Jakość 1/2019

Jakosc Magazyn TÜV Rheinland Polska 1/2019 ISSN 2299-6249

Temat Numeru:

Cyberbezpieczeństwo 04 08 18

Cyberprzestępczość przemysłowa to realne zagrożenie dla funkcjonowania firm Nowe prawo a systemowe zarządzanie bezpieczeństwem informacji Prosty skład produktów podnosi ich jakość

Słowo wstępne Ryzyko to według niektórych „dobrze skalkulowana niepewność”. Szacownie ryzyka w działalności biznesowej jest jednym z istotnych elementów budowania strategii firmy i jej systemu zarządzania. Biznes nie lubi niepewności, ryzyko trzeba więc minimalizować. Jak to zrobić, kiedy świat pędzi do przodu, a zagrożenia, jak się okazuje, czyhają na każdym kroku? O tym, między innymi, piszemy w tym wydaniu magazynu.

Tematem numeru jest cyberbezpieczeństwo. W związku z wejściem w życie nowych przepisów unijnych wszyscy odczuliśmy większą dbałość organizacji o bezpieczeństwo naszych danych osobowych. Zmiany dotyczą także ochrony przed utratą danych w kluczowych dla bezpieczeństwa państwa sektorach jak np. energetyka, transport, bankowość. O tych kwestiach mówi Tomasz Nikiel, Kierownik Systemów Zarządzania Bezpieczeństwem Informacji i Usług IT w TÜV Rheinland Polska. Dla potwierdzenia jego słów publikujemy także wnioski z ogólnoświatowego badania zatytułowanego „Bezpieczeństwo przemysłowe w 2019 r.: perspektywa TÜV Rheinland”. Wyniki pokazują, że hakerzy coraz częściej atakują technologie operacyjne, tymczasem wiele firm nie zdaje sobie sprawy z zagrożeń, jakie cyberataki stanowią dla ich aktywów. Podobnego zdania są eksperci piszący dla nas o kulisach tych ataków.

4

Wyniki badania pt. „Bezpieczeństwo przemysłowe w 2019 r.: perspektywa TÜV Rheinland” pokazują, że wiele firm nie zdaje sobie sprawy z zagrożeń,

jakie cyberataki stanowią dla ich aktywów operacyjnych. Co więcej, działania firm na rzecz bezpieczeństwa cybernetycznego zazwyczaj nie są dostosowane do technologii operacyjnej.

Na szczęście są sposoby na systemowe ograniczanie ryzyka, a tym samym budowanie bezpieczeństwa. Rozwiązania proponowane przez ekspertów jednostki dotyczą zarówno linii produkcyjnych w dużych zakładach przemysłowych, jak i naszej codzienności przy korzystaniu ze smartfona czy kontroli jakimi zabawkami bawią się nasze dzieci. Na koniec zachęcam do zapoznania się z rozmową na temat systemowego podejścia do podnoszenia jakości produktów spożywczych na znakomitym przykładzie firmy OCTIM Wytwórni Octu i Musztardy z Olsztynka.

Zapraszam do lektury

Janusz Grabka Prezes Zarządu TÜV Rheinland Polska

8

Wymagania związane z koniecznością ochrony danych osobowych oraz z bezpieczeństwem najistotniejszych aktywów dla kluczowych sektorów w państwie, wprowadzone w roku 2018 przepisami RODO oraz Ustawą o krajowym systemie cyberbezpieczeństwa, spowodowały większe zainteresowanie usystematyzowanym podejściem do bezpieczeństwa informacji.

18

Dobrej jakości surowce są gwarancją pełnowartościowych produktów – przekonuje Ewelina Dąbrowska, pełnomocnika ds. systemów zarządzania jakością w firmie OCTIM Wytwórnia Octu i Musztardy Sp. z o.o., z którą rozmawiamy na temat systemowego podejścia do jakości.

Spis treści

4 Cyberprzestępczość przemysłowa

to realne zagrożenie dla funkcjonowania firm

8 Nowe prawo a systemowe

zarządzanie bezpieczeństwem informacji

11 Socjotechnika - niedoceniane zagrożenie 14 Jak podnieść poziom bezpieczeństwa fizycznego? 16 Bezpieczeństwo na linii produkcyjnej 18 Prosty skład produktów podnosi ich jakość 22 Zarządzania opartego

o wartości uczmy się od Wikingów

24 Poznawaj świat oczami ekspertów,

czyli kulisy pracy w TÜV Rheinland Polska

26 Najważniejsze wydarzenie

branży wytwórców wyrobów medycznych

28 Zabawki kupuj wszystkimi zmysłami,

16

Nowe maszyny i urządzenia poza tym, że mają być użyteczne i funkcjonalne muszą być przede wszystkim bezpieczne dla użytkowników. Złożoność realizowanych projektów zarówno po stronie dostawców, jak i odbiorców końcowych maszyn i całych linii produkcyjnych, mnogość norm i zawartych w nich wymagań może powodować pewnego rodzaju zagubienie.

nawet te inteligentne – apeluje TÜV Rheinland

32 Jak nie zginąć w cyfrowym świecie?

WYDAWCA: TÜV Rheinland Polska Sp. z o.o. ul. Wolności 327, 41-800 Zabrze tel. 32 271 64 89 w.105 fax 32 271 64 88 REDAKCJA: Agata Tynka, Mariusz Petri e-mail: redakcja@pl.tuv.com Na okładce: Tomasz Nikiel Kierownik Systemów Zarządzania Bezpieczeństwem Informacji i Usług IT TÜV Rheinland Polska Fot. Agata Tynka Źródła zdjęć: Adobe Stock, Picjumbo, źródła własne KOREKTA: SKŁAD I GRAFIKA: Tomasz Grajek TÜV Rheinland Polska

