CyberbezpieczeństwoArtykuł z magazynu ITwizPolecane tematy
Metropolitalny CSO, czyli jak Warszawa zbudowała struktury cyberbezpieczeństwa
Szymon Krupa, CISO Urzędu Miasta Warszawy, zbudował unikalny, metropolitalny model cyberbezpieczeństwa w Warszawie. Sercem technologicznym jest nowoczesne rozwiązanie SIEM, które funkcjonuje jednak w przestrzeni CyberSec budowanej od lat we wszystkich wymiarach: miękkich – edukacyjnych i organizacyjnych oraz twardych – architektonicznych.
Chciałbym na początek zapytać Cię o najważniejsze wydarzenia i decyzje na przestrzeni kilkunastu lat. Jaka była Twoja droga do roli CSO/CISO w Warszawy? Mówiąc w skrócie, zaczęło się od terroryzmu…
Rzeczywiście studia nad bezpieczeństwem publicznym i zapobieganiem terroryzmowi na Uniwersytecie Warszawskim ukierunkowały mnie zawodowo na świat bezpieczeństwa. Ale tak naprawdę pierwszym zagadnieniem, z szeroko pojętego bezpieczeństwa – cyberbezpieczeństwa – stała się dla mnie ochrona danych osobowych.
W 2003 r. rozpocząłem pracę w Urzędzie Miasta Warszawy w Wydziale Ochrony Danych Osobowych zajmując się szkoleniami oraz tworzeniem struktury, schematów ochrony danych osobowych w urzędzie miasta i podległych mu jednostek, audytów.
Kilka lat tej pracy w pewnym sensie zwieńczył raport o słabych stronach systemów przetwarzających dane, którego byłem współautorem. To był rok 2008, dziś pewnie te kwestie nazwalibyśmy podatnościami ze szczególnym uwzględnieniem ataków socjotechnicznych.
Obiegowa opinia mówi, że nie jest dobrze być posłańcem złych wieści, a być nim w administracji to podwójnie niedobrze.
Mój przykład przeczy takiej opinii, ponieważ po lekturze raportu ówczesny Sekretarz Miasta odpowiedzialny za pion IT zaproponował mi objęcie funkcji szefa jednostki, która będzie zajmowała się likwidowaniem i zapobieganiem lukom w systemach informacyjnych miasta.
Ale za tym skromnym opisem kryło się więcej.
W rzeczywistości utworzone zostało Biuro Informatyki i Przetwarzania Informacji UM Warszawy z potężnym spektrum zadań, w tym z generalnym zdaniem zbudowania fundamentów bezpiecznej, wydajnej architektury IT dla miasta. A potem oczywiście zarządzania nią i zasobami, których wymaga.
Stąd się wzięło bogate kalendarium, do dziś łącznie 14 lat. Od czego rozpoczęła się budowa cyberbezpieczeństwa w Warszawie?
Na początek za cel postawiliśmy uspójnienie informatycznej struktury Miasta. Na przełomie lat 2008 i 2009 rozpoczęła się więc akcja scaleniowa 19 dzielnic – de facto osobnych miast – konsolidacja zasobów, standardów, praktyk. To działanie zdecydowanie miało wymiar cyberbezpieczeństwa i zdawaliśmy sobie z tego sprawę.
Można powiedzieć, że było ono motorem czy katalizatorem – pod hasłem bezpiecznego dostępu i przetwarzania danych – konsolidacji. Weszliśmy w sytuacji braku zupełnie podstawowej wiedzy o bezpieczeństwie i cyberbezpieczeństwie. A przy tym w środowisko, gdzie działało ponad 500 różnych systemów, w tym rozwiązania dziedzinowe. Natomiast inwentaryzacja wykazała także wielkie bogactwo różnorodności sprzętowej.
Pod jakim hasłem odbywała się owa konsolidacja, czemu miała posłużyć?
Celem konsolidacji było wspólne zarządzanie informacją. Wspólne, bezpieczne, jednoznaczne… Więc pojawiły się inicjatywy wspólnych repozytoriów danych, redundantnych. A jeśli tak, to i sieć LAN, a za tym i usługi, jak telefonia IP. To wszystko miało miejsce w latach 2008 – 2009. Łącznie z testowaniem wideokonferencji. Wtedy zbudowaliśmy też podwaliny bezpiecznej, strategicznej współpracy z operatorami.
