text_structure.xml
31 KB
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
<?xml version='1.0' encoding='utf-8'?>
<teiCorpus xmlns="http://www.tei-c.org/ns/1.0" xmlns:xi="http://www.w3.org/2001/XInclude">
<xi:include href="PPC_header.xml" />
<TEI>
<xi:include href="header.xml" />
<text>
<body>
<div xml:id="div-1">
<u xml:id="u-1.0" who="#JerzyPolaczek">Pozwolę sobie z zastępstwie przewodniczącego Bogdana Rzońcy, który poprosił mnie o poprowadzenie takiego krótkiego posiedzenia, bo musiał pilnie wracać do Sejmu, poprowadzić to posiedzenie w siedzibie PKP Informatyka.</u>
<u xml:id="u-1.1" who="#JerzyPolaczek">Jeszcze raz, panie prezesie dziękuję osobiście panu i całemu zarządowi za umożliwienie nam chyba po raz pierwszy takiego osobistego zapoznania się z działalnością tego istotnego podmiotu w obrębie grupy PKP. Przy okazji jeszcze, witając naszych gospodarzy, chciałbym dodatkowo powitać pana dyrektora Tomasza Buczyńskiego – dyrektora Departamentu Kolejnictwa Ministerstwa Infrastruktury (od wczoraj), i panią Magdalenę Kosowską – p.o. naczelnika w Departamencie Kolejnictwa. Chciałbym również powitać wiceprezesa Urzędu Transportu Kolejowego pana Radosława Pacewicza, przedstawicieli Departamentu Infrastruktury Najwyższej Izby Kontroli na czele z panem Tomaszem Emiljanem. Nie zapominam tutaj o spółce matce – PKP S.A., i witam pana Andrzeja Olszewskiego – członka zarządu PKP S.A. i jednocześnie – jak pan prezes wspomniał – szefa rady nadzorczej spółki PKP Informatyka.</u>
<u xml:id="u-1.2" who="#JerzyPolaczek">Zapoznaliśmy się z tą prezentacją, jaką przedstawiono tutaj paniom i panom posłom dotyczącą zagrożeń, incydentów oraz monitorowania bezpieczeństwa kolejowej krytycznej infrastruktury IT. Każdy z państwa mógł, zapoznając się z tym materiałem, z tą prezentacją, przygotować sobie ewentualnie jakieś dodatkowe pytania, które za chwilę będzie można zadać. Generalnie mamy 35 minut czasu.</u>
<u xml:id="u-1.3" who="#JerzyPolaczek">Na początku chciałbym jeszcze ewentualnie poprosić ze swojej strony przedstawicieli grupy PKP – pana prezesa Miszczuka, czy ewentualnie kogoś z państwa, jeśli chciałby jeszcze dokonać jakiegoś uzupełnienia problematyki, która została zaprezentowana, ewentualnie przedstawiciela UTK czy Departamentu Kolejnictwa Ministerstwa Infrastruktury, a później przeszlibyśmy do rundy pytań pod adresem, jak rozumiem, naszych przemiłych gospodarzy PKP Informatyka. Czy z państwa strony są jeszcze jakieś kwestie, które trzeba dopowiedzieć albo dodatkowo uzupełnić na kanwie tej prezentacji? Głosu udziela pan prezes. Proszę bardzo, pan prezes Miszczuk.</u>
</div>
<div xml:id="div-2">
<u xml:id="u-2.0" who="#TomaszMiszczuk">Z naszej strony przekazaliśmy w zasadzie te główne informacje. Raczej oczekiwalibyśmy, że państwo zechcą zadać nam jakieś pytania. Chętnie na nie odpowiemy. Jeśli będzie konieczne uzupełnienie jakichś informacji, to może wtedy przekażemy...</u>
</div>
<div xml:id="div-3">
<u xml:id="u-3.0" who="#JerzyPolaczek">Mam na wstępie takie pytanie, które nasunęło mi się w trakcie tej prezentacji. Gdyby ewentualnie państwo z PKP Informatyka powiedzieli parę zdań na temat stanu objęcia ochroną SOC, czyli tego systemu operacyjnego bezpieczeństwa, przede wszystkim spółek grupy PKP, bo to – jakby to powiedzieć – też jest ziemia bardzo bliska i warto temu poświęcić jeszcze kilka takich dodatkowych uwag. Później poproszę państwa posłów o zadawanie pytań. Zróbmy może taką pierwszą rundę – trzy pytania. Kto jeszcze z państwa posłów chce się zgłosić i zadać pytanie. Koleżanki i koledzy, odwagi. Pan przewodniczący Chruszcz, proszę bardzo.</u>
