Rozmowa z Andrzejem Cieślakiem, założycielem i prezesem zarządu firmy Dynacon sp. z o.o., uznanym ekspertem w zakresie cyberbezpieczeństwa OT (operational technology) i komunikacji przemysłowej, wykładowcą i instruktorem z ponad 25-letnim doświadczeniem, współpracującym ze znanymi uczelniami, w tym z SGH na studiach podyplomowych cyberbezpieczeństwo przemysłowe.
Karolina Cygonek: Dlaczego cyberbezpieczeństwo przemysłowe jest ważne w obecnych czasach do tego stopnia, że SGH ma studia podyplomowe w tym zakresie?
Andrzej Cieślak: Odpowiem, bazując na najnowszych wydarzeniach i informacjach jawnych. Jeśli zwrócimy uwagę na komunikaty prasowe zarówno premiera Donalda Tuska, jak i wicepremiera i ministra cyfryzacji Krzysztofa Gawkowskiego, które dotyczą ataków na polską elektroenergetykę i ciepłownictwo 29–30 grudnia ub.r., gdy prawdopodobnie grupy rosyjskie skierowały bardzo precyzyjny, długo przygotowywany atak, który mógł skończyć się bardzo poważnymi konsekwencjami dla setek tysięcy Polaków i to w okresie grzewczym, to już chyba nikt nie powinien mieć wątpliwości, że aspekty cyberbezpieczeństwa są wybitnie istotne.
A teraz odpowiedź na pytanie: dlaczego SGH? Szkoła Główna Handlowa w Warszawie jest uczelnią, która zajmuje się przekazywaniem wiedzy nie głęboko technicznej, ale raczej zarządczej i biznesowej. Niemniej brak przestrzeni, w której uczelnie, tak szacowne jak SGH czy inne, budują mosty pomiędzy częścią biznesową a częścią głęboko technologiczną. Powstaje mocno ugruntowany przecież w środowisku i społeczeństwie rozdźwięk pomiędzy technologami, technikami, inżynierami a osobami zajmującymi się zarządzaniem i podejmowaniem decyzji strategicznych, finansowych, ekonomicznych, organizacyjnych etc. Stąd też pomysł na to, aby akurat takie studia, taki kierunek powstał w SGH. Myślę, że przynajmniej dla nas jest oczywiste, aby móc stworzyć ten pomost pomiędzy osobami, które podejmują decyzje strategiczne, a osobami, które podejmują decyzje taktyczne i operacyjne. Chodzi o to, aby móc te osoby skupić w jednym zespole, połączyć wiedzę teoretyków od cyberbezpieczeństwa z wiedzą praktyków. A potem odwrócić tę sytuację tak, żeby praktycy od zarządzania, eksperci od finansów, od działania długofalowego biznesowego, wyposażeni w bezpieczną i zweryfikowaną wiedzę (kierunek cyberbezpieczeństwa przemysłowego otrzymał patronat Rządowego Centrum Bezpieczeństwa), mogli optymalnie zasilić wiedzą i wesprzeć działania inżynierów, którzy muszą często działać tu i teraz.
Media informowały o tysiącach cyberataków na polską energetykę.
To znaczy, że nie mają pojęcia, co wydarzyło się naprawdę. To jest konfabulacja oparta na szczątkowych informacjach, bo więcej danych media nie dostaną.
Rozumiem, że ze względu na obszar krytyczny informacje te są po prostu obwarowane klauzulą tajności?
Są to informacje wrażliwe i nie można ich w szczegółach podawać do publicznej wiadomości ze względu na dobro bezpieczeństwa kraju.
Proszę zatem powiedzieć, jakie najważniejsze elementy składają się na ten obszar cyberbezpieczeństwa przemysłowego w kontekście prowadzonych w SGH studiów podyplomowych?
