Otóż nie i nie. To jedna z pułapek ideologicznego myślenia o open source. Twórcy tych licencji dbają o to, aby twórca opracowania (czyli nasz programista ze spółki A, czy raczej sama spółka) nie „zamknęły” kodu takich opracowań. Ale nie oznacza to, że zmuszają, aby kod zawsze pokazać publicznie, nie oznacza, że świat „zewnętrzny” ma zawsze roszczenia. Open source działa w relacji licencjodawca – licencjobiorca. Jeżeli udzielana jest licencja, licencjobiorca (i tylko on) może żądać dostarczenia kodu źródłowego. Jeżeli żadna ze stron takiej umowy nie jest zainteresowana udostępnieniem kodu źródłowego innym osobom, nie mają takiego obowiązku. Dopiero gdy spółka B rozpowszechni oprogramowanie, które nabyła, będzie musiała udostępnić kod źródłowy każdemu z użytkowników tego oprogramowania.

Mechanizm ten ma szczególną wagę w grupach kapitałowych. Jeżeli jedna ze spółek ma charakter tzw. CUW/Centrum IT i opracowuje rozwiązania dla całej grupy – choćby i tysiąca spółek – to każda z tych spółek ma prawo do otrzymania kodu, ale nie mają obowiązku jego pokazywania na zewnątrz. Mimo objęcia kodu licencją GPL można więc cały czas kontrolować know-how i tajemnice przedsiębiorstwa, jeżeli są zawarte w kodzie.

A teraz druga zagadka: ten sam programista (spółka A) mówi „hola, hola, ale tam jest pełno mojego kodu – udostępnię na licencji GPL tylko to, co jest pierwotnie na GPL, a to co opracowałem, na własnościowej, komercyjnej licencji”. Czy taki „hybrydowy” mechanizm ma szansę zadziałać?

Ma, ale rzadko. Wszystko zależy od tego, co i jak połączył programista. Nie każde użycie kodu open source, nawet na GPL, zaraża. To wyzwanie zarówno od strony prawnej, jak i architektury systemu, ale bywa i tak, że możemy zaprojektować rozwiązanie w ten sposób, by ryzyka zarażenia uniknąć (IP by design). Jednak GPL ma tę cechę, że w zarażaniu jest bardzo skuteczny. Żeby wytłumaczyć, jak ten mechanizm zarażania działa, potrzeba trochę teorii.

Interfejs między prawem autorskim a klauzulą copyleft

Ochrona praw autorskich do utworów nie ogranicza się do ich dosłownej treści. Nie miałaby ona sensu, gdyby po dokonaniu prostych modyfikacji można było korzystać z utworu bez zgody autora. Dlatego też prawo autorskie pozwala autorowi kontrolować również wykorzystanie utworów zależnych (adaptacji, tłumaczeń, aranżacji i innych zmian, określanych łącznie mianem opracowań). Na poziomie międzynarodowym zostało to uregulowane w art. 8 i 12 Konwencji Berneńskiej, a w UE w odniesieniu do programów komputerowych w art. 4 (1) (b) dyrektywy 2009/24/WE. Na poziomie krajowym jest ono traktowane albo jako odrębne prawo (najczęściej określane jako „prawo do adaptacji”) [1], albo jako część szerszego prawa do zwielokrotniania [2]. W każdym przypadku, gdy mamy do czynienia z utworem zależnym (opracowaniem), korzystanie z niego wymaga zgody nie tylko autora utworu zależnego (opracowania), ale także autora utworu pierwotnego (oryginału).

Prawo autorskie nie definiuje, czym jest opracowanie. Najogólniej rzecz ujmując, jego istotą jest „twórcza ingerencja” w dzieło twórcy pierwotnego. Każde opracowanie, w tym opracowanie programu komputerowego, jest więc wynikiem twórczości intelektualnej, w której występują obok siebie elementy twórcze zaczerpnięte z utworu oryginalnego, a także elementy twórcze dodane przez twórcę utworu zależnego. W świecie innym niż rynek oprogramowania to na przykład tłumaczenie „Harry’ego Pottera” czy adaptacja filmowa książek J.K. Rowling. Niby coś innego, literka w literkę nie ma sensu porównywać, ale gdyby nie oryginał, opracowania by też nie było.

Możliwość kontrolowania korzystania z utworów w postaci opracowania zapewnia klauzula copyleft. Z prawnego punktu widzenia, klauzula copyleft to zezwolenie na korzystanie z opracowania programu pierwotnego (oryginału), udzielone przez pierwotnego autora (autorów) pod warunkiem, że opracowanie zostanie również udostępnione na tych samych warunkach. Klasyczny przykład takiej klauzuli znajdziemy w GNU GPL 2.0, która stanowi w paragrafie 2 (b), że: „Musisz spowodować, że jakakolwiek praca, którą rozpowszechniasz lub publikujesz, która w całości lub w części zawiera lub jest pochodną Programu lub jego części, będzie licencjonowana jako całość bez opłat dla wszystkich stron trzecich zgodnie z warunkami niniejszej Licencji”. Na pierwszy rzut oka proste. Jednak trudność tkwi w udzieleniu odpowiedzi na pytanie, kiedy w przypadku software’u dochodzi do powstania opracowania. Spróbujmy przejść przez kilka scenariuszy.

Artykuł Open source: trochę dłuższa analiza (cz. II) pochodzi z serwisu CRN.

„Najgorsze doświadczenie zakupów online. Zwycięzcą tej kategorii jest Empik Group… i jednocześnie wielkim przegranym, bo gdy firma doprowadzi Cię do sytuacji, że chcesz wszystkim swoim znajomym powiedzieć – unikajcie tej firmy jak ognia to znaczy, że naprawdę wszystko było nie tak” – tak zaczyna swój wpis Piotr Płóciennik, CEO Salesberry. A dalej wyjaśnia: „Miesiąc temu zamówiłem kamerkę internetową na empik.com. Kamerka przyszła po dwóch dniach, ale nie ta. (…) Zadzwoniłem, odesłałem i poprosiłem, by przysłać mi właściwą. Mijają kolejne dni. Kamerki nie ma. Panie na infolinii są miłe i zapisują nasze rozmowy w systemie. Efektu brak. W końcu informacja: mamy czternaście dni na rozpatrzenie reklamacji. Hej – to nie jest reklamacja! Po prostu wyślijcie mi właściwy towar. Czekam na niego. Mijają kolejne dni. Kolejne miłe Pani odpowiadają, że oddzwonią i cisza. W końcu nie ma wyjścia – wysyłam ostateczne, przedsądowe wezwanie do wydania towaru i informuję Empik, że zawiadomię policję o możliwości popełnienia przestępstwa (próba wyłudzenia, kradzieży). W końcu po 25 dniach dostaję informację, że Empik nie zrealizuje zamówienia i odeśle mi pieniądze. Sprawdzam kilka razy maila z tą informacją. Nie ma tam słowa <<przepraszamy>>”. Bez komentarza.

