font_preload
PL / EN
Bezpieczeństwo Cyberprzestrzeń 10 kwietnia, 2017 godz. 10:15   
REDAKCJA

Budziak: Ciemne strony outsourcingu

komputer cyfryzacja cyber praca

Przyciśnięcie jednego błędnego klawisza w odległych Indiach zaowocowało zatrzymaniem procesów produkcyjnych w norweskiej rafinerii. Zdarzenie, które utrzymywano w tajemnicy ponad dwa lata, spowodowało w norweskich mediach dyskusję na temat niebezpieczeństw outsourcingu – pisze Sławomir Budziak, autor bloga Polityka Zagraniczna.

„Jeśli istnieje coś, czego nie potrafimy wykonać efektywniej, tanie i lepiej aniżeli nasi konkurenci, nie ma sensu się tym zajmować i należy nająć kogoś, kto zrobi to lepiej od nas”. W tym lakonicznym stwierdzeniu Henry Forda zawiera się istota podwykonawstwa zewnętrznego. Praktyka ta popularnie określana angielskim terminem outsourcing święci od dekad triumfy w świecie wielkiego biznesu. O ile trudno coś wytknąć rozumowaniu leżącemu u jej podstaw, to jej wdrażanie niesie z sobą pewne ryzyka i nie chodzi tylko o społecznie konsekwencje związane z masowym odpływem pracy do regionów rozwojowych czy też ugrzęźnięciem kraju w roli wykonawcy usług.

Jak boleśnie przekonał się norweski naftowy gigant Statoil, niektóre funkcje powinny pozostać w ramach struktury przedsiębiorstwa, ponieważ cięcie kosztów operacyjnych poprzez zlecanie ich wykonawstwa tańszym kontrahentom niepojmującym specyfiki branży odbywa się za cenę bezpieczeństwa.

Kłopoty w Mongstad

Mongstad to księżycowa metropolia składająca się z rurociągów, przewodów, masywnych zbiorników magazynowych, wież i niezliczonych świateł, która rozłożyła się w niegdyś wiejskim zakątku na malowniczym zachodnim wybrzeżu Norwegii na północ od Bergen. Spośród stu firm mających tu swoje instalacje najistotniejszą jest koncern Statoil, którego rafineria zatrudnia około tysiąca pracowników.

Była noc z wtorku na środę 21 maja 2014. Zacinał lekki deszcz, a w rafinerii szykowano się do załadunku paliwa, na które czekał już tankowiec. Tymczasem w siedzibie informatycznej firmy HCL w Indiach jeden z komputerowych speców zabierał się do rutynowej kontroli jednego z serwerów. Głupi błąd sprawił, iż dostał się do niewłaściwego serwera, do którego – co gorsza – w ogóle nie powinien był mieć dostępu dzięki zaporze sieciowej. Zignorował wyświetlone na ekranie ostrzeżenie i nim się zorientował, zrestartował serwer narobiwszy tym samym bałaganu prowadzącego do zatrzymania procesów produkcyjnych w Mongstad. W przypływie paniki przywołał na pomoc swoich kolegów. Wkrótce doszło do 22 nieautoryzowanych wejść do rzeczonego serwera linii produkcyjnej, który mimo wszelkich starań uparcie nie chciał ruszyć. Na szczęście w Mongstad był w tym czasie wykwalifikowany miejscowy personel, który przejął ręczną kontrolę nad produkcją i tak nie licząc kilkugodzinnej przerwy i małego wycieku nic się nie stało. Dużo poważniejszy okazał się inny wyciek, a mianowicie wyciek informacji.

Dwa lata milczenia

Sprawę trzymano w tajemnicy dwa lata i kiedy na jej trop wpadli dziennikarze mediów publicznych, rzecznik koncernu Statoil Bård Glad Pedersen wił się niczym piskorz, kiedy przyciskany do muru w wieczornych wiadomościach w norweskim radiu NKR powtarzał wyuczone formułki w wysiłku zbagatelizowania całego zajścia. Jego mantrę da się ująć jednym zdaniem – „jeśli błąd to mały, a najistotniejsze jest, że wyciągnęliśmy wnioski”.

Oburzenie wywołał nie tyle sam incydent i nie tylko fakt, iż Statoil go zatuszował. NRK dotarło bowiem do informacji na temat dwudziestu dziewięciu innych zdarzeń, w toku których indyjscy pracownicy uzyskali nieautoryzowany dostępu tak do instalacji lądowych jak i platform wydobywczych, a informatorzy w Statoil utrzymują, że skala problemu jeszcze większa.

