Na 18 października 2018 roku instytucje publiczne czekały z niepokojem. Nowe zapisy w ustawie Prawo Zamówień Publicznych zmusiły zamawiających i wykonawców do poważnych zmian w procesie przetargowym. Pierwsze miesiące funkcjonowania zmodyfikowanej ustawy pokazują jednak, że sektor publiczny bez większych problemów poradził sobie z sytuacją. W styczniu 2020 egzamin z e-przetargów będą musiały zdać też mniejsze podmioty.

Przetargi publiczne organizowane są przez wszystkie instytucje korzystające ze środków publicznych. Są to zatem między innymi ministerstwa, szpitale, szkoły, uczelnie, urzędy miast i gmin czy wojewódzkie. W procesie postępowań przetargowych kupowany jest i sprzęt medyczny, i papier do drukarek czy usługi utrzymania zieleni lub wywozu nieczystości. W każdym przetargu biorą udział zamawiający oraz wykonawcy, czyli firmy, które mogą dostarczyć potrzebne przedmioty i usługi. Obie strony musiały dostosować się do nowości w ustawie PZP.

Według nowych przepisów, czyli jak?

Największą zmianą w ustawie jest ta, która mówi o konieczności elektronicznej komunikacji między zamawiającymi a wykonawcami. A to oznacza, że instytucje publiczne, które przeprowadzają postępowania powyżej progów unijnych, muszą skorzystać z portalu e-Usług. Do wyboru mają rozwiązania komercyjne lub rządowy miniPortal. Co ważne – każde z dostępnych na rynku tego typu narzędzi jest dziś oparte na chmurze. Zamawiający nie potrzebują więc wielkich zmian technologicznych, bo wdrożenie takiego rozwiązania jest proste i szybkie.

Z punktu widzenia wykonawcy najważniejszy jest kwalifikowany podpis elektroniczny, bez którego nie będzie w stanie złożyć swojej oferty. Wzięcie udziału w przetargu elektronicznym wymaga zalogowania się na platformie dostarczonej przez zamawiającego, wypełnienia wymaganych dokumentów i przesłania potwierdzonej podpisem oferty. Jeśli zamawiający korzysta z miniPortalu, wykonawca musi mieć także aktywne konto na platformie e-PUAP. Co istotne, również otwarcie i publikacja ofert mogą odbywać się teraz w pełni elektronicznie, bez bezpośredniego spotkania stron.

Trudne dobrego początki

Jak każda zmiana, tak i ta wiąże się z pewnymi trudnościami, przede wszystkim po stronie zamawiających. Problematyczne może być samo przestawienie się na elektroniczny tryb obsługi całego procesu przetargowego. Zwłaszcza dla tych, którzy od lat działali inaczej. Tu z pomocą przychodzą narzędzia informatyczne, które – jeśli dobrze przygotowane – są intuicyjne i proste w obsłudze.

Wykonawcy muszą przestawić się na pracę z systemami, które wymagają od nich dyscypliny czasowej. Złożenie oferty na ostatni moment w przypadku korzystania z portali e-Usług jest ryzykowne, choćby dlatego że samo podpisywanie oferty kwalifikowanym podpisem elektronicznym może potrwać do kilkunastu minut. Obie strony przetargów publicznych muszą zatem choć minimalnie przygotować się i poznać narzędzia. Pomogą w tym dostawcy portali e-Usług.

– Nowa rzeczywistość, z którą od niedawna mierzą się zamawiający i wykonawcy, wymaga wsparcia nie tylko ze strony instytucji tworzących i interpretujących prawo, ale i od dostawców technologii. Portale e-Usług to dla wielu podmiotów publicznych nieznany teren, którego trochę się obawiają. To po stronie usługodawców leży odpowiednie przygotowanie sektora do korzystania z tych narzędzi. Szkolenia, webinary, instrukcje, a także infolinie obsługiwane przez doświadczonych konsultantów powinny być dziś standardem zapewnianym przez dostawców usług – mówi Piotr Matysik, prezes zarządu Marketplanet.

W spokojnym przystosowaniu się do nowych przepisów nie pomaga też niepewność co do przyszłości rozwiązań technologicznych, które mają wspierać elektronizację. 11 marca Urząd Zamówień Publicznych poinformował, że odstąpił w całości od umowy na zaprojektowanie i wdrożenie Platformy e-Zamówienia. Powodem tej decyzji była zwłoka wykonawcy w realizacji umowy. Zamawiający zastanawiają się, jak wpłynie to na ich funkcjonowanie.

– Portale e-Usług w zupełności wystarczają do tego, aby przeprowadzać postępowania publiczne zgodne z ustawą PZP. I według modelu obowiązującego w Polsce – to na nich będzie się opierać nadal komunikacja między uczestnikami e-przetargów, nawet kiedy powstanie Platforma e-Zamówienia. Zamawiający korzystający z komercyjnych portali e-Usług lub rządowego miniPortalu – są w pełni gotowi do udziału w e-przetargach. I to się nie zmieni w przyszłości – uspokaja Piotr Matysik.

Potyczki prawne

Niejasna bywa także interpretacja nowego prawa. Krajowa Izba Odwoławcza, organ odpowiedzialny za rozpatrywanie odwołań wnoszonych w toku postępowań o udzielenie zamówień publicznych, wydała już kilka pierwszych wyroków w sprawach spornych między zamawiającymi a wykonawcami. Największe wątpliwości do tej pory wzbudziły sposób tworzenia ofert – KIO najpierw zadecydowała, że podpisanie podpisem elektronicznym skanu papierowego dokumentu z klasycznymi podpisami i przesłanie go za pomocą portalu e-Usług zamawiającemu nie jest zgodne z ustawą Prawo Zamówień Publicznych, trudno bowiem ustalić, czy jest jest to kopia czy oryginał oferty, później jednak zmieniła linię orzeczniczą w tym zakresie (wyrok o sygn. KIO 119/19) – oraz jednoznaczna odpowiedzialność za problemy techniczne platformy e-Usług. W tym drugim przypadku KIO uznała, że to wykonawca musi udowodnić, że nie dostarczył oferty z powodu wadliwego działania platformy zakupowej.

Nowa ustawa wzbudza wiele dyskusji, nie tylko między – wydawałoby się – najbardziej zainteresowanymi stronami. Do wyroku KIO uznającego nieważność kwalifikowanego podpisu elektronicznego z powodu zastosowania skrótu SHA-1 odniosła się niedawno Polska Izba Informatyki i Telekomunikacji, nie zgadzając się z tą linią orzeczniczą KIO. Sama izba zmieniła też linię orzeczniczą, uznając w sprawie KIO 137/19, że jednolity europejski dokument zamówienia (JEDZ) podpisany przy użyciu algorytmu SHA-1 jest ważny. Takich wyroków i sporów na pewno przed uczestnikami przetargów publicznych jeszcze wiele.

Zmiany na korzyść

Mimo wciąż pojawiających się pytań i wątpliwości e-przetargi działają sprawnie i bez większych problemów. Podmioty publiczne weszły w nową rzeczywistość z optymizmem, widzą bowiem korzyści, jakie przyniosły im zmiany w ustawie Prawo Zamówień Publicznych.

To dobra wiadomość, zwłaszcza dla tych, którzy wdrożenie procedury e-przetargów mają jeszcze przed sobą. Ustawodawca upomni się bowiem niedługo o kolejną dużą grupę zamawiających – tych, którzy przeprowadzają postępowania poniżej progów unijnych. Ich nowe prawo obejmie już 1 stycznia 2020 roku.

