W dzisiejszym świecie, który coraz bardziej opiera się na technologii, zagadnienia związane z cyberbezpieczeństwem i ekspansją firm IT za granicę stają się niezwykle istotne o czym więcej w rozmowie z Bartoszem Majewskim, CEO w Codibly oraz Prezesem Stowarzyszenia SoDA, aby dowiedzieć się więcej na ten temat. 

Klaudia Ciesielska, BrandsIT: Ostatnio zauważyłam trend, gdzie wiele polskich firm decyduje się na ekspansję zagraniczną. Jakie są Twoje przemyślenia na temat przyczyn tego zjawiska oraz jego skali?

Bartosz Majewski, Codibly, SoDA: Zagraniczna ekspansja polskich firm IT to trend, który istnieje od ponad dekady. Wielu przedsiębiorców w branży IT odniosło sukces, współpracując z międzynarodowymi klientami.

Klaudia Ciesielska, BrandsIT: Czyli to już około 15 lat ekspansji polskiego IT za granicę. Dlaczego polskie firmy decydują się na nią?

Bartosz Majewski, Codibly, SoDA: Tak, a nawet dłużej. Polska i inne kraje Europy Wschodniej przez długi czas były centrum tanich usług IT. Kraje takie jak nasz, ale i Białoruś, Ukraina czy Węgry mają wiele uczelni wyższych z kierunkami informatycznymi, przez co też wyjątkowo dobrze wyedukowanych ekspertów i programistów, którzy dodatkowo mówią płynnie po angielsku. To wpłynęło na kierunek ekspansji, zwłaszcza do Europy Zachodniej i Stanów Zjednoczonych. Wiele polskich firm świadczy swoje usługi zagranicznym przedsiębiorstwom już długi czas, jednak rynek IT w Polsce dynamicznie się zmienia, zwłaszcza po okresie pandemii i obecnie – w czasie kryzysu gospodarczego. Tracimy przewagę konkurencyjną – praca zdalna stała się normą, co zatarło granice terytorialne, a tym samym koszty wzrosły. Obecnie można zaobserwować potrzebę specjalizacji firm IT.  Obserwujemy specjalizację w obszarach takich jak e-commerce, healthtech czy insurtech albo, tak jak my – Codibly, w nowoczesnej energetyce, odnawialnych źródłach energii oraz elektromobilności. Podmioty skupiają się nie tylko na programowaniu, ale także na dogłębnym zrozumieniu biznesów swoich klientów czy nawet klientów swoich klientów.

Klaudia Ciesielska, BrandsIT: Dlaczego tak się dzieje?

Bartosz Majewski, Codibly, SoDA: Polskie firmy technologiczne nie są już postrzegane przez klientów jako tanie centrum usług. Oczekiwania kontrahentów rosną – chcą dostarczania coraz większej wartości biznesowej. Aby to zrobić, należy dogłębnie zrozumieć biznes klientów i dostarczyć im więcej niż tylko wykwalifikowanych pracowników. Czasy łatwego zysku minęły. Firmy poszukują teraz partnerów, którzy rozumieją ich sposób działania i mogą dostarczyć ekspercką wiedzę, doświadczenie i holistyczne spojrzenie na branżę, rynek czy dane przedsiębiorstwo.

„Polskie firmy technologiczne nie są już postrzegane przez klientów jako tanie centrum usług. Oczekiwania kontrahentów rosną – chcą dostarczania coraz większej wartości biznesowej.”

Klaudia Ciesielska BrandsIT: Jaka jest historia ekspansji zagranicznej Codibly? Czy od początku planowaliście wyjść poza granice Polski i Europy?