</div>
<div xml:id="div-4">
<u xml:id="u-4.0" who="#SylwesterChruszcz">Dowiedzieliśmy się głównie o państwa mocnych stronach, ale gdzie jest słaba strona? Gdzie musicie doinwestować spółkę? Gdzie kupić – nie wiem – nieruchomość albo serwer czy coś komputerowego, jakieś zabezpieczenie? Przed jakim wyzwaniem stoicie? Dziękuję.</u>
</div>
<div xml:id="div-5">
<u xml:id="u-5.0" who="#JerzyPolaczek">Proszę, pan przewodniczący Żmijan.</u>
</div>
<div xml:id="div-6">
<u xml:id="u-6.0" who="#StanisławŻmijan">Żeby państwa zdopingować, niewątpliwie materia dla państwa jest oczywista jednoznacznie i dokonujecie przekazu w naszą stronę. Oczywiście my będąc tymi, którzy konsumują efekty waszej pracy, łatwo tego nie kupujemy. Ja też w tym duchu, bo w kuluarach o tym rozmawialiśmy. Świat idzie w kierunku jasnych inteligentnych systemów w szeroko rozumianym życiu gospodarczym, społecznym i tak dalej, tylko nie ulega wątpliwości, że nie ma systemów doskonałych, i to są te słabości. Taki przykład z ostatnich dni, z dni świątecznych. Okazuje się, że w Lublinie – dowiedziałem się od dziennikarzy, że to nie był odosobniony przypadek – również elektroniczny system skreślania z ewidencji ludności tych ludzi, którzy odeszli na zawsze...</u>
<u xml:id="u-6.1" who="#StanisławŻmijan">Tak, to, co teraz mówię, jest zdarzeniem z ostatnich świąt. Przy takich smutnych zdarzeniach to są przykre dodatkowe komplikacje. Otóż ze szpitala nie można odebrać ciała bliskiej osoby, bo mamy centralny system wykreślania z ewidencji i to są procedury, które obowiązują w państwie. To po prostu nie są żarty – jesteśmy zobowiązani do tego. To jest prawo. Dyrektor szpitala nie może wydać ciała, ponieważ system mu nie pozwolił, bo była awaria. I proszę zauważyć. Nawiązując jakby celowo, bo takie zdarzenia mogą być akurat w każdym obszarze… nawiązuję celowo także do tego, o czym mówił przewodniczący Chruszcz. Jak sobie radzić – nie wiem – równolegle, symetrycznie, bo panowie mówiliście, że na bieżąco reagujecie, tak? Na bieżąco obserwujecie i reagujecie. Jak w takim razie państwo widzicie... bo to, że idziemy w przyszłość z tymi technologiami, jest oczywiste, ale właśnie jak unikać tych słabych momentów, bo one są? Dziękuję.</u>
</div>
<div xml:id="div-7">
<u xml:id="u-7.0" who="#JerzyPolaczek">Dziękuję bardzo. Oddaję głos przedstawicielom grupy PKP, ministerstwa. Proszę, pan prezes.</u>
</div>
<div xml:id="div-8">
<u xml:id="u-8.0" who="#TomaszMiszczuk">Może w pierwszej kolejności poprosiłbym pana prezesa Olszewskiego, który zgłosił, że chce odpowiedzieć.</u>
</div>
<div xml:id="div-9">
<u xml:id="u-9.0" who="#AndrzejOlszewski">Chciałbym odpowiedzieć na pierwsze pytanie dotyczące grupy – jak grupa planuje zabezpieczać spółki właśnie od strony informatycznej. Przede wszystkim zarząd PKP S.A. postawił na spółkę PKP Informatyka jako na główną spółkę informatyczną w grupie kapitałowej. To jest pewna zmiana strategii, o czym wcześniej mówił prezes Miszczuk, ponieważ wcześniejsze zamiary były takie, że de facto była to spółka przeznaczona do likwidacji. Nam ta strategia nie się podobała.</u>
<u xml:id="u-9.1" who="#AndrzejOlszewski">Mamy pełną świadomość, że rozproszenie pewnych zadań IT w spółkach jest dużo droższe niż koncentracja zadań w jednej spółce i że jest to bardziej efektywne ekonomicznie i że optymalizuje to wysiłek organizacji jako całości. W związku z tym to jest taki główny strategiczny cel. PKP Informatyka, o czym była mowa, zorganizowała wspólny blankiet. W tej chwili pracuje się nad wspólnym biletem, a więc również nad ujednoliconą taryfą kolejową. Plany są takie, żeby ten kolejny krąg został zrealizowany najpóźniej...</u>