Wielu z nas do dzisiaj pamięta wdrażanie procedur narzuconych przez RODO, a niejeden dostawca IT na tym nieźle zarobił. Co nie zmienia faktu, że w dobie pandemii przepisy te stały się częściowo fikcyjne. Kwestię tę poruszyła niedawno Anna Streżyńska, CEO MC2 Innovations, zwracając uwagę, że „przyjęte we współczesnym świecie decyzje regulacyjne rozdęły RODO do nieprzytomności, nieproporcjonalnie do zapewnianej ochrony, uniemożliwiając normalne prowadzenie biznesu – co wie każdy, kto musi wypełniać kilka rejestrów i pozostałe wymagania. Jednocześnie, gdy rząd musi wykonać jakieś zadanie to albo z niskich pobudek łamie ustanowione przez siebie zasady, jak w przypadku wyborów i lekko rozdysponowuje dane bez zgody zainteresowanych, albo niepotrzebnie narusza prywatność dla tzw. wyższego dobra (jak w przypadku apki COVID-owej monitorującej przemieszczanie). W ten sposób resztki zaufania do państwa ulegają destrukcji”. Krótko mówiąc: co wolno wojewodzie, to nie tobie… obywatelu.

Dlaczego transformacje zwinne i cyfrowe często się nie udają? – to z kolei pytanie, jakie zadał Adrian Sasin, założyciel Szkoły Kierowników IT, od razu udzielając odpowiedzi: „bo zarządzający firmą traktują to jak każdy inny projekt – <<weźcie, zróbcie i powiedzcie, gdy będzie już gotowe>>”. Podkreślił przy tym, że transformacja to sprawa całej firmy, a nie jednej osoby czy jednego działu. Jeśli transformacja ma się udać, zarządzający i decydenci muszą zmienić swoje spojrzenie na biznes i otoczenie, swój sposób myślenia, czyli zmienić siebie. „Budżet przydzielany raz w roku na konkretne projekty? Czas to zmienić i podejmować decyzje w każdym miesiącu – gdzie inwestujemy, gdzie wprowadzamy zmiany, co jednak trzeba przerwać”. Takie czasy…

„Dlaczego mam skok ciśnienia, gdy przetarg wygrywa jakaś bliska konkurencja. Im bliższa, tym większy skok. I dlaczego wygrali?” Takim dylematem podzielił się na LinkedIn Marcin Maruta, Partner w kancelarii Maruta Wachta. Ciekawe są dalsze wnioski: „Odpowiedź jest często zaskakująco prosta – bo mieli lepsze oferty. Lepszą wartość dla klienta. A skąd ciśnienie? Bo to suma moich strachów, mają zrobione coś lepiej, mają argumenty, których mi brak. To takie <<lustereczko powiedz przecie>>. Warto przyjrzeć się ich ofertom, sprzedaży, nawet www. Im lepiej ich znamy, tym sprawniej pójdzie nam SWOT. To źródło i inspiracji, i darmowego konsultingu”. Nam pozostaje się zgodzić i dodać, że dotyczy to każdej branży.

Resort cyfryzacji zajął się w ostatnim czasie nowelizacją ustawy o krajowym systemie cyberbezpieczeństwa. Łukasz Nowatkowski, CTO&CMO w G Data Software  zwrócił uwagę na zapis, który pozwala wydać premierowi nakaz odłączenia dostępu online dla połączeń z określonymi adresami IP lub stronami WWW. Resort zapewnia, że takie kroki będą konieczne tylko „w przypadku wystąpienia incydentu krytycznego”, przy czym mają być opatrzone klauzulą natychmiastowej wykonalności i będą mogły obowiązywać przez okres dwóch lat. Ponadto projekt pozwala wydać je bez uzasadnienia „jeżeli wymagają tego względy obronności lub bezpieczeństwa państwa lub bezpieczeństwa i porządku publicznego”. Czy jednoosobowe podejmowanie tak strategicznych decyzji może być bezpieczne dla nas wszystkich? Co z naszą wolnością? – pyta Łukasz Nowatkowski. A my razem z nim…

Marcowy pożar w OVH wywołał lawinę komentarzy, czemu trudno się dziwić, biorąc pod uwagę skalę zniszczeń i liczbę poszkodowanych klientów. W tym kontekście Andy Brandt, założyciel Code Sprinters, zwrócił uwagę, że „to pokazuje zagrożenia wynikające z postępującej centralizacji Internetu. Był on oryginalnie projektowany jako sieć rozproszona, a więc przez to odporna na awarie i ataki. I takim był do mniej więcej 2010 roku, kiedy to <<chmura>> z jednej a scentralizowane serwisy, takie jak Facebook czy LinkedIn, zaczęły zmieniać ten obraz. W efekcie znikają niezależne serwery, na których stoją niezależne aplikacje czy fora. Po dekadzie tego procesu z jednej strony możliwa jest centralna cenzura (która jest smutną realnością naszych czasów – sieć, która miała być miejscem wolności staje się miejscem tępienia <<nieprawomyślnych>>), ale jest też drugie zagrożenie: coraz większe uzależnienie od niewielkiej liczby krytycznych lokalizacji. (…) Dlatego warto mieć kopie <<u siebie>>. To staromodne, ale jednak…” Krótko mówiąc: przezorny zawsze ubezpieczony.

Artykuł LinkedIn Park pochodzi z serwisu CRN.

Od pewnego czasu w korytarzach TVN-u furorę robi powiedzenie „kochajmy ludzi, tak szybko odchodzą”. Co jakoś wcale nie bawi pracowników z działu HR, którzy i tak nie mają łatwo, bo proces zwalniania jest równie trudny jak rekrutacja. Coś o tym wie Paweł Zdziech, Recruitment & Communications Manager w 7N, który w dziesiątą rocznicę pracy podzielił się kilkoma wspomnieniami z tego okresu. Na przykład emailem od pana Leszka W., któremu nie udało się przejść przez rekrutację na stanowisko Project Managera. Fragment korespondencji cytujemy (zachowując pisownię oryginalną): „tym waszym modelem 75/25 możecie sobie obetrzeć tylek – ja się nie dam wykorzystać, chociaż nie wykluczone ze paru głupich i naiwnych w Polsce sie jeszcze znajdzie, (w Niemczech już nie). (…) Napisalem tez emaila do Jeppe Hedaa, sugerując aby poslal Pana na kurs wymowy angielskiej bo to co pan prezentuje jest zenujace i dyskwalifikuje Pana w roli interviewera”… Bez komentarza.

Tak zwany Plan Odbudowy dla Europy (po skutkach reakcji rządów na koronawirusa) zakłada wpompowanie w rynek UE 1,8 bln euro, z czego część ma być przeznaczona na cyfryzację. Jak napisała Anna Streżyńska, była szefowa resortu cyfryzacji: „w ministerstwie w latach 2015 – 2018 próbowaliśmy – bezskutecznie – sprząc dokumentację elektroniczną i całą publiczną służbę zdrowia, dokumentacje i służby resortowe oraz szpitalnictwo samorządowe. Żeby system wreszcie zaczął działać i nie dręczyć udręczonych chorobami ludzi. Nie wymaga to RE-CENTRALIZACJI, o czym ostatnio słyszymy, lecz CYFRYZACJI. Dostaliśmy już mnóstwo pieniędzy na te cele w poprzednich perspektywach budżetowych Unii Europejskiej, niestety nadal udręczeni chorobami ludzie albo leczą się z pomocą Doktora Google, albo pielgrzymują ze swoimi cierpieniami po analogowych izbach przyjęć, z grubymi teczkami dokumentacji w dłoniach, próbując trafić w czas lekarskiej dostępności. Jesteśmy dziś beneficjentami Planu Odbudowy w każdym strumieniu. To szansa na wielką zmianę w dziedzinach cyfryzacji i zdrowia”. Obyśmy ją tym razem wykorzystali.

