Dynamiczne zmiany geopolityczne, trwająca wojna w Ukrainie, doświadczenia pandemii oraz rosnąca skala cyberataków pokazały, jak szybko mogą pojawić się braki leków, komponentów krytycznych czy podstawowych towarów. Jak zbudować odporność operacyjną łańcuchów dostaw, tak aby wzmocnić bezpieczeństwo, jednocześnie nie podważając fundamentów wzrostu gospodarczego? Na to pytanie próbowali odpowiedzieć uczestnicy panelu dyskusyjnego „Odporny łańcuch, technologie i obronność w zintegrowanym ekosystemie dostaw”, zorganizowanego w ramach konferencji „Strategie odporności”. Spotkanie prowadził Łukasz Korycki, zastępca redaktora naczelnego Pulsu Biznesu.
Wyzwania łańcuchów dostaw
Stabilność łańcuchów dostaw kojarzyła się do tej pory głównie z logistyką. Teraz jednak — w realiach napięć geopolitycznych i zagrożeń cyberprzestrzeni — stała się jednym z filarów bezpieczeństwa państwa, obok energetyki czy obronności. Podczas debaty eksperci zwrócili uwagę na złożoność procesów logistycznych i ich kluczowe znaczenie dla funkcjonowania większości gałęzi gospodarki.
— Zacznijmy od podstaw. Łańcuch dostaw to droga produktu od kopalni, huty czy pola uprawnego do odbiorcy. Może mieć różną długość i złożoność. To, co jest proste przy żywności, staje się skomplikowane przy samochodzie czy transporterze opancerzonym, gdzie dochodzą podłańcuchy — jak system łączności czy amunicja. To nie jedno ogniwo, lecz sieć, w której wiele punktów może zawieść. Dlatego uzależnienie od jednego dostawcy jest tak groźne i wymusza dywersyfikację — zaznacza gen. Andrzej Fałkowski, ekspert w Fundacji im. Kazimierza Pułaskiego.
Poza złożonością samych łańcuchów dochodzi kumulacja ryzyk. Eksperci wymienili takie obszary jak: zagrożenia geopolityczne, działania hybrydowe wobec infrastruktury krytycznej, cyberataki na firmy cywilne, czy zaburzenia produkcji w kluczowych dla państwa branż. Eksperci byli zgodni, że do ochrony przed tymi zagrożeniami niezbędna jest współpraca na różnych szczeblach. Piotr Kobzdej z MON-u zaakcentował jednak deficyt zaufania między biznesem a administracją.
— Globalizacja zwiększyła koncentrację dostaw, a codzienne ataki cyfrowe dotyczą już nie tylko infrastruktury krytycznej, lecz także zwykłych firm. Z perspektywy MON kluczowy problem to nadal brak zaufania między biznesem a administracją. Bez jego odbudowy trudno mówić o skutecznej dywersyfikacji i tworzeniu krajowych rozwiązań — podkreśla Piotr Kobzdej, doradca Ministra Obrony Narodowej.
Kluczową, ale często niewidoczną częścią łańcuchów dostaw stały się dziś systemy IT i usługi cyfrowe. Bez nich nie działa produkcja, logistyka, sprzedaż ani administracja. Ten cyfrowy fundament jest jednak wyjątkowo podatny na zakłócenia: opiera się na wielu, rozproszonych dostawcach z całego świata, których trudno szybko zastąpić, gdy coś pójdzie nie tak.
— Kto dziś wyobraża sobie funkcjonowanie firmy bez podstawowych systemów i usług IT? One same stały się zarówno „produktem”, jak i kluczowym elementem w łańcuchu wartości. Jednocześnie są one z definicji globalnym gąszczem powiązań i zależności, co sprawia, że są wysoko podatne na zaburzenia. Tymczasem przez ostatnie 30 lat daliśmy się ponieść fali cyfryzacji, jakby nie było ryzyk geopolitycznych i zaciągnęliśmy „dług cyfrowej odporności”, opierając gospodarkę na warstwie, która z natury jest krucha — mówi Artur Józefiak, wiceprezes Accenture Polska, szef Europejskiego Centrum Cyberbezpieczeństwa.