</div>
<div xml:id="div-10">
<u xml:id="u-10.0" who="#TomaszMiszczuk">Do końca tego roku.</u>
</div>
<div xml:id="div-11">
<u xml:id="u-11.0" who="#AndrzejOlszewski">...do końca tego roku. PKP Informatyka ma kilka takich swoich podstawowych działalności. O tym też była mowa, ale poza systemem „Kurs’90” i różnymi odmianami tego systemu, czyli ten system sprzedaży biletów, poza systemem „Bilkom”, sprzedażą internetową chcemy, żeby jedną z nóg było bezpieczeństwo. Odbyło się już z inicjatywy zarządu PKP S.A. spotkanie zarządu PKP Informatyka i PKP PLK, żeby to centrum SOC, które państwo oglądaliście, żeby tym systemem objąć również przynajmniej pewne zakresy systemów, na których operuje PKP PLK, ponieważ oczywiście gros systemów bezpieczeństwa ruchu kolejowego, to znaczy, wszystkie systemy bezpieczeństwa ruchu kolejowego tak naprawdę znajdują się w tej spółce.</u>
<u xml:id="u-11.1" who="#AndrzejOlszewski">Chcielibyśmy, żeby objąć monitoringiem sieć PKP PLK, czyli te wszystkie funkcjonalności, które też w jakimś skróconym zakresie były prezentowane, żeby to też była jedna z gałęzi realizowanego bezpieczeństwa informatycznego w PKP PLK. Również pozostałe spółki z grupy – połączyliśmy PKP Utrzymanie, PKP Budownictwo w spółkę PKP Telkol. To połączenie zostało zarejestrowane w dniu 3 stycznia. To również jest znaczący podmiot w grupie, jeśli chodzi o wykonawstwo. Ten podmiot też ma być objęty i będzie obejmowany tym zakresem bezpieczeństwa. Również PKP Intercity – z natury rzeczy najważniejsza spółka pasażerska. PKP Informatyka podjęła również w tym zakresie rozmowy ze spółką LHS – Linią Hutniczą Szerokotorową. Tak więc ta strategiczna decyzja o tym, że spółka PKP Informatyka ma być główną spółką dającą duży zakres i zabezpieczenia i obsługi informatycznej grupy, po prostu się dzieje. Dziękuję.</u>
</div>
<div xml:id="div-12">
<u xml:id="u-12.0" who="#JerzyPolaczek">Proszę, teraz jeszcze pan prezes zabierze głos.</u>
</div>
<div xml:id="div-13">
<u xml:id="u-13.0" who="#TomaszMiszczuk">Ja rzeczywiście odpowiem. Państwo, będąc w centrum monitoringu, widzieli, że tam był taki dashboard, gdzie były odnośniki do poszczególnych spółek. Rzeczywiście w różnych zakresach monitorujemy wszystkie spółki. Oczywiście to jest uregulowane odrębnymi umowami. Natomiast zadanie polegające na objęciu systemem bezpieczeństwa wszystkich procesów IT realizowanych przez spółki jest częścią procesu, który jest w realizacji. Nie objęliśmy więc tego wszystkiego, ale zmierzamy w tym kierunku i ważna jest deklaracja PKP S.A., że nas w tym wspiera. Bardzo dziękujemy, że nas wspiera – taki jest sens działania w grupie, prawda? Dopowiadając to do pierwszego pytania.</u>
<u xml:id="u-13.1" who="#TomaszMiszczuk">Jeżeli chodzi o pytanie nr 2, czyli o potrzeby. Działalność informatyczna ma tę specyfikę, że ten sprzęt starzeje się bardzo szybko – on jest drogi i starzeje się bardzo szybko. Musimy więc rotować tym sprzętem. Kiedy objęliśmy tutaj nowy zarząd w styczniu 2016 r., ten dług technologiczny był duży, bo były jakby inne plany wobec spółki. Teraz spółka ma się stać liderem i ten dług technologiczny zmniejszamy, i staramy się ten sprzęt wymieniać już na te nowe oczywiście systemy. Są również nowe serwery. Oczywiście te stare systemy ciągle działają. Musimy jednak pamiętać, że to nie jest tak, że one ciągle działają i będą działały, dopóki ich nie wyłączymy. One też będą wymagały odświeżenia sprzętu, ale to jest jakby wpisane w działalność tej spółki. Wszystko i stale staramy się odnawiać, ale miejmy tę świadomość. Sprzęt komputerowy – sami państwo przecież posiadacie laptopy, więc wiecie, jak szybko one robią się już mało efektywne, a my mamy ten problem w skali dosyć dużej. Musimy to robić, bo taka jest natura naszej działalności.</u>
