Masz pytania?
+48 22 487 8636
Masz pytania?
+48 22 487 8636
Bezpieczeństwo łańcucha dostaw w OT: Jak sprawdzić, czy Twój nowy robot nie jest koniem trojańskim?
W historii cyberbezpieczeństwa istnieją ataki, które na zawsze zmieniają sposób myślenia o zagrożeniach. Incydent związany z oprogramowaniem SolarWinds był jednym z nich. Hakerzy, zamiast atakować setki firm pojedynczo, włamali się do jednego, zaufanego dostawcy oprogramowania i umieścili złośliwy kod w jego oficjalnej aktualizacji. W efekcie tysiące klientów na całym świecie, w tym agencje rządowe i największe korporacje, z pełnym zaufaniem zainstalowały u siebie tylną furtkę dla atakujących. Ten incydent, choć dotyczył świata IT, stał się potężnym ostrzeżeniem dla całego przemysłu.
W świecie technologii operacyjnej (OT), gdzie sprzęt i oprogramowanie są często postrzegane jako zamknięte, „czarne skrzynki”, ryzyko związane z łańcuchem dostaw jest jeszcze większe i znacznie trudniejsze do zarządzania. Nowy, lśniący sterownik PLC, panel HMI czy robot przemysłowy, który właśnie przyjechał do Twojej fabryki, to niezwykle złożony produkt, składający się z setek komponentów sprzętowych i tysięcy linii kodu od dziesiątek poddostawców. Czy masz absolutną pewność, że każdy z tych elementów jest bezpieczny?
Problem ten został dostrzeżony i wyniesiony na szczyt priorytetów przez regulatorów. Nowa dyrektywa NIS2 nakłada na firmy przemysłowe bezpośredni obowiązek zarządzania ryzykiem w całym cyklu życia swoich systemów, ze szczególnym uwzględnieniem bezpieczeństwa łańcucha dostaw. To już nie jest „dobra praktyka” – to wymóg prawny. Zrozumienie, jak weryfikować, kontraktować i wdrażać technologie od zewnętrznych partnerów, stało się kluczową kompetencją w budowaniu realnej odporności cyfrowej.
Dlaczego najwięksi wrogowie Twojej sieci OT mogą przyjść w pudełku od zaufanego dostawcy?
Zaufanie to waluta, na której opierają się relacje biznesowe. Ufamy, że renomowany, działający od lat na rynku producent maszyn dostarczy nam produkt najwyższej jakości, który będzie nie tylko wydajny, ale i bezpieczny. Niestety, w dzisiejszym, złożonym ekosystemie produkcyjnym, nawet najlepsze intencje dostawcy mogą nie wystarczyć, aby uchronić nas przed ryzykiem.
Problem polega na tym, że producent robota, którego kupujesz, sam jest klientem dziesiątek innych firm. Korzysta on z systemów operacyjnych, bibliotek open-source, chipów i modułów komunikacyjnych od swoich własnych dostawców. Każdy z tych elementów w łańcuchu jest potencjalnym punktem, w którym może zostać wprowadzona podatność – czy to w sposób niezamierzony, przez błąd programisty, czy w sposób celowy, w wyniku ataku na jednego z poddostawców.
W efekcie, kupując nowe urządzenie, dziedziczysz cały, skumulowany dług technologiczny i ryzyko bezpieczeństwa z całego jego łańcucha dostaw. Nawet jeśli Twój bezpośredni dostawca ma doskonałe praktyki bezpieczeństwa, nie możesz mieć pewności co do jakości komponentów, z których korzysta. To właśnie dlatego nowy, fabrycznie zapakowany sprzęt może zawierać przestarzałe, podatne na ataki oprogramowanie lub, w najgorszym wypadku, celowo zaimplementowane tylne furtki.
Czym jest atak na łańcuch dostaw i dlaczego jest on tak trudny do wykrycia?
Atak na łańcuch dostaw (supply chain attack) to wyrafinowana technika, w której atakujący, zamiast bezpośrednio szturmować dobrze chronioną fortecę (Twoją firmę), koncentrują swoje wysiłki na jednym z jej słabiej chronionych, ale zaufanych partnerów (Twoim dostawcy). Celem jest skompromitowanie produktu lub usługi dostawcy tak, aby stały się one nośnikiem ataku na wszystkich jego klientów.