Jeśli mówimy o tym kontekście, to są to elementy związane ze zrozumieniem środowiska w ogóle, a następnie wskazaniem kierunków wiedzy, którą można pozyskać już samodzielnie. Kurs, który trwa rok, nie wyczerpuje i nie może, oczywiście, wyczerpać tego tematu. Na kursie chodzi o wskazanie tych najbardziej istotnych elementów, po czym ustalenie taksonomii, nomenklatury porozumiewawczej pomiędzy częścią biznesową, zarządczą, czyli dotyczącą prowadzenia i budowania projektów, gdzie następnie dochodzi realizacja zadań, zarządzanie rolami, zarządzanie organizacją pod kątem cyberbezpieczeństwa. Trzeci obszar, który wspomina o aspektach prawnych, aspektach normatywnych, dobrych praktykach, powinien połączyć te dwa wcześniejsze obszary. I ten kurs to zapewnia. Osoba, która ukończy takie roczne szkolenie, powinna rozumieć, co obejmuje obszar cyberbezpieczeństwa w organizacji, czyli czego dotyczy, gdzie jest zlokalizowany, za co jest odpowiedzialny, jakie korzyści daje oraz jakie straty bądź negatywne konsekwencje może wywołać aspekt zaniechania lub nieprawidłowego prowadzenia zarówno części technicznej, jak i części biznesowej w tym aspekcie.
Czy jest coś jeszcze?
Osoba po takim kierunku powinna orientować się w aspektach prawnych, oczywiście nie na poziomie prawniczym. Tutaj mówimy raczej o umiejętności połączenia aspektów prawnych, jak akty rozporządzeń, z dobrymi praktykami i normami wprost i nie wprost, czyli o umiejętności czytania zapisów normatywnych czy ustawowych.
Po skończeniu studiów podyplomowych cyberbezpieczeństwo przemysłowe taka osoba powinna pójść do organizacji i docelowo zająć należne miejsce w roli tzw. CISO, czyli Chief Information Security Officer, który powinien umieć zarządzić obszarem cyberbezpieczeństwa. Oczywiście, z tego kursu nie wyjdzie ekspert czy ekspertka od cyberbezpieczeństwa. Z doświadczenia wiemy, że wykształcenie takiej osoby to jest mniej więcej około 10–12 lat nie tylko szkoleń, ale również praktyki. Ale po roku osoby, które orientują się trochę w części technicznej i znają daną organizację, będą rozumiały, jak się w niej odnaleźć, na co zwracać uwagę, a gdzie mogą czyhać bardzo poważne pułapki.
Z tego, co pan mówi, właściwie warunkiem sine qua non jest to, żeby w obecnych czasach każda organizacja miała osobę, osoby czy nawet działy odpowiedzialne za cyberbezpieczeństwo przemysłowe.
To jest bezwzględnie potrzebne. I to już jest sprawa drugorzędna, czy to będzie osoba na etacie, czy cały zespół ludzi na etacie, czy zespół zewnętrzny lub mieszany. Oczywiście, najlepszą opcją jest opcja mieszana. Niemniej obecnie każda organizacja, w szczególności o znaczeniu istotnym czy krytycznym, musi mieć specjalistów od cyberbezpieczeństwa przemysłowego.
Z jakimi głównie zagrożeniami w dobie rewolucji sztucznej inteligencji mamy do czynienia? Zerwanie łańcuchów dostaw w następstwie pandemii COVID-19, wojna w Ukrainie, naruszenie dotychczasowego ładu międzynarodowego. Z czym muszą mierzyć się dzisiaj przedsiębiorstwa i mniejsze firmy, z jakimi zagrożeniami?
Wspólny mianownik dotyczy człowieka w kontekście podejmowania decyzji. To jest największe zagrożenie. A nie atak państw rozpoznanych jako agresorzy czy organizacji terrorystycznych lub po prostu przestępczych.
Co to znaczy?
Przede wszystkim chodzi o decyzyjność osób zarządzających i podejmowanie tych decyzji w oparciu o wiarygodną i bezpieczną dla organizacji wiedzę. Zaniechania w organizacjach, nepotyzm, próby podejmowania decyzji, czyli pozorowane decyzje, szkodzą każdej organizacji. Typowy scenariusz: zrób coś, ale najpierw rozważ to 15 tysięcy razy tak, żeby to się rozmydliło, przekaż weryfikację zagadnienia do jeszcze dwóch, trzech osób lub firm. Przekazanie decyzji gdzieś dalej w organizacji prowadzi do rozmydlenia decyzyjności, rozproszenia tym samym odpowiedzialności za podjęcie decyzji.