Dla mnie osobiście to także czas, po roku 2011, rozpoczęcia współpracy, a z czasem – co sobie ogromnie cenię – przyjaźni z Dariuszem Jędryczką, ówczesnym szefem IT UM Wrocławia. Warszawie trudno było wyszukiwać adekwatne doświadczenia, projekty zrealizowane w podobnej skali wyzwań. Wyjątkiem był zawsze Wrocław, który po wieloma względami przetarł nam szlaki i dzielił się tym doświadczeniem, informacją.
Wrocław był m.in. pionierem jednego numeru informacji miejskiej, który u nas zrealizowaliśmy w roku 2013. Numer 19115 korzystał właśnie z doświadczeń Darka. Ale bazowaliśmy na fundamentach, które zdążyliśmy położyć od 2008.
Druga dekada XXI wieku to w historii Warszawy także wielkie wydarzenia – współorganizacja Euro 2012, szczytu NATO w roku 2016. Czy to one wyznaczyły kolejne etapy budowy CyberSec?
Pod wieloma względami inspirowały do kolejnych projektów i kreślenia planów. Euro 2012 od strony informatycznej i CyberSec to m.in. szereg przedsięwzięć i rozwój Zakładu Obsługi Systemu Monitoringu z centrum wizualizacji przy ul. Młynarskiej, gdzie zbiegały się dane z kamer z całej Warszawy i obrazy z obiektów innych podległych podmiotów.
I następny ważny krok, w roku 2015 wydzieliliśmy z Wydziału Zarządzania Siecią – Wydział Bezpieczeństwa, realizujący szereg działań już w tym kierunku, w tym ogromnie dużo od strony edukacyjnej. Był to bardzo ważny krok w stronę nowoczesnej struktury cyberbezpieczeństwa. Z określonymi zasobami, z określonym umocowaniem i rangą w strukturach miasta.
Ta ranga znacząco wzrosła w roku 2016, podczas organizacji szczytu NATO w Warszawie. NATO wymaga oczywiście zapewnienia bezpieczeństwa takich wydarzeń na wszystkich płaszczyznach, także informatycznym. Miasto otrzymało w tej materii szczegółowe zapytania. Nasz wydział przygotował odpowiedzi i plan dostosowawczy, eufemistycznie można powiedzieć – ambitny.
Dla mnie, dla naszego IT/CyberSec to wielka, wykorzystana szansa szybkiej, zdecydowanej standaryzacji sprzętu i oprogramowania do poziomów wymaganych bezwzględnie przy realizacji tego typu wydarzeń. W pół roku udało się z powodzeniem dokonać szeroko zakrojonej zmiany, określenia standardu, wyboru i zakupu sprzętu a potem jego wdrożenia. Ten sukces dodał nam nowej energii.
Co z tego zastrzyku energii wynikło?
Rok 2017 przyniósł wyodrębnienie i specjalizację. Powstało Miejskie Centrum Sieci i Danych – zajmujące się architekturą bezpieczeństwa, centrum danych, monitoringiem – oraz Biuro Cyfryzacji Miasta, budujące platformę software’ową.
Ja stanąłem na czele Centrum, z funkcją o cechach CIO/CISO/CSO, z pomysłem na zbudowanie centrum cyberbezpieczeństwa Miasta. To wtedy zaczęliśmy przygotowywać się do wdrożenia systemu typu SIEM po to, aby zbierać całą informację i całościowo zarządzać bezpieczeństwem miasta.
To najważniejsze przedsięwzięcie informatyczne z perspektywy bezpieczeństwa. Rzutuje na dziś, na jutro, podlega nieustannemu rozwojowi i dostosowywaniu do „zmiennych środowiskowych” rozumianych jako podłączanie nowych jednostek do systemu cyber.
Ten projekt, to już w zasadzie jak wiem kumulacja i otwarcie nowego rozdziału w historii warszawskiego CyberSec. Skupmy się więc jeszcze na chwilę na szczegółach roli metropolitalnego CISO, wówczas bowiem właśnie się wykrystalizowała. Na ile to rys mocno indywidualny?
Moja rola, rola CISO w Warszawie to ekstremalnie rozległe spektrum zagadnień dziedzinowych – bezpieczeństwo ma przecież obejmować całość miejskich i miastu podlegających spraw. A to oznacza konieczność np. czytania wielu ustaw. Mam też poczucie, że to pozycja wysoko w hierarchii. Mam poczucie słuchania, uwzględniania głosu i uwzględniania zasad, ram, które nakładamy jako miejskie cyberbezpieczeństwo.