Bartosz Majewski, Codibly, SoDA: Tak, od początku myśleliśmy o skalowalności biznesu. Choć zaczynaliśmy od polskiego rynku, przyszedł moment, w którym 100% naszych klientów pochodziło spoza kraju, głównie z Wielkiej Brytanii, Niemiec i Stanów Zjednoczonych. Studiowałem w Wielkiej Brytanii, więc po ukończeniu studiów i założeniu firmy posiadałem tam pierwsze kontakty. Szybko i dość naturalnie więc rozpoczęliśmy współpracę z firmami z wysp, początkowo będąc tańszą alternatywą w IT. Także nasz pierwszy projekt w obszarze odnawialnych źródeł energii był realizowany dla brytyjskiej firmy. Zbudowaliśmy duży zespół IT do stworzenia systemów zarządzania popytem i podażą energii w Londynie i okolicach. Był to jeden z naszych najciekawszych projektów, trwający prawie siedem lat. Dzięki niemu rozpoczęliśmy naszą specjalizację w nowoczesnej energetyce. W pewnym momencie podjęliśmy decyzję o strategicznym rozwoju w tym kierunku, dodając do naszej oferty usługi technologiczne dla branż elektromobilności oraz dla odnawialnych źródeł energii, co pozwoliło nam wyróżnić się na rynku.

Klaudia Ciesielska, BrandsIT: A dzisiaj w jakich krajach działacie?  Skąd są Wasi klienci? 

Bartosz Majewski, Codibly, SoDA: Obecnie kluczowy jest dla nas rynek amerykański. Oprócz USA, mamy klientów w Wielkiej Brytanii, Hiszpanii, Portugalii oraz Niemiec. Współpracujemy także z kilkoma firmami z Australii.

Klaudia Ciesielska, BrandsIT: Czy obecnie macie także klientów z Polski?

Bartosz Majewski, Codibly, SoDA: Tak, w Polsce oczywiście także mamy kontrahentów, zwłaszcza w sektorze odnawialnych źródeł energii. Polski rynek w tym zakresie dojrzewał przez długi czas i wciąż się rozwija, a duży wzrost zainteresowania tzw. OZE zaobserwowaliśmy w latach 2016-2017 i trend ten utrzymuje się do dziś. W Polsce zaczęliśmy intensywnie działać dopiero dwa lata temu, realizując kilka projektów. Niemniej jednak, naszym głównym rynkiem są Stany Zjednoczone.

Klaudia Ciesielska, BrandsIT: Macie klientów na całym świecie. Jakie są różnice w podejściu do cyberbezpieczeństwa w różnych regionach?

Bartosz Majewski, Codibly, SoDA: Cyberbezpieczeństwo przez długi czas było marginalizowane. Pierwsze poważne działania w tej dziedzinie miały miejsce w 2016 roku wraz z wprowadzeniem regulacji GDPR w Europie, CCPA w Stanach Zjednoczonych oraz PIPEDA w Kanadzie. Pandemia w latach 2019-2021 sprawiła, że znaczenie cyberbezpieczeństwa wzrosło. Firmy musiały dostosować się do nowego modelu pracy zdalnej, co wiązało się m.in. z korzystaniem przez pracowników z domowej sieci oraz rozwojem i przeniesieniem usług do chmur obliczeniowych. Wiele firm przetwarzało wrażliwe dane, które nagle zostały przeniesione z biur do domów pracowników.

Byłem niedawno w Stanach Zjednoczonych, na konferencji energetycznej w Las Vegas. Podczas tego wydarzenia dwa znane hotele, Caesars Palace i MGM, padły ofiarą ataku ransomware – złośliwego oprogramowania, które szyfruje ważne pliki przechowywane na dysku lokalnym i sieciowym. Hakerzy przez ponad 10 dni kontrolowali infrastrukturę hoteli, blokując m.in. kasyna, windy i systemy oświetleniowe. Takie ataki stały się bardziej powszechne podczas pandemii, choć obecnie ich intensywność nieco spadła.

Największym zagrożeniem w systemach IT jest człowiek. W przypadku wspomnianego ataku w Las Vegas, atak rozpoczął się od wykorzystania błędu jednej osoby, która nieumyślnie udostępniła dane logowania. Cyberbezpieczeństwo to globalne wyzwanie, a podejście do niego zależy bardziej od ogólnej świadomości niż od konkretnych regionów.

„Cyberbezpieczeństwo to globalne wyzwanie, a podejście do niego zależy bardziej od ogólnej świadomości niż od konkretnych regionów.”