– Zamawiający organizujący przetargi na mniejsze kwoty mają bardzo dobrą sytuację. Na rynku są już gotowe rozwiązania oraz pierwsze praktyki. Szlaki zostały zatem przetarte. To od nich zależy, czy skorzystają z doświadczeń większych instytucji i zawczasu przygotują się do zmian. Warto to zrobić, tym bardziej że nic nie stoi na przeszkodzie, aby z portalu e-Usług w postępowaniach poniżej progów unijnych korzystać już dziś. Wiele mniejszych instytucji zresztą już tak robi. Dzięki tym połączonym siłom dużych i małych zamawiających tylko za pośrednictwem naszego portalu e-Zamawiający od 18 października 2018 roku przeprowadzonych zostało ponad 900 przetargów, w których złożono 1500 ofert. Te liczby będą rosnąć – podsumowuje Piotr Matysik z Marketplanet.

Ustawa Prawo Zamówień Publicznych zmieniła sposób przeprowadzania przetargów publicznych. I choć zdarzają się wątpliwości i niejasności, instytucje przystosowały się do nowych warunków bez większych problemów. Niebawem ten sam proces będą przechodzić także mniejsze podmioty. Jeśli wykorzystają doświadczenia instytucji objętych nową ustawą w ubiegłym roku, styczeń 2020 nie wpłynie znacząco na ich codzienność.

Źródło: Marketplanet

Grape Up, polska firma specjalizująca się w technologiach cloud native oraz w podejściu DevOps w produkcji oprogramowania, zrealizowała projekt dla Cincom Systems, wiodącego dostawcy usług IT z USA. W ramach projektu Grape Up dokonał migracji do chmury kluczowego rozwiązania Cincom, a także przeszkolił pracowników amerykańskiej firmy tak, aby mogli oni samodzielnie rozwijać własne produkty w środowisku chmury. To kolejny tego typu projekt polskiej firmy w USA.

Cincom to spółka, która istnieje na rynku od 1968 roku i oferuje m.in. zaawansowane oprogramowanie CPQ (Configure Price Quote) oraz CCM (Customer Communications Management). Rozwiązania te ułatwiają sprzedaż i komunikację z klientami. Cincom z powodzeniem sprzedaje swoje oprogramowanie w USA, Europie oraz Azji.

„Cincom to bardzo doświadczona firma. Wiedzieli, że muszą się przenieść do chmury jak najszybciej, żeby uprzedzić swoją konkurencję. Dodatkowo zależało im na tym, żeby nauczyć się samodzielnie rozwijać własne oprogramowanie w oparciu o platformy PaaS oraz z wykorzystaniem architektury mikroserwisów. Zwrócili się do nas, bo na rynku amerykańskim Grape Up jest jedną z bardziej znanych firm specjalizujących się w technologiach cloud native. Nie tylko realizujemy tego typu projekty migracyjne, ale jednocześnie uczymy naszych klientów, jak takie projekty realizować samodzielnie”– mówi Artur Witek, Wiceprezes Zarządu Grape Up.

Projekt został zrealizowany w głównym centrum developerskim Cincom w Cincinnati w USA. Konsultanci Grape Up – w ścisłej współpracy ze szkolonymi programistami – nie tylko dokonali migracji kluczowych aplikacji spółki do chmury, ale także położyli podwaliny pod nowy sposób tworzenia i rozwoju oprogramowania w Cincom. Zakłada on wykorzystanie platform PaaS, technologii cloud native, metodyki DavOps i Agile. Wypracowane rozwiązanie zostało zaadaptowane przez Cincom do realizacji wszystkich kolejnych projektów developerskich.

„Cincom to jeden z wielu klientów ze Stanów Zjednoczonych, dla których zrealizowaliśmy tego typu programistyczno-doradcze projekty. Są to duże, amerykańskie firmy IT oraz globalne korporacje. Edukujemy je w jaki sposób skrócić czas potrzebny do wprowadzenia na rynek nowych produktów i usług. Doradzamy z jakich rozwiązań warto skorzystać biorąc pod uwagę ich środowisko IT, a także pomagamy w realizacji całego projektu” – dodaje Artur Witek z Grape Up.

Źródło: Grape Up

Z raportu LinkedIn „Global Recruiting Trends 2018” wynika, że jednym z wyzwań, z jakimi w najbliższym czasie będą musieli poradzić sobie pracodawcy, będzie dywersyfikacja zatrudnienia.

O tym, na czym ona polega opowiada Paweł Wysocki, Prezes Zarządu firmy Quercus, specjalizującej się we wdrożeniach SAP w obszarze HR:

Pracodawcy, którzy w sposób analityczny podchodzą do kwestii zatrudnienia, już od pewnego czasu przygotowują się na konieczność dywersyfikacji. Przyczyny są różne i można je podzielić na globalne oraz wynikające ze specyfiki branży.

Myśląc o ogólnych czynnikach wiążących się z dywersyfikacją zatrudnienia, mam na myśli przede wszystkim mocne zróżnicowanie wiekowe osób aktywnych zawodowo. Zauważmy, że na rynku mamy obecnie przedstawicieli 4 generacji: baby boomers, pokolenia X, millenialsów oraz pokolenia Z. O ile formy komunikacji z pierwszymi dwiema grupami nie stanowią dla pracodawców wyzwania, o tyle w przypadku młodszych pokoleń sprawa jest bardziej złożona. Posługują się one bowiem innymi narzędziami, oczekują innych, mniej sformalizowanych form kontaktu, preferują komunikatory niż rozmowy telefoniczne, itp. Wszystko to trzeba uwzględnić, planując rekrutację, ale także strategię komunikacji na późniejszych etapach zatrudnienia.

Z kolei dywersyfikację związaną z branżą najłatwiej wyjaśnić na przykładzie naszej branży, czyli IT. Powszechnie wiadomo, że jest to sektor, w którym specjaliści nie narzekają na brak ofert pracy, zaś pracodawcy muszą proaktywnie poszukiwać kandydatów i „kusić” ich benefitami, często pozapłacowymi. Jeszcze kilka lat temu branża IT była mocno zmaskulinizowana, dziś to się zmienia i to w szybkim tempie. Panie coraz silniej zaznaczają swoją pozycję w IT i jest to zjawisko bardzo pozytywne. Od pracodawców ta zmiana wymaga jednak uważności, to znaczy szerszego spojrzenia na zakres oferowanych benefitów. Choć nie jest to regułą, może okazać się, że panie mają inne, dotychczas nie zidentyfikowane w firmie, oczekiwania, jak np. bardziej przyjazny wystrój biura, otwarcie żłobka w zakładzie pracy, możliwość pracy zdalnej w związku z chorobą dziecka itp.

Trzecia kwestia związana z dywersyfikacją mocno skorelowaną z branżą, choć dotyczy nie tylko IT, to zatrudnianie obcokrajowców. Pracodawcy muszą być gotowi na to, aby zatrudniać osoby z zagranicy. Dotyczy to zarówno przygotowania zespołu i stworzenia pozytywnej atmosfery oraz dodatkowego wsparcia podczas onboardingu, ale również wdrożenia odpowiednich rozwiązań systemowych, czyli np. technicznego rozliczania wynagrodzenia w zależności od tego, z jakiego kraju i na jakich warunkach jest zatrudniona dana osoba.