<u xml:id="u-13.2" who="#TomaszMiszczuk">I trzecie pytanie. Jakie ono było?</u>
</div>
<div xml:id="div-14">
<u xml:id="u-14.0" who="#JerzyPolaczek">Trzecie pytanie dotyczyło… Panie przewodniczący? Chyba między innymi aplikacji „Żródło”.</u>
</div>
<div xml:id="div-15">
<u xml:id="u-15.0" who="#TomaszMiszczuk">Tak.</u>
</div>
<div xml:id="div-16">
<u xml:id="u-16.0" who="#JerzyPolaczek">To jest trochę poza zadaniami PKP Informatyka. W tej sprawie 2 albo 3 lata temu toczyłem wojnę z ówczesnym ministrem spraw wewnętrznych, bo to był problem wszystkich urzędów stanu cywilnego. Jak widzę, on nie do końca jest rozwiązany. ...Do mikrofonu.</u>
</div>
<div xml:id="div-17">
<u xml:id="u-17.0" who="#StanisławŻmijan">Przepraszam. Oczywiście to nie jest rozwiązane. Ja mówiłem albo posłużyłem się tym przykładem, bo on jest taki drastyczny. Zauważyłem, że państwo zareagowaliście. Chodzi o to, że to...</u>
</div>
<div xml:id="div-18">
<u xml:id="u-18.0" who="#TomaszMiszczuk">Działający na wyobraźnię.</u>
</div>
<div xml:id="div-19">
<u xml:id="u-19.0" who="#StanisławŻmijan">Tak. Centralne systemy, które funkcjonują, są w naszym prawie i nie można inaczej, dlatego celowo powiedziałem, że nie można obejść prawa, bo to jest prawo. W związku z tym takie pytanie do państwa, bo państwo macie to nie tylko w palcach, ale także w sercach i w głowach. Dlatego o to pytam, bo to są bardzo duże niedogodności i nie wiadomo, co z tym robić. Po prostu w tym kontekście.</u>
</div>
<div xml:id="div-20">
<u xml:id="u-20.0" who="#JerzyPolaczek">Proszę bardzo.</u>
</div>
<div xml:id="div-21">
<u xml:id="u-21.0" who="#TomaszMiszczuk">Oczywiście mamy swoje procedury w takich awaryjnych sytuacjach. Wszystko jest opisane, ponieważ mamy nie tylko system ISO 9001, ale również system ISO 27001, ISO 20000, bo jesteśmy co roku audytowani pod tym kątem. Te procedury są i działają. My je sprawdzamy. Musimy sobie tak radzić.</u>
</div>
<div xml:id="div-22">
<u xml:id="u-22.0" who="#JerzyPolaczek">Dziękuję bardzo. Pani poseł Maria Zuba zapisała się do głosu. Proszę bardzo, pani poseł.</u>
</div>
<div xml:id="div-23">
<u xml:id="u-23.0" who="#MariaZuba">Dziękuję bardzo. Szanowni państwo, poznaliśmy, jak działa ten system, ale do momentu, jak on funkcjonuje, ale czy moglibyście państwo przedstawić nam negatywne zdarzenie, którego dzięki państwa funkcjonowaniu udało się uniknąć?</u>
<u xml:id="u-23.1" who="#MariaZuba">Często powtarzaliście panowie, że najsłabszym ogniwem w tym systemie jest człowiek. Jak zatem odbywa u państwa nabór pracowników i czy macie państwo rezerwę stanowisk wystarczającą, żeby w momencie, kiedy ktoś – załóżmy – podejmie decyzję, że odchodzi, jest ktoś – jakiś pracownik, który wchodzi w ten system miękko.</u>
<u xml:id="u-23.2" who="#MariaZuba">I trzecia rzecz, która mnie interesuje, to czy szkolenia, które państwo przeprowadzacie, bo rozumiem, że systemy wymagają szkoleń na bieżąco, odbywają się tylko wewnętrznie w swoim zespole, czy również korzystacie państwo z doświadczeń innych na polu krajowym jak i międzynarodowym? Dziękuję.</u>
</div>
<div xml:id="div-24">
<u xml:id="u-24.0" who="#TomaszMiszczuk">Może ja odpowiem.</u>
</div>
<div xml:id="div-25">
<u xml:id="u-25.0" who="#JerzyPolaczek">Bardzo proszę, panie prezesie.</u>
</div>
<div xml:id="div-26">