Istnieje wiele odmian takich ataków. Może to być wspomniane wcześniej wstrzyknięcie złośliwego kodu do aktualizacji oprogramowania (jak w przypadku SolarWinds). Może to być instalacja złośliwego oprogramowania układowego (firmware) na chipach podczas procesu produkcyjnego. Może to być również kradzież kluczy kryptograficznych lub certyfikatów od dostawcy, które następnie są wykorzystywane do podpisywania złośliwego oprogramowania tak, aby wyglądało ono na legalne i zaufane.
Tego typu ataki są niezwykle trudne do wykrycia za pomocą tradycyjnych metod. Oprogramowanie pochodzi z legalnego, zaufanego źródła i jest często podpisane cyfrowo. Systemy antywirusowe i zapory sieciowe nie mają powodu, aby podnosić alarm. Atakujący wchodzą do naszej sieci „główną bramą”, witani przez strażników, a nie przeskakując przez mur. To sprawia, że atak na łańcuch dostaw jest jedną z najbardziej podstępnych i niebezpiecznych form cyberataków.
Jak długi cykl życia urządzeń przemysłowych potęguje ryzyko odziedziczonych podatności?
Specyfika technologii operacyjnej dodatkowo potęguje ryzyko związane z łańcuchem dostaw. Długi, często przekraczający 20 lat cykl życia urządzeń OT oznacza, że decyzje podjęte przez programistów dekadę temu mają swoje konsekwencje do dziś. Sterownik PLC, który kupujemy jako nowy w 2025 roku, może wciąż działać w oparciu o bibliotekę open-source, w której krytyczną podatność odkryto dopiero wczoraj.
Co gorsza, proces rozwoju i certyfikacji urządzeń przemysłowych jest bardzo długi i skomplikowany. Raz zaprojektowany i przetestowany produkt często nie jest modyfikowany przez wiele lat, aby nie zaburzyć jego stabilności i nie narazić się na koszty ponownej certyfikacji. Oznacza to, że nawet jeśli w używanym przez producenta komponencie zostanie odkryta podatność, może on nie być w stanie lub nie chcieć wydać odpowiedniej poprawki, zwłaszcza dla starszych modeli.
W efekcie, kupujemy urządzenie, które już w momencie instalacji jest „podatne z definicji” (vulnerable by design). Posiada ono luki w zabezpieczeniach, które nigdy nie zostaną załatane. Bez świadomości istnienia tych luk i bez proaktywnej strategii zarządzania tym ryzykiem, wprowadzamy do serca naszej fabryki tykającą bombę zegarową.
W jaki sposób dyrektywa NIS2 zmusza firmy do wzięcia odpowiedzialności za bezpieczeństwo swoich dostawców?
Dyrektywa NIS2, rozumiejąc powagę tego zagrożenia, wprowadza rewolucyjną zmianę, kładąc bezpośredni nacisk na odpowiedzialność firm za bezpieczeństwo ich łańcucha dostaw. Artykuł 21 dyrektywy wymaga, aby podmioty kluczowe i ważne wdrożyły środki techniczne i organizacyjne w celu zarządzania ryzykiem związanym z bezpieczeństwem w procesach nabywania systemów sieci i informacji oraz ich komponentów.
W praktyce oznacza to, że firmy nie mogą już dłużej ignorować praktyk bezpieczeństwa swoich partnerów. Muszą wdrożyć formalny proces oceny ryzyka dla swoich bezpośrednich dostawców sprzętu i oprogramowania. Muszą brać pod uwagę nie tylko cenę i funkcjonalność produktu, ale również jakość praktyk cyberbezpieczeństwa dostawcy, jego zdolność do reagowania na incydenty i politykę zarządzania podatnościami.
Co więcej, ta odpowiedzialność rozciąga się na cały cykl życia relacji z dostawcą. Firmy muszą zapewnić, że ich umowy zawierają odpowiednie klauzule bezpieczeństwa, a także monitorować, czy dostawcy faktycznie stosują się do uzgodnionych standardów. NIS2 skutecznie kończy erę, w której bezpieczeństwo było problemem zbywanym na zasadzie „to nie nasz sprzęt, tylko dostawcy”. Od teraz, jest to Wasz wspólny problem i Wasza wspólna odpowiedzialność.
Krok pierwszy: Jakie pytania o bezpieczeństwo zadać dostawcy, zanim podpiszesz umowę?
