•    Od prawie dwóch lat jest pan prezesem PCC iT, po wcześniejszej pracy w przemyśle farmaceutycznym. Jak – z tego punktu widzenia – ocenia pan poziom zaawansowania prac w zakresie cyberbezpieczeństwa w polskiej chemii? Czy farmacja jest tu bardziej zaawansowana?

Z mojego doświadczenia, zarówno w pracy w branży farmaceutycznej, jak i chemicznej, mogę powiedzieć, że nie. Opieramy się na tych samych sprawdzonych standardach, takich jak: ITIL czy ISO 20 000. W zakresie bezpieczeństwa stosujemy podobne rozwiązania systemowe oraz techniczne. W projektach informatycznych mamy do czynienia z podobnymi wyzwaniami. Oczekiwania, zmieniające się otoczenie biznesowe, a także sprostanie nowym regulacjom prawnym są podobne dla wszystkich branż.

Bezpieczeństwo w rozwiązaniach informatycznych zawsze warto oprzeć o sprawdzony standard. Najczęściej stosowany w zakresie bezpieczeństwa informacji system ISO 27001 można aplikować zarówno w farmacji, jak i w branży chemicznej. W zakresie bezpieczeństwa stosujemy podobne rozwiązania systemowe oraz techniczne. Pewną specyfiką charakterystyczną dla dużych zakładów chemicznych jest łączenie świata systemów sterowania instalacjami przemysłowymi oraz IT. Warto np. zaimplementować zalecenia normy NIST 800-82 w celu zachowania właściwego poziomu separacji sieci przemysłowych.

•    A różnice?

W branży chemicznej moją uwagę zwróciło m.in. bardzo istotne znaczenie bezpieczeństwa procesowego, duża wiedza inżynieryjna, która jest związana w naturalny sposób z wielkimi instalacjami przemysłowymi. Uważam, że można z korzyścią przenosić pewne doświadczenia z farmacji do chemii, widzę również, że wiedza techniczna i doświadczenia związane z bezpieczeństwem procesowym mogą również być inspirujące i wnosić nową wartość do spojrzenia na najlepsze praktyki biznesowe i dostarczanie optymalnych usług informatycznych. Myślę, że te dwa pozornie różne światy – informatyka dla chemii i informatyka dla farmacji – mają dużo wspólnego. Odróżniają je inne akcenty, specyfika branżowa. Doświadczenia wyniesione z farmacji pomagają funkcjonować w środowisku informatyki realizowanej dla zakładów chemicznych.

Tym, co bardzo szczególne w farmacji i z czym farmacja, zwłaszcza ta dystrybucyjna, w której pracowałem, mierzyła się w ostatnim czasie, jest wymóg walidacji, spełniania norm dobrej praktyki dystrybucji i wytwarzania tzw. GDP i GMP. Obecnie również w chemii mamy do czynienia z podobnymi regulacjami, więc wiedza z farmacji na pewno się przydaje i pomaga odnaleźć się w dzisiejszej chemii przemysłowej.

•    Jak ocenia pan poziom ochrony obiektów przemysłowych w Polsce przed cyberatakami?

To bardzo ważne pytanie, na które powinni odpowiedzieć specjaliści odpowiedzialni za rozwój polskiego przemysłu, osoby zajmujące się w Polsce zarządzaniem kryzysowym, a także specjaliści związani z bezpieczeństwem w konkretnych przedsiębiorstwach. Nie chciałbym uogólniać i mówić, jak wygląda to dla całego przemysłu ciężkiego, a w szczególności chemii, ponieważ każdy z zakładów ma swoją specyfikę i jest na różnym poziomie dojrzałości, jeżeli chodzi o przygotowanie do odpowiedzi na wyzwania cyberbezpieczeństwa.

•    Więc skupmy się na PCC Rokita.

Jako PCC IT zapewniamy rozwiązania z zakresu bezpieczeństwa od strony informatyki. Zadanie ułatwia nam aktywna postawa najwyższej kadry zarządzającej, która wielokrotnie podkreślała znaczenie bezpieczeństwa, w tym również informatycznego dla działalności firmy. Zarząd inspiruje załogę do poszukiwania nowych rozwiązań, a te pozwalają podnosić poziom bezpieczeństwa.

PCC  IT podejmuje cały szereg działań w celu ciągłego podnoszenia bezpieczeństwa. Można powiedzieć, że działamy na każdym poziomie: strategicznym – gdy przyjmujemy określone zasady polityki bezpieczeństwa, decydujemy o wdrożeniu światowych standardów bezpieczeństwa; na poziomie taktycznym – implementując konkretne rozwiązania; oraz na poziomie operacyjnym – stosując instrukcje, procedury, audyty, rozwiązania techniczne i normy.

Mamy świadomość, że w dzisiejszych czasach nikt nie może spać spokojnie i być przekonany, że jest w 100% bezpieczny, więc tym bardziej robimy wszystko, żeby poziom cyberbezpieczeństwa w naszej organizacji stale się podnosił.

•    Jakie działania podejmujecie w PCC, by sprostać nowym wyzwaniom w zakresie bezpieczeństwa, takim jak działania terrorystyczne, sabotaż, działania przestępcze z udziałem dronów czy cyberzagrożenia?

Zagrożeń wciąż przybywa. Mieliśmy do czynienia z przypadkiem wtargnięcia drona na teren naszego zakładu. Sprawa została skierowana do odpowiednich służb i z tego, co wiem, miała swój dalszy ciąg.

