Masz pytania?
+48 22 487 8636
Masz pytania?
+48 22 487 8636
Segmentacja sieci OT dla opornych: Praktyczny przewodnik po dzieleniu płaskiej sieci bez zatrzymywania produkcji
W rozmowach o cyberbezpieczeństwie przemysłowym słowo „segmentacja” jest odmieniane przez wszystkie przypadki. To absolutna podstawa, fundament i pierwszy krok do budowy jakiejkolwiek sensownej strategii obronnej. Jednocześnie, dla wielu inżynierów i menedżerów utrzymania ruchu, jest to słowo, które wywołuje natychmiastowy sprzeciw i wizję wielotygodniowych przestojów. Wizję skomplikowanego projektu rekonfiguracji całej sieci, który z pewnością coś zepsuje w doskonale działającym od 15 lat procesie produkcyjnym.
Ten strach jest w pełni uzasadniony, jeśli myślimy o segmentacji w tradycyjny, informatyczny sposób. Jednak technologia poszła naprzód i dziś istnieją metody, które pozwalają na wdrożenie granularnej segmentacji w dojrzałej, działającej sieci OT w sposób niemal bezinwazyjny. Kluczem jest odejście od rewolucyjnego podejścia wymagającego zmiany adresacji IP na rzecz ewolucyjnej metody, która wprowadza zabezpieczenia w sposób transparentny dla istniejących urządzeń.
W tym artykule przejdziemy krok po kroku przez praktyczny proces wdrażania segmentacji w typowej, „płaskiej” sieci przemysłowej. Pokażemy, jak wykorzystać nowoczesne firewalle przemysłowe do stworzenia bezpiecznych stref bez konieczności zatrzymywania produkcji i bez dotykania konfiguracji krytycznych sterowników. To przewodnik dla tych, którzy wiedzą, że muszą działać, ale boją się ryzyka.
Czym jest „płaska sieć” i dlaczego stanowi ona śmiertelne zagrożenie dla produkcji?
„Płaska sieć” (flat network) to termin opisujący architekturę, w której wszystkie podłączone urządzenia znajdują się w jednej, dużej domenie rozgłoszeniowej. Mówiąc prościej, jest to sieć, w której każde urządzenie może swobodnie komunikować się z każdym innym, bez żadnych wewnętrznych barier czy punktów kontroli. Wyobraźmy sobie ogromną, otwartą halę, na której ustawiono setki maszyn – każdy może podejść do każdej i z nią „porozmawiać”. Tak właśnie wygląda płaska sieć OT.
Przez wiele lat takie podejście było standardem w przemyśle. Było proste w implementacji i zarządzaniu, a przy założeniu, że sieć jest fizycznie odizolowana (mit „air gap”), wydawało się wystarczająco bezpieczne. Dziś jednak, w dobie połączonych fabryk, płaska architektura stanowi śmiertelne zagrożenie. Działa ona jak cyfrowa autostrada dla złośliwego oprogramowania i atakujących.
Wystarczy, że jeden, najmniej istotny komputer w tej sieci zostanie zainfekowany, na przykład przez pendrive serwisanta. W płaskiej sieci malware może bez żadnych przeszkód rozprzestrzenić się na wszystkie inne urządzenia, w tym na krytyczne sterowniki PLC i systemy SCADA, paraliżując całą fabrykę w ciągu kilku minut. To właśnie brak wewnętrznych barier był główną przyczyną, dla której ataki takie jak NotPetya potrafiły tak szybko i tak skutecznie unieruchomić globalne operacje produkcyjne.
Na czym polega segmentacja i dlaczego jest ona cyfrowym systemem grodzi wodoszczelnych?
Segmentacja to proces logicznego podziału dużej, płaskiej sieci na mniejsze, odizolowane od siebie podsieci, czyli segmenty lub strefy. Najlepszą analogią do zrozumienia tej koncepcji jest budowa statku. Kadłub statku nie jest jedną, wielką pustą przestrzenią. Jest on podzielony na szereg wodoszczelnych przedziałów (grodzi). Jeśli w kadłubie powstanie dziura i jeden przedział zostanie zalany, grodzie wodoszczelne zapobiegną rozprzestrzenieniu się wody na cały statek, pozwalając mu utrzymać się na powierzchni.