Człowiek w obecnych czasach atakowany jest wieloma bodźcami, m.in. tymi, które pani wymienia, próbuje alokować źródło zagrożeń np. w wojnie w Ukrainie. To jest błąd. Wszystko bowiem dotyczy organizacji i podejmowania skutecznych decyzji. Osoby decyzyjne, najczęściej na najwyższych szczeblach bądź szczebla średniego w przedsiębiorstwach, nie są rzetelnie informowane. Informacje, które do nich docierają, nie są uwiarygodnione. Jest takie poczucie dania wiary własnemu pracownikowi, który nie jest zainteresowany tym, aby źle wypaść przed swoim przełożonym. Efektem tego jest jednokierunkowa narracja, która często jest błędna, niepełna, jednopłaszczyznowa i na pewno niewskazująca na przyczyny zagadnień leżących w osobie będącej źródłem informacji. Zauważa się w tym zakresie poprawę sytuacji, lecz nie zmienimy natury człowieka. Powszechny jest brak chęci weryfikacji informacji przez szczeble zarządcze i podejmowanie decyzji czy zaniechanie podjęcia decyzji, dokonywane w oparciu o szczątkowe, niewiarygodne informacje, tylko dlatego, że „nie znam się”, „nie orientuję się”, „mam ludzi od tego”. Zdrowym podejściem jest ufanie swoim pracownikom, ale weryfikacja na zasadzie uwiarygodnienia informacji powinna być wykonywana równolegle. To tak samo jak z ciężkimi chorobami. Nie idziemy do jednego specjalisty, idziemy do kolejnego, który nas zdiagnozuje. Porównanie tych dwóch diagnoz pozwala na wyciągnięcie bardziej właściwych wniosków. Pytanie retoryczne dla inżynierów: dlaczego stosujemy minimum trzy czujniki dla jednego układu pomiarowego dla tej samej charakterystyki środowiska pomiarowanego? Bo jak jeden odstaje, a dwa podają inny wynik, ale zbieżny, to te dwa „mówią prawdę”. Oczywiście, te dwa mogą się zepsuć i to właśnie ten jeden podawał poprawny wynik. Co wtedy robimy? Weryfikujemy wszystkie trzy, a decyzje podejmujemy w oparciu o dane, które posiadamy, pozostawiając możliwość zmiany działań w przypadku konieczności wykonania korekt.
Rozumiem, ale decyzje podejmowane są jednak w określonych warunkach. Warunki zewnętrzne również istnieją. Wojna w Ukrainie takie warunki stworzyła. Zerwanie łańcuchów dostaw w następstwie pandemii COVID-19 było faktem, realiami, z którymi musieliśmy sobie radzić. Rewolucja sztucznej inteligencji dzieje się na naszych oczach, już nas wyprzedziła. Coś sobie zakładamy, a to już w zasadzie nie jest aktualne. Decyzje są podejmowane jednak w bardzo zmiennych i ciężkich do przewidzenia warunkach zewnętrznych.
Nie zgodzę się co do stwierdzenia, czy coś było faktem, czy nie. Wiele informacji jest preparowanych, zniekształconych czy po prostu bazujących na wycinku informacji. W wielu przypadkach konflikty zbrojne czy pandemie są jedynie wygodną wymówką lub bazą dla robienia „interesów życia” i nie ma to nic wspólnego z rzeczywistością i „faktami”. Jeżeli mówimy o decyzyjności chaotycznej, opartej na układzie reaktywnym, jest to najczęstszy błąd człowieka – i to należy wyplenić. Decyzje reaktywne powinny być oparte na układzie treningów i pamięci mięśniowej. Podsumuję to, co pani powiedziała, w ten sposób: moje projekty w bardzo dużych organizacjach w Polsce, które przedstawiałem wielu przedsiębiorcom w 1998 r., a następnie w 2008 i 2016 r., były wtedy całkowicie ignorowane! A dzisiaj? Dzisiaj te projekty są rewitalizowane w różnej formie i z różnymi „autorami”. A ich rewitalizacja polega często na zmianie daty, autora i niczego więcej. Eksperci, specjaliści mówili od dawna, od 20–30 lat, o tych samych zagadnieniach, które dzisiaj jedynie są wzmacniane poprzez popularne medialnie doniesienia o wojnie w Ukrainie czy innych regionach i różnych zagadnieniach geopolitycznych. To jest wyłącznie pretekst do tego, aby o tym mówić. Zawsze mamy zmienne, ciężkie warunki, niemożliwe do przewidzenia – nasłuchałem się tego przez lata aż za dużo. To zawsze pada z ust ludzi, którzy nie są zainteresowani skutecznością, tylko ochroną siebie.
Ale przecież przedsiębiorstwa, firmy nie funkcjonują w próżni.