Klaudia Ciesielska, BrandsIT: Jak w Codibly radzicie sobie z rozwojem cyberzagrożeń, biorąc pod uwagę skalę działalności?

Bartosz Majewski, Codibly, SoDA: Cyberbezpieczeństwo to złożone zagadnienie, które traktujemy priorytetowo. W naszych procesach organizacyjnych i produktowych kładziemy nacisk na bezpieczeństwo informacji. Posiadamy certyfikaty ISO:27001 i IQNet, które zostały potwierdzone przez audytorów. W procesach produkcyjnych skupiamy się na weryfikacji kodu oraz zgodności z wymaganiami takimi jak OWASP TOP 10.

Produkty, nad którymi pracujemy, kontrolują kluczowe elementy infrastruktury, takie jak turbiny wiatrowe czy panele fotowoltaiczne. Dlatego bezpieczeństwo musi być na najwyższym poziomie. Posiadamy wewnętrzne procesy oparte o model SDLC wraz z elementami security i quality assurance, co przekłada się na wysoką jakość tworzonych produktów oraz na ich bezpieczeństwo przy przetwarzaniu danych. Przy każdym projekcie współpracujemy zawsze z naszym CISO (Chief Information Security Officer), który jest kluczowym członkiem zespołu.

Wyzwaniem jest równowaga między inwestowaniem w innowacje a kosztami związanymi z cyberbezpieczeństwem. W początkowej fazie projektu koszty cyberbezpieczeństwa mogą być marginalizowane, ale kluczem jest edukowanie klientów o jego znaczeniu. Działamy w oparciu o chmurę obliczeniową, optymalizując rozwiązania i koszty. Regularnie aktualizujemy nasze systemy, stosujemy podwójną autentykację i prowadzimy szereg inicjatyw związanych z weryfikacją uprawnień i dostępów czy zabezpieczeniem sprzętu firmowego. Dzięki takiemu podejściu w sytuacjach nagłych jesteśmy w stanie szybko reagować. 

Oczywiście zdarzają się różne nieprzewidziane sytuacje, np. pracownik zgubi telefon firmowy, co może stanowić ryzyko pod kątem bezpieczeństwa danych. Jednak odpowiedni poziom zabezpieczeń, jaki utrzymujemy, umożliwia blokadę dostępu, przez co taki incydent nie stanowi krytycznego zagrożenia.

Klaudia Ciesielska, BrandsIT: Wspomniałeś o czynniku ludzkim. Jak edukujecie pracowników w zakresie cyberbezpieczeństwa?

Bartosz Majewski, Codibly, SoDA: Każdy nowy pracownik w naszej firmie przechodzi przez specjalne szkolenie z zakresu bezpieczeństwa, przygotowane przez naszego CISO. Zanim przekażemy pracownikowi sprzęt, taki jak komputer czy telefon, urządzenia te są konfigurowane przez nasz dział IT w celu zapewnienia odpowiednich zabezpieczeń, nadania dostępów czy licencji. Pracownik musi następnie zmienić otrzymane hasło i aktywować wieloskładnikowe uwierzytelnienie. Regularnie powtarzamy szkolenia i monitorujemy poziom bezpieczeństwa w Codibly. Kiedy nasi pracownicy podróżują, wymagamy stosowania filtrów prywatności nie tylko na komputerach, ale także na telefonach. Posiadamy obszerną politykę bezpieczeństwa. Nowoczesne firmy, w tym my, zdają sobie sprawę z ryzyka związanego z cyberzagrożeniami i podejmują odpowiednie kroki, aby je zminimalizować. Dziś nikt nie bagatelizuje zagrożeń, nie bierzemy pod uwagę scenariuszu “nic się przecież nie stanie”. Wszyscy dążymy do tego, aby być jak najbardziej przygotowanym na ewentualne zagrożenia.

Klaudia Ciesielska, BrandsIT: Jakie wyzwania związane z cyberbezpieczeństwem pojawiają się w sektorze energetycznym? Jakie zagrożenia mogą spotkać Waszych klientów? Czy możesz podać przykłady ataków, które miały miejsce?