Zarządzanie ryzykiem w łańcuchu dostaw zaczyna się na długo przed instalacją sprzętu – już na etapie procesu zakupowego. Zanim wybierzesz dostawcę, musisz potraktować go jak kandydata do pracy na stanowisku o najwyższym poziomie zaufania i przeprowadzić z nim szczegółową „rozmowę kwalifikacyjną” na temat bezpieczeństwa.
Poproś potencjalnego dostawcę o przedstawienie informacji na temat jego programu bezpieczeństwa. Zapytaj, czy posiada on certyfikaty, takie jak ISO 27001. Dowiedz się, czy stosuje on zasady bezpiecznego cyklu rozwoju oprogramowania (Secure SDLC) – czy jego programiści są szkoleni w zakresie bezpiecznego kodowania, czy kod jest poddawany regularnym przeglądom i testom bezpieczeństwa?
Zapytaj również o to, jak firma zarządza podatnościami w swoich produktach. Jaki jest proces zgłaszania luk? Jaki jest gwarantowany czas reakcji na zgłoszenie krytycznej podatności? Czy firma publikuje biuletyny bezpieczeństwa? Wreszcie, zapytaj o jego własny łańcuch dostaw – jak weryfikuje on bezpieczeństwo komponentów open-source i komercyjnych, z których korzysta w swoich produktach? Odpowiedzi na te pytania (lub ich brak) powiedzą Ci bardzo wiele o dojrzałości i podejściu dostawcy do kwestii bezpieczeństwa.
Czym jest SBOM (Software Bill of Materials) i dlaczego warto go wymagać od każdego dostawcy?
Jednym z najpotężniejszych narzędzi, jakie możesz wykorzystać w rozmowie z dostawcą, jest prośba o dostarczenie SBOM (Software Bill of Materials), czyli „listy składników oprogramowania”. SBOM to formalny, ustrukturyzowany wykaz wszystkich komponentów, z których składa się dane oprogramowanie – zarówno tych komercyjnych, jak i bibliotek open-source.
Posiadanie SBOM jest jak otrzymanie szczegółowej listy składników na etykiecie produktu spożywczego. Daje Ci to pełną przejrzystość i pozwala na samodzielną ocenę ryzyka. Gdy w przyszłości pojawi się informacja o krytycznej podatności w popularnej bibliotece open-source (jak np. Log4j), nie musisz już czekać na komunikat od swojego dostawcy. Możesz samodzielnie i natychmiast sprawdzić w SBOM, czy Twoje urządzenie przemysłowe korzysta z tej podatnej na ataki biblioteki i od razu podjąć działania mitygujące.
Wymaganie SBOM od dostawców staje się nowym standardem w branży i jest silnie promowane przez agencje rządowe na całym świecie. Jest to jasny sygnał dla rynku: oczekujemy transparentności. Dostawcy, którzy są w stanie dostarczyć SBOM, demonstrują swoją dojrzałość i pewność co do jakości swojego oprogramowania. Ci, którzy odmawiają, powinni wzbudzić naszą szczególną ostrożność.
Jakie klauzule dotyczące cyberbezpieczeństwa powinny znaleźć się w każdej umowie zakupowej?
Rozmowy i zapewnienia są ważne, ale ostatecznie to, co liczy się w relacjach biznesowych, to zapisy w umowie. Każda umowa na zakup sprzętu lub oprogramowania OT powinna zawierać dedykowany aneks lub sekcję poświęconą cyberbezpieczeństwu, która precyzyjnie określa obowiązki i odpowiedzialność obu stron.
Umowa powinna zobowiązywać dostawcę do przestrzegania określonych standardów bezpieczeństwa w procesie tworzenia produktu. Powinna zawierać gwarancję informowania o wszystkich odkrytych podatnościach i incydentach bezpieczeństwa dotyczących produktu w ściśle określonym czasie. Musi również definiować okres wsparcia technicznego, w którym dostawca zobowiązuje się do dostarczania poprawek bezpieczeństwa.
Niezwykle ważną klauzulą jest również prawo do audytu. Powinieneś zapewnić sobie możliwość przeprowadzenia (lub zlecenia) niezależnych testów bezpieczeństwa kupowanego produktu, zarówno przed wdrożeniem, jak i w trakcie jego eksploatacji. Wreszcie, umowa powinna jasno określać granice odpowiedzialności w przypadku, gdyby incydent bezpieczeństwa wynikał z zaniedbania po stronie dostawcy. Silne zapisy kontraktowe są potężnym narzędziem do egzekwowania należytej staranności od Twoich partnerów.