Im więcej chmur, tym mniej słońca, ale też… pieniędzy, przynajmniej z punktu widzenia wielu integratorów. Problem poruszył Jakub Skałbania, szef Netwise USA. Zaczął od przypomnienia obietnic składanych przez Microsoft i innych chmurowych vendorów: „subskrypcje chmurowe to szansa dla naszych partnerów na przychody w nowych obszarach”; „dzięki Azure i nowym modelom licencjonowania (CSP) nasi partnerzy zwiększają przychody znacząco”… „Tymczasem przychody ze sprzedaży licencji, hostingu, marż, promocji, co-op’ów, subskrypcji partnera takiego jak Netwise zmalały kilkakrotnie. Mimo faktu, że po 2015 roku zaczęliśmy obsługiwać globalnych klientów, z których ponad dziesięciu ma miesięcznie KILKADZIESIĄT razy więcej licencji niż w 2014 i 2013 w sumie sprzedaliśmy… Te przychody owszem rosną, ale tylko Microsoft’owi”. To na pewno.

„Szansa na legalną inwigilację w UE? Ostatnio niezbyt często piszę tu o prawie. Ale to poraża” – zaalarmował dr Maciej Kawecki, dziekan Wyższej Szkoły Bankowej i doradca w kancelarii Maruta Wachta. „Parę dni temu Rada UE wydała ogólnikową rezolucję, w której wzywa do wprowadzenia nowych zasad regulujących stosowanie szyfrowania danych w Europie. (…) W dalszej części rezolucji wskazuje się, że stosowane dzisiaj zaawansowane techniki szyfrowania danych uniemożliwiają dostęp do nich… różnym organom państw członkowskich. Finalnie wzywa się więc państwa członkowskie do propagowania rozwiązań technicznych, pozwalających takim organom na dostęp! Rezolucja jest tak ogólna, że swoją nadinterpretacją będzie pozwalała na uzasadnienie niemal każdej formy inwigilacji”. Nie śmiemy nawet wątpić, że oczywiście to wszystko dla naszego dobra.

Wytrwałość Amerykanów w dążeniu do podboju kosmosu została nagrodzona 18 lutego, kiedy łazik Perseverance wylądował na Marsie. Do tego wydarzenia odniósł się na LinkedIn Maciej Nowicki, Creative Director w CVVP, który podzielił się następującą uwagą: „łazik marsjański ma atomowe serducho i w odróżnieniu od poprzedników nie korzysta z baterii słonecznych, które na Marsie sprawdzają się średnio. Zamiast nich ma zasilanie nuklearne. Nie jest to co prawda reaktor atomowy, ale też całkiem imponujący generator radioizotopowy z zapasem plutonu na kilkadziesiąt lat. Perseverance prędzej wykaże oznaki sklerozy niż zapadnie na energetyczny uwiąd starczy”. Kosmos…

Jakiś czas temu Tomasz Gołębiowski, nasz rednacz, poprosił na LI o opinie w sprawie żądania ze strony niemieckich nauczycieli, którzy zaapelowali do tamtejszych władz o przejście na tanie programy open source’owe w lokalnej serwerowni zamiast na przykład kosztownego Office 365 w chmurze. W odpowiedzi Piotr Kawecki, Managing Partner w ITBoom, podzielił się linkiem do artykułu w PC World o jednoznacznie brzmiącym tytule: „Porażka Linuksa w Monachium. Zastąpi go Windows 10”. Jednoznaczny jest też komentarz Piotra Kaweckiego: „Historia zatacza koło i widzę, że Niemcy nie uczą się na błędach sprzed lat. W 2003 roku, jako pionierzy wywalczyli ustawowy przykaz stosowania rozwiązań typu open source, a po latach wrócili jednak do dużo bardziej funkcjonalnych i uniwersalnych narzędzi Microsoftu”.

Artykuł LinkedIn Park pochodzi z serwisu CRN.

Sztuczna inteligencja nie ma ostatnio dobrej prasy. Jakiś czas temu odniósł się do tego Jakub Skałbania, założyciel Netwise’a: „Pisałem na początku roku, że jedną z technologii, która <<nie dowiezie>> wartości i się nie rozwinie w 2020 (zatrzyma?) jest szeroko pojęte AI. Teraz, po 3 kwartałach, już oczywiście nie ma wątpliwości, że miałem rację. Ale to nie przeszkadza rynkowi produkować podcasty, video, materiały itd. o tym, jak AI jest proste i jak zmienia świat biznesu. W tej pogoni za hype’m i tym, że każdy musi <<robić AI>> ludzie bez wiedzy zapominają (a najpewniej nie wiedzą) to, co napisał Seth Earley w 2017… <<There is no AI without IA (Information Architecture)>>. Otrzeźwienie będzie bolesne, bo nagle okaże się, że ten AI to takie <<big data>> z 2015. Wszyscy o nim mówią, a nikt nie umie wykorzystać”. W sumie może to i lepiej?

Cenzura to zło, które może być mniejsze (ludzki cenzor) lub większe (cenzor nieludzki). W przypadku mediów społecznościowych coraz częściej mamy do czynienia z algorytmami, które ludzkie na pewno nie są. Ich ofiarą padł dr Maciej Kawecki, dziekan Wyższej Szkoły Bankowej i doradca w kancelarii Maruta Wachta, publikując wpis, w którym zapytał prof. Artura Ekerta, dlaczego swojemu wykładowi na Uniwersytecie Cambridge nadał tytuł: „Czy prywatność jest dla paranoików?”. I właśnie te dwa zestawione ze sobą słowa – „Cambridge” i „paranoików” – spowodowały, że algorytm uznał wpis za krytyczne zagrożenie dla społeczności. „Zapewne uznając, że mówię o Cambridge Analytice. Jak śmiem, zestawiać ze słowem Cambridge słowo paranoja!” – irytował się Maciej Kawecki, którego konto zostało zablokowane za naruszanie zasad społeczności. Tak, Panie doktorze, niewątpliwie mamy do czynienia z paranoją.

Mimo rosnącej skali cyberzagrożeń i wynikających z nich konsekwencji finansowych i wizerunkowych, wiele organizacji nadal nie stosuje odpowiednich zabezpieczeń. Specjaliści Quest Dystrybucja zadali w związku z tym zasadne pytanie: kto w takim razie powinien wziąć na siebie odpowiedzialność w przypadku naruszenia bezpieczeństwa? Okazuje się, że według analityków Gartnera do 2024 r. aż 75 proc. dyrektorów generalnych będzie osobiście odpowiadać za incydenty związane z naruszeniem bezpieczeństwa systemów cyberfizycznych (CPS). Do sprawy odniósł się Wacław Iszkowski, Senior Konsultant przemysłu teleinformatycznego, który zauważył, że „przyczyny naruszenia bezpieczeństwa nie są natury losowej, jak tornado, lawina czy powódź, ale są efektem przestępstwa osoby lub grupy osób”. W związku z tym jego zdaniem „nakładanie na osoby zarządzające odpowiedzialności za naruszenie bezpieczeństwa nie ma logicznego sensu, bo te osoby nie są w stanie zapewnić takiego bezpieczeństwa, gdyż nawet po zarządzeniu zainstalowania wszystkich istniejących aktualnie programów ochrony systemów nie mają żadnej gwarancji, iż przestępcy nie znajdą nowej metody naruszenia tegoż bezpieczeństwa”. Nasza rada: módl się tak, jakby wszystko zależało od Boga, ale zabezpieczaj się tak, jakby wszystko zależało od Ciebie.

