Bezpieczeństwo IT jest zaległością, którą trzeba odrobić – wywiad z Przemysławem Kucharzewskim

Bartosz Martyka
Bartosz Martyka - Redaktor naczelny Brandsit 14 min
14 min

Wielkimi krokami zbliża się moment, w którym RODO, czyli Rozporządzenie Ogólne o Ochronie Danych Osobowych, wejdzie w życie. Niektórzy przedsiębiorcy mają wciąż trudności z przygotowaniem się do tej zmiany. W rozmowie z Przemysławem Kucharzewskim, Dyrektorem Sektora Biznesowego w firmie NEWND, poruszamy tematy zarówno bezpieczeństwa IT, jak i samego RODO.

BrandsIT: Swoją przygodę, jeśli chodzi o IT, zacząłeś w 1995 roku…

Przemysław Kucharzewski: Zawodową tak, a nawet trochę wcześniej. Generalnie z komputerami do czynienia mam od ósmej klasy szkoły podstawowej i rozpoczynałem swoją przygodę z komputerem ZX81. Można powiedzieć, że to był taki mały kalkulator, który miał 1KB pamięci RAM, natomiast moim pierwszym własnym komputerem był Atari 800 XL. Oprócz oczywiście gier, zacząłem wtedy po raz pierwszy działać pod kątem pisania aplikacji. Pisałem je wtedy zarówno w Basic’u, który był wbudowany w urządzenie, jak i w Asseblerze. Ta przygoda trwała kilka lat, a w trzej klasie liceum zostałem posiadaczem pierwszego PC XT. [signinlocker id=9973]

BrandsIT: W tamtych czasach to był szczyt marzeń. Ile Twoja jednostka miała MHz?

Przemysław Kucharzewski: 4,77 MHz. Do tego dysk twardy 20 MB. To był moment, w którym zacząłem programować bardziej na poważnie. Pisałem aplikacje w Turbo Pascalu. Program, z którego byłem wówczas najbardziej dumny to był program do kosztorysowania robót budowlanych. Napisałem go dla swojego Taty, który ma firmę budowlaną. Wtedy nie było komercyjnych aplikacji tego typu, więc stworzyłem taką dla Niego.

Jeśli chodzi o studia, zdecydowałem się na Politechnikę Wrocławską, na Wydział Informatyki i Zarządzania. Na pierwszym roku znów zmieniłem komputer na PC AT 386. Wtedy też zacząłem korzystać z wielu języków programowania, począwszy od C++, przez Turbo Pascala, po Turbo Vision, Progress, Clipper, D-Base.

To były bardzo pionierskie czasy. Największym przełomem w moim życiu było pojawienie się Internetu, już nie tylko za pomocą łączy Telekomunikacji Polskiej, ale też w akademiku czy na uczelni. Głównie korzystało się wtedy z serwisu IRC, czyli społeczności, gdzie można było dyskutować.

Wtedy też rozpocząłem pracę w JTT Computer S. A. – ówczesnego pioniera rynku informatycznego, producenta komputerów, serwerów Adax. Na początku zajmowałem się akcjami promocyjnymi w różnych miastach. To był tak zwany Adax Roadshow. Na takie spotkania przychodziło nawet po 1000 osób w ciągu jednego dnia. Pojawiali się tam różni ludzie, m.in. wycieczki ze szkół, z urzędów miast, z fabryk, z zakładów produkcyjnych. Swoją przygodę zawodową z JTT związałem łącznie na blisko osiem lat. W tej firmie zajmowałem później serwerami Adaxa, byłem product menagerem i kierownikiem sekcji, następnie byłem dyrektorem całego działu odpowiedzialnego za portfolio produktowe, kanał sprzedaży.

Można powiedzieć, że cała moja przygoda zawodowa przez te ostatnie dwadzieścia parę lat związana była z wprowadzaniem nowych rozwiązań IT na rynek, czy to sprzętowych czy software’owych. Pracowałem na rzecz kilku dystrybutorów, między innymi AB S.A., Eptimo S.A., Incom S.A..

