratyp czynu zabronionego obejmujący pentesterów). Zarzutem w stosunku do "Strategii..." jest zatem, że nie sposób wyczytać z niej jaki będzie kierunek polityki  (liberalny czy restrykcyjny) państwa w stosunku do praw i wolności swoich obywateli i walki z ich naruszaniem.
Cele szczegółowe są sformułowane sposób mało czytelny i lektura "Strategii..." nie pomaga w ich zrozumieniu. Dla przykładu: Cel szczegółowy 4 został potraktowany bardzo zdawkowo i opisany  niezrozumiałym językiem. Już pierwsze dwa zdania: W obliczu wszechobecnych procesów globalizacyjnych i związanych z nimi współzależności państw, międzynarodowa współpraca jest kluczowa dla osiągnięcia bezpieczeństwa globalnej cyberprzestrzeni. Realizując te zadania na poziomie europejskim Polska zintensyfikuje działania na rzecz zapewnienia bezpieczeństwa Jednolitego Rynku Cyfrowego jako motoru wzrostu gospodarczego i innowacyjności budzą szereg wątpliwości. O jakich zadaniach mowa? Ani globalizacja ani współpraca międzynarodowa to nie są przecież zadania ale zjawiska. Jednolity Rynek Cyfrowy to nie jest rzecz, miejsce, czy nawet instytucja, ale strategia Komisji Europejskiej, w której  przedstawione zostały inicjatywy mające na celu uczynienie z Unii Europejskiej zintegrowanego cyfrowo obszaru gospodarczego, zdolnego do konkurowania na globalnym rynku cyfrowym. Bezpieczeństwo owego rynku, to zatem – literalnie – bezpieczeństwo strategii. Literalnie rzecz ujmując mowa jest zatem o strategii bezpieczeństwa strategii.  
Podobne wątpliwości budzi lektura celu szczegółowego 3. Co to jest jest „potencjał narodowy”? Czyje kompetencje mają być zwiększane i w jaki sposób? Rozdział 7 zamiast odpowiedzi na te pytania zawiera kilka nazw (huby innowacyjności, Naukowy Klaster Cyberbezpieczeństwa, Cyberpark Enigma, złota setka itd.), a przecież użycie – nawet bardzo efektownej nazwy (a "złota setka" jest nazwą tyleż efektowną co humorystyczną) – nie wyjaśnia istoty zjawiska. Dla przykładu: „W ramach rozwoju kompetencji powstanie program Cyberpark Enigma dysponujący potencjałem pozwalającym konkurować na europejskim rynku specjalistycznych usług z zakresu teleinformatyki. Projekt zakłada odtworzenie i rozbudowę kompetencji w obszarze budowy zdolności do kompleksowego wytwarzania urządzeń i oprogramowania wykorzystywanych we wszystkich gałęziach przemysłu”. Niestety nie bardzo wiadomo czym ma być ów program (np. spółką, firmą państwową, urzędem), kto z kim ma konkurować, czemu zresztą w zakresie zapewniania bezpieczeństwa ma w ogóle mieć miejsce konkurencja, co to jest odtworzenie kompetencji i w jakich okolicznościach te kompetencje (i czyje) zostały utracone czy upośledzone, aby teraz zachodziła konieczność ich odtwarzania, czym są urządzenia, które mogą znaleźć zastosowanie we wszelkich dziedzinach przemysłu i dlaczego przemysłu, a nie na przykład handlu czy usług?
Stosując znane podejście SMART (Specific, Measurable, Achievable, Realistic, Time-related) można - niestety - skonstatować, żaden z celów nie jest mierzalny, co więcej, „Strategia…” nie proponuje żadnego miernika, który mógłby służyć do weryfikacji jej realizacji. Poszczególne cele są zresztą w dużej mierze nieskonkretyzowane (a przynajmniej napisane sposób utrudniający ich zrozumienie). W związku z tym trudno mówić o tym, czy są one osiągalne (zapewne nawet zakup jednego programu antywirusowego jakoś tam wzmacnia zdolność do przeciwdziałania "cyberzagorżeniom", ale to chyba za mało jak na plany strategiczne). Można też obawiać się o ich realistyczność (jeśli na przykład "Strategia..." powtarza po ostatnim "Rządowym Programie..." postulaty, których nie udało się zrealizować - choćby powołania pełnomocników ds ochrony cyberprzestrzeni - to chyba byłoby dobrze poświęcić chwilę czasu na analizę, dlaczego poprzednikom się nie udało...), odnośnie do czasu realizacji, to -  poza horyzontem prognozy oraz okresem sześciu miesięcy na przygotowanie planu wdrożenia strategii, nie wyznaczono żadnych terminów dla realizacji poszczególnych celów. Pozostaje mieć nadzieję, że lepiej będzie to wyglądało w owym zapowiedzianym planie wdrożenia "Strategii...".
Mimo wszystko obecną „Strategię…” można ocenić jako pewien postęp, zarówno w stosunku do poprzednich Rządowych Programów Ochrony Cyberprzestrzeni Rzeczypospolitej Polskiej, jak i w stosunku do jej własnych poprzednich stadiów rozwojowych. Obawiam się jednak, że ten postęp jest stanowczo zbyt mały.

poniedziałek, 13 marca 2017

Ś†P profesor Józef Penc

Zmarł ś†p profesor Józef Penc. Recenzował moje pierwsze dwie książki, do napisania pierwszej zresztą mnie namówił, przez cały czas dopingował i wspierał. Requiem aeternam dona ei, Domine.
https://web.facebook.com/oiz.p.lodz/photos/a.612048335489980.1073741826.203729922988492/1594269637267840/?type=3