Jednak – podsumowując – największym wyzwaniem jest zróżnicowanie wiekowe. Warto przeanalizować, przedstawicieli jakich generacji zatrudniamy i dopasować np. benefity, formy komunikacji do ich preferencji i oczekiwań. Kluczem jest zrozumienie potrzeb konkretnego pokolenia. Im starsi pracownicy, tym bardziej cenią przyjazną atmosferę i stabilność zatrudnienia oraz wynagrodzenia, im młodsi, tym silniejsza potrzeba zbudowania harmonijnego balansu między pracą a czasem wolnym, potrzeba rozwoju (zawodowego i osobistego) oraz poczucia misji.

Źródło: Quercus

Od 1 lipca 2018 r. w Polsce funkcjonuje mechanizm podzielonej płatności (MPP), czyli split payment. Jak dotąd istnieje dobrowolność stosowania go przez nabywcę – osobę płacącą, która może, ale nie musi z niego skorzystać. Jednak w wybranych branżach split payment jeszcze w tym roku może być obowiązkowy. O które branże chodzi i jaki jest przybliżony termin wprowadzenia tych zmian w życie?

Na czym polega split payment?

Najprościej mówiąc, jest to mechanizm podzielonej płatności (MPP) za faktury. Obecnie w Polsce split payment występuje tylko w relacjach B2B i dotyczy wyłącznie elektronicznych przelewów bankowych. Mechanizm podzielonej płatności można zastosować wyłącznie wtedy, gdy sprzedawca posiada rachunek VAT (zakładany wyłącznie do kont firmowych). Płacący korzysta wówczas z tzw. komunikatu przelewu. Jest to informacja dla banku, że przedsiębiorca chce dokonać zapłaty z użyciem MPP i bank musi samodzielnie odpowiednio podzielić tę kwotę. Przedsiębiorca płacący w systemie podzielonej płatności nigdy nie dokonuje dwóch przelewów – nawet nie musi znać rachunku VAT sprzedawcy. Wprowadzenie split payment to zdaniem przedsiębiorców najgorsza zmiana prawna, do której doszło w 2018 roku. Wskazało tak 31% ankietowanych w badaniu zrealizowanym przez inFakt.

Decyzja Komisji Europejskiej i zmiany w polskim prawie

Już w tym roku split payment, jako jeden ze środków do walki z oszustwami podatkowymi, będzie obowiązkowy w niektórych branżach, które są szczególnie podatne na nadużycia związane z VAT.

15 maja 2018 r., czyli jeszcze przed dniem wejścia w życie dobrowolnego split payment w Polsce, do Komisji Europejskiej wpłynęło pismo, w którym Polska zawnioskowała o zastosowanie obowiązkowego MPP w niektórych obszarach gospodarki. Rząd wskazywał w nim, że podjął już liczne działania w celu zwalczania oszustw. Wprowadził między innymi mechanizm odwrotnego obciążenia oraz solidarną odpowiedzialność dostawcy/usługodawcy i nabywcy, jednolity plik kontrolny, surowsze przepisy dotyczące rejestracji podatników VAT i ich wykreślania z rejestru oraz większą liczbę kontroli. Pomimo tego uważa jednak, że środki te są niewystarczające, aby zapobiec oszustwom związanym z VAT i chce wprowadzić obligatoryjny system podzielonej płatności.

18 lutego 2019 r. Komisja Europejska wypowiedziała się pozytywnie na temat tej inicjatywy, określając termin wprowadzenia przepisów na 1 marca 2019 r. Jednak do tego konieczne jest dostosowanie polskich przepisów, a na to potrzeba czasu. W związku z tym termin wejścia w życie obowiązkowego split payment, o którym się mówi, to 1 lipca 2019 r., ale realną datę poznamy dopiero wtedy, gdy pojawi się projekt nowelizacji ustawy o VAT.

Dla których branż obowiązkowy split payment?

Obowiązkowy MPP będzie prawdopodobnie dotyczył 152 pozycji spośród Polskiej Klasyfikacji Wyrobów i Usług, testowo przez 3 lata. Będą to np. branża budowlana, handel złomem i stalą czy sprzętem elektronicznym.

Co oznacza dla polskich przedsiębiorców obowiązkowy split payment?

Split payment niesie to ze sobą obowiązek zakładania przez przedsiębiorców z tych branż kont bankowych, do których bank utworzy automatycznie rachunek VAT. Ten z kolei będzie prowadzony bez prowizji i opłat, ale za konto podstawowe trzeba będzie uregulować należności zgodnie z ofertą banku, na który zdecyduje się przedsiębiorca.

Jednak najpoważniejszą konsekwencją split payment dla przedsiębiorców jest ryzyko problemów lub nawet utraty płynności finansowej. Przedsiębiorcy otrzymujący VAT na rachunku VAT będą mieli te środki zamrożone, nie będą mogli nimi w dowolnym momencie dysponować. Dla wielu z nich, zwłaszcza najmniejszych, może okazać się to dużą przeszkodą w prowadzeniu biznesu.

Warto też mieć na uwadze, że wprowadzenie obowiązkowego split payment w wybranych branżach może być wstępem do objęcia tym systemem wszystkich przedsiębiorców w Polsce. W Europie obowiązkowy MPP funkcjonuje np. we Włoszech. Jednak tam split payment jest o wiele bardziej restrykcyjny – rachunek VAT jest bowiem własnością urzędu, a nie podatnika.

Czy spodziewać się kar?

Warto pamiętać, że ustawodawca może wprowadzić kary za niestosowanie MPP. Co będzie grozić za niedostosowanie się do przepisów? Jakie sankcje czekają za niedokonanie zapłaty w systemie split payment? Co będzie mógł zrobić przedsiębiorca, który chce zapłacić MPP, ale sprzedawca nie ma rachunku VAT? Póki co nie znamy odpowiedzi na te pytania – musimy poczekać na projekt polskich przepisów.

Aneta Socha-Jaworska, ekspert podatkowo-kadrowy w firmie inFakt

Rok 2018 w branży technologicznej potwierdził, że to możliwość wyboru jest dziś wartością najbardziej pożądaną przez biznes. Taki wniosek płynie z obserwacji usług działających w różnych przedsiębiorstwach, sposobów ich uruchamiania oraz docelowych środowisk, do których trafiają. Pojawiają się nowe rodzaje aplikacji biznesowych, które stają się coraz popularniejsze przez rosnące zainteresowanie rozwiązaniami typu blockchain, Internetem rzeczy i systemami sztucznej inteligencji. Aplikacje takie działają na serwerach fizycznych, maszynach wirtualnych i w kontenerach Linksowych znajdujących się w chmurach prywatnych i wielu chmurach publicznych.

Skoro jednak otoczenie zmienia się w tak szybkim tempie, przedsiębiorstwa i instytucje muszą znaleźć jakiś stały element, na którym będą mogły oprzeć swoje próby wdrażania innowacyjnych rozwiązań, nie tracąc zarazem okazji do zmian infrastruktury IT w momencie pojawienia się nowych szans na rynku. Istnieje jeden wspólny czynnik łączący dostępne opcje: większość rozwiązań nowej generacji stworzono w oparciu o system Linux.

Linux

W ramach rozwijania firmowej infrastruktury IT przedsiębiorstwa koncentrują się na udoskonaleniach wprowadzanych na poziomie aplikacji. Oczywiście takie podejście jest słuszne, ale to Linux napędza te innowacje i przyczynia się do rozwoju współczesnej informatyki. System operacyjny Linux jest uznaną, wspólną, transparentną podstawą funkcjonowania centrów przetwarzania danych, maszyn wirtualnych, różnorodnych środowisk chmurowych oraz aplikacji i usług korporacyjnych. Pojęcie chmury jest nierozerwalnie związane ze współczesnymi technologiami informatycznymi, podobnie ma się rzecz z systemem Linux.