Według wewnętrznych raportów znajdujących się w rękach dziennikarzy obawy dotyczące bezpieczeństwa istniały od samego początku, kiedy przedsiębiorstwo przeniosło utrzymanie i obsługę swoich sieci komputerowych do Indii, czyli jakieś dwa lata przed wypadkiem w Mongstad. W jednym ze sprawozdań z roku 2014 pisze się wprost o „narastającej liczbie incydentów mogących stanowić niebezpieczeństwo”. W innym miejscu określa się personel podwykonawcy jako „nie posiadający kompetencji zapewniających podstawowe zrozumienie funkcji i procesów”. Okazuje się, iż o owym czasie około stu członków personelu indyjskiego HCL posiadało pełnię uprawnień, umożliwiających dostęp do wszystkich technicznych sieci i tym samym instalacji Statoil w Mongstad.

Podsumowując, duża grupa kulturowo i geograficznie odległych osób zatrudnionych przez podwykonawcę i nieposiadających z punktu widzenia rodzaju działalności zleceniodawcy wystarczających kwalifikacji posiadała daleko idące uprawnienia na przekór powtarzającym się i wyrażającym zaniepokojenie sprawozdaniom i meldunkom. Te ostatnie nie wskazywały teoretycznych zagrożeń, ale odnosiły się wprost do konkretnych zajść. Jednym z wielu takich zajść była ewakuacja platformy wiertniczej Sleipner.

I choć wydaje się, że rozbłysły wszystkie alarmowe światła – jeden z krytycznych wewnętrznych raportów poleca wprost powrót do obsługi sieci przez miejscowych pracowników -, to pracownicy Statoilu twierdzą, iż firma nie uczy się na błędach. Niektórzy z nich w rozmowie z dziennikarzami utrzymują, że nadal można odnieść wrażenie, iż ich indyjscy współpracownicy nie pojmują, czym zajmuje się Statoil. „Mają wrażenie, że obsługują przedsiębiorstwo zajmujące się pracą biurową” powiedziała wprost przedstawicielka pracowników Trine Holsen.
Czubek gory lodowej

Zlecanie obsługi systemów informatycznych wykonawcom w innych częściach świata nie dotyczy naturalnie tylko naftowego przedsiębiorstwa Statoil. Kiedy o sprawie zrobiło się głośno, zaczęto wyliczać inne znane marki z norweskiego panteonu wielkich firm jak na przykład największy koncern finansowy DNB, norweskie koleje NSB czy też regionalna służba zdrowia i inne, które łączy uciekanie się do tej samej praktyki.

W trwającej wciąż na łamach mediów dyskusji ścierają się różne racje przedstawiane przez reprezentantów firm oraz organizacji zawodowych. Oszczędność – przyznawana niechętnie i półgębkiem pod presją dziennikarzy prowadzących – nie stanowi tu bowiem jedynej motywacji. Przedstawiciele przemysłu zasłaniają się też brakiem wykwalifikowanych ludzi na rynku pracy i jakością usług świadczonych przez kontrahentów. Krytycy zaś wskazują na odpływ miejsc pracy, który z kolei uniemożliwia rozwój wysoko wykwalifikowanej kadry w branży informatycznej i uzależnienie w tej jakże kluczowej dziedzinie. Kolejny problem to koszty związane z ewentualnym powrotem funkcji do macierzystych przedsiębiorstw i tym samym do miejscowych środowisk zawodowych.
Bezpieczeństwo w (obniżonej) cenie

Kiedy już mogło się wydawać, że wszystko co istotne w tym temacie zostało powiedziane, rzeczywistość zadbała o najlepszą możliwą puentę, czyli skandal z outsourcingiem oraz indyjskim wątkiem w tle. Tym razem ciężar gatunkowy był jednak większy, ponieważ kluczowym słowem było bezpieczeństwo publiczne, a z tego że wyobrażenie o Skandynawii jako o wyspie spokoju przeszło do historii, zdaje sobie każdy konsument wiadomości.

Norwegia korzysta z opartego na standardzie Tetra systemu łączności cyfrowej Nødnett. Tetra powstała z myślą o zarządzaniu kryzysowym i co za tym idzie służbach bezpieczeństwa i w takim właśnie charakterze działa norweski Nødnett. Nie chodzi tu wyłącznie o rosnące ryzyko ataków terrorystycznych. Nødnett jest nieodzowny w przypadku kataklizmów naturalnych – jak np. częstych w Norwegii lawin – lub też karamboli samochodowych. Odpowiedzialna za ten rodzaj infrastruktury Krajowa Dyrekcja ds. Komunikacji Kryzysowej zleciła jego stworzenie dwóm wykonawcom, którymi są Motorola i Broadnet. Do tej pory wszystko jest w najlepszym porządku. Okazuje się jednak, że Broadnet przekazał obsługę sieci indyjskiemu przedsiębiorstwu Tech Machindra. Problem nie polega wyłącznie na tym, że indyjski kontrahent nie miał odpowiednich uprawnień, ale również na tym, iż w myśl norweskiego prawodawstwa system musi być obsługiwany z terytorium kraju.