Dokładnie tak samo działa segmentacja w sieci komputerowej. Tworzy ona cyfrowe grodzie wodoszczelne. Każdy segment (np. dana linia produkcyjna, system bezpieczeństwa, strefa z robotami) jest oddzielony od innych za pomocą zapory sieciowej (firewalla). Komunikacja między segmentami jest domyślnie blokowana i dozwolona tylko w ściśle określonych i uzasadnionych przypadkach.
Dzięki segmentacji, nawet jeśli atakujący skompromituje urządzenie w jednym segmencie, jego atak zostaje „zatopiony” w tym jednym przedziale. Nie może on swobodnie przemieszczać się po sieci (ruch lateralny) i infekować systemów w innych segmentach. Daje to zespołom bezpieczeństwa bezcenny czas na wykrycie, zlokalizowanie i powstrzymanie ataku, zanim przerodzi się on w katastrofę na skalę całej fabryki.
Dlaczego klasyczna segmentacja z użyciem VLAN jest tak trudna do wdrożenia w sieci OT?
W świecie IT najpopularniejszą metodą segmentacji sieci jest wykorzystanie technologii VLAN (Virtual Local Area Network). VLAN-y pozwalają na logiczny podział jednej fizycznej sieci na wiele mniejszych, wirtualnych podsieci. Jest to rozwiązanie elastyczne i powszechnie stosowane. Problem polega na tym, że każdy VLAN musi stanowić osobną podsieć IP. A to oznacza konieczność zmiany adresacji IP urządzeń, które mają znaleźć się w nowym segmencie.
Dla administratora IT zmiana adresu IP serwera czy komputera to prosta, rutynowa czynność. W świecie OT jest to operacja wysokiego ryzyka. Systemy sterowania przemysłowego to skomplikowane ekosystemy, w których urządzenia komunikują się ze sobą, często używając statycznie wpisanych („hardcoded”) adresów IP w konfiguracji aplikacji.
Zmiana adresu IP sterownika PLC lub stacji SCADA może zerwać komunikację z dziesiątkami innych urządzeń, które odwołują się do jego starego adresu. Może to wymagać nie tylko zmiany konfiguracji samego sterownika, ale również ponownej konfiguracji i przetestowania paneli HMI, serwerów OPC, baz danych historycznych i wielu innych systemów. Jest to proces niezwykle złożony, czasochłonny i obarczony ogromnym ryzykiem popełnienia błędu, który może doprowadzić do nieprzewidywalnego zachowania maszyn i zatrzymania produkcji.
Jakie ryzyko dla procesu produkcyjnego niesie ze sobą zmiana adresów IP sterowników PLC?
Ryzyko związane ze zmianą adresacji w działającej sieci OT jest tak duże, że w większości przypadków jest po prostu nieakceptowalne dla kierownictwa i inżynierów. Po pierwsze, wymaga to zatrzymania procesu produkcyjnego. Nie da się zmienić adresu IP sterownika „na żywo”, gdy steruje on pracą maszyn. Każda taka zmiana wymaga zaplanowanego przestoju, który sam w sobie generuje koszty.
Po drugie, istnieje ogromne ryzyko błędu ludzkiego i problemów z kompatybilnością. Dokumentacja sieci OT jest często niekompletna lub nieaktualna. Inżynier dokonujący zmiany może nie wiedzieć o wszystkich systemach, które komunikują się z danym sterownikiem. Pominięcie rekonfiguracji jednego, krytycznego połączenia może doprowadzić do tego, że po ponownym uruchomieniu linia produkcyjna nie ruszy lub zacznie działać w sposób nieprawidłowy.
Wreszcie, wiele starszych urządzeń i aplikacji w ogóle nie przewiduje łatwej zmiany adresu IP lub wymaga do tego specjalistycznego, często już niedostępnego oprogramowania lub wiedzy. Z perspektywy inżyniera OT, który jest odpowiedzialny za stabilność procesu, ryzyko związane z globalną zmianą adresacji w imię „jakiegoś cyberbezpieczeństwa” jest po prostu zbyt wysokie. Dlatego projekty segmentacji oparte na tej metodzie są często blokowane już na samym początku.
Czym jest transparentny firewall przemysłowy i jak rewolucjonizuje on segmentację w OT?