Znaczenie systemu Linux w kontekście rozwiązań IT klasy enterprise zostało uwypuklone na początku 2018 roku, kiedy ujawniono luki Spectre i Meltdown. W przypadku tych dwóch luk atak następował na poziomie sprzętu. Próby zlikwidowania tego problemu wymagały intensywnej pracy ze strony społeczności użytkowników systemu Linux, dostawców sprzętu, niezależnych analityków oraz liderów rynku open source, takich jak Red Hat. Prace nad łatkami pozwoliły nie tylko zobaczyć to, jak społeczność pracuje nad rozwiązaniem problemów związanych z utrzymaniem cyberbezpieczeństwa, lecz także to, jak ważna jest w środowiskach produkcyjnych sama platforma Linux klasy korporacyjnej, niezależnie od wszystkich zaawansowanych usług i aplikacji, które na niej działają.

To jednak już przeszłość. W roku 2019 zapewne będzie można zaobserwować kolejne zmiany w firmowych środowiskach IT, rośnie bowiem złożoność centrów przetwarzania danych, zmienia się definicja osób odpowiedzialnych za infrastrukturę IT, a ponadto wciąż bardzo wiele uwagi poświęca się zagadnieniom cyfrowej transformacji biznesu. Jakie miejsce znajdzie w tym wszystkim system Linux?

Fundament umożliwiający wybór różnych rozwiązań technologicznych

System operacyjny Linux stanowi środowisko aplikacji i usług, dzięki którym przedsiębiorstwa mogą wyróżnić się na coraz bardziej konkurencyjnym rynku. Nic dziwnego zatem, że osoby decyzyjne w zakresie firmowej infrastruktury IT będą wybierać Linuxa, który obsługuje szeroką gamę wcześniejszych i nowych technologii. Dyrektor ds. IT nie chce zgadywać, czy dana aplikacja dostarczana przez niezależnego producenta oprogramowania będzie działać na wybranej dystrybucji Linuksa. Taka osoba po prostu musi wiedzieć, że wszystko będzie funkcjonować zgodnie ze specyfikacją na różnych platformach sprzętowych.

Oznacza to, że rola platformy Linux nie może polegać wyłącznie na zaspokajaniu bieżących potrzeb przedsiębiorstwa. Środowisko powinno realizować wymagania zespołu IT, zarówno obecnie, jak i w przyszłości. Musi zatem istnieć stabilny ekosystem obejmujący dostawców sprzętu, aplikacji i usług chmurowych, którzy będą oferować różne rozwiązania technologiczne.

Zmiana paradygmatu

Proces podejmowania decyzji dotyczących technologii do niedawna nie uwzględniał szerszego kontekstu przedsiębiorstwa. Dyrektor ds. IT lub menedżer określali potrzeby, tworzyli pewien zestaw wymagań, zbierali oferty i weryfikowali koncepcje, a następnie wybierali konkretne rozwiązanie i kierowali jego wdrożeniem. W roku 2019 możemy się spodziewać, że taki model działania będzie występować coraz rzadziej, zwłaszcza w odniesieniu do systemu Linux.

Działanie Linuksa ma wpływ na pracę zespołów operacyjnych, programistów, inżynierów sieci, działów biznesowych i dyrektora ds. IT. Dostawcy tego systemu nie mogą się ograniczać do realizowania potrzeb kierownika jednego z działów. Należy teraz myśleć o bardzo wielu wymaganiach, być może początkowo pozostających w sprzeczności. Pojawiają się pytania: czy system jest stabilny? Czy obsługuje newralgiczne aplikacje? Jak często jest aktualizowany? Kto się zajmuje jego wsparciem? Czy można go łatwo uzyskać, zainstalować i używać? Co z bezpieczeństwem? W jakich chmurach publicznych działa?

Trzeba odpowiedzieć na wszystkie tego rodzaju pytania. W nadchodzących miesiącach dystrybucje systemu Linux będą musiały mieć naprawdę uniwersalny charakter, zwłaszcza w kontekście procesu wyboru technologii.

Wzrost znaczenia automatyzacji na poziomie systemu operacyjnego

Szerszy zakres opcji związanych z różnymi modelami wdrożenia oznacza jednak także pewne koszty; często są one naliczane w skomplikowany sposób. Istniejące środowiska i tak odznaczają się sporą złożonością. Dodanie nowych elementów do istniejącej infrastruktury IT oznacza, że dział IT musi zarządzać rozbudowaną siecią zależnych od siebie systemów, pojedynczymi serwerami i odseparowanymi grupami procesów.

Dzięki technologiom automatyzacji takim jak Red Hat Ansible Automation można zmniejszyć obciążenia spowodowane czasochłonnymi, skomplikowanymi zadaniami. W roku 2019 technologie tego typu będą wykorzystywane coraz częściej. Zostaną także ściślej zintegrowane z dystrybucjami systemu Linux, ponieważ decydenci w obszarze IT będą poszukiwać jednolitej platformy zapewniającej skuteczną obsługę w złożonych zastosowaniach.

Przykładem tego trendu jest interfejs System Roles dostępny w ramach systemu Red Hat Enterprise Linux. Komponent ten pojawił się w wersji Red Hat Enterprise Linux 7.6. Korzysta z platformy Ansible i umożliwia realizowanie zadań administracyjnych w systemie za pośrednictwem gotowych, prostych mechanizmów. Ułatwia zespołom informatycznym skonfigurowanie często wykonywanych zadań na serwerze, np. obsługi sieci, poczty elektronicznej i zabezpieczeń.

Rozwiązania IT klasy enterprise wciąż się rozwijają, a Linux może być ich fundamentem

Mimo nowych rozwiązań technologicznych, które pojawiły się w 2018 roku w środowiskach chmurowych, takich jak platforma Kubernetes czy bezserwerowe przetwarzanie danych, w roku 2019 będziemy nadal świadkami ciągłego rozwoju korporacyjnej infrastruktury IT. Nie  zdarzy się nigdy sytuacja, w której dyrektor ds. IT będzie mógł z pełnym przekonaniem stwierdzić, że praca została zakończona. To po prostu niemożliwe! Zawsze będzie istnieć jakieś zadanie do wykonania polegające na migracji ostatniej aplikacji działającej w starszej technologii albo na zbudowaniu nowego systemu ERP. Z kolei dzięki nowym technologiom programistycznym, takim jak kontenery, zawsze będzie można uzyskać dodatkowe korzyści i zwiększyć elastyczność działania w oparciu o dotychczasowe inwestycje.

Począwszy od serwerów fizycznych i maszyn wirtualnych, a skończywszy na chmurach publicznych, prywatnych i hybrydowych, system Linux w 2019 roku pozostanie stałym elementem środowisk IT. Niezależnie od sposobu realizacji przez przedsiębiorstwo celów w obszarze IT, niezależnie od wyzwań, z jakim przyjdzie się zmierzyć, Linux będzie mu towarzyszyć na co dzień.

Red Hat od już od wielu lat udostępnia klientom technologie Linux klasy korporacyjnej. Od czasu, gdy system Red Hat Enterprise Linux pojawił się na rynku, infrastruktura informatyczna przedsiębiorstw przeszła wiele przemian, jednak znaczenie platformy jako fundamentu działania nowoczesnych centrów przetwarzania danych – zarówno lokalnych, jak i w ramach chmur publicznych – nie uległo zmianie. Spodziewamy się, że w 2019 roku firma Red Hat, podobnie jak sam system Linux, nadal będzie wspierać działania  organizacji oraz uczestniczyć w ich rozwoju, niezależnie od przyjętych przez nie celów.