Oczywiście, że nie, tylko że wcześniej nazywano to usterką i awarią, bo nikomu się nie chciało tak naprawdę przyjrzeć powodom tych usterek i awarii. Większość problemów, które tak naprawdę mamy w postaci ataków, to jest maksymalnie 5% zagadnień w ogólnym rozrachunku bezpieczeństwa i cyberbezpieczeństwa. Tak naprawdę ludzie żyjący w obszarze awarii, usterki, anomalii nie kwalifikowali tego jako atak cyberbezpieczeństwa. Słowo „cyberbezpieczeństwo” nagle wypłynęło kilka lat temu, stało się wyświechtanym zwrotem, a nie poważnym zagadnieniem. Aktualnie „odgrzewamy” stare projekty, nagle cofamy się do tego wszystkiego, co zostało już dawno temu zdiagnozowane, i odkrywamy naturalną prawdę. Architektura, decyzyjność, organizacja, kompatybilność technologiczna, łańcuch dowodzenia – to jest poprawne budowanie i projektowanie, decyzje oparte na wiedzy, doświadczeniu i uwiarygodnianiu informacji. To są kluczowe aspekty. A to, że dzisiaj mamy wojnę w Ukrainie, jest ważne, ale drugorzędne. W 2014 r. była pierwsza już agresja Rosji na Ukrainę – coś z tym zrobiliśmy?
Cyberbezpieczeństwo to nie obszar zajmujący się atakami! To jest bardzo szeroka dziedzina. Jej zaszufladkowanie i skanalizowanie jest wybitnie szkodliwe.
W 2014 r. miała miejsce agresja Rosji na Krym. Ale wtedy nie miało to aż tak dużego oddziaływania na nasz region.
Nie zgodzę się. Proszę wybaczyć, ale siedzę w tym od środka i właśnie są to stwierdzenia powielane również przez świat mediów, który tak naprawdę nie zgłębia zagadnienia, a papka medialna bardzo często wypacza rzeczywistość. Agresja Rosji i jej imperialistyczne działania wywołują negatywny wpływ na teren RP w zakresie bezpieczeństwa i jego części, czyli cyberbezpieczeństwa. Jesteśmy w trakcie wojny hybrydowej ze strony Rosji. Tego nie da się pominąć, lecz nie można reagować wtedy, gdy po latach przygotowań my, widząc skutek, zaczynamy kopać studnię na widoczny pożar. Pierwszy raz bardzo głośno mówiłem o bezpieczeństwie w 2000 r. w utworzonej przeze mnie Akademii. Nikt nie brał tego na poważnie. Szczególnie w przemyśle. Nie słuchali odbiorcy ani dostawcy – i nie mówię tu o małych podmiotach.
Naprawdę staramy się na tych studiach odczarować mity i bałagan myślowy, żeby uspokoić przynajmniej odbiorców, do których mamy dostęp. Bo, rzecz jasna, nie przekazujemy wiedzy wyłącznie przez ten jeden kurs. Wszystko po to, by ludzie zaczęli patrzeć rozsądnie na zakres cyberbezpieczeństwa, a nie jedynie poprzez medialne doniesienia czy lobbing lub marketing dużych sprzedawców – bo to jest po prostu błąd.
To rozumiem. Natomiast pozwolę się z panem nie zgodzić w sprawie aneksji Krymu przez Rosję. Impact tego wrogiego aktu w regionie był zdecydowanie mniejszy niż w 2022 r., kiedy Rosja w bezprecedensowy sposób zaatakowała militarnie Ukrainę i kilka milionów uchodźców przeszło przez Polskę i inne kraje, i dalej do Europy Zachodniej. Myślę więc, że jednak te zewnętrzne czynniki mają znaczący wpływ i determinują.
Wpływ migracyjny, wpływ wydarzeń geopolitycznych czy wojen i konfliktów zbrojnych zawsze jest. Mówimy o cyberbezpieczeństwie i tu się nic nie zmieniło. Było tak samo 20 lat temu i tak samo jest dzisiaj. Tak naprawdę tylko narzędzia się pozmieniały. Lepsze narzędzia są w rękach atakujących, ale i lepsze narzędzia są w rękach broniących. Tylko technologia się zmienia. Wtedy procesor liczył „x” operacji na sekundę, dzisiaj liczy „x” razy „y”, tylko ten „y” stał się potężny. Tak naprawdę tylko przyspieszyliśmy, ale cała reszta jest identyczna. Ale jeżeli będziemy przypisywać tylko zagadnienia do wydarzeń geopolitycznych, do wydarzeń, które społeczeństwo widzi, moim zdaniem będziemy wprowadzać jedynie chaos i nerwówkę. Nie będziemy dotykać istoty problemu.