Na szczęście, problem ten został dostrzeżony przez producentów sprzętu bezpieczeństwa, którzy opracowali rozwiązanie skrojone na miarę potrzeb OT: transparentny (lub mostkujący) firewall przemysłowy. Jest to urządzenie, które rewolucjonizuje podejście do segmentacji, ponieważ pozwala na jej wdrożenie bez żadnych zmian w istniejącej adresacji IP.
Tradycyjny firewall działa w trybie routowanym – jest „widoczny” w sieci, posiada własne adresy IP i stanowi granicę między dwiema różnymi podsieciami. Transparentny firewall działa inaczej, w warstwie 2 modelu OSI, podobnie jak przełącznik sieciowy (switch) lub most (bridge). Jest on fizycznie wpinany w istniejący kabel sieciowy, ale jest całkowicie „przezroczysty” dla komunikujących się urządzeń. Nie posiada adresu IP w danej podsieci i nie wymaga żadnych zmian w konfiguracji bramy domyślnej na urządzeniach końcowych.
Dzięki temu, możemy wstawić taki firewall na przykład między grupą sterowników PLC a resztą sieci, a sterowniki te nawet „nie zauważą” jego obecności. Będą nadal działać w tej samej podsieci i komunikować się tak jak dotychczas. Różnica polega na tym, że cały ruch przechodzący przez transparentny firewall jest teraz poddawany głębokiej inspekcji i filtrowaniu zgodnie z zadanymi regułami bezpieczeństwa. To pozwala na stworzenie cyfrowej grodzi wodoszczelnej bez dotykania wrażliwej konfiguracji urządzeń końcowych.
Jak firewall może filtrować ruch, nie będąc widocznym w sieci?
Magia transparentnego firewalla polega na jego działaniu w trybie mostu (bridge mode). Urządzenie to posiada co najmniej dwa porty fizyczne. Jeden port podłączamy do segmentu, który chcemy chronić (np. do przełącznika, do którego wpięte są sterowniki PLC), a drugi port do reszty sieci. Firewall działa jak inteligentny most, który przekazuje ramki Ethernet z jednego portu na drugi.
Jednak w przeciwieństwie do prostego mostu, zanim przekaże ramkę dalej, poddaje ją szczegółowej analizie. Nowoczesne firewalle przemysłowe potrafią analizować nie tylko nagłówki IP (adres źródłowy, docelowy, port), ale również zawartość samych pakietów, rozpoznając konkretne protokoły i komendy przemysłowe (np. Modbus, Profinet, S7). Taka technologia nazywa się głęboką inspekcją pakietów (Deep Packet Inspection – DPI).
Dzięki DPI, firewall może egzekwować bardzo precyzyjne reguły. Może na przykład zezwolić stacji inżynierskiej na wysyłanie do sterownika PLC tylko komend związanych z odczytem statusu, ale zablokować próbę wysłania komendy „stop” lub „zmień program”. A wszystko to dzieje się w sposób całkowicie przezroczysty dla komunikujących się urządzeń, które wciąż „myślą”, że znajdują się w jednej, płaskiej sieci.
Krok pierwszy: Jak przeprowadzić pasywne odkrywanie zasobów i zmapować komunikację?
Pierwszym i absolutnie fundamentalnym krokiem w każdym projekcie segmentacji jest zrozumienie stanu obecnego. Nie można skutecznie podzielić sieci, nie wiedząc, co się w niej znajduje i jak ze sobą rozmawia. W środowiskach OT, gdzie dokumentacja jest często nieaktualna, a aktywne skanowanie sieci jest zbyt ryzykowne, najlepszym podejściem jest pasywne odkrywanie zasobów.
Polega ono na podłączeniu do sieci specjalistycznego narzędzia (sondy), które jedynie „słucha” całego ruchu sieciowego, nie wysyłając żadnych własnych pakietów. Analizując ten ruch, narzędzie jest w stanie automatycznie zidentyfikować wszystkie aktywne urządzenia, określić ich typ (np. sterownik PLC firmy Siemens, panel HMI firmy Rockwell), wersję oprogramowania, a także zmapować wszystkie zachodzące między nimi sesje komunikacyjne.
Wynikiem tego etapu jest szczegółowa mapa inwentaryzacyjna i komunikacyjna. Dowiadujemy się nie tylko, jakie mamy zasoby, ale również kto z kim, kiedy i za pomocą jakich protokołów się komunikuje. Ta wiedza jest bezcenna. Pozwala zidentyfikować krytyczne przepływy, które muszą być zachowane, ale również odkryć nieautoryzowane lub niepotrzebne połączenia, które można bezpiecznie zablokować.
