“Mamy karty płatnicze, smartfony, nawet zegarkiem możemy płacić. Nie ma odwrotu, witamy w cyfrowym świecie”

Starościc lubi podróże i dobrą kuchnię (sam gotuje), jest zapalonym kolarzem, choćby dlatego Perceptus współtworzy i sponsoruje drużynę kolarską. W jego gabinecie wiszą historyczne plakaty z najważniejszych wyścigów kolarskich świata i stoją dwa rowery, kolarzówka w wersji retro i profesjonalny rower szosowy. Ma żonę i dwóch synów; jeden z nich zastanawiał się nad zawodową karierą kolarską, jeżdżąc w młodzieżowym zapleczu profesjonalnej drużyny kolarskiej CCC.

Rozmowa z Jackiem Starościcem

Jacek Starościc, współwłaściciel zielonogórskiej firmy Perceptus z branży IT Fot. Władysław Czulak / Agencja Gazeta

Artur Łukasiewicz: W czasach globalizacji odręczny podpis stracił rację bytu – takie zdanie przeczytałem w prezentacji pana firmy. Brzmi strasznie.

Jacek Starościc: Niestety.

Dla mnie brzmi strasznie nie z troski o producentów długopisów i łowców autografów. Właśnie zwolnił pan z pracy grafologów sądowych. Naprawdę nasz podpis stracił rację bytu?

– Takie są znaki czasu. Coraz więcej obszarów działalności jest scyfryzowanych. Widać to choćby na przykładzie głębokich zmian w pańskiej gazecie. Na mojej ścianie (pokazuje plakaty) widzimy stare wyścigi kolarskie. Giro d’Italia, Tour de France, Vuelta Espania powstawały z inicjatywy drukowanych gazet, takich jak np. „La Gazzetta dello Sport”. Budowały swój biznes i przesłanie w oparciu o druk, a dziś nie ma już wielkich milionowych papierowych nakładów.

Zmienił się tylko nośnik, bo nadal za relacjami z wyścigu stoi dziennikarz i reporter.

– Fakt, człowieka nie da się do końca wyeliminować, na szczęście. Ale zmieniając nośnik, zmieniliśmy formę graficzną, metody dotarcia do ludzi, szybkość obiegu informacyjnego, sposób myślenia i działania. To efekt wprowadzanych nowych technologii.

W naszej dziedzinie pandemiczny rok pokazał jeszcze dobitniej, że sprawniej potrafimy posługiwać się dokumentami elektronicznymi, które powszechnie wypierają obieg papierowy. I w tym świecie oryginalny podpis jest kluczowy. Ma dowodzić, że nasza tożsamość jest prawdziwa. Bo nasz zeskanowany podpis nie jest przecież wiarygodnym sposobem naszej potwierdzonej tożsamości. Ten podpis ma być dla sądu tzw. dokumentem niezaprzeczalnym, czyli w pełni wiarygodnym. To nie może być jakiś tam podpis.

Pożegnaliśmy już tzw. skan dowodu osobistego?

– Zdaliśmy sobie szybko sprawę z ułomności tej formy potwierdzania naszej tożsamości. Bo owszem, na zeskanowanym dokumencie widzimy swoją twarz i numery, ale instytucja czy partner handlowy chce mieć niezbity dowód, że on jest prawdziwy, a nie ukradziony czy podrobiony.

Nie musimy martwić się z powodu braku dowodu, kiedy spowodujemy stłuczkę. Policjant znajdzie nas w bazie. Potrafi zweryfikować to bez plastikowej karty z naszym zdjęciem. I mamy kolejny przykład wszechobecnej cyfryzacji w naszym życiu.

Jako pierwsze cyfryzację na dużą skalę zastosowały banki. Czego nas nauczyły?

– Faktycznie można powiedzieć, że tam się zaczęło, ale potem różne sfery zaczęły się przenikać. Da się już dziś uzyskać tzw. zaufany podpis, autoryzując się w systemie bankowym. Bank jako instytucja zaufania publicznego jest w stanie „zaręczyć za nas” dalszym instytucjom, że my to my. Potrzeby jest tylko produkt cyfrowy, który opracowujemy i oferujemy w naszej firmie. Wdrażanym przez nas podpisem zaufanym może posługiwać się każdy człowiek. My, wykorzystując technologię cyfrową, sprawdzamy jego autentyczność podpisu. Fizycznie nie musimy widzieć dowodu osobistego, by potwierdzić naszą tożsamość. Pozwala na to np. wideoweryfikacja człowieka.

Jak to działa?