TÜV Rheinland Polska

Jakosc 01/2019

Cyberprzestępczość przemysłowa to realne zagrożenie dla funkcjonowania firm Z początkiem roku 2019 TÜV Rheinland ogłosił wyniki ogólnoświatowego badania, sprawdzającego w jaki sposób 370 organizacji przemysłowych chroni swoje technologie operacyjne (OT) przed atakami cybernetycznymi. Wyniki pokazują, że hakerzy coraz częściej atakują w ten sposób, tymczasem wiele firm nie zdaje sobie sprawy z zagrożeń, jakie cyberataki stanowią dla ich aktywów operacyjnych. Co więcej, działania firm na rzecz bezpieczeństwa cybernetycznego zazwyczaj nie są dostosowane do technologii operacyjnej. Cały raport w języku angielskim można pobrać ze strony: http://www.tuv.com/ot-security-us

4

N I E P O KO JĄCY J E ST B R A K

Z A P O B I E G A N I E Z AG R O Ż E N I O M

T R O S K I O B E Z P I E C Z E Ń STWO

ZWIĄZANYM Z INTERNETEM

CY B E R N E TYC Z N E OT

W raporcie autorzy podkreślają złożoność bezpieczeństwa OT w dobie Internetu.

W badaniu zatytułowanym „Industrial Security in 2019: A TÜV Rheinland Perspective” („Bezpieczeństwo przemysłowe w 2019 r.: perspektywa TÜV Rheinland”) 40 procent respondentów stwierdziło, że nigdy nie oceniło ryzyka, jakie stwarzają ataki cybernetyczne na ich technologie operacyjne. Kolejne 34 procent nie wie, czy ich własna firma kiedykolwiek zbadała te zagrożenia. Ponadto tylko jedna na pięć firm dostosowała swoje środki bezpieczeństwa cybernetycznego do technologii operacyjnej. „Niepokojący jest fakt, że bezpieczeństwo cybernetyczne OT nie ma wysokiego priorytetu. Ataki z Internetu mogą spowodować zamknięcie całych zakładów, co może skutkować przestojami produkcyjnymi i wyższymi kosztami”- komentuje Nigel Stanley, dyrektor ds. technologii, technologii operacyjnych i bezpieczeństwa przemysłowego w TÜV Rheinland.

opartych na zrozumieniu ryzyka. Jest to szczególnie ważne, ponieważ bezpieczeństwo systemów OT może zostać osłabione przez

Najpopularniejsze systemy bezpieczeństwa informacji

Na przykład: aplikacje korporacyjne są stale aktualizowane w celu reagowania na nowe zagrożenia. W tym samym czasie kontrole dla systemów OT nie są zazwyczaj regularnie przeprowadzane. „Niezależnie od tego, czy system OT jest podłączony do Internetu, czy też nie, konieczne jest zastosowanie środków bezpieczeństwa cybernetycznego

ataki cybernetyczne”- mówi Nigel Stanley. O C H R O N A DA N YC H P R O D U K CY J N YC H PRZED KRADZIEŻĄ

Osoby odpowiedzialne powinny zastanowić się, w jaki sposób chronić swoje zakłady produkcyjne przed ingerencją fizyczną. „Kto odpowiada

5

6

Jakosc 01/2019 za bezpieczeństwo OT, powinien zastanowić się, czy intruz miałby możliwość włamania do systemu poprzez zainfekowaną pamięć USB”- mówi Stanley. „W zakładach przemysłowych znajduje się wiele cennych własności

aktywów po ataku cybernetycznym. O C E N A RY Z Y K A

Profil ryzyka technologii operacyjnej często różni się od głównego nurtu systemów IT, jego ocena wymaga więc innego

Zmiana w częstotliwości zagrożeń OT w 2017 roku

Wzrosła Zmalała Bez zmian

W Y M I A N A I N F O R M AC J I

Sektorowa wymiana informacji o zagrożeniach OT to nowy pomysł. Wiele organizacji dopiero zaczyna tworzenie obrazu ryzyka związanego z OT i świadomości na ten temat. Oszacowanie tych kwestii ma pomóc w stworzeniu wewnętrznego modelu wymiany informacji. W momencie, kiedy taki model będzie już w użyciu będzie można dyskutować o tym, w jaki sposób można się dzielić informacjami. W przypadku infrastruktury krytycznej taka wymiana informacji może zostać przyspieszona przez rząd lub zaangażowanie regulatora.

Nie wiem P OT R Z E B A P O P R AW Y B E Z P I E C Z E Ń STWA CY B E R N E TYC Z N E G O

intelektualnych, a kradzież danych dla niektórych hakerów może być równie satysfakcjonująca jak zakłócenie linii produkcyjnej zakładu”. T E C H N O LO G I A O P E R ACY J N A ( OT )

Technologia operacyjna to nazwa nadana komputerowym systemom sterowania zasobami fizycznymi, takimi jak zawory, silniki i pompy. Jej zastosowanie jest powszechne w wielu sektorach i gałęziach przemysłu, między innymi w przemyśle naftowym i gazowym, transporcie, systemach zarządzania budynkami, oczyszczalniach ścieków i w kluczowej dla kraju infrastrukturze. Eksperci z TÜV Rheinland wskazali technologię operacyjną jako linię frontu dla cyberataków w ramach trendów w zakresie bezpieczeństwa cybernetycznego.

podejścia. Wzrost liczby systemów OT podłączonych do Internetu postawił inżynierów przed poważnym wyzwaniem. Dla doświadczonych specjalistów w dziedzinie bezpieczeństwa cybernetycznego myśl o podłączaniu urządzeń i systemów do Internetu, bez znaczącej kontroli bezpieczeństwa, jest niedopuszczalne. W nadchodzących latach oczekuje się, że rosnąca liczba producentów i dostawców przemysłowych będzie

Plany reagowania na incydenty związane z bezpieczeństwem cybernetycznym OT muszą być regularnie ćwiczone tak, aby wszyscy uczestnicy znali swoje role i obowiązki. W ramach tego podejścia zidentyfikowane są wszelkie zmiany w ludziach, procesach lub technologiach, które mają wpływ na to, jak plan jest realizowany. Gdy dojdzie do zdarzenia związanego z bezpieczeństwem cybernetycznym OT funkcjonowanie firmy musi szybko wrócić do normalności. Plan naprawczy powinien zawierać kroki, które należy podjąć, aby na przykład odbudować systemy OT i odzyskać utracone aktywa. Brak planu takiej odbudowy ma znaczący wpływ na czas ponownego uruchomienia

Czy wdrożyli Państwo politykę OT?