Natomiast jeżeli chodzi o same zagadnienia związane z cyberbezpieczeństwem, podjęliśmy strategiczną decyzję o wdrożeniu standardu ISO 27000 i w tym zakresie jesteśmy w trakcie implementacji – liczymy na certyfikację tego systemu w 2018 r. Kompleksowo patrzymy na zabezpieczenie aktywów informacyjnych i wierzymy, że takie podejście da nam komfort myślenia o bezpieczeństwie i możliwość planowania kolejnych działań.

Ważna dla nas jest również bliska współpraca z innymi spółkami grupy kapitałowej. Wpływ na cyberbezpieczeństwo może dziś mieć każdy użytkownik, działania wymagają więc przekraczania naturalnie pojawiających się „silosów”, w których zwykle zamknięte są nasze działy, organizacje. Celem jest, by wiedza o bezpieczeństwie i zagrożeniach była jak najszerzej dystrybuowana, aby korzyści płynące z tej wiedzy były widoczne w każdym dziale.

•    Wspomniał pan o certyfikacji iso 27000. Co musicie zrobić, jakie warunki spełnić, by ten standard wdrożyć?

Wdrożenie systemu zarządzania bezpieczeństwem informacji wymaga całego szeregu działań organizacyjnych wewnątrz spółki. Za nimi idą działania techniczne i zabezpieczenia stosowne do oszacowanych ryzyk. Takich czynności wykonujemy w tej chwili bardzo dużo.

Cała norma zawiera ponad 130 zaleceń technicznych, organizacyjnych, które należy spełnić. I każde z nich należy krok po kroku przejść, aby później w ramach audytu certyfikacyjnego udowodnić audytorom, że każdy z elementów wskazanych w normie jest zaadresowany w poprawny sposób.

Kompleksowe podejście do bezpieczeństwa informacji oferowane przez normę daje nam pewność, że nie pominęliśmy żadnego istotnego zagrożenia oraz wdrożyliśmy mechanizmy ciągłego doskonalenia niezbędne dla ciągłej poprawy zabezpieczeń.

•    Bardzo dużo mówi się obecnie o przemyśle 4.0 w kontekście nowych szans i możliwości, jednak wiążą się z tym też nowe zagrożenia. Jak do tematu podchodzicie w PCC?

Hasło przemysł 4.0 pokrywa się z tym, które obecnie jest bardzo modne w środowisku osób zarządzających informatyką – mam na myśli tzw. cyfrową transformację, a więc proces zmieniający sposób fun- kcjonowania organizacji. Mamy do czynienia z postępującą informatyzacją kolejnych obszarów, zarządzania silnie wspieranego danymi i to nie tylko tzw. danymi lokalnymi, czyli wytworzonymi w organizacji, ale również tymi spoza przedsiębiorstwa. Tu dochodzimy do tzw. idei Big Data, czyli wielkich zbiorów danych, często nieustrukturyzowanych, do których w ten czy inny sposób możemy uzyskać dostęp. Pozwala to optymalizować podejmowane decyzje menadżerskie w oparciu o niedostępne wcześniej informacje.

Jeżeli chodzi o przemysł 4.0 w Polsce, mamy za sobą wiele lat systematycznego doganiania standardów Europy Zachodniej i sądzę, że dziś zbudowaliśmy już solidne fundamenty, żeby myśleć o przejściu tej fazy transformacji do przemysłu 4.0. Jednak nie stanie się to z dnia na dzień, a proces potrwa wiele lat.

•    Przemysł 4.0 to modne sformułowanie. modne jest też mówienie o innowacyjności, odmienianej przez wszystkie przypadki w ostatnim czasie. Czy pana zdaniem polski przemysł chemiczny jest innowacyjny?

Chciałbym się odnieść do Grupy PCC. Innowacyjność w grupie kapitałowej jest bardzo widoczna i objawia się m.in. przez nowe produkty, rozwiązania i aplikacje wytwarzane przez zespół ponad 100 najwyższej klasy specjalistów. Widać tu pewien trend: grupa kapitałowa przechodzi z produktów o charakterze commodity do oferowania bardziej innowacyjnych, unikalnych produktów.

Jednak innowacje nie ograniczają się tylko do tych produktowych. To również innowacyjne procesy. Nawet we wspominanych produktach commodity stosujemy rozwiązania, które pozwalają wytwarzać te same produkty dużo bardziej efektywnie lub w znacznie lepszej jakości.

Innowacyjność dotyczy też całej sfery marketingowej – grupa PCC zdecydowała o uruchomieniu portalu produktowego: products.pcc.eu, gdzie każdy zainteresowany naszymi wyrobami może o nich uzyskać wyczerpującą wiedzę. Portal ten cieszy się sporym zainteresowaniem i jest elementem innowacyjnego podejścia do marketingu w naszej spółce.

I na koniec mamy też innowacyjne modele biznesowe, na przykład spółkę distripark.com, która w innowacyjny sposób sprzedaje produkty chemiczne w ramach nowoczesnego modelu e-commerce. To bardzo interesująca działalność, niezwykle szybko rosnąca, pokazująca potencjał grupy i sposób myślenia kadry zarządzającej o tym, jak dzisiaj działa nowoczesne przedsiębiorstwo, które oferuje rozwiązania o dużej wartości dodanej właśnie dzięki innowacjom.

Bogsław Kobic, Prezes Zarządu PCC IT
 

Wywiad został również opublikowany w nr 1/2018 dwumiesięcznika "Chemia Przemysłowa".