– W aplikacji należy pokazać twarz oraz dokument tożsamości osoby weryfikowanej. Aplikacja porównuje naszą twarz z tą z dowodu oraz innymi niezbędnymi danymi. Jeśli nie połączymy dwóch kropek, tożsamość nie zostanie zautoryzowana. Po pozytywnej weryfikacji ten człowiek może stać się zaufanym dostawcą swojego podpisu.

Gdy następnie podpisuje swoje dokumenty, wiemy, że on to on. Działa to tak samo jak w banku, czyli w ramach dwuskładnikowej autoryzacji w oparciu o drugi faktor, który potwierdza naszą tożsamość. Poza loginem, hasłem, PIN-em jeszcze jest SMS KOD czy token. Po dwuskładnikowej autoryzacji nie da się zmienić czy podrobić cyfrowego podpisu. Jakakolwiek zmiana w źródle tak podpisanego dokumentu powoduje, przepraszam za trudne słowo, że nie da się tego zwalidować. Krótko mówiąc: sprawdzić zgodności dokumentu i podpisu, i potwierdzić jego autentyczność.

Brzmi przekonująco, ale miliony Polaków ogląda filmy sensacyjne. Tam zwykle jest taka scena: gang szykuje się do skoku na skarbiec, w kącie siedzi zawsze genialny haker z laptopem. Wygląda na dziwaka. Uruchamia komputer i w pięć minut wchodzi w różne systemy, nie tylko bankowe. A to zatrzymuje ruch pociągów, kieruje oświetleniem. Jak tu czuć się bezpiecznie w świecie cyfrowym? Zawsze gdzieś czai się genialny oszust.

– To oczywiście fikcja fabularna, ale wszystko w istocie zależy od poziomu bezpieczeństwa i technologii, której używamy. My w naszych rozwiązaniach wykorzystujemy coś, co jeszcze kilka lat temu było wykorzystywane przez banki. To urządzenie HSM, czyli sprzętowy moduł kryptograficzny.

Co to jest?

– To urządzenie z wszystkimi kluczami, którymi szyfrowaliśmy dane, przechowuje w sobie. Jest tak skonstruowane, że nie da się nawet oscylatorem wyciągnąć operacji dziejących się w procesorach cyfrowych. Próba otwarcia tego urządzenia powoduje destrukcję zapisu materiału kryptograficznego. Wszystkie klucze szyfrujące, które znajdują się w tym urządzeniu, są wtedy nie do odzyskania. Z tej technologii korzystały banki przy systemie kart bankowych. Informacje były przetwarzane, ale fizycznie cyfry były schowane w urządzeniu. Nie da się ich wyciągnąć i przenieść gdzieś indziej, żeby uzyskać nieautoryzowany dostęp do tych danych. Czyli wszystko, co się dzieje wokół nas, te wszystkie aplikacje, korzystają z szyfrowania. Tyle że klucz szyfrujący schowany jest w urządzeniu.

A jak ktoś ukradnie to urządzenie?

– To możliwe, tyle że nie znaczy, że zdobyliśmy dostęp do danych znajdujących się na nim. Trzeba wyciągnąć klucze, a jak mówiłem, nie jest to możliwe.

Z takich rozwiązań, które my dostarczamy, korzystają instytucje finansowe, jednostki rządowe czy firmy technologiczne. To narzędzia, które w dobie cyfryzacji zapewniają danym elektronicznym bezpieczeństwo. Chronią ich właścicieli przed nieautoryzowanym dostępem do ich poufnych danych. W pandemicznym roku ten proces niebywale przyspieszył. Bez odpowiedniego poziomu bezpieczeństwa nie da się tego kontrolować.

Nie ma słabych punktów?

– Najsłabszy to czynnik ludzki. Zawsze może znaleźć się ktoś, kto będzie próbował wykraść dane. Takie informacje co rusz pojawiają się w mediach. OK, ale posiadanie danych, a możliwość skorzystania z nich to ogromna różnica. Standardową procedurą w instytucjach poważnie traktujących bezpieczeństwo jest własność nośników danych. Cokolwiek się dzieje w infrastrukturze, dyski są moje. Jeśli zgłaszam, jako użytkownik, że zepsuł mi się nośnik danych, producent daje mi nowy dysk, starego nie zabiera, nie naprawia. On jest mój. Ktoś, kto włamał się do naszej firmy, powie: przejąłem kilka terabajtów danych. Tyle że jeśli dane są zaszyfrowane, to ich nie odtworzy. One są bezużyteczne w jego rękach.

Próba ingerencji sprawi, że staną się zaprzeczalne, czyli nieprawdziwe. Zostaną, bez walidacji, uznane za sfałszowane. Kłopot jest taki, że nasze polskie regulacje prawne nie nadążają za zmianami, mimo coraz bardziej powszechnej dyrektywy unijnej eIDAS (rozporządzenia UE w sprawie identyfikacji elektronicznej i usług zaufania dla transakcji elektronicznych na jednolitym rynku europejskim).

