W czasach rosnących napięć geopolitycznych nasza niezależność właścicielska staje się realnym elementem zarządzania ryzykiem

Z Łukaszem Ozimkiem, dyrektorem operacyjnym w firmie Exea Data Center, rozmawiam o: szeroko rozumianych wyzwaniach związanych z zapewnieniem bezpieczeństwa oraz dostępności danych, niezbędnych analizach ryzyka, znaczeniu modelu operacyjnego cyberbezpieczeństwa, cyfrowej suwerenności, budowaniu odporności cyfrowej organizacji i całych gospodarek, unikalnej charakterystyce i pozycji rynkowej centrum danych Exea.

Dane to jeden z kluczowych zasobów każdej firmy i instytucji. Jakie są zatem główne zagrożenia dla bezpieczeństwa danych w polskich i europejskich organizacjach?

Rzeczywiście, dane są dziś zasobem strategicznym – za równo biznesowym, jak i geopolitycznym. Właśnie dlatego zagrożenia wobec nich rosną szybciej niż kiedykolwiek wcześniej. Wskazałbym trzy główne kategorie ryzyka. Po pierwsze – cyberataki o charakterze finansowym, głównie ransomware, które dziś są już często prowadzone przez wyspecjalizowane grupy przestępcze działające jak regularne firmy.

Po drugie – są to ataki na integralność danych, czyli próby ich manipulacji lub podmiany, co często jest znacz nie bardziej niebezpieczne niż samo ich wykradzenie. Po trzecie – zagrożenia systemowe i geopolityczne, wynikające z rosnącej zależności Europy od globalnych dostawców technologii. Polskie i europejskie firmy muszą więc chronić dane nie tylko przed cyberprzestępcami, lecz także przed utratą kontroli nad tym, gdzie te dane trafiają, kto je przetwarza i jakim przepisom podlegają. To fundamentalny element cyfrowej suwerenności.

Jakie obszary powinny obejmować decyzje dotyczące bezpieczeństwa danych?

Wciąż zbyt często bezpieczeństwo danych sprowadzane jest do kwestii infrastrukturalnych: serwerów, zapór sieciowych czy systemów backupu. Choć są to elementy absolutnie niezbędne, takie podejście jest dziś niewystarczające. W rzeczywistości bezpieczeństwo danych nie jest projektem stricte technologicznym ani wyłączną domeną działów IT. To zagadnienie, które powinno być rozpatrywane w sposób kompleksowy – na styku technologii, procesów, prawa i biznesu. Skuteczne decyzje dotyczące bezpieczeństwa danych muszą obejmować kilka wzajemnie powiązanych obszarów.

Warstwa technologiczna to fundament całego modelu ochrony danych. Obejmuje infrastrukturę IT, sieci, systemy operacyjne, aplikacje oraz mechanizmy zabezpieczeń. Bez odpowiednio zaprojektowanej architektury technicznej trudno mówić o stabilności i odporności środowiska. Jednocześnie, sama technologia nigdy nie gwarantuje bezpieczeństwa – jest jedynie narzędziem.

Warstwa operacyjna oznacza, że bezpieczeństwo musi działać w codziennej praktyce operacji biznesowych. Kluczowe są tu procedury, ciągły monitoring, reagowanie na incydenty oraz redundancje zapewniające ciągłość działania. Nawet najlepiej zabezpieczona infrastruktura nie spełni swojej roli, jeśli organizacja nie będzie przygotowana operacyjnie na awarie, ataki czy błędy ludzkie.

Z kolei warstwa prawna oznacza, że coraz większe znaczenie mają lokalizacja danych, jurysdykcja oraz zgodność z regulacjami. Przepisy, takie jak RODO, NIS2, czy UKSC sprawiają, że bezpieczeństwo danych to również kwestia prawna i kontraktowa. Firmy muszą dokładnie wiedzieć, gdzie przetwarzane są ich dane, jakie prawo je chroni i jakie obowiązki spoczywają na dostawcach technologii.

W odniesieniu do systemów bezpieczeństwa często najsłabszym ogniwem jest jednak człowiek…

No właśnie. Ostatni, często niedoceniany element to ludzie i struktura organizacyjna. Jasno zdefiniowane role, kompetencje zespołów oraz model współodpowiedzialności – szczególnie w środowiskach chmurowych i multi tenant – są kluczowe dla realnego bezpieczeństwa danych.

Dopiero uwzględnienie wszystkich tych obszarów po zwala mówić o holistycznym podejściu do cyberodporności. W przeciwnym razie organizacje ryzykują, że zamiast rzeczywistego bezpieczeństwa będą miały jedynie „bezpieczną serwerownię” – dobrze chronioną techno logicznie, ale podatną na błędy proceduralne, prawne lub organizacyjne. Decyzje dotyczące bezpieczeństwa powinny wynikać z analizy ryzyka i wpływu potencjalnych incydentów na działalność firmy. Chodzi nie tylko o ochronę informacji, ale też o odporność operacyjną biznesu – zdolność do utrzymania kluczowych procesów nawet w sytuacjach kryzysowych.