„Na początku roku chciałem już zwolnić handlowca, dziewczynę, która miała zawsze najsłabsze wyniki. Niespodziewanie przyszedł #COVID”. Tak swój wpis zaczyna Marcin Babiak, właściciel Kordo Edukacja, a puenta jest taka, że nowe, „lockdownowe” metody pracy sprawiły, że wspomniana dziewczyna jest teraz… najlepszym handlowcem. To podobno jak najbardziej prawdziwa historia, zasłyszana przez Marcina z pierwszej ręki. „Jakie zatem nowe wymagania stawia pandemia przed handlowcem B2B?” – pyta Marcin Babiak i odpowiada, że „obecnie mogą czuć się jeszcze bardziej pozbawieni motywacji, przytłoczeni, pod presją targetów”. A jednak „jest łatwiej namówić klientów do kontaktu zdalnego – umiejętność spotkań osobistych jest, siłą rzeczy, mniej istotna”. Ponadto „wzrosła u handlowców rola umiejętności miękkich – zwłaszcza okazywania empatii, tworzenia wrażenia autentyczności, budowania relacji. Umiejętność słuchania klienta stała się ważniejsza niż sprzedawania”. Pouczające.

Najciekawsze lekcje biznesowe w 2020? Każdy odebrał swoje, choć większość woli milczeć na ten temat. Nie zamilkł Mirosław Burnejko, prezes Transparent World, który między innymi nauczył się, że „trzeba przygotować się na fakupy, bo zawsze występują. W tym roku na przykład nasz spec od reklam puścił reklamę, której nie miał puścić i oberwało nam się za to. Akcja kosztowała mnie trochę zdrowia”. Poza tym „działa to, co dobre i sprawdzone. Testowaliśmy w tym roku prawie wszystko – od AI przez boty. Co działa najlepiej w marketingu? U nas content + reklamy na Facebooku. Jak działa najlepiej sprzedaż? U nas poprzez e-mail. Zabawki kuszą. Działa to, co działało rok temu”. I jeszcze taka lekcja: „Czasami trzeba pozbyć się swoich udziałów, aby firma lepiej działała. W jednej z naszych firm zmniejszyliśmy ze wspólnikiem udziały w spółce poniżej 50 proc., aby Prezes Zarządu miał większą motywację do pracy. Każdą osobę motywuje coś innego. Trzeba dobrze to badać”. Polecamy jeszcze wpis Mirosława Burnejki pt. „10 lekcji o finansach”. Też krótko i na temat.

Artykuł Co miesiąc sprawdzamy, o czym branża IT (i nie tylko) dyskutuje na LinkedIn – największym biznesowym portalu społecznościowym pochodzi z serwisu CRN.

Rok temu dziennik „Die Welt” pisał o „Silicon Warszawa”, podkreślając, że Polska zdystansowała Niemcy pod względem cyfryzacji czy szybkości internetu. Również na międzynarodowych targach od kilku lat słychać wiele komplementów na temat umiejętności naszych programistów. Tymczasem Roman Jędrkowiak, CEO ADHD Warsaw, postanowił spojrzeć na sprawę z innego punktu widzenia: „Wielu moich rozmówców z branży IT potwierdza, że nasza polska ekscytacja polskimi specjalistami IT to legenda miejska. Ale poprawia nam samopoczucie… Na rynkach międzynarodowych wiele rodzimych firm IT konkuruje ceną. Software house to już jest commodity. Do ekspansji międzynarodowej potrzebna jest silna międzynarodowa marka i profesjonalny marketing. Za profesjonalny marketing uważam coś więcej niż nadaktywność w social mediach”. A po tym wstępie pada bardzo ważne pytanie: „Jeśli mamy takich dobrych informatyków, to dlaczego konkurujemy głównie ceną?”. Wśród wielu odpowiedzi, z braku miejsca, zacytujmy tylko dwie: „Ja się właśnie z taką generalizacją, że konkurujemy ceną nie zgadzam – dobrze znam przynajmniej kilkanaście software house’ów, które nie konkurują ceną. Zrobiły to, co trzeba: analizę rynku, pozycjonowanie, propozycję wartości, komunikację, umieją docierać do właściwych klientów, robią to skutecznie i z klasą” (Piotr Płóciennik, członek zarządu ITCorner). „To wszystko przez shorterminizm – doktrynę najbardziej popularną wśród kadry zarządzającej. W Polsce i na świecie. Liczy się tylko najbliższy kwartał, góra rok. Bo stąd się biorą bonusy i awanse. Dłuższa perspektywa jest nieistotna. Ofiarą takiego myślenia padają nawet wielkie firmy o wspaniałych tradycjach” (Maciej Nowicki, Creative Director CVVP). I, jak się zdaje, obaj Panowie mają rację.

Po wyborach prezydenckich nasiliła się fala deklaracji o wyjeździe z Polski, w której nie wszyscy czują się jak u siebie. W tym kontekście warto zapoznać się z opinią Jakuba Skałbani, założyciela Netwise’a, który ponad 3 lata temu przeprowadził się do Palm Beach, gdzie mieszka i prowadzi biznes (Netwise USA). Po tym czasie postanowił porównać jakość i poziom życia w obu krajach. Okazuje się, że Polska wypada co najmniej przyzwoicie. Wprawdzie w Stanach Zjednoczonych, jak podkreśla Jakub Skałbania: „szanse są ogromne, nieporównywalnie większe; przyjazność i otwartość ludzi absolutnie większe; życie bez patrzenia na innych – zupełnie inaczej; (…) prowadzenie firmy to 1/100 obowiązków w PL; zaufanie urzędów do obywateli ogromne”. Jednak druga strona medalu już tak nie cieszy, bo: „jakość usług jest tu katastrofalnie niska (od domu, po sprzedaż, po każdą usługę); jak ktoś narzeka na 19% PIT w Polsce, proponuję, żeby się zastanowił: 37% podatku federalnego w USA + w 43 stanach stanowy + obowiązkowy FICA, a więc kolejne 12,9% + ubezpieczenie zdrowotne; podatki: katastralny, property, sales, county itd. – masakra; uśmiechy Amerykanów –  sztuczne i do pierwszego problemu; każdy wrzuca tęczowe loga, BLM itd., a jak pogadasz, to KAŻDY Amerykanin powie <<Ja myślę inaczej, ale nie mogę mówić, co myślę>>; załatwianie czegokolwiek z kimkolwiek odbywa się przez prawników”. Tak czy inaczej: zostajemy.