Czyli o podpisie elektronicznym. Da się go wykorzystać wszędzie?

– Są przykłady, że nie. W polskim prawie są niestety jeszcze obszary, w których podpis cyfrowy nie jest prawnie wiążący. Dziwne, ale tak jest. Na pocieszenie, coraz mniej jest takich obszarów. Możliwe jest już m.in. podpisanie dokumentu z kontrahentem zagranicznym. Podpis zaawansowany daje nam możliwość weryfikacji drugiej strony transakcji. Nie trzeba jechać za granicę, by naocznie się przekonać o tym, kto z drugiej strony podpisuje z nami dokument/umowę. Mamy wtedy dokumenty nie z tradycyjnym, a z cyfrowym podpisem – wcześniej zweryfikowanym w instytucji zaufania publicznego. Umowa z takim podpisem jest prawnie wiążąca. Dla naszej firmy opinię prawną o możliwości dokonywania czynności prawnych z zastosowaniem podpisu elektronicznego przygotowała firma z piątki najlepszych na świecie firm świadczących profesjonalne usługi doradcze i audytorskie.

Perceptus działa 13 lat, zaczynał w małym biurze przy ul. Chopina. Po tych latach ma za sobą 350 projektów cyfrowych. Jakie były pierwsze?

– Na początku wymyśliliśmy sobie automatyczny system dystrybucji definicji bazy sygnatur.

Brzmi skomplikowanie.

– Nie przeczę (śmiech). Zamieniliśmy i dostarczaliśmy klientom wszystkie dotychczasowe rozwiązania systemów licencyjnych, które były w wersji papierowej. Tworzyliśmy modele ESD „Electronic Software Distribution”. Kiedyś było tak: żeby umowa licencyjna była prawnie wiążąca, to trzeba było otworzyć kopertę, zapoznać się z regulaminem-licencją. Otwarcie koperty powodowało akceptację warunków licencji. Dla nas to była absurdalna sytuacja. Ograniczała mocno model dystrybucji rozwiązania produktu elektronicznego. W praktyce klient płacił za nasz produkt, przechodził proces weryfikacji i dostawał cyfrowy kod licencyjny.

Nie trzeba było już trzymać w biurku dokumentów papierowych dla kontrolerów.

Lubuskie jest krytykowane za brak patentów. Ich niewielka skala ma świadczyć o zacofaniu innowacyjnym.

– Niesłusznie. W naszych specjalizacjach każdy powstający produkt chroni znak towarowy. Żeby nie powstał taki sam produkt o łudząco podobnej nazwie, realizujący to samo. Zastrzeżony w Urzędzie Patentowym znak towarowy opisuje katalog obszarów, które zabezpiecza nasze rozwiązanie pod konkretną nazwą i logotypem.

Technologie informatyczne, co często tłumaczę, ciężko pokazać i dotknąć. Te produkty nie stoją u mnie na placu. Klient nie przyjeżdża, nie pakuje do auta i jedzie dalej. Naszych urządzeń nie dotyka, ale używa na co dzień. W komunikacji z bankiem, urzędem, płacąc w internecie. Korzysta z naszych rozwiązań z tokenizacją, szyfrowania transakcji. Korzysta, specjalnie się tym nie interesując. Ma być i działać. Coś jak samochód – nie wiem, jak działa, ale ma jeździć.

Widziałem jednak namacalny produkt Perceptusa. Wygląda jak kontener z platformy kolejowej, albo ściągany z transportowca w porcie.

– To mobilny kontener data center, kolejny nasz pomysł.

Data center kojarzy mi się z halą pełną serwerów, gdzie archiwizuje się miliardy danych.

– Tak się kojarzyło do niedawna. Wynikało to z kreowanej koncepcji zapewnienia poziomu bezpieczeństwa danej infrastruktury. Chowano tam dane, jak w bunkrze.

Czyżby znak, że na pewno nadszedł koniec papierowych archiwów?

– W Polsce dominują duże data center. Jest ich kilka. Świadczą usługi kolokacyjne, przechowują infrastrukturę innych klientów, dochodzą usługi hostingowe. I wadą okazuje się przechowywanie dużej ilości danych w jednym miejscu, stąd pomysł na mobilne kontenerowe DC. Miał na to wpływ konflikt na Ukrainie. Rosja pokazała, że aby zdestabilizować kraj, wystarczy wyłączyć lub spowodować awarię w dużych DC. Jak temu zapobiec? Rozpraszając centra danych.

Taka cyfrowa decentralizacja?