Krok drugi: Jak przeprowadzić bezpieczne testy akceptacyjne nowego urządzenia przed wpięciem go do sieci?
Nawet jeśli przeprowadziłeś szczegółową weryfikację dostawcy i podpisałeś solidną umowę, zasada „ufaj, ale sprawdzaj” wciąż obowiązuje. Żadne nowe urządzenie nie powinno zostać wpięte bezpośrednio do sieci produkcyjnej. Musi ono najpierw przejść przez etap bezpiecznych testów akceptacyjnych (Security Acceptance Testing – SAT) w odizolowanym środowisku laboratoryjnym lub testowym.
Podczas testów SAT, urządzenie powinno zostać poddane szczegółowemu skanowaniu w poszukiwaniu podatności. Należy zweryfikować jego konfigurację, sprawdzić, czy nie ma włączonych niepotrzebnych usług i czy domyślne hasła zostały zmienione. Jest to również idealny moment, aby sprawdzić, czy dostarczony SBOM jest zgodny z rzeczywistością.
Kluczowym elementem testów jest również analiza zachowania sieciowego. Urządzenie powinno zostać podłączone do sieci testowej z monitoringiem, aby sprawdzić, z czym próbuje się ono komunikować. Czy próbuje łączyć się z jakimiś nieoczekiwanymi serwerami w internecie? Czy wysyła niezaszyfrowane dane? Dopiero po pomyślnym przejściu wszystkich testów i utwardzeniu konfiguracji (hardening), urządzenie może zostać dopuszczone do instalacji w środowisku produkcyjnym, najlepiej we własnym, odizolowanym segmencie sieci.
Cykl Życia Bezpiecznego Łańcucha Dostaw w OT
| Faza | Kluczowe działanie | Cel |
| 1. Zakup (Procurement) | Szczegółowa weryfikacja dostawcy, wymaganie SBOM, silne klauzule w umowie. | Wybór zaufanego partnera i minimalizacja ryzyka już na starcie. |
| 2. Wdrożenie (Implementation) | Testy akceptacyjne w izolacji, hardening, umieszczenie w osobnym segmencie. | Weryfikacja i zabezpieczenie sprzętu przed podłączeniem do produkcji. |
| 3. Eksploatacja (Operation) | Ciągły monitoring, zarządzanie podatnościami, planowanie aktualizacji. | Utrzymanie bezpieczeństwa urządzenia w trakcie jego wieloletniej pracy. |
| 4. Utylizacja (Decommissioning) | Bezpieczne wymazywanie danych i konfiguracji. | Zapobieganie wyciekowi poufnych informacji po zakończeniu życia produktu. |
Krok trzeci: Jak monitorować i zarządzać bezpieczeństwem urządzenia przez cały jego cykl życia?
Praca nad bezpieczeństwem nie kończy się w momencie wdrożenia. Trwa ona przez cały, wieloletni cykl życia urządzenia. Kluczowe jest włączenie nowego zasobu do programu ciągłego monitoringu bezpieczeństwa. Ruch sieciowy do i z urządzenia powinien być stale analizowany przez systemy IDS/IPS w poszukiwaniu anomalii lub prób ataku.
Należy również subskrybować biuletyny bezpieczeństwa od dostawcy i regularnie sprawdzać publiczne bazy danych podatności (CVE), aby być na bieżąco z nowo odkrytymi lukami, które mogą dotyczyć naszego sprzętu. Każda nowa, istotna podatność musi uruchomić wewnętrzny proces analizy ryzyka i wdrożenia odpowiednich kontroli kompensacyjnych.
Ważne jest również utrzymywanie dobrej relacji z dostawcą. Regularna komunikacja pozwala na szybkie uzyskanie informacji o planowanych aktualizacjach i wsparcie w rozwiązywaniu problemów. Dobre partnerstwo opiera się na wzajemnym zrozumieniu i współpracy w celu zapewnienia długoterminowego bezpieczeństwa.
Jak zbudować partnerską relację z dostawcą w zakresie reagowania na nowe podatności?