BrandsIT: Zdarzały się niegdyś przypadki niezabezpieczonych sieci WiFi w bankach, poprzez które można było mieć dostęp do wszystkich danych banku. Teraz jest to nie do pomyślenia. Jak oceniasz zmianę świadomości właścicieli firm i osób z działów IT na przestrzeni kilkunastu ostatnich lat?

Przemysław Kucharzewski: Wydawać by się mogło, że świadomość tego, do czego komputer służy, do czego można go zastosować, jest coraz większa i, można powiedzieć, nadąża za rynkiem. Natomiast rozumienie tego, że dane są de facto najbardziej cennym zasobem w organizacji – to w jaki sposób z nich korzystamy, jak je udostępniamy, jak się łączymy, przez jakie łącza, gdzie, jak jest zabezpieczona infrastruktura w danej firmie – to w przypadku mniejszych, średnich i nawet całkiem sporych przedsiębiorstw, zatrudniających kilkaset osób, jest na niezadowalającym poziomie.

Niektórych przedsiębiorców cechuje dość beztroskie podejście do bezpieczeństwa IT, ponieważ wychodzą z założenia, że nic złego nie może się wydarzyć, a jeśli, to “coś się uda zrobić”.

BrandsIT: W ostatnim komentarzu, którego udzieliłeś dla naszego portalu, stwierdziłeś, że “sektor biznesowy ma aktualnie największy potencjał inwestycyjny w zakresie IT”. Czy możesz rozwinąć tą myśl?

Przemysław Kucharzewski: Potwierdzam to, ponieważ patrząc na całość rynku IT w tej chwili w Polsce można zauważyć, że inwestycje w sektorze publicznym spadły w ciągu ostatnich dwóch lat mniej więcej o 50 proc. względem roku 2015, a z drugiej strony są duże korporacje, które bardzo często są korporacjami zagranicznymi, więc przenoszą swoje standardy między krajami i są już przystosowane do działania w zdigitalizowanym świecie. Dystans pomiędzy Europą Zachodnią i Stanami Zjednoczonymi a Polską, w przypadku tych dużych korporacji, właściwie nie istnieje. Jest też sektor SMB, który jest najbardziej elastyczny. W tym sektorze procesy decyzyjne są bardzo krótkie, choć SMB w dużym stopniu musi nadgonić różnice, jakie występują w porównaniu z dużymi organizacjami z zakresu rozwoju technologii, zastosowania informatyki w procesach funkcjonowania danej organizacji i bezpieczeństwa IT.

Jeśli zaś chodzi o to ostatnie, to badania jasno pokazują, że w Polsce nakłady na bezpieczeństwo IT są wielokrotnie niższe niż w przypadku krajów Europy Zachodniej. Żeby organizacje były bezpieczne, szacuje się, że co najmniej 10 proc. budżetu IT powinno być przeznaczone na zagadnienia związane z bezpieczeństwem IT. W Polsce jest to około 2-3 proc. Powołując się na badania przeprowadzone przez firmę zajmującą się bezpieczeństwem, w Niemczech na bezpieczeństwo wydaje się około 30 proc. budżetu IT. To są na prawdę kolosalne kwoty.

Najistotniejsze jest to, żeby zapewnić ciągłość funkcjonowania organizacji. Warto zawsze być gotowym na to, że coś może się wydarzyć, bo wtedy można w bardzo krótkim czasie usunąć problem. Niewiele osób zarządzających zdaje sobie sprawę, że przykładowy przestój funkcjonowania systemu informatycznego oznacza brak sprzedaży. Utracone korzyści są ogromne, począwszy od klientów po utracony dochód czy marże.