– Coś w tym rodzaju. Ze skalowalnością obliczeniową, bo kiedyś były ograniczenia transmisyjne między tymi jednostkami. DC stawiało się w jednym miejscu, ponieważ niedaleko biegł światłowód. Była możliwość zapewnienia transferu pomiędzy tymi jednostkami. Dziś ten problem znika, sieć światłowodowa w Polsce jest bardzo rozległa. W Zielonej Górze swój ring ma między innymi sieć Zielman, mamy ringi sulechowski czy nowosolski. Światłowody są redundantne, czyli zastępowalne. Jak jeden nie działa, działa drugi, prędkość transmisji nie zmniejsza się.

Kontener można ukraść? Hali z serwerami raczej nie.

– No tak, podjedzie ciężarówka i zabierze. Tylko po co? Blacha przecież nie jest specjalnie wartościowa, cenne są dane w środku. A te są, jak mówiliśmy, zaszyfrowane. Ukradnę dane cyfrowe bez klucza, to ich nie przeczytam, choć fizycznie je mam. O bezpieczeństwie danych w takim kontenerze świadczy jego poziom certyfikacji, a określają go instytucje niezależne. Taki kontener może ktoś podpalić. Ogień zdusi wtedy uwolniony w środku gaz, są też komory rozprężające powietrze. Technologicznie jest to takie samo DC jak murowane. Do tego ma agregat prądotwórczy i UPS.

Tak obok: to urządzenie nie służy tylko do archiwizowania danych.

Do czego jeszcze może się przydać?

– Staje się bardzo przydatne w przypadku zarządzania kryzysowego. Dzięki niemu budujemy jeden sztab w jednym miejscu. Nie tracimy kontroli. Mam w pamięci nasz historyczny zielonogórski przykład. Kilka lat temu wybuchały kuchenki gazowe na os. Pomorskim. Strażacy, którzy przyjechali, mieli duży problem. Gazownicy mieli swoje mapy, energetycy swoje, a strażacy, tak bardzo w tym momencie potrzebni, wiedzieli niewiele, nie znali systemu instalacyjnego, rozmieszczenia wyłączników.

Gdy mamy dostęp do scyfryzowanych map, zarządzanie kryzysem jest dużo sprawniejsze. Po prostu mamy pod ręką wszystkie dane cyfrowe. Zarządzanie akcją kryzysową jest łatwiejsze.

I wracamy do punktu wyjścia. Cyfryzacja będzie się upowszechniała, nie ma odwrotu. Już zostaliśmy obwieszeni cyfrowymi urządzeniami. Mamy karty płatnicze, smartfony, nawet zegarkiem możemy płacić. Cyfrowe życie wkracza do gospodarstw domowych.

Sprzęt AGD ma zamontowane Wi-Fi, dzięki czemu możemy sterować programami, uaktualniać ich oprogramowanie, jak aplikacje w smartfonie. Sam przetestowałem to w swojej pralce. Zarządzam nią zdalnie. Pobór wody jest uzależniony od wagi pranych ubrań, aplikacja dopasowuje obroty, wszystko mierzy i waży. Efekt? Oszczędność czasu, energii i pieniędzy. Więc nie ma rady, witamy w cyfrowym świecie.

Jak ocenia pan kondycję branży IT w woj. lubuskim?

– Od wielu lat stoi mocno na nogach, mimo że nie mamy firm produkujących sprzętu, np. części komputerowych. Nasze know-how polega na sprzedaży specjalistycznej wiedzy. Nie sprzedajemy produktu masowego, który da się podzielić i skopiować, a wiedzę technologiczną. Na Uniwersytecie Zielonogórskim Wydział Informatyki, Elektrotechniki i Automatyki jest jednym z lepiej funkcjonujących wydziałów. W każdym razie nie ma najmniejszego kłopotu z naborem studentów. I ci studenci potem dostają dobrą pracę w branży IT. Nie wyjeżdżają, nie mają powodu. Warto też podkreślić, iż realizujemy projekt edukacyjny dla rozwoju przyszłej kadry branży IT pn. „Perceptus IT Security Academy” skierowany do studentów informatyki i uczniów kierunków informatycznych naszego lokalnego „Elektronika”. Patronat nad naszym projektem, objęły Instytut Autostrada Technologii i Innowacji oraz Polska Izba Informatyki i Telekomunikacji, zaś organizowane u nas wykłady oraz warsztaty, zgromadziły ponad 700 uczestników. Moim zdaniem kondycja branży IT w naszym województwie jest dobra, a będzie jeszcze lepsza, bo mamy zdolnych ludzi, pełnych innowacyjnych pomysłów.

Zgłoś naruszenie/Błąd