W takim razie na ile można uchronić się np. przed wyciekiem danych czy ogólnie przed zakłóceniem tych procesów przemysłowych przedsiębiorstw?
Przede wszystkim ważna jest higiena cyberbezpieczeństwa, podejmowanie decyzji w oparciu o uwiarygodnione informacje, podejmowanie decyzji, a nie zaniechanie podejmowania decyzji. To są podstawowe elementy. A dopiero potem przychodzi tak naprawdę ocena procesów, procedur, stanu faktycznego, inwentaryzacji tego, co mamy, zarówno inwentaryzacji twardej, jak i miękkiej. Zaczynając od infrastruktury, sygnałów, kwalifikacji informacji, uprawnień właścicieli procesów, zasad eksploatacji, cyklu życia, scenariuszy, operatorów oraz właścicieli systemów itd., kończąc na kwalifikacji i kompetencji zespołu, współpracowników. Dopiero na końcu idziemy do „sklepu” po zakupy. Dzisiaj niestety wygląda to tak: najpierw kupujemy np. firewall, SIEM, XDR, UTM, anty-APT, brokery sesji, agregatory ruchu, sondy danych, diody danych, kolektory, TD, SOAR, IDS, ISTM, ITDR itp. itd., potem się zastanawiamy, co kupiliśmy, a na końcu, kto to będzie obsługiwać. Ostatecznie jesteśmy jednak tak samo bezradni jak przed zakupami.
To jak się konkretnie uchronić?
Zadbać o suwerenność polski: kupować polskie, ale jakościowo dobre produkty – certyfikaty 62443 4-2 SL4 są dobrą podstawą. Zadbać o kompetentny zespół – certyfikaty branżowe OT i IT – nie teoretyków, tylko realnie potwierdzające doświadczenie i dojrzałość zespołu/organizacji/systemów. Wspierać się zaufanymi organizacjami – tymi, które poddały się ocenie, albo tymi, które zostały ocenione. Dbać o higienę projektowania, eksploatowania, wymiany. Zarządzać zmianą. Dbać o wiedzę i ludzi wiedzy. Dla przykładu proszę sobie wyobrazić zintegrowany, dojrzały ekosystem, który składa się z: SOC – certyfikatu ISO 27001, ISO 9001, sprzętu i oprogramowania IEC 62443 4-2 SL 4, rozwiązania CC L3, zaufania – np. prekwalifikacji wojskowej, referencji: zakresu odpowiedzialności, doświadczenia: praktyki zweryfikowanej w „boju”, a nie na kartce. Po resztę zapraszam na zajęcia.
Czy cyberbezpieczeństwo przemysłowe obejmuje również ten element ingerencji przez szpiegów przemysłowych w procesy, które zachodzą w danej strukturze, w danej organizacji?
Ależ oczywiście. Szpiedzy przemysłowi jak najbardziej fizycznie przenikają w struktury organizacji i to nie jest novum. Pierwsza taka znana organizacja to byli Ninja, a tak naprawdę Shinobi no mono, czyli dosłownie – człowiek działający w ukryciu (tajni agenci lub najemnicy w feudalnej Japonii – red.). Ale mamy jeszcze starsze doniesienia o działaniach szpiegostwa, wywiadu, kontrwywiadu. Przecież to są normalne działania. Działania terrorystyczne również opierały się, opierają i będą się opierać tak naprawdę na czynniku ludzkim. To jest niestety normalna praktyka, w tym podejmowanie akcji dywersyjnych, niszczących czy wywiadowczych.
Jak pańskim zdaniem w Polsce wśród przedsiębiorców kształtuje się ta sfera świadomości?
W skali od zera do stu? Dzisiaj może przekroczyliśmy dziesięć. Ta świadomość jest zatem bardzo niska.
A czy dostrzega pan kroki przeciwdziałające takim zagrożeniom podejmowane przez poszczególne sektory przedsiębiorstwa?