W Y N I K I B A DA N I A

Badanie zostało przeprowadzone przez analityków IT z Bloor Research, którzy przeprowadzili ankietę internetową wśród 370 menedżerów firm z całego świata, pytając o to, w jaki sposób chronią swoje aktywa OT. Prawie 70 procent respondentów działa w przemyśle wytwórczym, reprezentowane były również inne branże, w tym motoryzacja, przemysł naftowy i gazowy, telekomunikacja, energetyka, przemysł chemiczny, logistyka i instytucje publiczne. W badaniu przeanalizowano aspekty oceny ryzyka, ochrony i wykrywania ataków cybernetycznych oraz przedstawiono informacje na temat środków ochronnych i odzyskiwania

musiała wykazać, że dokonała oceny ryzyka związane z bezpieczeństwem cybernetycznym OT. Z raportu wynika, że obecnie najczęściej stosowany system zarządzania bezpieczeństwem informacji(ISMS) jest zgodny z normami serii ISO/IEC 27000.

zakładu. Ostatecznie, atak hakerów na zakład przemysłowy, może potencjalnie spowodować zanieczyszczenie środowiska, poważne obrażenia ciała lub śmierć. Kwestia bezpieczeństwa cybernetycznego OT powinna zostać potraktowana poważnie, poprzez ocenę ryzyka i wdrożenie środków ochronnych.

Industrial Security in 2019: A TÜV Rheinland Perspective

http://www.tuv.com/ot-security-us

7

Jakosc 01/2019

Nowe prawo a systemowe zarządzanie bezpieczeństwem informacji Wymagania związane z koniecznością ochrony danych osobowych oraz bezpieczeństwem najistotniejszych aktywów dla kluczowych sektorów w państwie, wprowadzone w roku 2018 przepisami RODO oraz Ustawą o krajowym systemie cyberbezpieczeństwa, spowodowały większe zainteresowanie usystematyzowanym podejściem do bezpieczeństwa informacji. Do rozmowy na ten temat zaprosiliśmy Tomasza Nikla, Kierownika Systemów Zarządzania Bezpieczeństwem Informacji i Usług IT w TÜV Rheinland Polska . W sierpniu 2018 roku ogłoszona została Ustawa o krajowym systemie cyberbezpieczeństwa. Co zmienia nowe prawo? W jaki sposób dotyczy polskich przedsiębiorców? TO M AS Z N I K I E L | Ustawa z 5 lipca 2018 jest zaimplementowaniem na gruncie polskich przepisów prawnych europejskiego Rozporządzenia dotyczącego cyberbezpieczeństwa w kluczowych sektorach państwa. Jej głównym celem jest organizacja krajowego systemu cyberbezpieczeństwa oraz zdefiniowanie zadań i obowiązków dla podmiotów, które wchodzą w skład tego systemu. Poprzez postawienie sprecyzowanych wymagań dla bezpieczeństwa systemów informacyjnych ustawa ma pomóc zapewnić niezakłócone działanie usług kluczowych oraz usług cyfrowych. Obliguje ona również operatorów usług kluczowych do przeprowadzania, co najmniej raz na 2 lata, audytu bezpieczeństwa systemu informacyjnego.

8

Operatorami usług kluczowych według ustawy są podmioty z sektorów energii, transportu, bankowości, ochrony zdrowia, dostawcy wody pitnej i dostawcy infrastruktury cyfrowej.

Jeśli chodzi o dostawców usług cyfrowych, to są to podmioty świadczące usługi przetwarzania w chmurze, internetowe platformy handlowe oraz wyszukiwarki internetowe. Istotne znaczenie ma tutaj także Rozporządzenie Ministra Cyfryzacji z dnia 10 września 2018, które nakłada na podmioty świadczące usługi cyberbezpieczeństwa obowiązek posiadania i utrzymywania Systemu Zarządzania Bezpieczeństwem informacji zgodnego z wymaganiami Polskiej Normy PN-EN ISO/IEC 27001. Rozporządzenie dotyczy również wewnętrznych zespołów operatorów usług kluczowych, np. ich działów IT. Z ogólnoświatowego badania przeprowadzonego przez TÜV Rheinland wynika, że wiele firm nie zdaje sobie sprawy z zagrożeń jakie cyberataki stanowią dla ich aktywów operacyjnych. Jak Pana zdaniem wygląda sytuacja w polskich firmach? T N | Analogicznie. Mało tego, niestety nadal ogromna część przedsiębiorstw nie zdaje sobie w pełni sprawy jakie informacje przetwarza, nie ma zinwentaryzowanych

9

Jakosc 01/2019 informacji i nie jest w stanie określić, które informacje musi chronić w sposób szczególny. Za tym idzie niedostosowanie skutecznych zabezpieczeń do właściwej ochrony przetwarzanych danych. Dotyczy to zarówno zabezpieczeń fizycznych jak i informatycznych. Taka postawa na szczęście staje się coraz rzadsza i obserwujemy wzrost świadomości. Pojawia się potrzeba ochrony własnych informacji, a co za tym idzie, coraz więcej przedsiębiorstw bazuje na zarządzaniu ryzykiem w obszarze cyberbezpieczeństwa i stosuje wynikające z takiej analizy adekwatne zabezpieczenia. Odsetek ten z całą pewnością będzie rósł. We wspomnianym przeze mnie badaniu przeanalizowano aspekty oceny ryzyka, ochrony i wykrywania ataków cybernetycznych oraz przedstawiono informacje na temat środków ochronnych i odzyskiwania aktywów po ataku cybernetycznym. Jakie wnioski wyciągnąłby Pan dla właścicieli polskich firm? T N | Kluczowym aspektem jest podniesienie świadomości pracowników poprzez systematyczne szkolenia z dziedziny szeroko pojętego bezpieczeństwa informacji. Należy zdać sobie sprawę, że za zdecydowaną większością wycieków informacji z firm stoi tzw. czynnik ludzki. Podatność człowieka na ataki wykorzystujące socjotechnikę można podnieść poprzez właśnie właściwe podejście do szkoleń i uświadamiania pracowników nt zagrożeń. To jest tak naprawdę baza do tego, by zapewnić właściwy poziom bezpieczeństwa. Jaki rodzaj usług w tym zakresie oferuje TÜV Rheinland? T N | Od ponad 20 lat TÜV Rheinland pomaga przedsiębiorstwom z różnych branż, agencjom rządowym i instytucjom publicznym w bezpiecznym stosowaniu innowacyjnych technologii.