To także odpowiedzialność za bardzo strategiczną, wysokopoziomową wycenę ryzyka, w kategoriach ekonomicznych, np. decyzji zakupowych – decyzji o wyborach technologicznych. Odpowiedzialność Architekta Bezpieczeństwa. Ale także odpowiedzialność i umiejętność budowy modelu pozyskiwania i utrzymania kompetencji. To na przykład bardzo indywidualny model.
Mam propozycję, aby tę chronologiczną opowieść uzupełnić o kalendarium błędów i rekomendacji, na co uważać. To zawsze bardzo cenne dla innych CSO/CISO.
Na początek może rekomendacja. Nie zawiodłem się nigdy cały czas bardzo mocno stawiając na akcje edukacyjne, szkolenia, różno-poziomowe, budowanie świadomości. Jestem pewien, że nas to uchroniło od wielu kłopotów.
A pułapki, błędy? Przypomnę przykład współpracy dotyczącej naszej sieci światłowodowej. Sytuacja może niezbyt uniwersalna, ale nauczka już tak. W pewnym momencie kładliśmy nasze własne światłowody i wybraliśmy – zresztą w porozumieniu ze wspomnianym centrum monitoringu – miejską sieć kanalizacyjną. Alternatywnie mogliśmy pójść do SPEC, ale warunki jakie oferował, radykalnie się zmieniły po prywatyzacji spółki. Więc poszliśmy do MPWiK, gdzie po 2-3 latach zaczęły się problemy fizyczne. Wypadanie kotw z zawilgoconych murów, erozje różnych elementów, zła dostępność – kalendarz tzw. spustów, metan, specjalistyczne przepisy bezpieczeństwa. Dało się to nam we znaki, na szczęście wkrótce mogliśmy „zarzucić” budowę sieci metropolitalnej dzięki działaniom prezes UKE Anny Streżyńskiej. Nauczka więc z tego płynie chyba taka: zawsze pamiętać o długiej perspektywie!
Podobny bardziej telekomunikacyjny przykład – pokrewny – unikać ofert „za złotówkę”. Nic nie wyegzekwujemy od dostawcy takiej usługi przy awarii, a niedostępność dla nas to więcej niż problem. To jest może abecadło, ale mnie na to zwrócił uwagę wspomniany już Dariusz Jędryczka. Mieliśmy bowiem takie oferty, także na łącze do lokalizacji Plac Bankowy 3/5 w Warszawie. Operatorzy mieli tam prawdopodobnie jakieś problemy i stąd ich „wspaniałomyślna” oferta. W scenariuszu awaryjnym moje pole manewru byłoby w zasadzie żadne pod względem nacisku na dostawcę. Należy przewidywać, być architektem i strategiem bezpieczeństwa wówczas takie ryzyko się nie zmaterializuje.
W tym samym nurcie: we wszelkich sprawach polegać na racjonalnej cenie, na sprawdzeniu faktów, rzeczywistości. My akurat uniknęliśmy takiej pułapki: pozornej redundantności linii przesyłowych telekomunikacyjnych. Wchodziły do budynku z dwóch stron, ale po 400 m łączyły się w jednym kanale. Oczywiście koparka jednym ruchem zmiotłaby naszą redundancję. Na szczęście dzięki naszej ostrożności, tego planu „redundancji” uniknęliśmy.
Nie uniknęliśmy natomiast ransomware, jako miasto. W sławnym i takim pozytywnym dla nas roku 2016 r. zniknęła nam jedna dzielnica. Włamanie dokonane zostało poprzez prywatną skrzynkę użytkownika. Okup został przez użytkownika zapłacony w sposób legalizujący to przestępstwo. Kontakt kierował do kancelarii prawnej w Moskwie, gdzie za kwotę 1500 USD można było podpisać umowę na obsługę incydentu i pośrednictwo w odzyskaniu danych. Oczywiście Policja uznała po fakcie, że skoro podpisaliśmy umowę to… nie mają podstaw do wszczęcia postpowania.