Relacja z dostawcą nie powinna być relacją antagonistyczną, lecz partnerską. Obie strony mają wspólny cel: zapewnienie bezpiecznego i niezawodnego działania produktu. Zamiast traktować dostawcę jak potencjalnego wroga, warto budować z nim sojusz oparty na otwartej komunikacji i jasno zdefiniowanych oczekiwaniach.
Ustal z dostawcą jasny i prosty kanał komunikacji w sprawach bezpieczeństwa. Wyznacz konkretne osoby kontaktowe po obu stronach (Security Point of Contact – SPOC). Uzgodnij procedurę zgłaszania podatności i oczekiwany czas reakcji (Service Level Agreement – SLA). Regularnie organizuj spotkania, aby omawiać bieżące zagrożenia i stan bezpieczeństwa dostarczanych rozwiązań.
Jeśli odkryjesz podatność w produkcie dostawcy, zgłoś mu ją w sposób odpowiedzialny (responsible disclosure), dając mu czas na przygotowanie poprawki, zanim informacja zostanie upubliczniona. Taka postawa buduje zaufanie i pokazuje, że jesteś dojrzałym partnerem. W zamian, oczekuj od dostawcy transparentności i proaktywnego informowania o problemach, które identyfikuje po swojej stronie.
Krok czwarty: Dlaczego bezpieczna utylizacja urządzeń OT jest równie ważna co ich zakup?
Zarządzanie bezpieczeństwem w łańcuchu dostaw obejmuje również ostatni etap życia produktu – jego wycofanie z użycia i utylizację. Wyrzucenie starego sterownika PLC lub panelu HMI na śmietnik bez odpowiedniego przygotowania może prowadzić do poważnego incydentu bezpieczeństwa.
Urządzenia te w swojej pamięci przechowują niezwykle wrażliwe informacje: konfigurację sieciową, hasła, logikę sterowania procesem, a czasem nawet dane produkcyjne. Jeśli trafią one w niepowołane ręce, mogą zostać poddane inżynierii wstecznej, a uzyskane w ten sposób informacje mogą posłużyć do przygotowania precyzyjnego ataku na wciąż działającą infrastrukturę.
Dlatego każda organizacja musi posiadać formalną procedurę bezpiecznej utylizacji sprzętu OT. Procedura ta musi obejmować trwałe, nieodwracalne wymazywanie danych z nośników pamięci (sanitization) lub, w przypadku gdy nie jest to możliwe, fizyczne zniszczenie urządzenia w sposób, który uniemożliwia odzyskanie z niego jakichkolwiek informacji.
Jak stworzyć kompleksowy program zarządzania ryzykiem w łańcuchu dostaw?
Skuteczny program zarządzania ryzykiem w łańcuchu dostaw (Supply Chain Risk Management – SCRM) to nie zbiór jednorazowych działań, lecz ciągły, zinstytucjonalizowany proces, który jest integralną częścią ładu korporacyjnego. Musi on łączyć w sobie elementy proceduralne, techniczne i kontraktowe.
Na poziomie proceduralnym, należy stworzyć formalną politykę bezpieczeństwa łańcucha dostaw, która definiuje kryteria oceny i wyboru dostawców, a także procedury bezpiecznego wdrażania i utylizacji sprzętu. Na poziomie technicznym, należy wdrożyć narzędzia do weryfikacji i monitorowania dostarczanych produktów. Na poziomie kontraktowym, należy zapewnić, że wszystkie umowy zawierają odpowiednie klauzule bezpieczeństwa.
Program ten musi mieć również jasno zdefiniowanego właściciela i wsparcie zarządu. Powinien być to proces interdyscyplinarny, w który zaangażowane są działy zakupów, prawny, IT, OT i bezpieczeństwa. Regularne przeglądy i ocena ryzyka kluczowych dostawców powinny stać się częścią normalnego cyklu biznesowego.
Jak nFlo może pomóc w audycie i zabezpieczeniu Twojego łańcucha dostaw w OT?
W nFlo rozumiemy, że zbudowanie od zera dojrzałego programu zarządzania ryzykiem w łańcuchu dostaw jest ogromnym wyzwaniem. Wymaga ono unikalnej kombinacji kompetencji z zakresu prawa, technologii, negocjacji i dogłębnej znajomości specyfiki przemysłowej. Dlatego oferujemy kompleksowe wsparcie na każdym etapie tego procesu.