Krok drugi: Jak logicznie pogrupować zasoby w strefy bez zmiany ich fizycznej lokalizacji?
Mając w ręku dokładną mapę sieci, możemy przystąpić do planowania segmentacji. Na tym etapie, wciąż tylko na papierze, grupujemy zidentyfikowane zasoby w logiczne strefy lub segmenty. Podstawą do grupowania powinna być funkcja i krytyczność urządzeń, zgodnie z filozofią Modelu Purdue.
Możemy na przykład zdecydować, że wszystkie sterowniki i panele HMI należące do Linii Produkcyjnej 1 utworzą jedną strefę. Roboty spawalnicze w innej części fabryki utworzą drugą strefę. Systemy bezpieczeństwa (np. sterowniki bezpieczeństwa, czujniki przeciwpożarowe) powinny znaleźć się w osobnej, wysoko chronionej strefie. Stacje inżynierskie, używane do programowania sterowników, również mogą stanowić oddzielną strefę.
Ważne jest to, że na tym etapie jest to ćwiczenie czysto logiczne. Nie zmieniamy żadnych kabli ani konfiguracji. Po prostu rysujemy na naszej mapie granice przyszłych segmentów. Celem jest stworzenie docelowej architektury, która będzie realizowała zasadę izolacji ryzyka – kompromitacja jednej strefy nie powinna pozwolić na łatwe przejęcie kontroli nad inną.
Krok trzeci: Dlaczego wdrożenie firewalla w trybie monitorowania jest kluczowe dla uniknięcia przestoju?
Po zaplanowaniu stref, nadchodzi moment fizycznego wdrożenia transparentnych firewalli w zaplanowanych punktach sieci. Jednak kluczem do bezinwazyjnego wdrożenia jest to, że początkowo nie włączamy żadnego blokowania. Zamiast tego, uruchamiamy firewall w trybie monitorowania (learning mode lub tap mode).
W tym trybie firewall wciąż analizuje cały przechodzący przez niego ruch, ale nie blokuje żadnych pakietów. Jego głównym zadaniem jest „uczenie się” normalnego wzorca komunikacji w danym segmencie sieci. Przez okres kilku dni lub tygodni firewall buduje szczegółową bazę wiedzy na temat tego, które urządzenia komunikują się ze sobą, na jakich portach i za pomocą jakich protokołów.
Ten etap jest absolutnie krytyczny dla powodzenia całego projektu. Pozwala on na weryfikację i uzupełnienie mapy komunikacyjnej stworzonej w kroku pierwszym, wychwytując rzadkie, okresowe połączenia (np. comiesięczne raportowanie), które mogły zostać pominięte. Co najważniejsze, odbywa się to przy zerowym ryzyku dla produkcji. Sieć działa dokładnie tak jak wcześniej, a my w bezpieczny sposób zbieramy dane niezbędne do stworzenia precyzyjnych reguł bezpieczeństwa.
Krok czwarty: Jak na podstawie nauczonego ruchu stworzyć precyzyjne i bezpieczne reguły?
Gdy firewall zgromadzi już wystarczającą ilość danych o normalnym ruchu, możemy przystąpić do tworzenia polityki bezpieczeństwa. Proces ten powinien opierać się na zasadzie domyślnego blokowania (default deny), znanej również jako whitelisting. Oznacza to, że zamiast tworzyć reguły blokujące znany zły ruch, tworzymy reguły zezwalające tylko na znany, niezbędny i autoryzowany ruch. Wszystko inne jest domyślnie blokowane.
Na podstawie danych zebranych w trybie monitorowania, administrator tworzy precyzyjny zestaw reguł „zezwól”. Na przykład: „Zezwól stacji SCADA o adresie A na komunikację ze sterownikiem PLC o adresie B tylko za pomocą protokołu Modbus na porcie 502”. „Zezwól stacji inżynierskiej C na komunikację z tym samym sterownikiem tylko za pomocą protokołu S7”.
Stworzenie takiej precyzyjnej „białej listy” jest znacznie bezpieczniejsze niż próba blokowania wszystkich możliwych zagrożeń („czarna lista”). Gwarantuje ona, że przez granicę segmentu przejdzie tylko i wyłącznie ta komunikacja, która jest absolutnie niezbędna do prawidłowego działania procesu produkcyjnego. Na tym etapie reguły te są wciąż konfigurowane „na sucho”, bez aktywowania blokowania.