W jaki sposób warto podchodzić do decyzji związanych z bezpieczeństwem danych?

Zawsze należy zaczynać od analizy ryzyka, czyli zrozumie nia, jaką wartość mają dane i jakie konsekwencje wywoła ich utrata, ujawnienie lub unieruchomienie. W drugiej ko lejności pojawia się analiza modeli przetwarzania, czyli gdzie te dane mogą zgodnie z prawem się znajdować i jakie ryzyka niesie ich transfer poza UE.

Trzeci krok to analiza gotowości operacyjnej – czy organizacja posiada procesy, które pozwalają szybciej wykrywać incydenty, reagować na nie i utrzymywać ciągłość działania.

Dopiero na końcu wybiera się technologię. Odwracanie tej kolejności jest jednym z najczęstszych błędów.

Jaką rolę pełni model operacyjny cyberbezpieczeństwa?

Model operacyjny cyberbezpieczeństwa to jeden z najbardziej niedocenianych, a jednocześnie kluczowych elementów realnej cyberodporności organizacji. Bez niego nawet najlepsze technologie i certyfikacje pozostają jedynie zbiorem narzędzi, a nie spójnym systemem bezpieczeństwa.

Podstawową rolą modelu cyberbezpieczeństwa jest uporządkowanie odpowiedzialności – określenie, kto, za co i w jakim zakresie odpowiada za bezpieczeństwo danych, systemów i procesów. Dotyczy to zarówno struktur wewnętrznych organizacji, jak i relacji z dostawcami technologii, operatorami centrów danych czy dostawcami chmury.

W nowoczesnych środowiskach IT – szczególnie hybrydowych, chmurowych i multi tenant – kluczowe znaczenie ma model współodpowiedzialności (shared responsibility). Eliminuje on złudne przekonanie, że bezpieczeństwo można w całości „outsourcować”. Dostawca zapewnia bezpieczną infrastrukturę i jej ciągłość, ale to organizacja ponosi odpowiedzialność za dane, konfiguracje, dostęp i sposób wykorzystania systemów. Trzeba mieć tego świadomość.

Model operacyjny cyberbezpieczeństwa pełni również rolę mostu między technologią a biznesem. Umożliwia powiązanie działań bezpieczeństwa z ciągłością operacyjną, zarządzaniem ryzykiem i wymaganiami regulacyjnymi. Dzięki temu cyberbezpieczeństwo przestaje być kosztem technologicznym, a staje się elementem ochrony kluczowych procesów biznesowych.

Jakie znaczenie w kontekście cyber odporności ma cyfrowa suwerenność?

Cyfrowa suwerenność przestaje być dziś pojęciem strategicznym „na przyszłość” – staje się warunkiem bieżącej cyberodporności europejskich i polskich firm. W praktyce oznacza ona zdolność organizacji do utrzymania kontroli nad danymi, infrastrukturą i ciągłością działania niezależnie od zewnętrznych napięć politycznych, militarnych i technologicznych.

W ostatnich miesiącach obserwujemy wyraźną zmianę charakteru zagrożeń. Konflikty geopolityczne, w tym eskalacja napięć na Bliskim Wschodzie, coraz częściej obejmują infrastrukturę cyfrową jako cel bezpośredni, a nie wyłącznie zaplecze technologiczne. Zapowiedzi Iranu dotyczące ataków na centra danych globalnych hyperscalerów oraz pierwsze fizyczne i cybernetyczne incydenty w regionie jednoznacznie pokazują, że centra danych, chmura i AI stały się elementem współczesnej wojny infrastrukturalnej. W takim świecie dostępność usług cyfrowych nie jest już wyłącznie kwestią SLA, lecz elementem odporności państw i gospodarek.

Dla europejskich i polskich firm oznacza to bardzo konkretny problem: jeśli dane, systemy lub kluczowe procesy biznesowe są silnie uzależnione od scentralizowanych, globalnych platform działających w niestabilnych regionach lub pod obcą jurysdykcją, ryzyko przestojów i utraty kontroli rośnie wykładniczo. Nawet najlepiej zabezpieczona chmura publiczna nie eliminuje ryzyka geopolitycznego, jeśli fizyczna infrastruktura znajduje się w regionach potencjalnych konfliktów lub podlega decyzjom politycznym poza Europą.

Jakie kroki warto podjąć, aby wzmocnić odporność organizacji i całych gospodarek w kontekście suwerenności cyfrowej?