Autor: Stefanie Chiras, vice president and general manager of Red Hat Enterprise Linux, Red Hat

Cyberprzestępcy są w stanie w krótkim czasie wykraść z firmowej sieci znaczące ilości cennych danych. Zrozumienie tego, jak przebiega cyberatak i jakie podatności są wykorzystywane przez hakerów, może zminimalizować ryzyko, że firma padnie jego ofiarą.

Świadomość tych zagrożeń pozwala organizacjom wdrożyć odpowiednie rozwiązania ochronne. Aby to ułatwić, organizacja MITRE^[1] zaproponowała klasyfikację przebiegu ataku hakerskiego. Jego kluczowe elementy to:

• Uzyskanie wstępnego dostępu: wykorzystanie znanych podatności, tworzenie fałszywych stron internetowych i aplikacji lub skutecznie przeprowadzony atak phishingowy pozwalają przestępcom ustanowić punkt zaczepienia do dalszego ruchu wewnątrz sieci.
• Rozpoczęcia działania: na tym etapie atakujący uruchamia plik, komendę lub skrypt, aby rozpocząć rekonesans sieci i proces wykrywania kolejnych luk w zabezpieczeniach.
• Utrzymanie się w sieci: kiedy cyberprzestępca ustanowił już punkt zaczepienia, jego następnym krokiem jest uniknięcie wykrycia. Pozwala mu to nadal poszukiwać potencjalnych celów w sieci.
• Rozszerzanie uprawnień: uzyskanie podstawowego dostępu nie pozwala hakerom dowolnie przeszukiwać sieci. Aby poruszać się po niej i dostać się do zasobów wartych kradzieży, zdobywają wyższe uprawnienia.
• Omijanie zabezpieczeń: atakujący muszą omijać rozwiązania ochronne w trakcie poruszania się po sieci, zwłaszcza podczas wykradania danych. Korzystają więc z takich działań jak np. imitowanie standardowych zachowań ruchu sieciowego lub dezaktywowanie rozwiązań zabezpieczających.
• Uzyskanie uwierzytelnienia: wiele organizacji chroni kluczowe informacje i inne zasoby za pomocą odpowiednio rozbudowanego uwierzytelnienia. Dane są przechowywane w rejestrze lub w plikach, które atakujący mogą wykorzystać do swoich celów. Niestety dotarcie do nich nie zawsze jest trudne. – Istnieją techniki, które pozwalają cyberprzestępcom przechwycić ruch sieciowy, aby wykraść dane uwierzytelniające. Mogą też manipulować kontami, dodając lub modyfikując ich uprawnienia – tłumaczy Robert Dąbrowski, szef zespołu inżynierów Fortinet w Polsce.
• Wyszukiwanie zasobów: nie wszystkie dane znajdują się w tym segmencie sieci, do którego się włamano. Wiele dotychczasowych kroków jest przez cyberprzestępcę powtarzanych, dzięki czemu jest on w stanie określić lokalizację najbardziej wartościowych zasobów i poruszać się pomiędzy różnymi segmentami sieci w fizycznych oraz wirtualnych centrach danych.
• Gromadzenie i wykradanie danych: atakujący dotarł już do poszukiwanych przez siebie zasobów. Na tym etapie chce wydostać je z sieci bez wykrycia swojej aktywności. Jest to często najbardziej skomplikowany etap całego procesu i może dotyczyć ogromnych ilości danych. Jeśli jednak cyberprzestępca do tego momentu dokładnie wykonał każdy element ataku, jest w stanie pozostać w firmowej sieci przez miesiące. W tym czasie będzie powoli przesyłał dane do innych lokalizacji w jej obrębie, będących pod mniej rygorystycznym nadzorem, by ostatecznie przenieść je poza sieć.
• Zarządzanie i kontrola: Ostatnim krokiem atakującego jest całkowite zatarcie śladów. Cyberprzestępcy chcą być pewni, że nie będzie można ich namierzyć, podążając śladem skradzionych informacji. Wykorzystują w tym celu np. odpowiednie serwery proxy czy maskowanie danych.

– Naruszenie bezpieczeństwa prowadzące do utraty danych może nastąpić w ciągu kilku minut lub godzin, a jego wykrycie często zajmuje tygodnie i miesiące. Do tego czasu sprawcom uda się zniknąć, a skradzione informacje już dawno przepadną lub zostaną sprzedane na czarnym rynku – mówi Robert Dąbrowski. – Skutecznym sposobem, aby sprostać temu wyzwaniu, jest porzucenie tradycyjnego podejścia opartego na pojedynczych narzędziach ochronnych i wprowadzenie zintegrowanej architektury zabezpieczeń.

[1] https://www.mitre.org/, amerykańska organizacja non-profit zajmująca się m.in. cyberbezpieczeństwem

Źródło: Fortinet

Chmury hybrydowe zyskały trwałe miejsce we współczesnej infrastrukturze informatycznej.  Model ten ma wiele zalet – przedsiębiorstwa powinny bliżej mu się przyjrzeć przede wszystkim dlatego, że oferuje większe pole manewru. Do niedawna możliwości i funkcjonalności do tworzenia nowych rozwiązań raczej się wzajemnie wykluczały. Pojawiały się dylematy typu: czy samodzielnie stworzyć aplikację w oparciu o własne zasoby, czy raczej zdecydować się na outsourcing architektury i skorzystać z usług zewnętrznego dostawcy? Czy warto zakupić aplikację w modelu SaaS, a może umieścić wszystkie systemy w chmurze publicznej? Każde z takich rozwiązań niesie ze sobą pewne korzyści, ale koordynacja ich wdrożenia może sprawić pewne trudności. Istnieją jednak narzędzia takie jak platforma Red Hat OpenShift, które pozwalają użytkownikom zyskać więcej sposobów na wykorzystanie hybrydowych środowisk wielochmurowych.

Zalety otwartych hybrydowych środowisk wielochmurowych szczególnie docenią osoby decydujące o infrastrukturze firmy. Dyrektor ds. informatyki nie musi przecież ograniczać się tylko do zarządzania infrastrukturą i eksploatacją systemów, ale może skoncentrować się na skutecznym tworzeniu innowacyjnego oprogramowania, pamiętając o możliwościach oferowanych przez otwarte hybrydowe środowisko wielochmurowe.

W dynamicznym otoczeniu rynkowym przedsiębiorstwa czasami muszą działać jak producenci oprogramowania. Zespoły informatyczne mogą aktywnie uczestniczyć w transformacji firmy, a metodą pozwalającą osiągnąć ten cel jest tworzenie aplikacji. Jeśli zespół informatyków natrafi na jakiś problem biznesowy, którego nie da się rozwiązać przy użyciu istniejących narzędzi, może samodzielnie zbudować odpowiednie narzędzie. Właśnie do tego celu służy platforma OpenShift. Jeśli dyrektor ds. informatyki chce wdrożyć nowoczesne aplikacje w otwartym hybrydowym środowisku wielochmurowym, nie musi już tworzyć monolitycznej infrastruktury, jaką znamy z przeszłości. Zyskuje teraz większą elastyczność konfiguracji komponentów i ma okazję wykorzystać zalety otwartego hybrydowego modelu wielochmurowego. Model ten odznacza się w szczególności większą stabilnością i lepszymi mechanizmami przenośności.