Z jednej strony lekarze walczą z pandemią, a z drugiej muszą przyjmować pacjentów nierzadko w warunkach urągających oficjalnym zaleceniom. Z taką sytuacją spotkał się Mateusz Macierzyński, IT Services Portfolio Manager w Konica Minolta Business Solutions. Posłuchajmy: „Jestem dzisiaj z córką na badaniu w szpitalu, na początku trzeba odczekać swoje (wszyscy pacjenci otrzymują informację, aby przyjść na ósmą) w izbie przyjęć planowych, po to aby podstawowe dane pacjenta zostały zapisane na formularzu papierowym, a później wpisane do systemu. (…) A gdyby wprowadzić system rejestracji online przed przyjęciem do szpitala lub na badania oraz zunifikowaną elektroniczną kartę pacjenta z dostępem zdalnym? Dla wygody i bezpieczeństwa pracowników służby zdrowia oraz pacjentów. Być może wtedy każdy oszczędziłby zdrowie, czas, nerwy, no i byłoby bezpieczniej? Piszcie, jeśli spotykacie podobne wyzwania i macie pomysły na ich rozwiązanie”. Możecie też pisać do nas, na adres: redakcja@crn.pl.

Pod koniec lipca zakończył się nadzwyczajny szczyt Rady Europejskiej z udziałem głów wszystkich państw UE. Dotyczył planów odbudowy gospodarki Starego Kontynentu po lockdownie i tzw. ram finansowych na lata 2021 – 2027. Jak zauważył dr Maciej Kawecki, dziekan Wyższej Szkoły Bankowej i doradca w kancelarii Maruta Wachta, politycy niewiele czasu poświęcili cyfryzacji. Wskazali przede wszystkim, że program „Cyfrowa Europa” będzie kierunkowany na kluczowe strategiczne zdolności cyfrowe, jak unijne wysokowydajne obliczenia, sztuczna inteligencja i cyberbezpieczeństwo (pula środków finansowych na realizację programu w latach 2021 – 2027 wyniesie 6,761 mld euro). Oprócz tego padło trochę ogólnikowych zdań o wpływie cyfryzacji na środowisko i energię. Z kolei słowem nie wspomniano o zmianach w obszarze zarządzania danymi, w tym prywatności. I jeszcze taka uwaga dr. Kaweckiego odnośnie do całego wydarzenia: „Nigdy nie widziałem takiej liczby farmazonów opowiadanych na temat szczytu i ich konkluzji przez osoby publiczne ze wszystkich stron polskiej sceny politycznej. W konkluzjach nie znalazłem potwierdzenia żadnej z tez wygłaszanych przez polskich polityków. Tak więc rekomenduję czytanie formalnych konkluzji”. Ciekawych zapraszamy tutaj:

Artykuł Co miesiąc sprawdzamy, o czym branża IT (i nie tylko) dyskutuje na LinkedIn – największym biznesowym portalu społecznościowym pochodzi z serwisu CRN.

Szymon Dudek, dyrektor Działu Oprogramowania, pełnomocnik zarządu, Infonet Projekt
Mariusz Kochański, członek zarządu, dyrektor Działu Systemów Sieciowych, Veracomp
Marcin Serafin, szef Zespołu Ochrony Danych Osobowych oraz Zespołu Kontraktów IT, partner w kancelarii prawnej Maruta Wachta
Tomasz Sobol, dyrektor marketingu, Beyond.pl

CRN Niedługo minie rok od wejścia w życie unijnego rozporządzenia o ochronie danych osobowych. To dobry czas na podsumowanie pierwszych doświadczeń i analizę wniosków z dotychczasowego funkcjonowania nowych przepisów w praktyce. Jak wygląda sytuacja z perspektywy branży IT?

Mariusz Kochański Pozytywnym aspektem pojawienia się RODO było zwrócenie uwagi na kwestię ochrony danych osobowych. Wprawdzie obowiązywała już wcześniej ustawa o ochronie danych osobowych, ale wiedza o zawartych w niej regulacjach nie była powszechna. Dyskusje wokół RODO spowodowały olbrzymią zmianę w świadomości decydentów i obywateli. To przełożyło się również na zwiększone zainteresowanie narzędziami informatycznymi. Co nie zmienia faktu, że przed nami jeszcze dużo pracy. W przypadku tego rozporządzenia bowiem nie tylko treść jest ważna, ale i wykładnia. RODO można interpretować na różne sposoby i dojść do zupełnie różnych wniosków. Czekamy więc na doktrynę, na orzeczenia prezesa Urzędu Ochrony Danych Osobowych. W dobrym skądinąd poradniku dla dyrektorów szkół pojawiają się sformułowania typu „wydaje się, że dobrym rozwiązaniem będzie”, a nie stwierdzenia „dobrym rozwiązaniem będzie”. To pokazuje, że sam regulator jest jeszcze na początku drogi.

Marcin Serafin Od stycznia do października ubiegłego roku szefowie UODO zatrudnili 112 nowych pracowników, podczas gdy w grudniu 2017 roku pracowało w nim mniej niż 200 osób. Nastąpiła więc niemalże całkowita wymiana kadr. Tak samo jak wszystkie przedsiębiorstwa, również i ten urząd musiał się zmierzyć z trudnym problemem wdrożenia RODO. Największym wyzwaniem – zarówno po stronie administracyjnej, informatycznej, prawnej, jak i biznesowo-konsultingowej – jest obecnie brak dobrej kadry, która byłaby w stanie w sposób rzetelny i merytoryczny pomóc tym, którzy są zobligowani do przestrzegania przepisów.

CRN Dosyć powszechne są jednak oczekiwania, że UODO mogłoby być choć trochę bardziej aktywne, co by pomogło wszystkim zainteresowanym w dostosowywaniu się do wymogów RODO…

Marcin Serafin Od 25 maja do 21 lutego UODO wszczęło 50 kontroli i jednocześnie 1379 postępowań w sprawie naruszenia przepisów – na podstawie różnego rodzaju skarg lub informacji własnych pozyskanych przez urząd. Spośród 50 kontroli 44 zostały zakończone. Ogłoszony został również plan kontroli sektorowych na rok 2019. Widać więc, że wiele rzeczy już działa. Problem leży jednak w czym innym. Przed wejściem rozporządzenia w życie każdy z nas – każda firma czy instytucja – robił wiele, żeby wywiązać się z nałożonych nowymi przepisami obowiązków. I każdy dotarł po swojemu do momentu, w którym sam uznał określony stan za zgodny z RODO. Kłopot w tym, że jest on tak naprawdę nieuchwytny, nie da się go jednoznacznie zidentyfikować ani umiejscowić w czasie. To proces i zmienna, którą trzeba bez przerwy śledzić i waloryzować.

CRN Jak w praktyce firmy i instytucje radziły sobie z tą niejednoznacznością czy otwartą formułą nowych przepisów? Czy po zgłaszanych przez klientów potrzebach widać było, czy i jak rozumieją RODO? Czy dały się zauważyć jakieś trendy, na przykład zwiększone zapotrzebowanie na określone rozwiązania?

Szymon Dudek Z naszych doświadczeń wynika, że przedsiębiorstwa i urzędy interpretowały przepisy po swojemu. Z samego rozporządzenia nie wynikało bowiem wprost, co trzeba zrobić, żeby być z nim zgodnym. Nasi klienci robili więc zazwyczaj maksymalnie dużo, wszystko, co było w ich mocy, na co było ich stać, żeby w razie czego móc wykazać, że zrobili jak najwięcej, żeby sprostać wymogom RODO, że postarali się jak najbardziej dostosować swoje procedury i technologie do nowych przepisów. Po części zainteresowanie rozwiązaniami służącymi zapewnieniu zgodności z regulacjami nadal daje się zaobserwować, ale jest już znacznie, znacznie słabsze niż przed majem ubiegłego roku.