Z naszej, europejskiej perspektywy szczególnego znaczenia nabiera podejście do cyberodporności oparte na multilokalności, dywersyfikacji i kontroli nad łańcuchem technologicznym. Zdolność do utrzymywania danych i usług w wielu niezależnych lokalizacjach – najlepiej w obrębie UE – znacząco ogranicza skutki ataków, awarii czy sankcji. Cyberodporność buduje się dziś nie tylko przez zapory, SOC i procedury, lecz także przez architekturę geograficzną i prawną infrastruktury IT, w której działa organizacja.

W tym modelu szczególną rolę odgrywają lokalne, europejskie centra danych, które stanowią fizyczny fundament suwerenności cyfrowej. Exea Data Center wpisuje się w tę koncepcję, oferując infrastrukturę zlokalizowaną w Polsce, działającą w całości w europejskiej przestrzeni prawnej i operacyjnej. Dla klientów oznacza to nie tylko bezpieczeństwo techniczne, ale również odporność na ryzyka systemowe, których nie da się wyeliminować wy łącznie narzędziami cyberbezpieczeństwa.

W praktyce oznacza to, że cyfrowa suwerenność nie jest przeciwieństwem globalizacji technologii, lecz jej racjonalnym uzupełnieniem. Firmy nadal korzystają z chmury, AI i zaawansowanych platform, ale robią to w sposób kontrolowany – z jasnym planem awaryjnym i możliwością przenoszenia kluczowych usług do bezpiecznych, lokalnych ośrodków przetwarzania danych.

Ostatnie wydarzenia pokazują jasno: cyberodporność bez cyfrowej suwerenności jest krótkotrwała, a bezpieczeństwo danych bez kontroli nad infrastrukturą staje się iluzją. Dla Polski i Europy inwestycje w lokalne centra danych, multilokalność i niezależność technologiczno-prawną są zarówno decyzją biznesową, jak i elementem długofalowego bezpieczeństwa gospodarczego i strategicznego.

Co wyróżnia Exea Data Center w kontekście bezpieczeństwa?

Bezpieczeństwo w Exea Data Center rozumiemy szerzej niż tylko jako zestaw techno logii czy certyfikatów. To świadomie zbudowany model działania, oparty na kontroli, niezależności i głębokim zrozumieniu realiów, w których funkcjonują dziś polskie i europejskie organizacje.

Po pierwsze, Exea to w 100% polski kapitał w strukturach właścicielskich. Ma to kluczowe znaczenie w kontekście bezpieczeństwa i suwerenności danych. Oznacza to, że nie podlegamy żadnym pozaeuropejskim jurysdykcjom, interesom i regulacjom, które mogłyby wymuszać dostęp do danych klientów. W czasach rosnących napięć geopolitycznych i dyskusji wokół kontroli nad danymi, ta niezależność właścicielska przestaje być atutem wizerunkowym, a staje się realnym elementem zarządzania ryzykiem.

Naszym wyróżnikiem jest też pełne zrozumienie rynku krajowego i europejskiego – zarówno pod kątem regulacyjnym, jak i operacyjnym. Od lat pracujemy z firmami działającymi w reżimach, takich jak RODO, NIS2, a także z sektorami o podwyższonych wymaganiach, jak finanse, administracja publiczna czy przemysł. Rozumiemy nie tylko technologie, ale też zależności systemowe Europy od globalnych dostawców IT oraz wynikające z tego ryzyka. Dzięki temu po trafimy doradzać klientom w sposób praktyczny, a nie wyłącznie teoretyczny.

Bardzo istotnym elementem bezpieczestwa jest również brak ryzyka, tzw. vendor lock-in. Exea nie narzuca klientom konkretnego ekosystemu technologicznego ani jednego dostawcy rozwiązań. Oferujemy neutralną, otwartą infrastrukturę, która umożliwia budowanie środowisk hybrydowych, multicloudowych czy dedykowanych – zgodnie z realnymi potrzebami organizacji. To istotne nie tylko z punktu widzenia elastyczności biznesowej, lecz także odporności na ryzyka rynkowe i technologiczne.

A co z bezpieczeństwem fizycznym?

Od strony infrastrukturalnej bezpieczeństwo potwierdzają certyfikowane standardy. Exea Data Center posiada certyfikację Tier III, co oznacza wysoką dostępność, pełną redundancję kluczowych systemów oraz możliwość prowadzenia prac serwisowych bez przerywania pracy środowisk klientów. Ponadto działamy zgodnie z międzynarodowymi normami ISO, obejmującymi m.in. zarządzanie bezpieczeństwem informacji, ciągłość działania oraz jakość procesów operacyjnych. Certyfikacje nie są dla nas celem samym w sobie, lecz potwierdzeniem realnie wdrożonych i funkcjonujących mechanizmów.