Przeciwdziałanie zagrożeniom
Pomimo mnogości zagrożeń, prelegenci dostrzegli możliwości przeciwdziałania im. Podkreślili, że w budowaniu odporności łańcuchów dostaw nie startujemy od zera — możemy czerpać z długoletnich doświadczeń innych państw, zwłaszcza skandynawskich. Tam od lat funkcjonują systemowe, długoterminowe programy wzmacniania przemysłu obronnego i przygotowania gospodarki na kryzysy. W Polsce podobne instrumenty dopiero się tworzą. — Najlepiej sprawdzają się modele długoterminowe, które Szwedzi czy Finowie stosują od dekad. My dopiero je budujemy — m.in. przez programy typu Europejski Fundusz Obronny, inicjatywy zwiększania produkcji amunicji czy kontrakty gotowościowe (ang. capacity contracts). Takie działania są widoczne także w Polsce, ale wciąż brakuje pełnego systemu opartego na stałej współpracy państwa, przemysłu, wojska i nauki — wskazuje Paulina Zamelek, ekspertka w Fundacji im. Kazimierza Pułaskiego.
Tę lekcję widać wyraźnie w obszarze wsparcia dla firm. Skandynawia i Dania projektują rozwiązania, które mają zachęcać zwłaszcza MŚP do inwestowania i utrzymywania produkcji w Europie, nawet „na wypadek wojny” — poprzez nowe modele ubezpieczeń, finansowania i preferencje w zamówieniach publicznych. To jednocześnie narzędzie do przyciągania produkcji z powrotem do UE i zmniejszania zależności od rynków azjatyckich.
— W krajach nordyckich powstają rozwiązania dla małych i średnich firm spoza infrastruktury krytycznej: nowe modele ubezpieczeń i finansowania, które biorą pod uwagę ryzyko konfliktu zbrojnego. Równolegle buduje się programy reshoringu — zachęty i preferencje przetargowe dla firm z UE, a także wspólne inicjatywy kilku państw, by stać się realną przeciwwagą dla rynków azjatyckich — tłumaczy prof. Joanna Żukowska, profesor SGH, wicedyrektor Instytutu Przedsiębiorstwa.
Z perspektywy pojedynczej firmy równie ważne jak systemowe programy jest to, jak organizacja realnie testuje własną odporność, zwłaszcza w obszarze IT. Klasyczne zarządzanie ryzykiem przestaje wystarczać — potrzebne są stres testy, czyli kontrolowane „wyłączanie” kluczowych elementów i sprawdzanie, czy biznes nadal funkcjonuje.
— Tradycyjne zarządzanie ryzykiem – planowanie, analiza, minimalizowanie ryzyka i reakcja na incydenty – nadal obowiązuje. Ostatnie lata pokazały jednak, że to za mało i trzeba przeprowadzać tzw. stress testy (ćwiczenia odpornościowe), które mają na celu przećwiczenie działania tak, jakbyśmy faktycznie utracili kluczowy system czy zasób. Z takich ćwiczeń wynikają konkretne wnioski i doświadczenia, które powinny przełożyć się na przygotowanie organizacji do działania w trybie awaryjnym, ale bezpiecznym i możliwym do utrzymania (tzw. Minimum Viable Company). W praktyce wiele firm rezygnuje z takich ćwiczeń, bo nie docenia ryzyka albo nie widzi szybkiego zwrotu z inwestycji — zauważa Artur Józefiak.
Świadomość społeczna
Budowanie odporności państwa i gospodarki zaczyna się od zmiany myślenia — nie tylko w rządzie czy zarządach firm, ale u każdego obywatela. To obywatele są przedsiębiorcami, menedżerami, pracownikami odpowiedzialnymi za cyberbezpieczeństwo, a wciąż często traktują je jako zbędny koszt. Bez zrozumienia, że to element bezpieczeństwa narodowego, trudno oczekiwać konsekwentnych inwestycji w prewencję, ćwiczenia i przygotowanie na kryzys.
— To wielopiętrowe wyzwanie i musimy zacząć od świadomości każdego obywatela — także tego, który jest przedsiębiorcą czy odpowiada za cyberbezpieczeństwo. Do tej pory informatycy musieli tłumaczyć, dlaczego aktualizacje czy certyfikaty „tyle kosztują”. Bez zmiany tego podejścia i bez regularnych ćwiczeń, do których zobowiązana jest administracja, nie zbudujemy realnej odporności — podsumowuje Paweł Florek, główny specjalista w departamencie ochrony ludności i zarządzania kryzysowego, MSWiA.