Tomasz Sobol Mimo niejednoznaczności zapisów RODO mogliśmy jednak dokonać podziału, kto jest administratorem danych, a kto procesorem. Zarówno jako zleceniodawcy, jak i zleceniobiorcy zdaliśmy sobie sprawę z różnych zakresów odpowiedzialności. To było do tej pory bardzo niejasne. W wielu przypadkach nadal zapewne takie pozostanie, ale istnieje już punkt odniesienia do określenia tych ról. W naszym przypadku to jest ogromne wyzwanie, by uświadomić klientom, co my – jako dostawca usług – im gwarantujemy, a za co oni sami są odpowiedzialni. Wiele rzeczy musimy razem z nimi wypracować. Przy czym zapewnienie zgodności z RODO to proces ciągły, ale nie można związanych z nim wymagań sprowadzać do absurdu, jak to się w niektórych miejscach działo czy dzieje. Działania nadmiarowe, wprowadzanie nieuzasadnionych obecnymi wyzwaniami rozwiązań nie przybliżą nas do ustalenia, co jest zgodne z RODO, a co nie, bo za chwilę wiele rzeczy może ulec zmianie.

CRN W jakim stopniu wprowadzenie nowych zasad ochrony danych osobowych wygenerowało zapotrzebowanie na nowe technologie i stało się faktycznie powodem nowych zamówień na rynku informatycznym?

Marcin Serafin W drugiej połowie 2017 roku były wielkie plany, wszyscy wkoło opowiadali, jakich to systemów nie będą wdrażać albo jakie powinny zostać wdrożone. Kiedy na początku 2018 roku zaczęto uświadamiać sobie, że do terminu wejścia w życie rozporządzenia pozostało już naprawdę niewiele czasu, wydawało się, że wszyscy rzucą się do szerokiego informatyzowania zasobów, automatyzowania procesów, uruchamiania programów klasyfikacji danych. W ostateczności okazało się, że wiele rzeczy jest nadal robionych „ręcznie”. Nowych systemów informatycznych, które zostały wdrożone z powodu RODO – a muszę podkreślić, że pracowałem dla ponad 100 klientów, pomagając im wdrażać unijne rozporządzenie – widziałem dosłownie dwa i oba dotyczyły zarządzania zgodami. Tak naprawdę dopiero teraz nadchodzi moment, kiedy będziemy mieli do czynienia z pojawianiem się przemyślanych wdrożeń IT służących ochronie danych osobowych zgodnie z regułami RODO.

Mariusz Kochański Inwestycje w rozwiązania informatyczne wprawdzie się pojawiły, ale nie wszystkie były bezpośrednio efektem RODO. Instytucje, które zawsze cechował wysoki poziom ryzyka związany z cyberzagrożeniami – bankowość, przedsiębiorstwa użyteczności publicznej, telekomy – musiały wykonać szereg prac związanych ze zmianą procedur czy procesów biznesowych. Nie zauważyłem tam jednak drastycznej zmiany architektur zabezpieczeń. Pojawiły się natomiast środki na narzędzia pozwalające zidentyfikować, kiedy i w jakich okolicznościach doszło do wycieku danych. Przyczynił się do tego nie tylko wymóg zgłaszania incydentów w ciągu 72 godzin. To jest również pochodna wielkich strat firm na rynku amerykańskim wskutek wycieków danych w dużych korporacjach. Jeśli chodzi o polskie banki czy telekomy, to RODO wywołało rewolucję prawną, procesową, ale nie technologiczną. Natomiast w sektorze publicznym, który od dawna zmaga się z brakiem funduszy, RODO spowodowało, że decydenci lepiej zaczęli rozumieć problem. Pojawiło się przekonanie, że jednak pieniądze na bezpieczeństwo trzeba wydać i nie można dalej stosować zasady „jakoś to będzie”.

Szymon Dudek Nowe przepisy skłoniły wiele firm do optymalizacji procesów przetwarzania danych. Zaczęto się zastanawiać, jak sprawdzić, jakimi danymi dysponujemy, czy wszystkie są nam faktycznie potrzebne, z których możemy zrezygnować, co wymaga dodatkowej inwentaryzacji. Średnio połowa naszych klientów dysponowała już potrzebnymi do tego systemami i stosowną infrastrukturą. Pozostali dopiero szukali rozwiązań w tym zakresie, co wiązało się często z zamówieniami na nowe narzędzia czy produkty, na przykład dodatkowy storage, system do zarządzania uprawnieniami czy zabezpieczenie styku z internetem. W większości przypadków były to w zasadzie działania na ostatnią chwilę, tuż przed terminem wejścia w życie RODO.

CRN Jak z niejednoznacznymi zapisami unijnego rozporządzenia radziła sobie branża IT? Przedsiębiorstwa informatyczne chciały być postrzegane przez swoich klientów jako ich wybawcy z kłopotu. Z jakimi wyzwaniami wiązało się przygotowanie oferty adekwatnej do wymogów RODO?

Mariusz Kochański Jako podmiot, który również przetwarza dane osobowe, zmagaliśmy się dokładnie z takim samym problemem jak kilkanaście lat temu, gdy wchodziło w życie rozporządzenie unijne dotyczące towarów podwójnego zastosowania. Wszyscy je znali w kontekście czołgów, broni, ale mało kto wiedział, że dotyczy to również produktów związanych z szyfrowaniem. Jako dystrybutor mozolnie edukowaliśmy resellerów odnośnie do konieczności wypełniania stosownych oświadczeń o przeznaczeniu końcowym produktu. Okres adaptacji do nowych warunków trwał około dwóch lat. W przypadku rozporządzenia o ochronie danych osobowych proces uświadamiania partnerów był już znacznie krótszy – zajął około dwóch, trzech miesięcy. Tyle czasu wymagało powszechne zrozumienie w kanale sprzedaży wyzwań związanych z RODO. Teraz rozmowa z resellerami dotyczy już innych aspektów. Nie trzeba chociażby tłumaczyć różnic między rolą administratora a procesora.

CRN A w jaki sposób pojawienie się RODO wpłynęło na współpracę firm informatycznych z użytkownikami rozwiązań IT?

Tomasz Sobol Dla nas to była dobra okazja do wytłumaczenia, czym jest chmura obliczeniowa. RODO spowodowało, że klienci chcieli bardzo dokładnie poznać, zrozumieć, jak jest skonstruowany i jak logicznie działa cloud computing. To było potrzebne chociażby do precyzyjnego rozdzielenia odpowiedzialności za przetwarzanie danych – za co bierzemy odpowiedzialność my, a za co musi odpowiadać klient. Często bowiem kontrahenci wyobrażają sobie, że jak kupują usługę, to automatycznie uwalniają się od odpowiedzialności. A prawda jest taka, że odpowiedzialność musi być współdzielona. To spowodowało, że klienci zaczęli zwracać większą uwagę również na rozwiązania, które mają wdrożone w firmach. Uświadomili sobie, że mogą istnieć luki w zabezpieczeniach także po ich stronie, co w wielu przypadkach skutkowało na przykład inwestycjami w narzędzia do monitorowania przetwarzanych danych. Przedsiębiorstwa zaczęły wprowadzać szyfrowanie, wiele odkryło, że może mieć specjalne szyfrowane łącza między lokalizacjami, tj. VPN. Dzięki RODO biznes zyskał szanse na odrobienie lekcji z zakresu bezpieczeństwa: jak najlepiej zaprojektować i zbudować swoją infrastrukturę, żeby nie narażać się na niepotrzebne zagrożenia? Okazało się również, że czynnik ludzki też można trzymać w ryzach dzięki wprowadzonym procedurom.