Mamy blisko tysiąc konsultantów na całym świecie, którzy na co dzień pracują nad rozwiązaniami z zakresu bezpieczeństwa cybernetycznego, które mają na celu połączenie bezpieczeństwa i ochrony danych. Takim rozwiązaniem, które w sposób całościowy podchodzi do bezpieczeństwa informacji jest implementacja oraz certyfikacja Systemu Zarządzania Bezpieczeństwem Informacji według wymagań normy ISO/IEC 27001. Norma ta zawiera wymagania odnośnie systemów IT, zabezpieczeń fizycznych, prawnych oraz środowiskowych. Stawia nacisk na szkolenie pracowników i ich uświadamianie, co może zminimalizować ryzyko podatności na ataki socjotechniczne. Norma bazuje na zarządzaniu ryzykiem w obszarze bezpieczeństwa. Nie bez powodu przywołał Pan ISO/IEC 27001, od 7 lat odwiedza Pan polskie firmy jako audytor tej normy. Ze statystyk opublikowanych przez organizację ISO (The ISO Survey – 2017) wynika, że w 2017 roku w Polsce wydano 705 certyfikatów zgodności z tą normą. W 2016 było ich 657, rok wcześniej 448 – widać więc stopniowy wzrost. Mimo wszystko nie jest to tak duże zainteresowanie, jak np. certyfikatami ISO 14001, których w 2017 wydano 2885. Z czego, Pańskim zdaniem, wynika stosunkowo małe zainteresowanie certyfikacją Systemu Zarządzania Bezpieczeństwem Informacji? Czy zmiany w prawie coś zmienią w tym zakresie? A może polskie firmy nie są na nie gotowe? T N | Stosunkowo niewielkie zainteresowanie certyfikacją w zakresie normy ISO/IEC 27001 wynika według mnie z dwóch powodów. Po pierwsze, wciąż nie ma wystarczającej świadomości wśród przedsiębiorców co do konieczności ochrony swoich informacji. Drugą kwestią, która ma wpływ na ten stan jest pewna trudność we wdrożeniu i skutecznym utrzymaniu

Tomasz Nikiel – Kierownik Systemów Zarządzania Bezpieczeństwem Informacji i Usług IT TÜV Rheinland Polska. Doświadczenie zawodowe zdobywał w departamencie IT w sektorze bankowym, gdzie zajmował się m.in. administrowaniem siecią teleinformatyczną. Audytor wiodący systemów ISO 9001, ISO/IEC 27001, ISO/IEC 20000. Z wykształcenia inżynier informatyk. Ukończył studia podyplomowe z zakresu bezpieczeństwa danych. Z TÜV Rheinland Polska związany od 2011 roku.

10

Systemu Zarządzania Bezpieczeństwem Informacji wg normy ISO/IEC 27001. Norma definiuje wymagania dotyczące bezpieczeństwa informacyjnego wewnątrz organizacji nie skupiając się tylko na bezpieczeństwu IT. To całościowe podejście do zagadnienia bezpieczeństwa obejmuje tak bezpieczeństwo IT, jak i bezpieczeństwo zasobów ludzkich, bezpieczeństwo prawne, fizyczne i środowiskowe. Takie holistyczne podeście może skutkować koniecznością zapewnienia odpowiednich zasobów (ludzkich i materialnych) do skutecznego zarządzania systemem bezpieczeństwa. Moim zdaniem Ustawa o krajowym systemie cyberbezpieczeństwa może zmienić ten stan i zwiększyć rolę normy ISO/IEC 27001 na rynku. Rozporządzenie Ministra Cyfryzacji z dnia 10 września 2018 w sprawie warunków organizacyjnych i technicznych dla podmiotów świadczących usługi z zakresu cyberbezpieczeństwa oraz wewnętrznych struktur organizacyjnych operatorów usług kluczowych odpowiedzialnych za cyberbezpieczeństwo nakłada wprost na podmioty świadczące usługi z zakresu cyberbezpieczeństwa konieczność posiadania i utrzymywania SZBI spełniającego wymagania normy ISO/IEC 27001. Należy mieć nadzieję, że wpłynie to na wzrost zainteresowania certyfikacją wśród organizacji, a tym samym na ogólny wzrost bezpieczeństwa informacyjnego w Polsce. Zagrożenie cyberatakami dotyczą nie tylko przedsiębiorstw, w dobie powszechnego dostępu do Internetu każdy z nas może być narażony na atak hakerów. Ostatnio głośno było o włamaniach na konta bankowe. Czy ma Pan jakąś złotą radę dla osób, które obawiają się tego rodzaju zagrożeń? T N | Złotą radą jest stosowanie zasady ograniczonego zaufania. Wymienię kilka takich rad, które mogą pomóc zminimalizować ryzyko hakerskiego ataku: 1. Należy zawsze weryfikować adres URL (szczególnie gdy klikamy w link do strony bankowej). 2. Nie należy korzystać z otwartych sieci WiFi przy logowaniu. 3. Należy logować się do aplikacji bankowych tylko i wyłącznie na swoim sprzęcie (laptop, telefon). 4. Na bieżąco należy uaktualniać system operacyjny oraz przeglądarki.