Kroków podejmowanych jest dużo. Większość niestety to ruchy pozorne i głęboko błędne. Ale jeśli mówimy o krokach podejmowanych właściwie i skutecznie, to jest to raczej dziełem przypadku. I tu odwołam się do geopolityki i technologii, w tym sztucznej inteligencji. Jeżeli geopolityka dotyka ekonomię biznesu, a dotyka, jesteśmy atakowani sprzedawcami i naciskami na kupowanie różnych produktów, w szczególności zagranicznych technologii, ale bez zrozumienia i bez refleksji, a to nie jest dobrze. Nie uczymy się technologii, tylko obsługi produktu. Sztuczna inteligencja nagle zastępuje nam proces decyzyjny, źródła wiedzy i ocenę wiedzy. Ludzie zapomnieli o tym, by źródło wiedzy lub dostawca nie byli sędzią we własnej sprawie i nie mogli oceniać poziomu swojej wiedzy ani propozycji i rekomendacji czy też stabilności, jakości, bezpieczeństwa lub odporności. Od tego są zespoły w jednostkach certyfikowanych i akredytowanych. Sztuczna inteligencja nie jest takim zespołem. Ostateczna decyzja nie powinna należeć dzisiaj do algorytmów – zaawansowanych bardziej lub mniej, ale wciąż algorytmów. Decyzja nadal winna należeć do człowieka, a dokładnie do zespołu odpowiednio przygotowanych i wyszkolonych ludzi.
Pan mówi, że nie powinna należeć, a czy już nie jest tak, że zaczyna należeć do algorytmu?
Tak, oczywiście, jest. I jest to niestety trend bardzo szybko postępujący. Oddajemy w ręce AI władzę decyzyjną i jednostkową, ale też decyzje biznesowe. Jest to trend galopujący, ale też bardzo niebezpieczny. Bazujemy na opinii, na decyzji, na konfabulacji, nie rozumiejąc, jak działa, ciesząc się, że ktoś za mnie podjął decyzję, wskazał kierunek, poprowadził.
Te wszystkie kwestie, o których pan mówi, są przedmiotem analiz takich ekspertów jak pan. I teraz z pańskiej perspektywy eksperckiej, jak by pan ocenił stopień monitorowania cyberzagrożeń przez państwo, na ile ten monit jest kontrolowany, na ile jest usprawniany? Co jeszcze trzeba w tym zakresie zrobić, zmienić?
Na te pytania, proszę wybaczyć, ale nie udzielę odpowiedzi. Bo pytanie zadane jest w kontekście rządu, w kontekście państwa, dużych organizacji czy służb. I niech pozostanie w kontekście rządu, służb i tychże organizacji. Od tej oceny są powołane konkretne zespoły.
Nie mógłby pan pokusić się o ogólną ocenę tego, na ile nasze państwo sobie radzi z tymi kwestiami w dzisiejszych czasach?
Jestem członkiem wielu organizacji doradczych i eksperckich. Oceny pozostawmy w zespołach eksperckich. Nikt nie ma patentu na rację. Zagadnienie jest tak złożone, że każda osoba może ze swojego punktu widzenia stwierdzić, że jest dobrze lub źle. To nic nie znaczy. Zajmijmy się zagadnieniem bezpieczeństwa, każdy na swoim poziomie! Współpracujmy z zespołami do tego przewidzianymi i powołanymi! Otaczajmy się bezpiecznymi informacjami i ludźmi!
Państwo będzie tak skuteczne, jak skuteczni, lojalni i mądrzy będą jego obywatele współpracujący z rządem i organami państwowymi. Ta współpraca to chociażby niegenerowanie zagadnień spowodowanych własnym zaniechaniem czy próbą omijania przepisów, blokadą informacji itd. Kierunek cyberbezpieczeństwa przemysłowego otrzymał oficjalny patronat Rządowego Centrum Bezpieczeństwa. Jak widać, państwo stara się dbać o ten obszar nie tylko za pomocą narzędzi niedostępnych dla wszystkich obywateli, ale również poprzez krzewienie wartościowej i bezpiecznej wiedzy.
Nie mnie oceniać państwo polskie. Jestem jedynie elementem całego obrazu bezpieczeństwa w RP, dążącym na swoim poziomie do zapewnienia naszym obywatelom spokoju i komfortu, które daje bezpieczny kraj.
Zgłębianie tej wiedzy musi być fascynujące. Dziękuję za rozmowę, z której na pewno zapamiętam, że w kontekście podejmowania decyzji kluczowy jest człowiek.
Był, jest i będzie, oby…
KAROLINA CYGONEK, redaktor naczelna Gazety SGH
FOT. ARCHIWUM PRYWATNE