Bartosz Majewski, Codibly, SoDA: W Stanach Zjednoczonych można zaobserwować liczne próby ataków na centra zarządzające infrastrukturą energetyczną. Jednym z najgorszych scenariuszy w sektorze energetycznym jest wyłączenie prądu lub zakłócenie infrastruktury na tyle, by uniemożliwić dostarczenie energii elektrycznej. Sektor energetyczny obecnie przechodzi przez głęboką transformację, a jej kluczowym elementem jest oprogramowanie. W ciągu najbliższych 10 lat zapotrzebowanie na energię w niektórych regionach wzrośnie dziesięciokrotnie. Aby temu sprostać, nie wystarczy tylko rozbudowa infrastruktury. Kluczem jest balansowanie popytu i podaży energii elektrycznej w czasie rzeczywistym. Nie możemy magazynować energii na przyszłość; musi być ona dostępna na bieżąco. W związku z tym, coraz więcej firm inwestuje w informatyzację rozwiązań do balansowania energii. Wszystkie aktywa, takie jak farmy fotowoltaiczne, wiatrowe, generatory mocy oraz samochody elektryczne i magazyny energii, wymagają zaawansowanego zarządzania przez oprogramowanie. To oprogramowanie komunikuje się z giełdami energii, monitoruje zapotrzebowanie na prąd i dostosowuje jego produkcję, aby konsumenci mieli nieprzerwany dostęp do energii. W centrum tego wszystkiego znajdują się skomplikowane systemy IT, które w Codibly tworzymy i dostarczamy. Włamanie do nich mogłoby być katastrofalne nie tylko dla firm, ale przede wszystkim dla zwykłych konsumentów energii. Stąd taki nacisk na cyberbezpieczeństwo.

Klaudia Ciesielska, BrandsIT: Czyli stawka jest wysoka…

Bartosz Majewski, Codibly, SoDA: Tak. Im większy rozwój technologiczny, tym więcej elementów infrastruktury przenosi się do chmury obliczeniowej, co sprawia, że zarządzanie nimi odbywa się głównie przez zaawansowane systemy i oprogramowanie.

„Im większy rozwój technologiczny, tym więcej elementów infrastruktury przenosi się do chmury obliczeniowej, co sprawia, że zarządzanie nimi odbywa się głównie przez zaawansowane systemy i oprogramowanie.”

Klaudia Ciesielska, BrandsIT: Jakie trendy i zmiany w krajobrazie cyberzagrożeń obserwujecie obecnie, jeżeli chodzi o firmy członkowskie w SoDA?

Bartosz Majewski, Codibly, SoDA: SoDA, jako organizacja non-profit skupiająca firmy z branży software development, tworzy potężną platformę networkingową. Zauważamy, że nasi członkowie coraz bardziej chcą się wyróżniać, zdając sobie sprawę z ważności jakościowego i bezpiecznego wytwarzania oprogramowania. Obserwujemy wzrost dobrych praktyk wśród firm, nie tylko w zakresie standardów OWASP, ale także w zakresie przeprowadzania testów penetracyjnych czy wprowadzania norm ISO.

Przykładem tego jest sytuacja omawiana przez nas w kuluarach w trakcie SoDA Conference, w której z pewną firmą skontaktował się tzw. White Hacker. Poinformował on o dostępie do kilku kluczowych projektów firmy. To pokazuje, że wyzwania w zakresie cyberbezpieczeństwa dotyczą nie tylko produktów, ale także procesów. Coraz więcej organizacji zdaje sobie sprawę z konieczności równoważenia aspektów bezpieczeństwa i logiki biznesowej w swoich propozycjach dla klientów.

„W SoDA widzimy trend automatyzacji procesów z dodanym elementem cyberbezpieczeństwa. Firmy dążą do włączenia bezpieczeństwa w cały cykl życia oprogramowania, co nazywamy Security Software Development Life Cycle.”