Socjotechnika – niedoceniane zagrożenie Od wielu lat socjotechnika jest nieodłącznym elementem ataków internetowych, przeprowadzanych zarówno przeciwko wielkim korporacjom finansowym, agencjom rządowym, jak i zwykłym użytkownikom. Inne popularne wektory ataku, w tym malware czy ataki DDoS, ustępują właśnie socjotechnice. Jednym z typowych tego rodzaju ataków jest tak zwany „phishing”, czyli przeprowadzenie ataku za pośrednictwem poczty internetowej. Zgodnie z informacjami z Krajobrazu Bezpieczeństwa Polskiego Internetu (raport roczny działalności CERT Polska, 2016r), najczęstszym typem incydentu obsługiwanym w CERT Polska był phishing. Ten rodzaj ataków stanowił ponad połowę wszystkich przypadków, odnotowano znaczny wzrost ich liczby w stosunku do lat poprzednich. Były to przede wszystkim zgłoszenia fałszywych stron zagranicznych serwisów, umieszczonych na przejętych stronach lub wykupionych serwerach w polskich sieciach bądź w domenie .pl. N A C Z Y M P O L E G A ATA K P H I S H I N G OW Y

Popularność tego typu ataków wynika przede wszystkim z ich prostoty oraz bardzo dużej efektywności, w porównaniu do innych standardowych technik. Niejednokrotnie uruchomienie złośliwego załącznika przez użytkownika lub pojedyncze kliknięcie adresu URL, w źle zabezpieczonym środowisku, prowadzi do przejęcia komputera i pośredniego uzyskania dostępu do sieci wewnętrznej firmy oraz jej poufnych danych. Osoby atakujące wychodzą z założenia, że korzystanie z bardziej ryzykowanej metody exploitów typu 0day (czyli niepublikowanych wcześniej błędów, które umożliwiają uzyskanie zdalnego dostępu do określonego systemu) jest często niepotrzebne, skoro dobrze przygotowana kampania phishingowa może dać identyczne efekty, a na dodatek bez ryzyka ujawnienia tj. spalenia cennego exploita. Email to wciąż podstawowy sposób

dostarczania złośliwego oprogramowania (malware /ransomware). W 2016 roku, 1 na 131 emaili zawierał malware i jest to najwyższy wskaźnik w ostatnich 5 latach (źródło: Symantec 2017 Internet Security Threat Report). CZYNNIK LUDZKI

Jest takie powiedzenie w branży, że czynnik ludzki jest najsłabszym ogniwem w całym zaplanowanym mechanizmie bezpieczeństwa firmy. Jest w tym wiele prawdy zwłaszcza w przypadku, gdy firmy skupiają się jedynie na technicznych aspektach obrony swojej infrastruktury, pomijając kompleksowe szkolenia pracowników. Często wielomilionowe inwestycje poczynione w bezpieczeństwo informatyczne spalają na panewce, ponieważ został zaniedbany czynnik ludzki. Z mojego wieloletniego doświadczenia jako eksperta ds. bezpieczeństwa wynika, że przy pierwszym przeprowadzonym symulowanym ataku phishingowym odsetek pracowników, którzy podali swoje dane dostępowe, kliknęli w przesłany adres URL lub uruchomili złośliwy załącznik, wynosi ok. 20-30%. Przy czym należy mieć tutaj na uwadze, że bardzo często wystarczy pojedynczy pracownik, aby osoba atakująca uzyskała zdalny dostęp do komputera swojej ofiary, a w kolejnym etapie do sieci wewnętrznej firmy oraz jej danych. K TO P O N O S I O D P O W I E D Z I A L N O Ś Ć

Winę w tym przypadku ponoszą firmy, które nie zadbały o odpowiednią edukację swoich pracowników. Budowanie

odpowiedniej świadomości pracowników na temat istniejących zagrożeń związanych z socjotechniką jest procesem, do którego należy podejść z pełną powagą i nie traktować jej jako mniej priorytetowej niż odpowiednie zabezpieczenia techniczne. Z pomocą przychodzą tutaj profesjonalne szkolenia oraz systematycznie przeprowadzane testy penetracyjnych, które oparte są na realnych scenariuszach oraz nowoczesnych technikach ataków phishingowych. UWIERZYTELNIENIE DW U S K Ł A D N I KO W E A N O WO C Z E S N Y P H I S H I N G

Jednym z mechanizmów bezpieczeństwa, które mają za zadanie zwiększyć poziom trudności w uzyskaniu nieuprawnionego dostępu do konta, jest tzw. uwierzytelnienie dwuskładniowe (2FA – Two Factor Authentication). Opiera się ono na prostej zasadzie, że uwierzytelnienie użytkownika następuje na podstawie tego, co użytkownik wie (czyli hasło) oraz tego, co ma (np. urządzenie generujące jednorazowe kody). Aktualnie najbardziej popularną formą tego typu uwierzytelnienia jest mechanizm oparty na kodach SMS – stosowane jako drugi składnik uwierzytelnienia w wielu rozwiązaniach bankowości internetowej. Z definicji mechanizm ten powinien zapobiegać przechwyceniu sesji użytkownika za pośrednictwem ataku phishingowego. Jednak jak się okazało, na przestrzeni ostatniego roku

11

12

Jakosc 01/2019 przeprowadzane były ataki phishingowe, które omijały ten mechanizm. Problem ten został wskazany między innymi w raporcie „Amnesty International”: (https://www.amnesty.org/en/ latest/research/2018/12/when-best-practiceis-not-good-enough/). Mimo wielu poszlak oraz pojawiających się informacji na temat wykorzystania tej techniki, ryzyko to nadal jest traktowane bardziej jako teoretyczne niż realne zagrożenie dla użytkowników. Oczywiście, taki stan rzeczy jest idealną sytuacją dla grup przestępczych, które z niej korzystają.