W roku 2018 po raz kolejny okazało się, jak istotna dla przedsiębiorstwa jest możliwość wyboru rozwiązania. Wybór oprogramowania, sprzętu i docelowego środowiska to oczywiście nadal bardzo ważne kwestie dla decydentów z obszaru IT, ale obecnie starają się oni również odpowiedzieć na inne pytania: komu powierzyć obsługę infrastruktury (jeśli nie zajmuje się tym samo przedsiębiorstwo) oraz czy warto samodzielnie konstruować środowisko. Pytania takie mogły się pojawić dzięki dwóm koncepcjom technologicznym: przetwarzaniu w chmurze i rozwiązaniom open source.

Kto ma zajmować się infrastrukturą? Często nie chcemy tego robić sami!

Usługi zarządzane nie są zupełnie nową koncepcją. Na podstawowym poziomie istnieją już od dziesięcioleci, wystarczy wspomnieć o outsourcingu centrów przetwarzania danych i hostingu poczty elektronicznej, a także o zarządzanych systemach ERP i CRM. W roku 2018 mogliśmy jednak mówić o zupełnie nowym poziomie funkcjonowania usług zarządzanych. Projektuje się je w sposób, który pozwala wyeliminować złożone zagadnienia związane z obsługą infrastruktury, a nawet obsługą baz danych. Zespoły informatyczne mogą w większym stopniu skupić się na tworzeniu korzystnych dla firmy rozwiązań bez konieczności wykonywania pracochłonnych zadań konserwacyjnych.

Mówiąc o możliwościach wyboru, do tej pory zwracaliśmy uwagę przede wszystkim na oprogramowanie i rodzaj platformy, zaś w mniejszym stopniu myśleliśmy o decyzjach podejmowanych przez menedżerów, związanych z wyborem zewnętrznego dostawcy do obsługi infrastruktury. Warto zauważyć, że taka decyzja ma naturę biznesową, nie dotyczy bezpośrednio technologii oprogramowania. Skoncentrowanie na rozwiązaniach open source pociąga za sobą potrzebę korzystania z nowych usług zarządzanych, które mogą harmonijnie współpracować z bazowymi projektami tego typu. Oczywiście nie chcemy przy tym unikać nowych wyzwań. Firma Red Hat od lat należy do liderów w obszarze tradycyjnych modeli open source. Obecnie chcemy rozszerzyć nasze działania także w dziedzinie usług zarządzanych, oferując takie platformy, jak Red Hat OpenShift Dedicated i Red Hat OpenShift on Azure.

Możemy przy tym wykorzystać nasze doświadczenie i wiedzę związaną z tworzeniem oprogramowania infrastrukturalnego. Nie tylko zajmujemy się konstruowaniem tego rodzaju rozwiązań, lecz także potrafimy je zoptymalizować, rozszerzyć ich mechanizmy zabezpieczeń i zapewnić odpowiednie wsparcie. Aby zrealizować wymagania naszych klientów, sami staliśmy się swoimi klientami! Dzięki temu odbiorcy pragnący samodzielnie zarządzać stworzonymi przez nas rozwiązaniami mogą uzyskać produkty wyższej jakości.

Po co obsługiwać infrastrukturę, skoro można samemu ją zbudować?

Wzrost znaczenia chmur jako fundamentu środowiska obliczeniowego i łatwa dostępność oprogramowania open source oznaczają, że dyrektorzy ds. informatyki mogą tworzyć środowisko aplikacji korporacyjnych we własnym zakresie. Zresztą zdarza się, że kierownictwo przedsiębiorstwa coraz częściej sugeruje takim osobom rozpoczęcie własnych prac, a nie zakup gotowych rozwiązań technologicznych. Pozytywną stroną tego trendu jest fakt, że firma ma okazję zbudować systemy ściśle spełniające przyjęte wymagania. Mogą jednak pojawić się pewne problemy: środowiska open source rozwijają się niezwykle szybko i bardzo możliwe, że niestandardowe pakiety aplikacji nie będą w stanie uwzględnić innowacyjnych funkcji w miarę ich wprowadzania, w efekcie czego powstaną trudne do zarządzania rozgałęzienia w rozwoju kodu.

Warto zwrócić uwagę na pewną istotną kwestię: na początku proces tworzenie własnego pakietu oprogramowania może być bardzo skuteczny i wydajny. Nie można jednak popadać w nadmierny optymizm. W dalszej perspektywie czasowej należy pamiętać o kilku poniżej opisanych elementach.

• Bieżąca obsługa może stać się bardzo skomplikowanym zadaniem, zwłaszcza w miarę zwiększania zakresu wdrożenia i uwzględniania coraz bardziej złożonych obciążeń i systemów. Może pojawić się konieczność rozwoju nowych, szerszych i bardzo specjalistycznych kompetencji, które wcale nie muszą istnieć w danym przedsiębiorstwie.

• Instalowanie poprawek i łatek jest konieczne, jeśli jakiś element okaże się wadliwy (a w każdym środowisku taka sytuacja na pewno się wydarzy). Specjalistyczna wiedza niezbędna do przeanalizowania i rozwiązania problemów występujących w nowoczesnej infrastrukturze informatycznej ma coraz większy zakres. Obejmuje różnorodne interfejsy API, począwszy od jądra systemu, a skończywszy na systemie optymalizacji środowiska. W przypadku awarii czasami okazuje się, że należałoby przeanalizować miliony linii kodu różnych produktów. Trzeba wówczas pomyśleć o szczegółach i zależnościach bardziej złożonych niż w przypadku oprogramowania poprzedniej generacji. Awarie czasami jest trudno zdiagnozować, a jeszcze trudniej usunąć.

• Przekazywanie poprawek i łatek społeczności open source pozwala zmniejszyć ryzyko pojawienia się wykrytych problemów w przyszłości, w kolejnych wersjach kodu. To niezwykle ważny, chociaż często pomijany krok w przypadku korzystania z produktów open source. Jeśli udało się nam usunąć błąd, nie oznacza to wcale, że zauważy go społeczność, zwłaszcza jeśli nie uczestniczymy w bieżących pracach nad rozwojem danego projektu.

Jeśli przyjrzymy się kwestiom związanym z obsługą, kompetencjami i interakcją ze społecznością open source, to okaże się, że niektóre projekty realizowane we własnym zakresie nie odnoszą zakładanego sukcesu. Niestety często zdarza się, że zdajemy sobie z tego sprawę, kiedy na zbudowanych rozwiązaniach funkcjonują już krytyczne aplikacje. Dyrektorzy ds. informatyki rozumieją, o co toczy się gra i bardzo dokładnie porównują wady i zalety podejścia opartego na tworzeniu własnych systemów i zakupu gotowych rozwiązań, nawet w obliczu zewnętrznych nacisków i sugestii samodzielnej pracy w ramach zespołu.

Celem firm takich jak Red Hat jest dostarczanie produktów klasy korporacyjnej, dzięki którym przedsiębiorstwo będzie w stanie uwzględnić innowacyjne funkcje rozwiązań open source. Jednakże poza dystrybucją komponentów tego typu, Red Hat uczestniczy w działaniach społeczności. Tysiące naszych specjalistów bierze udział w poszczególnych projektach, ponieważ chcemy poznać kod, który oferujemy. Dzięki temu można wpłynąć na uwzględnienie poprawek w nowszych wersjach.