I może jeszcze jeden przykład, kiedy uzyskaliśmy mocny argument za wprowadzeniem wieloskładnikowego uwierzytelnienia. Otóż konto osoby u nas pracującej pozwalało na logowanie się z przeglądarki na domowym komputerze. Usłużnie oferowała ona zapamiętywanie haseł. Włamanie na domowe, prywatne konto dało dostęp do konta „miejskiego”. Ruszyła lawina. Atak DDoS na kopalnię diamentów w RPA, zastopowanie kopalni, zgłoszenie nas do bazy Thalos… Nie móc wysyłać komunikacji w organizacji jest niedobre, ale nie móc jej odbierać to dopiero koszmar.
Są też inne pułapki, np. dotyczące zamawiania produktów, systemów bezpieczeństwa i usług – np. pentestów – w ramach ustawy o zamówieniach publicznych. Ale zmiany wprowadzone w ostatnich latach w Ustawie o Zamówieniach Publicznych spowodowały, że wiele obejść – w pozytywnym tego słowa znaczeniu – jest już niepotrzebnych.
Wróćmy zatem do serca warszawskiego cyberbezpieczeństwa. Obecny standard cyberbezpieczeństwa Warszawy wyznacza dzisiaj centrum bezpieczeństwa, które pracuje na wdrożonym i rozwijanym systemie SIEM. Jak doszło do wyboru takiej klasy rozwiązania i tego konkretnego rozwiązania?
Może na początek opowiem, co to za rozwiązanie. Tym sercem CyberSec jest dzisiaj w Warszawie rozwiązanie SecureVisio polskie firmy eSecure. A odpowiedź na pytanie o cel ujmę następująco: opis zamówienia z punktu widzenia IT miał realizować cel konsolidacji informacji, dążenie do sprawczości w oparciu o wiedzę, dostępną z tej informacji. Dlatego rozwiązanie zbierające dane z różnych systemów, korelujące je było nam niezbędne.
Głównym kryterium wyboru z pewnością była efektywność takiego rozwiązania. W tym szczególne znaczenie ma jego zdolność i efektywność parsowania danych. Wybrane przez nas rozwiązanie cechowała wybitna, także na tle konkurencji, zdolność w tym zakresie.
Bardzo istotne dla nas było także to, kto stworzył i rozwijał to rozwiązanie. Jak po drugiej stronie jest zespół interdyscyplinarny, obejmujący matematyków, inżynierów, różne specjalności, to do mnie przemawia. Było z kim rozmawiać po drugiej stronie.
Dla tej klasy rozwiązań „sprawdzam” mówimy najgłośniej w obszarze zdolności badania behawioralnego użytkownika. Jak wygląda jego dzień z perspektywy logów systemowych. Za tym idzie nieustanna customizacja. Mówię tutaj i o etapie wstępnym, kiedy UEBA „startuje”, np. w pilotażowym okresie, jak i w okresie działania.
Dowodem tej efektywności w przypadku SecureVisio jest wychwycenie przez nas w krótkim czasie czterech, „smutnych” historii nadużycia dostępu do wykradzenia ważnych informacji przez wewnętrznych użytkowników. Rozwiązanie pozwoliło nam trochę „pobawić się” przekierowując automatycznie wytypowanego użytkownika do piaskownicy.
Tam dopiero, po jednoznacznym potwierdzeniu, po udokumentowaniu wewnętrznego ataku, mogliśmy bezpiecznie – bez narażania organizacji – zebrać pełnię informacji. Następnie w oparciu o nie skontaktować się z odpowiednimi organami czy działać dyscyplinarnie. Rozwiązanie pozwala nam realizować działania śledcze po zdarzeniu i rekomendować zmiany pozwalające unikać podobnych sytuacji w przyszłości.
W odniesieniu do zewnętrznego zagrożenia, możliwe jest skorelowanie działania z systemami EDR, które „w locie” pozwalają odzyskiwać dane.
To nieustanne doskonalenie, dostosowywanie się SIEM, to wątek bardzo ciekawy ze względu na wpływ na otoczenie, organizację, sposób pracy, procesy. Trochę „magiczny” status.
Taką sprawczość i efektywność rozwiązania ustanawia się na wstępie. Potem już rzeczywiście trwa i ma trwać jego życie, dostosowywanie się. Rozwiązanie to jest obecnie w centrum modelu, w którym dział bezpieczeństwa jest od początku włączony w projekty, w jakikolwiek sposób dotyczące technologii. To jest w praktyce budowanie bezpieczeństwa u podstaw. Proces zakłada zgodność z zatwierdzonymi przez CyberSec framework’ami, technologiami. Dysponujemy, jako CyberSec, podmiot nadrzędny sprawczością. Zarządzamy podległym nam obszarem w skali metropolii.