W efekcie nieświadomy ryzyka użytkownik ma bardzo małe szanse na wykrycie ataku i adekwatną reakcję. JA K M I N I M A L I Z O WAĆ RY Z Y KO

T E STÓW P H I S H I N G OW YC H

Istnieje oczywiście możliwość odpowiedniego zaadresowania ryzyka poprzez systematyczne szkolenie pracowników oraz odpowiednio dopasowane rozwiązania techniczne. Przykładowa platforma APT BAIT może posłużyć do przeprowadzania ataków phishingowych na własnych użytkowników i zbierania informacji o ich skuteczności. Jej zadaniem jest analiza poziomu świadomości bezpieczeństwa pracowników.

W 2018r powstało narzędzie nazwane Modlishka, napisane jako jeden z komponentów większego programu do przeprowadzania etycznych testów phishngowych. Modlishka, tak jak wiele innych wcześniej opublikowanych narzędzi, służy diagnostyce. Pozwala na przeprowadzenie efektywnej oraz nowoczesnej kampanii phishingowej w ramach symulowanego ataku - ataki tego typu określa się mianem testów penetracyjnych. Użycie tego narzędzia dowodzi, że większość z aktualnie stosowanych mechanizmów uwierzytelnienia dwuskładnikowego (TOTP, HOTP, „Push based”, etc) nie stanowi, wbrew wielu wcześniejszym deklaracjom, ostatecznej linii obrony przeciwko atakom phishingowym.

Dzięki tego typu platformom firma jest w stanie: • monitorować świadomość pracowników, by móc efektywnie zarządzać budżetem szkoleniowym, • wyczulić swoich pracowników na aktualne techniki, którymi posługują się cyberprzestępcy, • umocnić ochronę swojej organizacji poprzez wzmocnienie najsłabszego ogniwa jakim jest człowiek, • zbudować świadomość cyberzagrożeń wśród pracowników, co jest jednym z ważnych elementów każdego solidnego planu zarządzania bezpieczeństwem IT w firmie.

N A R Z Ę D Z I A D O E TYC Z N YC H

W ramach dowodu narzędzie to pokazuje, jak w prosty sposób można przechwycić poufne dane użytkownika (login, hasło oraz kod SMS) logującego się za pośrednictwem specjalnie przygotowanej strony internetowej. W celu lepszego zobrazowania ryzyka, został przygotowany film z symulowanego ataku na przykładowe konto e-mailowe: https://vimeo.com/308709275. Przy zastosowaniu tej techniki, fałszywa strona jest niemalże idealną kopią prawdziwej: • wygląd oraz funkcjonalność strony jest w pełni wierna oryginałowi, • strona internetowa jest przesyłana do użytkownika za pośrednictwem szyfrowanego kanału komunikacyjnego (przeglądarka pokazuje adres strony jako zaufany z charakterystyczną kłódką na początku adresu), • cały ruch przesyłany przez przeglądarkę jest kontrolowany przez osobę atakującą

Wynikiem działania takich symulowanych ataków phishingowych jest podniesienie świadomości użytkowników, zarówno poprzez edukację w ramach scenariuszy phishingowych, jak i poprzez szkolenia z tzw. security awareness czyli podniesienia poziomu wrażliwości użytkowników w obszarze cyberbezpieczeństwa. Rozwiązania na rynku zapewniają pełną obsługę użytkownika, od symulowanego ataku (audyt zerowy wiedzy użytkowników) poprzez szkolenia i powtórne symulowane ataki weryfikujące wiedzę i świadomość użytkowników w dziedzinie cyberbezpieczeństwa. Podsumowując w celu zaadresowania ryzyka, należy przede wszystkim: • systematycznie szkolić pracowników poprzez symulowane ataki phishingowe • stosować tokeny na bazie protokołu U2F • stosować menedżer haseł • na bieżąco aktualizować swoją przeglądarkę

Piotr Duszyński – Konsultant ds. bezpieczeństwa IT Absolwent Politechniki Łódzkiej na kierunku informatyka. Badacz bezpieczeństwa, biegły w sztuce zaawansowanego etycznego hakowania. Stale przeprowadza testy penetracyjne, badania nad bezpieczeństwem oraz usługi doradcze dla największych instytucji finansowych, rządowych i sektora prywatnego na świecie. Jest autorem narzędzia Modlishka.

www.aptbait.com piotr@duszynski.eu.

13

Jakosc 01/2019

Jak podnieść poziom bezpieczeństwa fizycznego? Bezpieczeństwo fizyczne jest bardzo ważnym ogniwem w całym łańcuchu zabezpieczeń zapewniających trwałość aktywów i informacji w firmie. Zintegrowany system bezpieczeństwa fizycznego powinien być kompleksowym uzupełnieniem istniejących systemów bezpieczeństwa informatycznego, prawnego i środowiskowego. W taki sposób w organizacjach zapewniane jest całościowe i kompletne bezpieczeństwo. Zaniedbania w tym obszarze mogą stanowić poważny problem na drodze do spełnienia wymagań jakie stawiane są zarówno przez przepisy prawne, jak i normy bezpieczeństwa oraz wymagania na rynku. Planując podnieść poziom bezpieczeństwa fizycznego organizacji dobrze jest rozważyć wdrożenie kompleksowego systemu ochrony fizycznej, który zintegrowałby wszystkie funkcjonujące w firmie systemy bezpieczeństwa, takie jak: System Kontroli Dostępu (SKD), System Sygnalizacji Włamania i Napadu (SSWiN), Elektroniczny Systemu Wydawania Kluczy (ESWK). SYST E M Y O C H R O N Y F I Z YC Z N E J

Nowoczesne kompleksowe systemy ochrony fizycznej zapewniają integrację z systemami kontroli dostępu i rejestracją czasu pracy. Obejmują swym zakresem zarówno konfigurację, wizualizację ze sterowaniem, jak i obsługę rejestracji czasu pracy. Integracja z Systemem Sygnalizacji Włamania i Napadu pozwala na zarządzanie uzbrajaniem/rozbrajaniem grup alarmowych i sterowaniem wyjściami, oraz pełną wizualizację na planach obiektu. Integracja Elektronicznym Systemem Wydawania Kluczy pozwala na pełne zarządzanie użytkownikami i ich uprawnieniami do poszczególnych kluczy, oraz mechanizmem kontroli zdania klucza. Takie rozwiązanie pozwala na pełny monitoring zarzadzania bezpieczeństwem fizycznym w obiektach firmy. W I Z UA L I Z AC JA I I N T E G R AC JA

14

Wizualizacja jest aktywną prezentacją aktualnych stanów urządzeń (grup alarmowych, czujek, depozytora kluczy, przejść itp.) naniesioną na plany architektoniczne poszczególnych pomieszczeń. Dzięki temu rozwiązaniu operator w sposób prosty, szybki i skuteczny jest w stanie zarządzać bardzo skomplikowanym systemem bezpieczeństwa zainstalowanym w obiekcie.