W SoDA widzimy trend automatyzacji procesów z dodanym elementem cyberbezpieczeństwa. Firmy dążą do włączenia bezpieczeństwa w cały cykl życia oprogramowania, co nazywamy Security Software Development Life Cycle. Chociaż wiąże się to z dodatkowymi kosztami, przedsiębiorcy zdają sobie sprawę z konieczności inwestowania w bezpieczeństwo, zwłaszcza gdy przetwarzają krytyczne dane. Wkrótce będziemy mieli do czynienia z regulacjami dotyczącymi sztucznej inteligencji, które mają na celu ochronę użytkowników przed niepożądanymi skutkami jej wykorzystania. Temat bezpieczeństwa staje się coraz bardziej popularny, a firmy coraz mocniej inwestują w ten obszar.

Klaudia Ciesielska, BrandsIT: Jakie są główne inicjatywy i projekty realizowane przez SoDA w zakresie cyberbezpieczeństwa?

Bartosz Majewski, Codibly, SoDA: W ramach SoDA organizujemy i zachęcamy firmy do udziału w wydarzeniach typu „SoDA Connect”. Te spotkania mają na celu łączenie różnych interesariuszy z konkretnych obszarów specjalizacji, takich jak cyberbezpieczeństwo, procesy wytwarzania oprogramowania czy sztuczna inteligencja. Niedawno opublikowaliśmy raport na temat AI, do którego lektury serdecznie zachęcam. Wspieramy inicjatywy naszych firm członkowskich, organizując webinary i dostarczając źródła informacji. Jesteśmy również aktywnym partnerem w dyskusjach z przedstawicielami rządu, takimi jak Ministerstwo Cyfryzacji. Dążymy do tego, aby być cennym źródłem wiedzy i wsparcia w zakresie zrozumienia nowych przepisów czy aspektów biznesowych branży IT w Polsce.

Klaudia Ciesielska, BrandsIT: Jakie są najbardziej obiecujące zastosowania AI w zakresie cyberbezpieczeństwa?

Bartosz Majewski, Codibly, SoDA: Uważam, że jednym z najważniejszych zastosowań AI w cyberbezpieczeństwie jest rozpoznawanie i blokowanie ataków typu phishing, które stanowią jedno z głównych zagrożeń dla organizacji. Dzięki uczeniu maszynowemu, systemy mogą analizować wiadomości e-mail, identyfikując podejrzane treści i chroniąc sieci przed atakami. To także pomocne w codziennym życiu – użytkownicy Facebooka dostają przecież regularnie wiadomości np. o wygasającym haśle, które wyglądają tak wiarygodnie, że trudno rozpoznać phishing i łatwo dać się “złapać”. Dlatego narzędzia bazujące na AI, które analizują wiadomości czy ruch sieciowy w poszukiwaniu anomalii, są niezwykle cenne. W obliczu rosnącej ilości danych i zaawansowanej technologii, człowiek nie jest w stanie przetworzyć tylu informacji co AI. To czyni z tej technologii niezastąpione wsparcie.

Klaudia Ciesielska, BrandsIT: Pomoc, ale też wyzwanie…

Bartosz Majewski, Codibly, SoDA: Dokładnie, każdy kij ma dwa końce. Jeśli AI może być używana do obrony przed atakami, może być również wykorzystywana do zwiększenia skuteczności ataków. Dlatego kluczowe jest ciągłe aktualizowanie i doskonalenie naszych systemów obronnych. 

„Jeśli AI może być używana do obrony przed atakami, może być również wykorzystywana do zwiększenia skuteczności ataków. Dlatego kluczowe jest ciągłe aktualizowanie i doskonalenie naszych systemów obronnych.”

Weźmy pod uwagę np. Deepfake – technologia ta pozwala na tworzenie bardzo przekonujących fałszywych nagrań głosowych czy wideo. W obliczu tego typu wyzwań, prywatność danych staje się kluczowa. Chociaż istnieją modele open source, które można stosować lokalnie, komercyjne rozwiązania oferują ciągłe aktualizacje i innowacje, co czyni je bardziej efektywnymi i często tańszymi w utrzymaniu.