Zarazem, jak wspomniałem dużo czasu poświęcamy na zagadnienia edukacyjne, na aspekt „CX w CyberSec”. Nie chcemy zmuszać siłą użytkownika, tylko podsuwać mu wybór zachowania albo rozwiązania najlepszy z punktu widzenia bezpieczeństwa. Jeśli on sam będzie przekonany, że dobrze wybrał, przekona się do reguł czy rozwiązań.
Przykładem jest wdrożenie MFA, do którego wcale nie było łatwo przekonać użytkowników. Pomogła pandemia i praca zdalna, ale nawet wtedy trzeba umiejętnie zapewnić User Experience.
Chciałbym zapytać o wyzwania CSO, ale o wielu rozmawialiśmy już poza kwestiami kadrowymi. Wspominałeś, że to odpowiedzialność za strategiczny model zapewnienia takich kompetencji. To znaczy, że odpowiadasz za pomysł na pozyskanie i utrzymanie specjalistów CyberSec?
Wypracowaliśmy model w tym zakresie. Znamy własne ograniczenia. Wykorzystajmy więc przewagi i atuty. To podejście w polityce kadrowej w CyberSec dotychczas nam się bardzo dobrze sprawdza.
Jestem przyzwyczajony do rotacji, mam świadomość, że nie zaoferuję rynkowo konkurencyjnej płacy, ale konkurencyjne środowisko do rozwoju kompetencji młodego człowieka. W kwestiach płacowych przepisy zmuszają nas aby płacić tak, jak urzędnikom. Dlatego, że naszą przewagą na rynku pracy jest skala działań, różnorodność oraz oferta poznania bogatego spektrum najnowocześniejszych technologii i rozwiązań. Te dwa elementy działają na wyobraźnię kandydatów. Udaje nam się je pozyskiwać.
Dlatego specjaliści cyberbezpieczeństwa nie pracują u nas latami. Jestem na to przygotowany i nie chcę ich zatrzymywać. Średnio po 1-1,5 roku, z żalem – ale bez strachu o jutro – żegnam naszych pracowników. Zwykle tyle czasu uczą się na naszym środowisku na stanowiskach uniwersalnych, a potem idą na rynek po większe pieniądze i… mniejszą różnorodność. Będą się już wąsko specjalizować z reguły.
W tym czasie na nasz pokład, do 9-osobowego zespołu, wchodzą nowi specjaliści, którzy będą się rozwijać w naszym zróżnicowanym, wielozadaniowym i wieloaspektowym środowisku.
Jaka jest zatem dalsza wizja, długofalowa wizja wypracowanego modelu bezpieczeństwa opartego na rozwiązaniu SIEM zintegrowanym z procesami, systemami, użytkownikami?
Z jednej strony obudowujemy ten rdzeń kompetencjami, np. wiedzą o OSINT. To jeden z ostatnich przykładów pozyskiwania przez nas wiedzy wzbogacającej obraz rzeczywistości, naszej kreatywności w posługiwaniu się SIEM. Nieustannie działamy też na polu edukacji użytkowników. Wspominałem już, że to nasze, żeby nie powiedzieć Moje najlepsze inwestycje.
Z drugiej strony, myślimy – chociażby w kontekście nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa czy wdrożeniu dyrektywy NIS2 – o skalowaniu tego rozwiązania i udostępnienia go innym metropoliom. Wówczas uzyskałyby one dostęp do SIEM, a może z czasem SOC, jako usługi metropolitalnej. Może przy takim założeniu szybciej osiągniemy wyższy poziom bezpieczeństwa i wymiany informacji o zagrożeniach?
Wizja ta – oparta np. o model chmurowy, subskrypcyjny – niosłaby szereg korzyści także dla nas, jeśli spojrzeć na to od strony jakości nauki schematów korelacyjnych. A dla uczestników takiego konsorcjum cyberbezpieczeństwa oznaczałaby utworzenie czy poszerzenie wspólnej, zabezpieczonej przestrzeni. Przestrzeni niezbędnej, jeśli nasze Miasta i nasze społeczeństwo mają się rozwijać w wymiarze cyfrowym.