Krok piąty: Na czym polega bezpieczne przejście z trybu monitorowania do aktywnego blokowania?
Gdy mamy już zdefiniowany i zweryfikowany zestaw reguł, nadchodzi moment „przełączenia wajchy”, czyli przejścia z trybu monitorowania do trybu aktywnego blokowania (enforcement mode). Ten moment, choć potencjalnie najbardziej stresujący, dzięki wcześniejszym przygotowaniom może przebiec w sposób kontrolowany i bezpieczny.
Najlepszą praktyką jest przeprowadzenie tego przejścia w sposób stopniowy i w ścisłej współpracy z zespołem OT. Przełączenie powinno odbyć się w zaplanowanym, krótkim oknie serwisowym lub w okresie mniejszego obciążenia produkcji. Po aktywacji blokowania, zespół musi natychmiast i intensywnie monitorować zarówno logi z firewalla, jak i działanie samego procesu produkcyjnego, aby upewnić się, że żadna krytyczna komunikacja nie została przypadkowo zablokowana.
Jeśli mimo wszystko pojawi się problem, transparentny firewall pozwala na bardzo szybką reakcję. W ostateczności, w ciągu kilku sekund można go przełączyć z powrotem w tryb monitorowania, natychmiast przywracając pełną komunikację i dając czas na spokojną analizę i poprawienie błędnej reguły. To właśnie ta możliwość szybkiego i bezpiecznego wycofania się ze zmian jest największą zaletą tej metodyki i odróżnia ją od nieodwracalnych skutków błędnej zmiany adresacji IP.
Bezpieczna segmentacja sieci OT w 5 krokach
| Krok | Działanie | Cel | Ryzyko dla produkcji |
| 1. Odkrywanie | Pasywne mapowanie zasobów i komunikacji w sieci. | Zrozumienie stanu obecnego („co mam i jak to rozmawia?”). | Zerowe |
| 2. Planowanie | Logiczne grupowanie zasobów w strefy bezpieczeństwa. | Stworzenie docelowej, bezpiecznej architektury. | Zerowe |
| 3. Wdrożenie i nauka | Instalacja transparentnych firewalli w trybie monitorowania. | Zebranie danych o normalnym ruchu bez blokowania. | Zerowe |
| 4. Tworzenie reguł | Zdefiniowanie polityki „białej listy” na podstawie nauczonych wzorców. | Stworzenie precyzyjnych reguł zezwalających tylko na niezbędny ruch. | Zerowe |
| 5. Aktywacja | Stopniowe przejście do trybu aktywnego blokowania w kontrolowanych warunkach. | Egzekwowanie polityki i ochrona segmentów przy minimalnym ryzyku. | Niskie i kontrolowane |
Jakie korzyści, poza bezpieczeństwem, daje uporządkowanie komunikacji w sieci OT?
Głównym celem segmentacji jest oczywiście poprawa cyberbezpieczeństwa. Jednak uporządkowanie chaosu komunikacyjnego w płaskiej sieci przynosi szereg dodatkowych, często nieoczekiwanych korzyści operacyjnych. Przede wszystkim, znacząco poprawia się stabilność i niezawodność sieci. Ograniczenie niepotrzebnego ruchu, zwłaszcza rozgłoszeń (broadcastów), zmniejsza obciążenie urządzeń sieciowych i sterowników, co może zapobiegać ich zawieszaniu się i nieprzewidzianym problemom z wydajnością.
Szczegółowa mapa komunikacji, stworzona na potrzeby segmentacji, jest bezcennym narzędziem do diagnostyki i rozwiązywania problemów (troubleshooting). Gdy pojawia się problem z komunikacją między dwoma urządzeniami, inżynierowie dokładnie wiedzą, jaki ruch powinien między nimi zachodzić i mogą szybko sprawdzić na firewallu, czy jest on blokowany, czy też problem leży gdzie indziej. To drastycznie skraca czas potrzebny na zdiagnozowanie i usunięcie awarii.