Nowe środowisko oferuje użytkownikom wiele możliwości wyboru, pozwala też wykorzystać innowacyjne funkcje wkrótce po ich pojawieniu się na rynku. Dyrektorzy ds. informatyki, dyrektorzy techniczni i pozostali przedstawiciele branży IT mogą z optymizmem myśleć o przyszłości. Wszyscy jesteśmy przekonani, że poradzimy sobie z nowymi problemami i zagadnieniami, udostępnimy zróżnicowane usługi czy produkty naszym użytkownikom końcowym, dzięki czemu będziemy lepiej przygotowani do zmian zachodzących w środowisku biznesowym. Menedżerowie nie powinni jednak tracić pewności siebie w obliczu zbyt wielu możliwości wyboru. To okazja do działania dla zaufanych partnerów, takich jak firma Red Hat. Zajmujemy się tym od dawna i mimo zmian zachodzących w branży oraz rozpowszechnienia środowisk przetwarzania w chmurze nadal jesteśmy gotowi pomagać klientom w tworzeniu infrastruktury informatycznej nowej generacji.

Autorzy: Mike Kelly, chief information officer, Red Hat oraz Matt Hicks, senior vice president of software engineering, Red Hat

Już od 1 lipca 2019 roku struktura JPK_VAT oraz deklaracje VAT mogą zostać zastąpione strukturą JPK_VDEK. Za błędne przesyłanie dokumentu na przedsiębiorcę będą nakładane kary finansowe. Jak będzie wyglądać nowy Jednolity Plik Kontrolny oraz kiedy Naczelnik Urzędu Skarbowego będzie mógł nałożyć karę?

Czym jest JPK_VDEK?

Według aktualnych przepisów czynny podatnik VAT ma obowiązek przesyłania do Urzędu Skarbowego JPK_VAT co miesiąc. Plik zawiera informację o podatku należnym oraz naliczonym, wynikającym z prowadzonych ewidencji. Oprócz tego podatnicy mają obowiązek prowadzenia rejestrów i przesyłania deklaracji VAT za wybrane okresy rozliczeniowe. Taki system jest uciążliwy szczególnie dla podatników, którzy rozliczają się z tego podatku kwartalnie.

Według ustawodawcy JPK_VDEK ma uprościć rozliczenia podatku od towarów i usług. Nowy plik odzwierciedli dane przesyłane obecnie w deklaracjach VAT oraz w pliku JPK_VAT. Dodatkowo będzie zawierał dane, które są potrzebne do analizy rozliczeń tego podatku i jego kontroli.

Pozycje z deklaracji VAT-7/7K zostaną przeniesione do części nowej struktury, a następnie połączone z danymi z pliku JPK_VAT. Dzięki takiemu rozwiązaniu przedsiębiorca prześle jeden dokument elektroniczny – będzie to więc duże ułatwienie szczególnie dla tych, którzy teraz rozliczają się z VAT kwartalnie, a JPK_VAT muszą wysyłać co miesiąc. Kolejnym uproszczeniem będzie likwidacja załączników VAT-ZZ, VAT-ZD i VAT-ZT oraz wniosków występujących w standardowych deklaracjach.

Kara za błędy w JPK_VDEK

Nowy rodzaj JPK, zgodnie z projektem Ministerstwa Finansów, może się jednak wiązać z karami dla przedsiębiorców. W przypadku stwierdzenia w przesłanej ewidencji błędów czy danych niezgodnych ze stanem faktycznym, lub w przypadku zmiany danych zawartych w tej ewidencji, przedsiębiorca jest obowiązany przesłać niezwłocznie korektę JPK_VDEK.

Za przesłanie ewidencji zawierającej błędy lub dane niezgodne ze stanem faktycznym naczelnik urzędu skarbowego będzie mógł nakładać karę finansową w wysokości 500 zł za każdą stwierdzoną nieprawidłowość. Przepisy nie stwierdzają jednoznacznie, co jest nieprawidłowością podlegającą karze – w praktyce może więc być nią pomyłka w numerze faktury czy literówka w nazwie kontrahenta. Decyzja o nałożeniu kary należy do naczelnika, który wcześniej powinien wezwać do przesłania korekty ewidencji, wskazując przy tym błędy lub dane niezgodne ze stanem faktycznym.

Aby uniknąć kary, przedsiębiorca powinien w terminie do 14 dni od dnia doręczenia wezwania złożyć do naczelnika urzędu skarbowego korektę ewidencji. Korekta powinna zawierać wskazane w wezwaniu błędy lub dane niezgodne ze stanem faktycznym.

Piotr Ciszewski, ekspert podatkowy w firmie inFakt

Fortinet zaprezentował wyniki najnowszego raportu o cyberzagrożeniach. Badania pokazują, że cyberprzestępcy w swojej działalności sięgają nawet po… memy na portalach społecznościowych, za pomocą których rozprzestrzeniają szkodliwe oprogramowanie. Ponadto wciąż interesują się urządzeniami z kategorii IoT – w szczególności kamerami internetowymi.

Kluczowe wnioski z raportu dotyczącego IV kwartału 2018 roku:

• Złośliwe oprogramowanie zakamuflowane w memach – steganografia jest techniką, która polega na ukrywaniu komunikatu w sposób niemożliwy do wykrycia, gdzie tajny jest sam fakt prowadzenia komunikacji. Cyberprzestępcy także wykorzystują ten mechanizm. W ostatnim kwartale analitycy Fortinet wykryli złośliwe oprogramowanie wykorzystujące komendy ukryte w memach udostępnianych w mediach społecznościowych. Dzięki temu maskowana zostaje komunikacja z serwerem sterującym/centralą (CnC – Command and Control Center). W trakcie ataku próbki złośliwego oprogramowania wyszukują zdjęcia na powiązanej osi czasu na Twitterze, pobierają je i szukają wewnątrz obrazków ukrytych poleceń. Na ich podstawie podejmują kolejne aktywności, np. ataki DoS (ang. Denial of Service, odmowa usługi) czy też przesyłanie dalej wykradzionych haseł. Z uwagi na to, że ruch na Twitterze jest szyfrowany, wykrycie takich zagrożeń wewnątrz sieci może być bardzo trudne.
• Kamery IP na celowniku – według danych laboratorium FortiGuard Labs, 6 z 12 największych eksploitów^[1] było powiązanych z IoT, a 4 z nich dotyczyły kamer IP. Dostęp do tych urządzeń mógłby pozwolić przestępcom nie tylko na podglądanie prywatnych interakcji, ale też na włamanie się do systemów informatycznych, aby przeprowadzić ataki ransomware lub DoS. – Trzeba być świadomym, że cyberataku można dokonać nawet za pomocą urządzenia, które ma na celu zapewnić nam bezpieczeństwo – przypomina Robert Dąbrowski, szef zespołu inżynierów Fortinet.
• Eksploity i botnety^[2] na rekordowym poziomie – średnia liczba eksploitów wykrytych przez jedną firmę wzrosła o 10%, a liczba zidentyfikowanych unikalnych eksploitów o 5%. Jednocześnie botnety, czyli sieci zainfekowanych urządzeń, stały się bardziej złożone i trudniejsze do wykrycia. Zidentyfikowanie ich zajmowało firmom średnio 12 dni.
• Narzędzia dostępne dla wszystkich – narzędzia typu „open source” służące do tworzenia złośliwego oprogramowania można pobierać z popularnych serwisów hostingowych. Jako że są one dostępne dla wszystkich, mogą być wykorzystane również do szkodliwych celów. Są wówczas „uzbrajane” i przekształcane w złośliwe oprogramowanie – głównie w ransomware. Przykładem takiego otwartego kodu źródłowego, który został zmodyfikowany przez cyberprzestępców, jest słynny botnet Mirai. Pojawił się w 2016 roku i doprowadził do czasowego wyłączenia takich serwisów jak Netflix, Twitter czy Reddit. Od tamtej porty wciąż ukazują się jego nowe warianty. Narzędzia „open source” są bardzo przydatne także dla specjalistów ds. cyberbezpieczeństwa. Umożliwiają bowiem testowanie zabezpieczeń i analizę luk.
• Adware to poważny problem – oprogramowanie wyświetlające odbiorcy niepożądane reklamy wciąż pozostaje realnym zagrożeniem. Według analityków Fortinet, Adware odpowiada za jedną czwartą infekcji złośliwym oprogramowaniem w Europie. Przykłady można znaleźć nawet w oficjalnych aplikacjach, co sprawia, że jest ono szczególnie uciążliwe dla użytkowników mobilnych.
• Uwaga na technologie operacyjne – łączenie środowisk IT oraz OT (technologii operacyjnych) sprzyja przeprowadzaniu ataków wymierzonych w infrastrukturę krytyczną. Atak, który ma na celu systemy sterujące ICS (ang. Industrial Control Systems) oraz urządzenia takie jak zawory, inteligentne mierniki czy liczniki, może mieć druzgocące konsekwencje dla środowiska, a nawet ludzkiego zdrowia i życia.