Szymon Krupa – absolwent Uniwersytetu Warszawskiego oraz podyplomowych studiów w Wyższej Szkole Informatyki Stosowanej i Zarządzania w Warszawie na kierunku Bezpieczeństwo Systemów Teleinformatycznych oraz podyplomowych studiów w Akademii Leona Koźmińskiego w Warszawie na kierunku Zarządzanie w Administracji Publicznej.
Od 2003 r. związany ze stołecznym Ratuszem jako współtwórca pierwszego w polskim samorządzie samodzielnego Wydziału Ochrony Danych Osobowych.
Przed objęciem w 2008 roku funkcji Dyrektora Biura Informatyki i Przetwarzania Informacji Urzędu m.st. Warszawy, pełnił także funkcję Administratora Bezpieczeństwa Informacji i Administratora Bezpieczeństwa Systemów Informatycznych w Urzędzie m.st. Warszawy.
Od 2017 r. jako Dyrektor Miejskiego Centrum Sieci i Danych – Architekt Bezpieczeństwa Miasta prowadzi w Urzędzie m.st. Warszawy działalność edukacyjno-szkoleniową dla pracowników, oraz prace mające na celu podniesienie jakości bezpieczeństwa oraz pełną konsolidację zasobów teleinformatycznych w niezależnych Centrach Przetwarzania Danych. Inicjator integracji infrastrukturalnej jednostek miejskich podległych stołecznemu Ratuszowi, wprowadzenia centralnego zarządzania Active Directory oraz systemu poczty elektronicznej, budowy sieci telefonii VoIP w Warszawie oraz jednostkach miejskich, obecnie jednej z największych w polskim samorządzie obejmującej ponad 14 tys. aparatów telefonicznych.
Współautor sukcesu w zakresie otrzymanej w 2015 r. przez Miasto Stołeczne Warszawa nagrody „Lider Informatyki” wśród jednostek sektora administracji publicznej, realizującej rozbudowaną platformę Contact Center Warszawa 19115 oraz w 2016 r. „Lider Miejskich Innowacji”.
Jako Architekt Bezpieczeństwa od 2017 r. przygotowywał założenia i uczestniczył w analizie, implementacji oraz poprawie poziomu bezpieczeństwa infrastruktury IT UM Warszawa wdrażając m.in. narzędzia klasy SIEM/SOAR/UEBA – jednej platformy do zarządzania podstawowymi procesami bezpieczeństwa, skrócenia czasu obsługi incydentów i podatności poprzez automatyzację działań, automatyzacji zarządzania incydentami i podatnościami oraz spełnienia wymagań regulacyjnych, przy ograniczonych wewnętrznych zasobach kadrowych.
Kalendarium CyberSec w Urzędzie Miasta Warszawa
2003
Start pracy w stołecznym Ratuszu – Budowa Wydziału Ochrony Danych Osobowych
2004
Szkolenia z ochrony danych osobowych obejmujące przez 2 lata 12 tys. osób
2005
Audyty bezpieczeństwa – edukacja pracowników UM Warszawy
2006-2008
Pisanie polityk bezpieczeństwa i instrukcji
2008-2011
Połączenie 18 Dzielnic w jedną sieć teleinformatyczną
2010
Wymiana systemu analogowego na VOIP – centralne zarządzanie AD/EX/Audit
2012
Budowa platformy 19115 (numer alternatywny dla Roamingu 22 22 19115) – współorganizacja EURO2012
2016
Szczyt NATO w Warszawie – dostęp do miejskich danych publicznych na stronie api.um.warszawa.pl
2017
Powstaje CSD jako wysokospecjalizowana komórka ds. technicznych – rozpoczęcie prac nad OSE we wszystkich szkołach podstawowych – prace integracyjne na poziomie jednostek podległych miastu – 1100 podmiotów (OPS/DPS/ZGN) – prace nad narzędziem inwentaryzującym dane osobowe w zbiorach rozproszonych, bazach danych oraz dane nieustrukturyzowane (wyrażenia regularne, OCR itp.)
2018
Wdrożenie SIEM SecurVisio
2018-2022
Kalibracja i dostosowywanie SIEMA/SOAR/ UEBA
2021
Przemodelowanie pracy w administracji – VPN i – praca zdalna
2022
Wojna na Ukrainie – zmiana polityk bezpieczeństwa – wdrożenie MFA dla 14 tys. kont