Marcin Serafin Pod adresem firm informatycznych pojawiły się jednak także nadmiarowe oczekiwania czy wymagania. Widać to na przykładzie umów powierzenia przetwarzania danych. Wielu klientów wychodziło z założenia, że gdy nie wiadomo, co zrobić, to lepiej na wszelki wypadek zawrzeć umowę, chociaż nie zawsze było to uzasadnione. W przypadku standardowych usług kolokacji umowa na powierzenie przetwarzania danych osobowych nie jest potrzebna, gdyż przy prostej kolokacji usługodawca nie ma w ogóle dostępu do danych osobowych. W wielu innych sytuacjach firmy chciały nakładać na swoich partnerów biznesowych różne wymogi i obowiązki, na przykład narzucać stosowanie określonych rodzajów środków technicznych czy żądać kar umownych za niespełnienie tego rodzaju warunków. To ani nie miało uzasadnienia w samych przepisach, ani nie wynikało z istoty rozporządzenia czy faktycznej sytuacji firmy. Chodziło raczej o szukanie za wszelką cenę sposobów zabezpieczenia się przed ewentualnymi zarzutami niedopełnienia wymogów prawnych.

Tomasz Sobol W informatyce nie zawsze jednak mamy do czynienia z prostymi, jednoznacznymi sytuacjami. W usłudze kolokacji musimy uwzględniać czynnik, który wiąże się z zapewnieniem ciągłości dostępu do danych. Nawet jeśli usługodawca nie ma w ogóle dostępu do danych osobowych, to w interesie klienta leży zadbanie o warunki, w których będzie miał stały dostęp do swoich danych. Także w sytuacji, gdy jest to tylko dostęp do ich fizycznego nośnika. I właśnie z tego powodu umowa powierzenia danych pomiędzy usługodawcą kolokacji a klientem powinna być zawarta. Dobrze jest określić wzajemne powinności i działania, chociażby po to, aby klient wiedział, co się dzieje z jego danymi, gdyby ewentualnie w konkretnym momencie nie mógł z nich skorzystać, i jak sam ma się na taką sytuację przygotować. RODO nakłada więc w pewien sposób na dostawcę usług chmurowych i kolokacyjnych obowiązek zapewnienia ciągłości dostępu do danych.

CRN Można powiedzieć, że rozporządzenie uruchomiło pewne procesy, które będą dalej trwać. Jak będą się one przekładały na dalsze wykorzystanie nowych technologii? Czego branża IT może się w tym kontekście spodziewać? Czego w kolejnych latach obowiązywania RODO będą potrzebować przedsiębiorstwa przetwarzające dane osobowe?

Marcin Serafin Jedna grupa niezbędnych produktów związana jest z całym obszarem bezpieczeństwa danych, niekoniecznie osobowych – zarówno w zakresie zapewnienia ich poufności, dostępności, jak i integralności. Rynek tych rozwiązań będzie się cały czas rozwijał, gdyż każdy klient będzie potrzebował innych, dostosowanych do swoich wymogów i możliwości narzędzi. Drugi obszar, który jest dotychczas najsłabiej zagospodarowany, a do którego wielką wagę przykłada RODO, dotyczy skutecznego usuwania i anonimizowania danych. W większości firm odbywa się to w sposób „ręczny”, proceduralny, a nie na poziomie zautomatyzowanym. Nieliczne przedsiębiorstwa mają rozwiązania, które rzeczywiście potrafią zrealizować to wielostopniowe zadanie. W rzeczywistości nie chodzi bowiem o usuwanie danych fizycznie z nośnika, tylko o uniemożliwienie uzyskiwania dostępu do nich w określonych procesach biznesowych lub przez poszczególne działy czy pracowników.

CRN A co będzie w tym kontekście kluczową kwestią, na którą szczególnie warto zwrócić uwagę?

Marcin Serafin Najważniejszą sprawą będzie możliwość skutecznego zarządzania dostępem do danych osobowych. Na jeden z portugalskich szpitali została nałożona kara za to, że nie odebrał uprawnień dostępu do danych osobom, które nie powinny ich mieć. To jest obszar, który będzie wymagał szczególnej uwagi i nadzoru, a z drugiej strony zapewniał olbrzymie możliwości wykorzystania rozwiązań informatycznych do wspomagania i automatyzacji niezbędnych działań. Tym bardziej że w zdecydowanej większości przedsiębiorstw i instytucji rozwiązania informatyczne mają charakter rozproszony – nie ma jednego systemu, który by wszystkim zarządzał. Potrzebny więc będzie rodzaj nakładki, która dopilnuje, by z jednego systemu dane zniknęły, ale w drugim były nadal dostępne.

Szymon Dudek Zanim dojdzie do pełnej automatyzacji zarządzania uprawnieniami dostępu do danych, można wykorzystać również rozwiązania półautomatyczne. Decyduje się na to, jak widzimy, wiele firm przetwarzających duże ilości danych osobowych. Jeśli w jednym systemie, na przykład CRM, następuje „skasowanie” danych, do operatorów innych systemów zostaje wysłana informacja o konieczności zablokowania dostępu również u nich. Zanim w przedsiębiorstwie pojawi się rozwiązanie docelowe w postaci pełnej programowej integracji mechanizmów udostępniania danych, warto pomyśleć o mechanizmach pośrednich, które też znacznie wspomagają i ułatwiają spełnienie wymogów RODO. Mogą one dać firmom informatycznym szansę na współpracę z klientem, którego nie stać na wdrożenie zaawansowanych, w pełni zautomatyzowanych systemów lub u którego nie ma takiej potrzeby.

CRN Warto, jak widać, szukać wyzwań związanych z ochroną danych osobowych ze względu na nowe, obiecujące perspektywy rozwoju biznesu dla integratorów i resellerów…

Mariusz Kochański Wszystko, o czym rozmawiamy, trzeba wpisać w szerszy kontekst. Po pierwsze mamy do czynienia z ogromnym deficytem specjalistów. Dotyczy to nie tylko sektora publicznego, lecz także firm prywatnych. Przedsiębiorstw nie będzie stać na utrzymywanie wszystkich potrzebnych specjalistów. Konsekwencją tego będzie rozwój outsourcingu. Jednym z obszarów w coraz większym zakresie powierzanych do obsługi na zewnątrz będzie ochrona firmowych danych i zasobów. Ten trend trzeba będzie zderzyć z wymogami RODO.
Ze względu na wielość i złożoność systemów informatycznych duże przedsiębiorstwo czy urząd dużego miasta nie będzie w stanie korzystać z usług jednego outsourcera – może współpracować z kilkoma lub kilkunastoma. Potrzebne więc będą zautomatyzowane rozwiązania umożliwiające zarządzanie dostępem do określonych systemów dla różnych partnerów. Tu pojawia się duża szansa dla resellerów i integratorów. Rosło będzie również zapotrzebowanie na wszelkiego rodzaju rozwiązania analityczne: narzędzia do analityki ruchu, zachowań użytkowników, sytuacji w centrum danych. Inny obszar, w którym firmy informatyczne znajdą miejsce dla siebie, to doradztwo w zakresie samej architektury – czyli jak zaprojektować i zbudować środowisko IT, żeby było zgodne z RODO, a do tego optymalne kosztowo i efektywne biznesowo. Resellerzy i integratorzy mogą też doradzać, jak postępować z oprogramowaniem, które jest coraz bardziej niedoskonałe, bo tworzone pod coraz większą presją czasu. Na przykład część tych niedoskonałości można niwelować na poziomie infrastruktury. Większą wagę będą mieć też kwestie dotyczące zapewnienia odpowiedniego poziomu bezpieczeństwa terminala użytkownika. Coraz więcej osób loguje się do aplikacji krytycznych w firmie ze smartfona lub laptopa. Same systemy w przedsiębiorstwie mogą być doskonale zabezpieczone, ale jak nie będzie kontroli nad urządzeniami dostępowymi, to zagrożenia pozostaną.