<u xml:id="u-26.0" who="#TomaszMiszczuk">Może zaczynając od końca, oczywiście korzystamy z doświadczeń różnych przedsiębiorstw. Dzisiaj przedsiębiorstwo, które zajmuje się branżą IT nie jest w stanie samo posiąść takiej wiedzy, która jest wystarczająca do działania. Naprawdę korzystamy z różnych – i krajowych i zagranicznych podmiotów. Często jest to wiedza bardzo specjalistyczna, często dostarczana nam na przykład przez jedną firmę na świecie. Również trzeba to wiedzieć. Korzystamy z tego jak najbardziej.</u>
<u xml:id="u-26.1" who="#TomaszMiszczuk">Jeśli chodzi o zapewnienia sobie takiego bezpieczeństwa, to redundancja – że tak powiem – zasobów ludzkich jest jak najbardziej dla nas sprawą priorytetową. Staramy się zawsze mieć kilka osób, które posiadają tę wiedzę i mogą się nawzajem zastępować, nawet nie ze względu na to, że ktoś gdzieś tam odejdzie albo spotka go jakiś wypadek, ale choćby ze względu na zwykły urlop. Oczywiście są ludzie lepiej przygotowani i niektórzy ludzie mniej przygotowani, ale wszystko jest na takim poziomie, że ciągłość działania systemów jest zapewniona, o czym zresztą świadczą nasze certyfikaty, które posiadamy. Jeżeli chodzi o nabory, to prowadzone są zwykłym trybem.</u>
<u xml:id="u-26.2" who="#TomaszMiszczuk">Oddam natomiast koledze głos, jeśli chodzi o to... Pewnie powiemy o zagrożeniu „WannaCry”, którego dało się uniknąć.</u>
</div>
<div xml:id="div-27">
<u xml:id="u-27.0" who="#JerzyPolaczek">Proszę bardzo jeszcze raz się przedstawić.</u>
</div>
<div xml:id="div-28">
<u xml:id="u-28.0" who="#RobertMilewski">Robert Milewski, PKP Informatyka. Mieliśmy taki przypadek. To znaczy wystąpiło zagrożenie „WannaCry”. W zasadzie zareagowaliśmy w sposób bardzo szybki. Dostaliśmy informację od naszego partnera w zakresie bezpieczeństwa, czyli w tym przypadku NASK. Dostaliśmy bardzo szybko informację, ponieważ jesteśmy cały czas przez NASK, a w zasadzie NC Cyber tak naprawdę – organ, który wspiera bezpieczeństwo, na bieżąco informowani o różnych zdarzeniach. Dzięki temu systemowi, który państwo dzisiaj oglądali, czyli badaniu podatności, od razu po prostu wiedzieliśmy, że nasze systemy... od razu mieliśmy raport ze wszystkich stacji i terminali w naszej organizacji, które ewentualnie mogą wykazywać tę podatność.</u>
<u xml:id="u-28.1" who="#RobertMilewski">Z uwagi na to, że prowadzimy na bieżąco działania zmierzające do tego, żeby badać te podatności, ten raport został wygenerowany w ciągu dosłownie kilkunastu minut i mieliśmy pełny dostęp do ewentualnych zagrożeń, które są na naszych stacjach roboczych. Powiem tak: żaden z naszych systemów, ani żaden z naszych komputerów nie był bezpośrednio zagrożony tą podatnością. Był pojedynczy komputer, o którym wiedzieliśmy, że ma tę podatność. On był zarządzony, był wydzielony z sieci. To były tak zwane komputery testowe, gdzie testuje się starsze aplikacje na starszych systemach. Był w systemie, który mógł być podatny na ten atak, ale był w całkowicie wydzielonej sieci, która została od razu automatycznie wyłączona z użytkowania. To był weekend, więc dostaliśmy informację i razem z kolegą naczelnikiem – szefem SOC, w ciągu pół godziny byliśmy w firmie, ale już koledzy z SOC działali operacyjnie, żeby zabezpieczyć – powiedzmy – te komputery i całą naszą organizację.</u>
</div>
<div xml:id="div-29">
<u xml:id="u-29.0" who="#ArturŚlubowski">Artur Ślubowski, PKP Informatyka. Wszystkie nasze systemy są chronione non stop permanentnie przed zagrożeniami. Działa to w ten sposób, że pracownicy, korzystając z internetu, nie wejdą w standardzie na stronę w internecie, która ma złą reputację, które jest już w świecie znana, że jest tam jakiś wirus albo trojan. Od razu nasze systemy blokują dostęp do takich stron. Takich więc przypadków, kiedy ktoś chce wejść...</u>