BrandsIT: Czy uważasz, że niskie nakłady na bezpieczeństwo IT mają związek z naszą mentalnością? Właściciele polskich firm nie byli skłonni do inwestycji, kierując swoje działania na szybki zysk. Z drugiej strony, właściciele nie mają wystarczającej wiedzy, żeby zweryfikować pracę działów IT, co skutkuje tym, że osoby odpowiedzialne za bezpieczeństwo nie przykładają się w wystarczający sposób do zadań, które do nich należą. 

Przemysław Kucharzewski: Na pewno w przypadku szefów działów IT można zaobserwować dwie postawy. Pierwszą z nich, jak to nazywam, jest “okopywanie się”, czyli za wszelką cenę udowadnianie swojej przydatności, twierdząc, że wszystko jest w porządku, że nie trzeba nic zmieniać, że są niezbędni do tego, żeby firma funkcjonowała, a drugą postawą jest brak odwagi wobec zarządu, by rozmawiać wprost na temat dynamicznie zmieniającego się świata technologii. Szefowie działów rezygnują czasem z wyjaśniania przełożonym, że ten świat, który znamy sprzed kilku lat, za kilkanaście lat będzie całkowicie inaczej wyglądał. W tej chwili obserwuje się, że narzędzia pracy, to w jaki sposób ludzie pracują zaczyna mieć kolosalny związek z postępem technologicznym i bez nakładów na IT może oznaczać bardzo rychły koniec istnienia organizacji, bo ta przestanie być konkurencyjna. Dlatego dział IT w firmie i jego praca jest tak bardzo istotny.

Wrócę jeszcze do bezpieczeństwa IT. Backup jest absolutną podstawą, jeśli chodzi o bezpieczeństwo IT, ponieważ może zapewnić ciągłość funkcjonowania w razie jakiekolwiek incydentu, którym może być przykładowo zaszyfrowanie danych przez kryptolockera. W ubiegłym roku, kiedy dosyć mocno zajmowałem się właśnie backupem, spotkałem firmy, które mają kilkaset stanowisk komputerowych, a backup polegał tam na tym, że dane z systemu ERP przegrywane były na dysk zewnętrzny, który był dostępny przykładowo dla wszystkich. Jeden z czołowych dystrybutorów części samochodowych z powodu jednego incydentu miał dwutygodniowy przestój w działalności, jedna z ogólnokrajowych firm kurierskich również właściwie nie funkcjonowała przez trzy tygodnie z tego powodu, że organizacja nie miała ani właściwego backupu ani właściwego centrum zapasowego.

Zarządy firm przeznaczają kolosalne kwoty na ubezpieczenie przykładowo samochodów, ale nie przeznaczają środków na to, żeby zapewnić bezpieczeństwo IT swojej organizacji. Odpowiedzi, które uzyskałem odnośnie takiej sytuacji były w zasadzie podobne do siebie i brzmiały “to się nie zdarzyło”. Warto pamiętać, że świat się przecież zmienia, zmienia się także działanie przestępców. Teraz nie trzeba mieć pistoletu i iść do banku, żeby go obrabować, ale można w białych rękawiczkach zaatakować firmę, zaszyfrować dane i żądać okupu.

BrandsIT: Czyli byłbyś skłonny określić bezpieczeństwo jako najważniejszy element biznesu, jeśli chodzi o IT?

Przemysław Kucharzewski: Powiedziałbym, że bezpieczeństwo IT jest zaległością, którą koniecznie trzeba odrobić, żeby dana organizacja mogła funkcjonować. Wiadomo, że należy mieć w głowie również to, że zmienia się też cała koncepcja biznesu, wchodzimy w przemysł 4.0, w IoT. Ale warto przy tym wiedzieć, że można inwestować w nowe technologie, ale kiedy nie mamy zapewnionego bezpieczeństwa, to lepiej zabezpieczyć najpierw to, co już mamy, a później zastanawiać się, jak rozwijać i zmieniać sposób funkcjonowania organizacji.

BrandsIT: Zamyka się GIODO. Co to oznacza dla przeciętnej firmy?