Wizualizacja nie tylko zapewnia aktualny podgląd stanu elementów systemu bezpieczeństwa, ale również umożliwia zdalne nimi sterowanie (np. otwarcie drzwi poprzez kliknięcie ich ikony widocznej na wizualizacji). Integracja umożliwia połączenie wszystkich systemów bezpieczeństwa oraz monitorowanie parametrów środowiskowych (np. temperatury i wilgotności w serwerowni), czy też zużycia mediów (np. kontrola zużycia energii, wody, ciepła itp.). Dzięki integracji np. kontroli dostępu z depozytorem kluczy ostatnia osoba wychodząca z obiektu nie może go opuścić gdy nie zda pobranych kluczy. Prezentacja alarmów realizowana jest, oprócz wskazania lokalizacji na grafice (miejsce na obiekcie oraz dokładnie czujkę, lub drzwi), również w postaci tekstowej. Alarmy są prezentowane w pierwszej kolejności względem priorytetu (alarmy o większej wadze prezentowane są zawsze na samym początku), a w drugiej względem czasu. Alarm posiada pełen opis rodzaju zdarzenia oraz z jakiego urządzenia pochodzi.

SYST E M U KO N T R O L I D O ST Ę P U ( S K D )

Systemy Kontroli Dostępu umożliwiają identyfikację osób oraz przydzielanie dostępów użytkownikom do wyznaczonych obszarów (stref) w firmie. Nowoczesne Systemy Kontroli Dostępu posiadają cechy, które definiują ich przydatność oraz skuteczność takich rozwiązań. Przykładowe cechy SKD: • Stopień bezpieczeństwa w czterostopniowej skali klasyfikacji urządzeń • Pełne szyfrowanie (na każdym etapie transmisji danych wykorzystywane są algorytmy szyfrujące AES128, CTR, CMAC zapewniając tym samym maksymalny poziom bezpieczeństwa), • Zgodność z Normami Obronnymi, np. NO-04-A004 i innymi normami związanymi z bezpieczeństwem • Struktura kontrolerów oparta na sieci Ethernet, ułatwiająca rozbudowę systemów w dowolnej lokalizacji sieci • Możliwość zarządzania gośćmi, pracownikami, samochodami pracowników, gości i służbowymi, • Wbudowane oprogramowanie do rejestracji czasu pracy.

Rafał Król – Pełnomocnik Zarządu ds. bezpieczeństwa w jednej ze spółek z sektora obronnego. Doświadczenie zawodowe zdobywał m.in. w spółkach zbrojeniowych i z sektora lotniczego, gdzie zarządzał szeroko pojętym bezpieczeństwem. Kwalifikowany pracownik ochrony fizycznej i zabezpieczenia technicznego, pełnomocnik ds. ochrony informacji niejawnych, administrator i inspektor niejawnych systemów teleinformatycznych. Ukończył studia podyplomowe z zakresu bezpieczeństwa systemów informacyjnych i bezpieczeństwa sieci komunikacji mobilnej. Z bezpieczeństwem związany od 2008 roku.

SYST E M SY G N A L I Z AC J I W Ł A M A N I A I N A PA D U ( S S W I N )

Systemy Sygnalizacji Włamania i Napadu mają za zadanie jak najszybsze i skuteczne wykrycie osób niepożądanych i właściwe przekazanie tej informacji celem reakcji na incydent i podjęcia koniecznych działań. W skład takiego sytemu wchodzą różnego rodzaju detektory ruchu (czujki podczerwieni, ultradźwiękowe i mikrofalowe, detektory stłuczeniowe szyby czy czujki drgań i wibracji. Głównym komponentem systemu jest centrala alarmowa, której zadaniem jest zarządzanie całym systemem. E L E K T R O N I C Z N Y SYST E M U W Y DAWA N I A K L U C Z Y ( E S W K )

Elektroniczny System Wydawani Kluczy w kompleksowy sposób zarządza polityką kluczy w firmie. ESKW oparty jest na depozytorze kluczy. Wdrażając go do użytku firma uzyska: • bezpieczną gospodarkę kluczami i ich obiegiem, • sprawny, zautomatyzowany i łatwy sposób przechowywania i wydawania wszelkiego rodzaju kluczy, • możliwość nadawania uprawnień, raportowania kto, kiedy pobrał i zwrócił klucz (to wszystko w jednym w pełni zautomatyzowanym procesie), ponadto: • całkowicie wyeliminowane zostaną błędy spowodowane tzw. czynnikiem ludzkim, • skrócony zostanie czas potrzeby na pobranie i zdanie klucza, • wyeliminowane zostaną przypadki dostępu do kluczy przez osoby nieuprawnione. AU TO M ATYC Z N Y SYST E M I D E N TY F I K AC J I TA B L I C R E J E ST R ACY J N YC H ( AS I T R )

Zarządzanie ruchem pojazdów, kontrolowanie, kto wjechał na teren obiektu, a kto z niego wyjechał to kluczowe elementy bezpieczeństwa każdego obiektu. Wdrażając Automatyczny System Identyfikacji Tablic Rejestracyjnych firma uzyskuje: • automatyczne rozpoznanie i identyfikację samochodu bez potrzeby używania kart dostępu czy pilota, • bezpieczne, automatyczne zarządzanie i monitorowanie obiegu pojazdów na terenie spółki, • automatyczne prowadzenie bazy danych zawierającej m.in. dane na temat czasu i ilości wjazdów, wyjazdów, ilości pojazdów, ich pochodzenia, • możliwość tworzenia dowolnych raportów i analiz. Wdrażając systemy bezpieczeństwa informacyjnego w firmach warto zwrócić uwagę na bezpieczeństwo fizyczne. Kompleksowe podejście do zarządzania bezpieczeństwem informacji wymaga, aby poziom bezpieczeństwa fizycznego był adekwatny do ewentualnych zagrożeń i stanowił mocny element budowanego bezpieczeństwa informacyjnego w firmach.