Wreszcie, dobrze posegmentowana sieć jest znacznie łatwiejsza w zarządzaniu i rozbudowie. Wprowadzenie nowej maszyny lub linii produkcyjnej staje się prostsze, ponieważ można ją umieścić w nowym, odizolowanym segmencie, a następnie precyzyjnie zdefiniować jej interakcje z resztą systemu, nie ryzykując destabilizacji istniejącej infrastruktury. Segmentacja wprowadza porządek, który przekłada się nie tylko na bezpieczeństwo, ale i na ogólną dojrzałość operacyjną.
Czy segmentacja bez rewolucji jest możliwa i jaki jest pierwszy krok, który należy wykonać?
Tak, segmentacja bez rewolucji jest nie tylko możliwa, ale jest wręcz rekomendowanym podejściem w dojrzałych środowiskach produkcyjnych. Metoda oparta na wdrażaniu transparentnych firewalli pozwala na osiągnięcie ogromnych korzyści w zakresie bezpieczeństwa przy minimalnym, kontrolowanym ryzyku dla operacji. Jest to podejście ewolucyjne, które pozwala na stopniowe i bezpieczne uszczelnianie sieci, segment po segmencie, bez konieczności przeprowadzania jednego, wielkiego i ryzykownego projektu „big bang”.
Kluczem do sukcesu jest zmiana myślenia. Zamiast postrzegać segmentację jako przerażający projekt rekonfiguracji, należy ją traktować jako proces wprowadzania porządku i widoczności. To właśnie brak widoczności jest największym wrogiem bezpieczeństwa i stabilności w sieciach OT. Nie wiemy, co mamy, nie wiemy, jak to ze sobą rozmawia, i boimy się czegokolwiek dotknąć, żeby czegoś nie zepsuć.
Dlatego absolutnie pierwszym i najważniejszym krokiem, który każda organizacja może i powinna wykonać, jest pasywne zmapowanie swojej sieci. Jeszcze zanim kupimy jakikolwiek firewall, musimy zdobyć wiedzę. Wdrożenie narzędzi do pasywnego monitoringu i stworzenie dokładnej inwentaryzacji zasobów i przepływów danych to działanie całkowicie bezinwazyjne, które samo w sobie przynosi ogromną wartość. To fundament, na którym można bezpiecznie zbudować całą resztę strategii segmentacji, zamieniając strach przed nieznanym w świadome i kontrolowane zarządzanie ryzykiem.
Zainteresowała Cię nasza oferta? Zapytaj o szczegóły
Skontaktuj się z nami, aby odkryć, jak nasze kompleksowe rozwiązania IT mogą zrewolucjonizować Twoją firmę, zwiększając bezpieczeństwo i efektywność działania w każdej sytuacji.
156480
O autorze:
Łukasz Szymański
Łukasz to doświadczony profesjonalista z wieloletnim stażem w branży IT. Jako Dyrektor Operacyjny, koncentruje się na optymalizacji procesów biznesowych, zarządzaniu operacjami i wspieraniu długoterminowego rozwoju firmy. Jego wszechstronne kompetencje obejmują zarówno aspekty techniczne, jak i biznesowe, co potwierdza jego wykształcenie w dziedzinie informatyki oraz zarządzania.
W swojej pracy Łukasz kieruje się zasadami efektywności, innowacyjności i ciągłego doskonalenia. Jego podejście do zarządzania operacyjnego opiera się na strategicznym myśleniu i wykorzystaniu najnowszych technologii do usprawniania działań firmy. Jest znany z umiejętności skutecznego łączenia celów biznesowych z możliwościami technologicznymi.
Łukasz to przede wszystkim praktyk. Swoje doświadczenie budował od podstaw, rozpoczynając karierę jako administrator systemów UNIX/AIX. Ta praktyczna wiedza techniczna stanowi solidny fundament jego obecnej roli, pozwalając mu na głębokie zrozumienie technicznych aspektów projektów IT.
Szczególnie interesuje się obszarem automatyzacji procesów biznesowych, rozwojem technologii chmurowych oraz wdrażaniem zaawansowanych rozwiązań analitycznych. Skupia się na wykorzystaniu tych technologii do zwiększania efektywności operacyjnej i wspierania innowacji w firmie.
Aktywnie angażuje się w rozwój zespołu, promując kulturę ciągłego uczenia się i adaptacji do zmieniających się warunków rynkowych. Wierzy, że kluczem do sukcesu w dynamicznym świecie IT jest elastyczność, szybkość działania oraz umiejętność przewidywania i odpowiadania na przyszłe potrzeby klientów.