<u xml:id="u-29.1" who="#ArturŚlubowski">Przypadek ze stroną KNF, która teoretycznie była bezpieczna, jednak miała jakiegoś wirusa. To znany przypadek sprzed kilku miesięcy. Ale w takim przypadku, kiedy jest wiadomo, że strona jest zawirusowana, kiedy ktoś już to określił, nikt z naszych pracowników nie wejdzie na taką stronę. I takich przypadków dzieje się kilka dziennie.</u>
<u xml:id="u-29.2" who="#ArturŚlubowski">Jest standardem, że użytkownicy korzystający z internetu cały czas są poddawani wszelakim atakom, kiedy wchodzą na strony, na których jest osadzone jakieś niebezpieczne oprogramowanie. Codziennie można by było wskazać kilka przypadków, w których nasze systemy zabezpieczyły pracowników przed takimi zdarzeniami. Dziękuję.</u>
</div>
<div xml:id="div-30">
<u xml:id="u-30.0" who="#JerzyPolaczek">Dziękuję bardzo. Korzystając również z możliwości, chciałbym tutaj jeszcze zadać jedno pytanie i jedną informację, która może być praktycznie przydatna naszym gospodarzom czy przedstawicielom Ministerstwa Infrastruktury. W kwietniu mamy wyjazdowe posiedzenie pod tytułem „Informacja Ministra Infrastruktury na temat bezpieczeństwa w polskim transporcie w 2017 r.”, zarówno w samochodowym, lotniczym jak i kolejowym. Są tu więc elementy, które są dzisiaj przedmiotem naszego posiedzenia wyjazdowego również w siedzibie PKP Informatyka. Myślę jednak, że to jest taki ciekawy – powiedziałbym – komponent ewentualnej informacji dotyczącej bezpieczeństwa w transporcie kolejowym pod kątem właśnie likwidowania zagrożeń czy unikania incydentów, którym można zapobiec.</u>
<u xml:id="u-30.1" who="#JerzyPolaczek">Ostatnie pytanie z mojej strony, które chciałbym tutaj zadać, dotyczy już bardzo praktycznej kwestii związanej z tym, że chyba w maju 2018 r. wchodzi w życie implementowana dyrektywa Parlamentu Europejskiego o ochronie danych osobowych. Ona również wywiera znaczący wpływ na funkcjonowanie przedsiębiorstw i spółek. Chciałbym zadać takie pytanie, w jaki sposób PKPO Informatyka może udzielić wsparcia w tym zakresie dla grupy, którą wszyscy – że tak powiem – znamy, i ewentualnie jak wygląda – powiedziałbym – ten stan przygotowań do tych nowych rozwiązań, które będą obowiązywać od maja. Tym bardziej że, jak mówię, będą obowiązywać pewne nowe regulacje, dość znaczące? W ubiegłym roku w Sejmie została uchwalona duża nowelizacja ustawy o ochronie danych osobowych i też będzie to miało bardzo istotne znaczenie praktyczne, jeśli chodzi o tę sferę bezpieczeństwa i ochrony danych, automatycznego przetwarzania i tak dalej, i tak dalej. Mam więc pytanie dotyczące problematyki tej regulacji, która będzie wchodziła w życie w 2018 r.</u>
<u xml:id="u-30.2" who="#JerzyPolaczek">Czy jeszcze któraś z pań posłanek lub któryś z panów posłów ma pytanie? Pan poseł Puda wcześniej się zgłosił? Boi się pan? Nie chce pan żadnego pytania zadać? Pan poseł Suchoń. Czy jest jeszcze jakieś inne pytanie? Jeśli nie ma, to zamykam listę i później po tym pytaniu, które zada pan poseł Suchoń i odpowiedzi, powoli zmierzalibyśmy do końca dzisiejszego wyjazdowego posiedzenia. Proszę, panie pośle.</u>
</div>
<div xml:id="div-31">