Przemysław Kucharzewski: Wejście w życie RODO jest dla przedsiębiorców nieco niekomfortowe, mogłoby się wydawać, ale myślę, że generalnie jest to taki impuls dla większości organizacji i w największym stopniu właśnie dla  MŚP do tego, żeby zająć się w ogóle bezpieczeństwem.

Rozporządzenia o Ochronie Danych Osobowych jest dosyć ogólnym rozporządzeniem. Ma ono być takim wyznacznikiem prawnym, które ma funkcjonować przez wiele lat. Wiemy, że postęp technologiczny na prawdę następuje i nie ma w odpowiednich ustawach napisane, w jaki sposób odpowiednio zabezpieczać dane, co robić.

Najistotniejszych jest kilka kwestii, czyli ochrona danych osobowych i otrzymywanie zgód od podmiotów, czyli właścicieli tych danych na ich przetwarzanie  w odpowiednim zakresie, jak również to, żeby każdy podmiot, czyli każda osoba mogła stwierdzać, że nie chce, by dłużej przetwarzano jej dane oraz, żeby mogła być zapomnianym. Oczywiście należy pamiętać również o tym, że istnieją pewne przepisy wyższe, na przykład ustawa o księgowości, są przepisami nadrzędnymi, które pozwalają na to, żeby dane przetwarzać w określonym czasie.

Mówiąc wprost, RODO wymaga, żeby chronić dane osobowe przed wyciekiem, utratą tak, żeby można było przeprowadzić wszystkie te działania, o których mówiłem, jak również prowadzić rejestr przetwarzania tych danych, mieć zgody i odpowiednie umowy od podmiotów powiązanych, od swoich podwykonawców, którzy te dane przetwarzają na rzecz danej organizacji. Oczywiście jeśli mamy jakiś podmiot, firmę zewnętrzną, która świadczy usługi księgowe, kadrowe, kwestie związane z zatrudnianiem, jakieś agencje marketingowe, współpracuje z prawnikiem, notariuszem – wszędzie te dane w jakiś sposób są przekazywane, więc trzeba mieć świadomość tego, że musimy jako organizacja, i to każda de facto, mieć odpowiednie zgody od tych podmiotów, czyli od osób, których dane osobowe przetwarzamy, a z drugiej strony musimy zapewnić im bezpieczeństwo tych danych. Istnieje szereg działań prawnych, które musimy podjąć, dlatego warto, żeby organizacja przeprowadziła audyt prawny i dostosowała się do zaleceń kancelarii prawnych, które specjalizują się w ochronie danych osobowych, własności intelektualnej, jak również zwróciła uwagę na to, jakich systemów informatycznych używa i czy te systemy są zgodne z RODO. Warto także spojrzeć na wszystkie umowy, jakie mamy z kooperantami i  w jakim zakresie te podmioty mogą przetwarzać dane osobowe.

BrandsIT: Na czym skupi się w najbliższym czasie działalność NEWIND?

Przemysław Kucharzewski: NEWIND do tej pory najbardziej koncentrował się na rynku publicznym, natomiast moim zadaniem jest to, żeby rozszerzyć tą działalność o współpracę z podmiotami z sektora biznesowego, ponieważ jest to sektor, który rozwija się bardzo dynamicznie, a procesy implementacji systemów, zmian podejścia, nawet właścicielskiego, są dużo szybsze niż w przypadku korporacji. W ostatnim czasie uruchomiliśmy projekt RODOgotowi, którego zadaniem jest edukowanie i uświadamianie organizacjom, jakie korzyści i zagrożenia mogą dla nich wynikać z faktu wejścia w życie Rozporządzenia Ogólnego o Ochronie Danych Osobowych. Planujemy także rozwój naszego Data Center. Poza standardowymi usługami w tym zakresie, takimi jak kolokacja czy serwery wirtualne, chcemy uruchomić usługi backupu i recovery w chmurze. [/signinlocker]

Udostępnij
Leave a comment

Dodaj komentarz