Nasi eksperci pomogą Ci w stworzeniu i wdrożeniu polityk i procedur bezpiecznego zakupu, dopasowanych do Twojej branży i wymogów NIS2. Pomożemy Ci opracować kwestionariusze oceny bezpieczeństwa dla dostawców i wesprzemy Twój dział prawny w konstruowaniu skutecznych klauzul umownych. Możemy również przeprowadzić w Twoim imieniu niezależny audyt bezpieczeństwa u kluczowych partnerów.
Oferujemy również wsparcie techniczne w postaci usług bezpiecznych testów akceptacyjnych. W naszym laboratorium lub w Twoim środowisku testowym możemy poddać nowe urządzenia szczegółowej analizie bezpieczeństwa, zanim zostaną one wdrożone w sieci produkcyjnej. Naszym celem jest dostarczenie Ci pełnego obrazu ryzyka i praktycznych rekomendacji, które pozwolą Ci na podejmowanie świadomych i bezpiecznych decyzji zakupowych.
Czy jesteś tak bezpieczny jak Twoje najsłabsze ogniwo, czyli Twój dostawca?
Stare porzekadło mówi, że łańcuch jest tak silny, jak jego najsłabsze ogniwo. W dzisiejszym, połączonym świecie, Twoi dostawcy są integralną częścią Twojego łańcucha bezpieczeństwa. Ich słabości stają się Twoimi słabościami, a ich ryzyko staje się Twoim ryzykiem. Ignorowanie tego faktu jest strategicznym błędem, na który nie można sobie pozwolić.
Dyrektywa NIS2 i rosnąca liczba ataków na łańcuch dostaw brutalnie uświadamiają nam, że bezpieczeństwo nie kończy się na naszej własnej bramie. Musi ono rozciągać się na cały ekosystem, w którym funkcjonujemy. Proaktywne, oparte na ryzyku i partnerskiej współpracy podejście do zarządzania bezpieczeństwem dostawców nie jest już opcją – jest fundamentem odporności cyfrowej.
Dlatego zadaj sobie pytanie: czy naprawdę znasz i rozumiesz ryzyko związane z technologią, którą codziennie wpuszczasz do swojej fabryki? Czy Twój nowy, lśniący robot to na pewno sojusznik, czy może jednak koń trojański? Odpowiedź na to pytanie może zadecydować o przyszłości Twojej firmy.
Zainteresowała Cię nasza oferta? Zapytaj o szczegóły
Skontaktuj się z nami, aby odkryć, jak nasze kompleksowe rozwiązania IT mogą zrewolucjonizować Twoją firmę, zwiększając bezpieczeństwo i efektywność działania w każdej sytuacji.
156480
O autorze:
Łukasz Szymański
Łukasz to doświadczony profesjonalista z wieloletnim stażem w branży IT. Jako Dyrektor Operacyjny, koncentruje się na optymalizacji procesów biznesowych, zarządzaniu operacjami i wspieraniu długoterminowego rozwoju firmy. Jego wszechstronne kompetencje obejmują zarówno aspekty techniczne, jak i biznesowe, co potwierdza jego wykształcenie w dziedzinie informatyki oraz zarządzania.
W swojej pracy Łukasz kieruje się zasadami efektywności, innowacyjności i ciągłego doskonalenia. Jego podejście do zarządzania operacyjnego opiera się na strategicznym myśleniu i wykorzystaniu najnowszych technologii do usprawniania działań firmy. Jest znany z umiejętności skutecznego łączenia celów biznesowych z możliwościami technologicznymi.
Łukasz to przede wszystkim praktyk. Swoje doświadczenie budował od podstaw, rozpoczynając karierę jako administrator systemów UNIX/AIX. Ta praktyczna wiedza techniczna stanowi solidny fundament jego obecnej roli, pozwalając mu na głębokie zrozumienie technicznych aspektów projektów IT.
Szczególnie interesuje się obszarem automatyzacji procesów biznesowych, rozwojem technologii chmurowych oraz wdrażaniem zaawansowanych rozwiązań analitycznych. Skupia się na wykorzystaniu tych technologii do zwiększania efektywności operacyjnej i wspierania innowacji w firmie.
Aktywnie angażuje się w rozwój zespołu, promując kulturę ciągłego uczenia się i adaptacji do zmieniających się warunków rynkowych. Wierzy, że kluczem do sukcesu w dynamicznym świecie IT jest elastyczność, szybkość działania oraz umiejętność przewidywania i odpowiadania na przyszłe potrzeby klientów.