<u xml:id="u-31.0" who="#MirosławSuchoń">Bardzo dziękuję. Panie przewodniczący, panowie prezesie, Wysoka Komisjo, oczywiście chciałbym jeszcze nawiązać do tych kwestii pracowniczych, bo w trakcie prezentacji pan prezes był uprzejmy przedstawić taką formułę naboru młodych pracowników, młodych absolwentów, pewnie studentów jeszcze, którzy kończą uczelnie na kierunkach informatycznych... Zamierzona, tak? Rozumiem, że to jest jakaś odpowiedź na problemy na rynku pracy. Natomiast jednak chciałbym zapytać, jakie państwo bodźce stosują, żeby pracownicy – ci doświadczeni, bo jeżeli mówimy o bezpieczeństwie, to jednak kwestie bezpieczeństwa związane są z doświadczeniem... Im bardziej doświadczony – powiedziałbym – człowiek, który jest odpowiedzialny za bezpieczeństwo, tym działa on lepiej, krótko mówiąc i nie rozwijając tematu. W związku z tym, czy państwo stosują takie bodźce, które pozwalają zatrzymać w firmie doświadczonych pracowników? Po drugie, jaki mają państwo budżet na szkolenia? Rozumiem, że jest jakiś budżet na szkolenia. W zasadzie jeżeli chodzi o kwestie IT, to inżynier, który kończy szkołę już ma jakieś opóźnienie, jeśli chodzi o tę najnowszą wiedzę. Wiemy, że trzeba ją uzupełniać. W jaki sposób w związku z tym państwo kreują ten obszar, jeżeli chodzi o swoich pracowników? Czy jest taki budżet? Czy mobilizują państwo, czy stosują państwo jakieś bodźce do podnoszenia kwalifikacji?</u>
<u xml:id="u-31.1" who="#MirosławSuchoń">Drugie pytanie dotyczy infrastruktury. Państwo świadczą usługi spółkom grupy. Natomiast jest pytanie, czy łącza, które państwo stosują do świadczenia tych usług są własnością spółki, czy korzystają państwo w szerokim zakresie z łącz dzierżawionych? Jeżeli tak, to jak państwo zapewniają właśnie kwestie łączności? Czy to jest korzystanie z wielu operatorów czy z jednego? To jest drugie pytanie.</u>
<u xml:id="u-31.2" who="#MirosławSuchoń">Trzecie pytanie dotyczy właśnie centrów danych. Jeżeli oczywiście można udzielić takiej informacji, to prosiłbym o informacje, ile państwo posiadają centrów danych – kolokwialnie czy pospolicie mówiąc, serwerowni? Czy to jest zlokalizowane w jednym miejscu czy w wielu miejscach? Jak państwo właśnie zabezpieczają kwestie bezpieczeństwa nie w sensie dostępu, tylko zabezpieczenia przed utratą danych, co też się zdarzało nawet w bardzo poważnych instytucjach? Dziękuję bardzo.</u>
</div>
<div xml:id="div-32">
<u xml:id="u-32.0" who="#JerzyPolaczek">Bardzo dziękuję. Oddaję głos przedstawicielom spółki i ewentualnie grupy. Proszę, według uznania, panie prezesie. Pytałem, panie prezesie, o kwestie wsparcia PKP Informatyka w tym obszarze – powiedziałbym – nowej regulacji europejskiej i ewentualnie jak to wygląda dzisiaj u państwa w samej PKP Informatyka i w grupie? Po prostu mamy jeszcze kilka miesięcy czasu.</u>
</div>
<div xml:id="div-33">
<u xml:id="u-33.0" who="#TomaszMiszczuk">Dobrze, musiałem sobie zapisać te wszystkie pytania.</u>
</div>
<div xml:id="div-34">
<u xml:id="u-34.0" who="#JerzyPolaczek">Proszę, panie prezesie.</u>
</div>
<div xml:id="div-35">
<u xml:id="u-35.0" who="#TomaszMiszczuk">Dobrze. Jeśli chodzi o RODO, to oczywiście tutaj ciągle pierwszą rzeczą są szkolenia. Odpowiadając na pytanie o budżet, powiem, że jest spory budżet – w tej chwili nie potrafię powiedzieć jaki, ale pokrywający nasze potrzeby w zupełności. Na to nie żałujemy, bo wiedza jest jakby kluczem. Ten biznes opiera się na wiedzy. On nie oprze się ani na maszynach, ani na oprogramowaniu, tylko na ludziach. Natomiast w tej chwili nie potrafię dokładnie powiedzieć, w jakiej on jest wysokości. Jeśli chodzi o RODO, o szkolenia – wracając jeszcze – to cały zarząd i cała kadra menadżerska jest przeszkolona. Prowadzimy chyba od prawie roku akcję uświadamiającą, jeśli chodzi o informacje dotyczące RODO. One są przekazywane pracownikom, wszystkim pracownikom, więc pod tym kątem ta nasza świadomość jest również wysoka.</u>