[1] Rodzaj złośliwego oprogramowania wykorzystującego lukę w zabezpieczeniach.

[2] Sieć urządzeń, mogą to być komputery lub sprzęty IoT, zainfekowanych złośliwym oprogramowaniem.

Źródło: Fortinet

Do stosowania rozwiązań chmurowych od lat nikogo nie trzeba specjalnie przekonywać. Biznes docenił prostotę takich narzędzi oraz oszczędności, które dają. Większy problem z chmurą miał sektor publiczny, ale i on zaczyna poważnie się nią interesować. Wpływają na to między innymi zmiany w prawie.

Według badania Deloitte 93 proc. organizacji – w tym z sektora publicznego – stosuje już rozwiązania w chmurze lub planuje to robić. Co więcej, inwestycje w ten rodzaj usług mają się podwoić w ciągu najbliższych trzech lat. Do wzrostu zaufania sektora publicznego do tej technologii najbardziej przyczyniają się obecnie nowelizacje prawa.

– Na polskim rynku przykładem związanego z przepisami prawa i racjonalnego przejścia na chmurę jest elektronizacja zamówień publicznych. Nowości w ustawie Prawo Zamówień Publicznych sprawiły, że instytucje zostały zobowiązane do zastosowania w przetargach powyżej progów unijnych platform do komunikacji zamawiających z wykonawcami. Dziś tak naprawdę każde z dostępnych na rynku rozwiązań tego typu działa w modelu SaaS – mówi Piotr Matysik, prezes zarządu Marketplanet.

Po 18 października 2018 roku każda instytucja publiczna, która chce być zgodna z ustawą Prawo Zamówień Publicznych, po prostu musi korzystać z chmury – niezależnie od tego, czy wybierze platformę komercyjną, czy rządowy miniPortal. Oczywiście wciąż może stworzyć własny system, ale czas i pieniądze potrzebne na realizację takiego przedsięwzięcia są nieproporcjonalnie duże w stosunku do korzyści, jakie osiągnie.

Nowy teren, nowe możliwości

Skalę koniecznych do przeprowadzenia zmian i potencjał rynku można ocenić na podstawie danych. Tylko w 2017 roku liczba przeprowadzonych w Polsce zamówień publicznych sięgnęła 139133. Zostały one zrealizowane na potrzeby ok. 13000 zamawiających podlegających ustawie Prawo Zamówień Publicznych. Łączna wartość przetargów wyniosła 163,2 mld zł. Gra toczy się o wysoką stawkę.

Zmiany w ustawie PZP sprawiły, że w Polsce powstał całkowicie nowy rynek, który wymaga wypracowania nowych zasad współpracy między zamawiającymi a wykonawcami. Pierwsze miesiące działania zmodyfikowanego prawa przyniosły już pierwsze praktyki w tym zakresie, pokazały problemy funkcjonalne czy technologiczne, z którymi muszą mierzyć się uczestnicy publicznych postępowań zakupowych. Co ważne, sektor zaakceptował te wyzwania i pozytywnie podszedł do usług w chmurze, z pełnym zrozumieniem korzyści z nich płynących.

Chmura to nie tylko elastyczność i możliwość dostosowania do aktualnych uwarunkowań prawnych, ale też przewidywalność oraz ograniczenie kosztów. I tych związanych z utrzymaniem własnej infrastruktury i usuwaniem awarii, i tych płynących z gromadzenia, przechowywania i ustandaryzowania danych. To także bezpieczeństwo zapewnione przez dostawcę oprogramowania w umowie SLA.

Przestrzeń do współpracy

Wejście w chmurę wymagało od sektora publicznego nie tylko zmiany podejścia do dotychczasowej polityki IT, ale też zaufania rozwiązaniom komercyjnym. I choć mówi się, że public niechętnie współpracuje z sektorem prywatnym, na tym polu widać wzajemną chęć współdziałania.

– Model SaaS pozwala na szybkie i – w porównaniu do innych modeli – możliwie tanie pozyskanie rozwiązania wspierającego proces udzielania zamówienia publicznego. I to niezależnie od tego, czy zamawiający decyduje się jedynie na narzędzie do obsługi elektronicznego składania ofert, czy na narzędzie kompleksowo wspierające cały proces od planowania zamówień, przez procedurę udzielania zamówienia publicznego, aż po realizację i rozliczenie umowy. O ile mali zamawiający z niewielkim wolumenem zakupowym będą się zapewne skłaniali do zapewnienia ustawowego minimum i będą korzystać z rozwiązań niekomercyjnych, o tyle ci najwięksi, do których zalicza się Urząd Miasta Stołecznego Warszawy, będą budowali swoje procesy zakupowe w oparciu o współpracę z sektorem prywatnym. Ale będą je budowali tylko wtedy, gdy dostawcy rozwiązań będą gotowi do dostosowywania swojej oferty do potrzeb klientów oraz świadczenia usług na oczekiwanym przez klientów poziomie SLA – mówi Łukasz Korba, zastępca dyrektora, Biuro Zamówień Publicznych, Urząd M.St. Warszawy.

Od stycznia 2020 roku elektronizacja obejmie też przetargi poniżej progów unijnych, które stanowią ok. 30 procent wszystkich postępowań publicznych. To oznacza, że w sektorze publicznym pojawi się jeszcze więcej rozwiązań chmurowych, także tych od komercyjnych dostawców.

– Z sektorem publicznym pracujemy od lat i dobrze poznaliśmy jego obawy oraz oczekiwania. Bez wahania mogę powiedzieć, że jego reakcja na rozwiązania chmurowe w zakresie elektronizacji zamówień publicznych jest niezwykle pozytywna, nawet entuzjastyczna. Ważne jest to, abyśmy my – firmy dostarczające tego typu aplikacje – pomogli instytucjom sektora publicznego w oswajaniu tej nowej rzeczywistości – komentuje Piotr Matysik z Marketplanet, firmy odpowiadającej za platformę e-Zamawiający, z której korzysta ponad 350 podmiotów publicznych, w tym 65 jednostek administracji publicznej i samorządowej reprezentowanych przez COAR.

Sektor publiczny docenia rozwiązania chmurowe, bo są intuicyjne, tańsze od szytych na miarę i bardzo często oferowane przez podmioty działające na rynku od wielu lat. Aktualne zmiany w prawie sprawią, że przejść na chmurę będzie w sektorze coraz więcej. Zaufanie, jakim instytucje obdarzyły usługi SaaS oraz partnerów technologicznych z sektora prywatnego, będzie zatem procentować w przyszłości.