Klaudia Ciesielska, BrandsIT: Jakie jest podejście członków SoDA do sztucznej inteligencji w kontekście cyberbezpieczeństwa? W jakim stopniu ją wykorzystują i jakie mają plany na przyszłość?

Bartosz Majewski, Codibly, SoDA: Odpowiedź na to pytanie w kontekście AI i cyberbezpieczeństwa w odniesieniu do naszych firm członkowskich nie jest prosta. Podczas SoDA Conference przeprowadziliśmy wiele gorących dyskusji kuluarowych o wykorzystaniu AI, tematy te były także poruszane w trakcie wystąpień ekspertów na scenie. Wspomniane wcześniej rozporządzenie związane z AI, nad którymi pracuje Unia Europejska, omówił szczegółowo Mikołaj Sowiński z firmy SK&S z Warszawy. Opowiadał m.in. jak będą klasyfikowane różne narzędzia bazujące na AI i jakie wymagania prawne będą musiały spełniać. Celem tych regulacji jest zapewnienie kontroli nad tym, co się dzieje w obszarze sztucznej inteligencji. W trakcie dyskusji okazało się, że niektóre firmy już teraz tworzą narzędzia, które mogą zostać zaklasyfikowane jako systemy wysokiego ryzyka lub niedozwolone, a kary za ich wdrożenie mogą być bardzo wysokie. To obecnie gorący temat zarówno z punktu widzenia prawnego, jak i technologicznego.

„Działanie na lokalnych rynkach to część naszej specjalizacji i zdobywanej latami wiedzy eksperckiej. Jedną z naszych kluczowych wartości jest zdolność do zrozumienia wymagań prawnych i technicznych w różnych krajach.””

Klaudia Ciesielska, BrandsIT: Zauważyłam, że Unia Europejska jest liderem w tworzeniu dyrektyw dotyczących sztucznej inteligencji. Jako Codibly działacie w różnych krajach, takich jak Stany Zjednoczone, Wielka Brytania czy Niemcy. Jak dostosowujecie się do różnych przepisów prawnych w tych krajach?

Bartosz Majewski, Codibly, SoDA: Działanie na lokalnych rynkach to część naszej specjalizacji i zdobywanej latami wiedzy eksperckiej. Jedną z naszych kluczowych wartości jest zdolność do zrozumienia wymagań prawnych i technicznych w różnych krajach. Na przykład, jeśli firma chce sprzedawać energię elektryczną w Kalifornii, znamy specyfikę tamtejszych regulacji, standardy programowania i wymagania dotyczące architektury systemów.  Podobnie jest w przypadku rynku brytyjskiego czy europejskiego – wiemy, jakie są protokoły komunikacji używane w systemach energetycznych. Staramy się być na bieżąco i obserwować zmieniający się ekosystem. Na przykład, niedawno uczestniczyłem w konferencji w Brukseli, gdzie Komisja Europejska omawiała standardy w obszarze komunikacji i cyberbezpieczeństwa. Rynek i klienci wymagają od nas ciągłego zaangażowania i aktualizacji wiedzy.

Klaudia Ciesielska, BrandsIT: Dziękuję za rozmowę.

Bartosz Majewski – CEO Codibly oraz założyciel i prezes w SoDA 

Z branżą IT związany od ponad 13 lat. W 2011 roku założył i do dziś jest prezesem spółki technologicznej Codibly, która oferuje szyte na miarę rozwiązania technologiczne, outsourcing IT i doradztwo dla firm z branży odnawialnych źródeł energii oraz elektromobilności. Jest także jednym z dziesięciu ojców założycieli SoDA (Software Development Association Poland), organizacji powstałej w 2018 r., która zrzesza obecnie ponad 200 firm. Pełni również funkcję jej prezesa. Jest absolwentem Uniwersytetu Ekonomicznego w Krakowie na kierunku informatyka ekonomiczna. Ukończył także podyplomowe studia Advanced Computer Systems Development na University of the West of Scotland oraz software engineering w Akademii Górniczo-Hutniczej w Krakowie.