Tomasz Sobol W cyberświecie liczba zagrożeń będzie raczej rosnąć, niż maleć. Chociażby dlatego, że informatyka bazuje na różnych technologiach, firmy korzystają z wielu różnych aplikacji i usług różnych dostawców – nie ma jednego uniwersalnego kodu, nie ma jednego dla wszystkich systemu. Z tego powodu tak istotne staje się zapewnienie odpowiedniej architektury zabezpieczeń. To jest dzisiaj pierwszoplanowe zadanie – żeby mieć świadomość, jak działają systemy i gdzie mogą się pojawić naprawdę poważne zagrożenia. RODO może nam w tym pomóc, bo nakłada na nas obowiązek zastanowienia się, jak ukształtować środowisko funkcjonowania firmy, aby czuć się zabezpieczonym na różnych poziomach i etapach. Nie musimy dawać dostępu z telefonu komórkowego bezpośrednio do infrastruktury krytycznej, lecz na przykład do swoistej bramki zewnętrznej, gdzie będzie się pojawiał tylko obraz kokpitu z wywołanej aplikacji. Konieczność radzenia sobie z takimi wyzwaniami z całą pewnością przyczyni się do rozwoju informatyki i projektowania bezpiecznej architektury systemów czy aplikacji.

Szymon Dudek Wiele informacji potrzebnych do znalezienia odpowiednich rozwiązań może dostarczyć dobrze przeprowadzona analiza ryzyka. Ona jest kluczowa dla wdrożenia rozwiązań ochronnych zgodnych z unijnym rozporządzeniem. Pokaże nam, gdzie są największe zagrożenia dla bezpieczeństwa danych w firmie. Bardzo często okazuje się jednak, że jest to sam użytkownik i urządzenie, z którego korzysta. Pojawia się też jednocześnie coraz więcej narzędzi do przeciwdziałania tym zagrożeniom, jak na przykład konteneryzowanie danych osobowych na smartfonach pracowników. Zainteresowanie zabezpieczeniami urządzeń mobilnych będzie w najbliższym czasie rosło, bo znajduje się na nich coraz więcej informacji, które są warte przechwycenia.

Marcin Serafin Dobrze, rzetelnie zrobiona analiza ryzyka jest sposobem poradzenia sobie z brakiem precyzyjności nowych przepisów o ochronie danych osobowych. Przy czym nie ma ucieczki od nieoznaczoności, bo taka jest istota RODO jako inteligentnego aktu prawnego. Gdy jednak uczciwie zdiagnozujemy, co nam może naprawdę zagrażać, co się faktycznie może wydarzyć, to będziemy wiedzieli, jakie środki zastosować. W informatyce to zresztą nic nowego – każdy projekt nowego wdrożenia, wprowadzenia nowych funkcji czy usług poprzedzony jest analizą ryzyka. A RODO dodatkowo mówi: zwróćcie uwagę na ryzyko nie tylko informatyczne, nie tylko z zakresu cyberbezpieczeństwa, ale również wynikające z tego, że ktoś utraci dostęp do swoich danych, przez co nie będzie mógł skorzystać z jakiejś bardzo ważnej dla niego funkcji lub przysługującego mu prawa. W kontekście unijnego rozporządzenia musimy pamiętać, że chronimy nie tyle przedsiębiorstwo jako organizację i jej zasoby, ale przede wszystkim osoby, które są z nią w ten czy inny sposób związane. I tu jest klucz do zrozumienia istoty wymogów RODO. Skupiamy się na tym, żeby było dobrze pojedynczemu Janowi Kowalskiemu, którego dane u siebie przetwarzamy. Jeśli to zrozumiemy, łatwiej nam będzie określić, kiedy już osiągnęliśmy zgodność z nowymi przepisami, a kiedy jeszcze musimy zrobić coś więcej. Ważne jest, by mieć świadomość, że nie chodzi o samo bezpieczeństwo informacji, lecz zadbanie o komfort osoby, której dane mamy u siebie.

CRN Czy w kontekście branży IT można mówić o czymś takim jak specjalizacja w RODO?

Mariusz Kochański Moim zdaniem jest to szeroko pojęty obszar bezpieczeństwa. Bo za chwilę pojawi się też nowe rozporządzenie e-privacy. Jeśli będzie traktowane równie poważnie jak RODO, to dotyczyć będzie kolejnych obszarów, w tym rozwiązań technologicznych, ale przede wszystkim procesów biznesowych. Poza tym mamy postępujący proces cyfryzacji, który obejmuje kompletnie wszystkie sfery naszego życia. Wycieki danych będą momentalnie nagłaśniane w sieciach społecznościowych i będą psuły reputację podmiotów, które padły ofiarą ataków. Zapewnienie bezpieczeństwa zasobów będzie się więc stawało coraz ważniejszym wyzwaniem na polu informatyki. Postępująca cyfryzacja życia spowoduje, że kompetencje w dziedzinie zabezpieczeń wśród resellerów staną się najważniejszym wyróżnikiem ich konkurencyjności.

Marcin Serafin Według mnie istotniejsza będzie specjalizacja w ogólnie pojętym obszarze zgodności z regulacjami. RODO to tylko jeden z elementów procesu ustawicznego dostosowywania informatyki do zmian wynikających z prawa. Już niedługo wejdzie w życie ustawa o odpowiedzialności podmiotów zbiorowych, która wymusi budowanie zaawansowanych systemów zarządzania zgodnością z regulacjami prawnymi. Z drugiej strony od wielu lat widzimy na Zachodzie coraz silniejszy trend polegający na tworzeniu wewnętrznych regulacji. Równolegle możemy powiedzieć o wyzwaniach związanych z przeciwdziałaniem praniu brudnych pieniędzy, o dyrektywie PSD2, która wpłynęła na działalność wielu firm w zakresie usług płatniczych. Warto pamiętać również o szeregu innych regulacji, które będą wymagały umiejętności szybkiego zidentyfikowania wyzwań i przełożenia nowych aktów prawnych na systemy informatyczne. Dlatego, poza bezpieczeństwem, obszar compliance będzie potrzebował coraz więcej ekspertów znających się na związanych z nim wyzwaniach.

Rozmawiał Andrzej Gontarz

Artykuł RODO: kolejne wyzwania, kolejne wdrożenia pochodzi z serwisu CRN.