Wszystkie te elementy składają się na podejście, w którym bezpieczeństwo jest wbudowane w architekturę, procesy i filozofię działania Exea. Nie jesteśmy tylko dostawcą powierzchni kolokacyjnej – jesteśmy partnerem, który pomaga klientom budować odporne, suwerenne i długofalowo bezpieczne środowiska IT, w pełni osadzone w europejskim kontekście prawnym i technologicznym.

Jak zmieniły się potrzeby techniczne klientów?

Na przestrzeni ostatnich lat potrzeby techniczne klientów polskich data center zmieniły się diametralnie. Dziś nie chodzi już wyłącznie o dostęp do powierzchni kolokacyjnej czy podstawowej redundancji, ale o realną gotowość do obsługi obciążeń wysokiej gęstości, w szczególności projektów opartych na AI, analityce danych i obliczeniach intensywnych. Klienci oczekują mocy obliczeniowej, stabilności operacyjnej oraz szybkiego czasu uruchomienia środowisk – a nie planów, które po zostają na poziomie projektów.

Czy Exea jest gotowa na AI i wysoką gęstość obciążeń?

W tym kontekście kluczową przewagą Exea jest do świadczenie rynkowe, poparte działającą infrastrukturą i dojrzałym modelem operacyjnym. Od lat obsługujemy środowiska krytyczne, dzięki czemu procedury energetyczne, serwisowe i bezpieczeństwa nie są tu teoretycznym założeniem, lecz elementem codziennej praktyki. To szczególnie istotne przy obciążeniach AI, gdzie stabilność zasilania, chłodzenia i ciągłość pracy mają bezpośredni wpływ na wyniki biznesowe klientów.

Centrum danych Exea to gotowy, funkcjonujący obiekt wysokiej klasy dostępności, a nie inwestycja zapowia dana na przyszłość. Co więcej, jest to jedyny data center w Polsce certyfikowany przez The Uptime Institute na poziomie Tier III, co potwierdza nie tylko architekturę, lecz także faktyczną zdolność do pracy w warunkach produkcyjnych przy równoczesnym prowadzeniu prac serwisowych. Dla klientów oznacza to przewidywalność i bezpieczeństwo, których nie zapewniają obiekty pozo stające jeszcze w fazie koncepcji lub budowy.

Mamy również zdolność do praktycznie natychmiastowego uruchamiania środowisk. W sytuacji, gdy wiele nowych projektów data center na rynku istnieje dziś głównie „na papierze”, Exea oferuje coś, czego klienci potrzebują najbardziej – realną dostępność zasobów w krótkim czasie. To szczególnie ważne dla firm realizujących projekty AI i HPC, gdzie czas wdrożenia często decyduje o prze wadze konkurencyjnej.

Jak Exea podchodzi do odpowiedzialności za dane klientów?

W Exea odpowiedzialność za dane klientów traktujemy w sposób bardzo świadomy i transparentny, opierając się na jasno zdefiniowanym modelu współodpowiedzialności. Uważamy, że tylko taki model zapewnia realne bezpieczeństwo i eliminuje nieporozumienia, które w środowiskach chmurowych i multi tenant są jedną z częstszych przyczyn incydentów.

Po stronie Exea leży zapewnienie w pełni zabezpieczonej fizycznie i technologicznie infrastruktury klasy enterprise. Obejmuje to bezpieczeństwo obiektu, ciągłość zasilania i chłodzenia, ochronę sieciową, monitoring oraz zgodność z europejskimi normami i regulacjami. Klienci mają jednocześnie pełną kontrolę nad lokalizacją swoich danych, dostępami do środowisk oraz przejrzystość wszystkich kluczowych procesów operacyjnych, logów i działań realizowanych w data center.

Równocześnie, wprost komunikujemy, że bezpieczeństwo danych i aplikacji w warstwie logicznej pozostaje odpowiedzialnością klienta. To klient zarządza przetwarzanymi informacjami, konfiguracją systemów, polityka mi dostępu czy ochroną aplikacji. Nie jest to zrzucanie odpowiedzialności, lecz jej właściwe uporządkowanie – zgodne z najlepszymi praktykami rynkowymi i regulacyjnymi. Taki model działa najlepiej, ponieważ pozwala każdej stronie skupić się na tym, w czym jest ekspertem.

Exea odpowiada za stabilną, bezpieczną i przewidywalną infrastrukturę oraz jej utrzymanie 24/7, natomiast klient zachowuje pełną kontrolę nad swoimi danymi i sposobem ich wykorzystania. W efekcie bezpieczeństwo nie opiera się na domysłach, lecz na jasno określonych rolach i odpowiedzialnościach, co znacząco zwiększa odporność całego środowiska.