<u xml:id="u-35.1" who="#TomaszMiszczuk">Jako spółka technologiczna te zabezpieczenia technologiczne praktycznie od zawsze mieliśmy, więc tutaj aż tak dużo nie zostało do zrobienia. Czy coś jeszcze?</u>
</div>
<div xml:id="div-36">
<u xml:id="u-36.0" who="#RobertMilewski">Analiza ryzyka w zakresie RODO. Podstawowym elementem tej ustawy i tych zabezpieczeń jest jednak analiza ryzyka. Taki SOC, czyli to badanie podatności, jest podstawowym elementem badania ryzyka, a co za tym idzie, stosowania zabezpieczeń, które są – powiedzmy – wymagane przez RODO. Wynika to więc przede wszystkim ze świadomości zagrożeń. One mają być adekwatne, mówiąc oczywiście w bardzo dużym skrócie. SOC wpisuje się w 100% w tę – powiedzmy – ustawę, przepraszam, nie w ustawę, tylko w rozporządzenie.</u>
</div>
<div xml:id="div-37">
<u xml:id="u-37.0" who="#JerzyPolaczek">Proszę bardzo. Jeszcze pan poseł Suchoń zadał pytanie.</u>
</div>
<div xml:id="div-38">
<u xml:id="u-38.0" who="#TomaszMiszczuk">Tak, już odpowiadam.</u>
</div>
<div xml:id="div-39">
<u xml:id="u-39.0" who="#JerzyPolaczek">Na jedno w sprawie szkoleń uzyskał już odpowiedź.</u>
</div>
<div xml:id="div-40">
<u xml:id="u-40.0" who="#TomaszMiszczuk">Jeśli chodzi o operatorów, to my tych sieci własnych nie mamy za dużo, więc korzystamy z łącz dzierżawionych bardzo wielu operatorów. Jeśli chodzi o to, rzeczywiście mamy 10 lokalizacji, więc chociażby z tego punktu widzenia musimy korzystać z tych operatorów. Jeśli chodzi o serwerownie, są one w różnych lokalizacjach. Nie chciałbym rozwijać tego, bo wiadomo, że są to kwestie bezpieczeństwa.</u>
<u xml:id="u-40.1" who="#TomaszMiszczuk">Mamy najlepszą serwerownię w standardzie Tier 4 na terenie Warszawy. Nie będę mówił więcej. Jest to najwyższy poziom. Ona chyba przetrwałaby nawet atak atomowy. Natomiast mamy też mniejsze serwerownie w różnych lokalizacjach, ale to, co najważniejsze, jest chronione w najwyższym stopniu. Tam w tych innych – zapasowych, może już nie. Tak, one są w różnych miejscach. Są utworzone procedury backup’owe. Taśmy są archiwizowane w niezależnych miejscach, więc pod tym kątem, jeśli chodzi o te repozytoria i tak dalej, to bez tego nie można by było funkcjonować, bo wiadomo, że jakakolwiek awaria powodowałaby olbrzymie straty. Oczywiście to jest w standardzie działania takich firm, więc... Nie chcę jednak mówić gdzie i jak, bo...</u>
</div>
<div xml:id="div-41">
<u xml:id="u-41.0" who="#JerzyPolaczek">Dziękuję bardzo. Czy jeszcze ewentualnie przedstawiciele ministerstwa albo Urzędu Transportu Kolejowego chcieliby przedstawić jakieś parozdaniowe podsumowanie ze swojej strony? Jest taka potrzeba? Panie dyrektorze? Panie prezesie? Nie ma.</u>
<u xml:id="u-41.1" who="#JerzyPolaczek">W związku z tym pozwolę sobie raz jeszcze podziękować naszym gospodarzom, wszystkim przedstawicielom grupy PKP na czele z szefem rady nadzorczej – panem Andrzejem Olszewskim, przedstawicielom ministerstwa, Urzędu Transportu Kolejowego innym gościom oraz koleżankom i kolegom, którzy tutaj dotarli na dzisiejsze posiedzenie. Cieszę się, że w ramach strategii grupy PKP S.A spółka PKP informatyka odzyskuje takie – można powiedzieć – poważne miejsce w tej strategii, unikając tego scenariusza, o którym tutaj już wspomniano. Wielu z nas było świadkami pewnego rodzaju – powiedziałbym – mechanizmu również w poprzednich latach, który był bardzo często krytykowany, również przez środowisko związane z transportem kolejowym. Cieszę się, że to się zmienia.</u>
<u xml:id="u-41.2" who="#JerzyPolaczek">Chciałbym tym samym zamknąć dzisiejsze wyjazdowe posiedzenie Komisji. Dziękuję również sekretariatowi za pomoc. Dziękuję.</u>
</div>
</body>
</text>
</TEI>
</teiCorpus>