15

Jakosc 01/2019

Bezpieczeństwo na linii produkcyjnej Nowe maszyny i urządzenia poza tym, że mają być użyteczne i funkcjonalne muszą być przede wszystkim bezpieczne dla użytkowników. Pierwszy kontakt odbiorcy z maszyną lub urządzeniem w docelowej lokalizacji rozpoczyna się od przewidzianych szkoleń, poznania dostarczonej dokumentacji, a przede wszystkim od zapoznania się z możliwością występowania zagrożeń i sytuacji niebezpiecznych. W codziennej pracy istotne jest przestrzeganie ogólnych zasad bhp oraz wszelkich zasad dotyczących bezpieczeństwa przekazanych przez producenta danej maszyny. Zasady te dotyczą zarówno konieczności obsługi maszyn przez odpowiednio przeszkolonych pracowników, jak i prawidłowej konserwacji urządzeń oraz napraw uszkodzonych komponentów.

konstrukcyjnych, zastosowanych niewłaściwych rozwiązań technicznych, nieuwzględnienia zasad ergonomii oraz wad materiałowych, także tych ukrytych. Jakie więc działania mogą pomóc, zarówno pracownikom, pracodawcom czy producentom w zmniejszaniu prawdopodobieństwa występowania wypadków z udziałem maszyn?

nieprzewidzianemu uruchomieniu; inicjowaniem zatrzymania bądź blokadą uruchomienia. Za pomocą kontroli parametrów pracy maszyny można zwiększyć poziom bezpieczeństwa np. w trybach serwisowych gdzie często konieczne jest zapewnienie ciągłości pracy ale przy znaczącym ograniczeniu szybkości ruchów.

O D P OW I E D Z I A L N O Ś Ć RY Z Y KO W Y PA D K U

P R O D U C E N TA M AS Z Y N Y

W Y M AG A N I A DY R E K TY W I N O R M

Bywa że nawet przestrzeganie wszystkich wytycznych nie zabezpiecza użytkownika przed ryzykiem zaistnienia wypadku. Dodatkowe ryzyka pojawiają się gdy dana maszyna współpracuje w ciągu technologicznym z innymi urządzeniami, a także w sytuacji gdy jest wyłączona z powodu koniecznej konserwacji lub naprawy. W tym czasie pojawiają się zagrożenia związane z prawidłowym włączaniem i odłączaniem od źródeł energii, koniecznością testowania pracy maszyny nie w pełni sprawnej oraz konieczności współpracy pracowników obsługujących i zajmujących się naprawami oraz utrzymaniem ruchu. Znaczącym zagrożeniem jest np. niekontrolowane uruchomienie maszyny w trakcie wspomnianych czynności, spowodowane brakiem widocznych ostrzeżeń i implementacji odpowiednich zabezpieczeń lub brakiem widoczności wzajemnej pracowników podczas pracy.

Proces ten jest wieloetapowy i powinien być rozpoczęty już na etapie projektowania, a głównym celem powinno być zawsze stworzenie konstrukcji (maszyny), która jest bezpieczna sama w sobie. Często nie jest to do końca możliwe. Przykładem niech będą wszelkiego rodzaju piły, prasy czy instalacje procesowe, wykorzystujące wysokie ciśnienia i temperatury. Gdy nie ma możliwości zapewnienia całkowicie bezpiecznej konstrukcji powinny zostać zastosowane środki techniczne oraz organizacyjne w celu minimalizacji zagrożenia.

Wszelkie działania związane z zapewnieniem bezpieczeństwa narzucają zainteresowanym stronom dyrektywy unijne, jak chociażby 2006/42/WE w sprawie maszyn oraz szereg norm jak np. PN-EN ISO 12100 dotycząca bezpieczeństwa maszyn, ogólnych zasad projektowania oraz oceny i zmniejszaniu ryzyka. Norma ta stanowi podstawę szeregu innych norm dotyczących tak ogólnych, jak i szczegółowych wymagań bezpieczeństwa.

W tym celu producenci na podstawie ogólnej koncepcji bezpieczeństwa wybierają urządzenia ochronne, planują ich umiejscowienie, jak i dobierają odpowiednie parametry. Mogą to być urządzenia kontrolujące i ograniczające zakresy ruchów, parametry pracy np. prędkość obrotową, ciśnienie oraz temperaturę.

JA K M I N I M A L I Z OWAĆ RY Z Y KO

Użytkownik końcowy jest tylko operatorem i dlatego ufa producentowi, że ten dostarczył mu maszynę bezpieczną, w której wyeliminowano wszelkie możliwe przyczyny wypadków leżące po stronie samej konstrukcji maszyny.

16

Eliminacja przyczyn tego rodzaju wcale nie jest łatwa. Dotyczy głównie wad

W zakresie innych technicznych środków ochronnych do dyspozycji producentów pozostają osłony stałe i ruchome, drzwi ochronne, wszelkiego rodzaju kurtyny świetlne, wskaźniki, urządzenia ostrzegające lub alarmy. Wszystkie te elementy mają za zadanie, realizować funkcje bezpieczeństwa, związane z: uniemożliwieniem dostępu trwałego i czasowego; zapobiega

Złożoność realizowanych projektów zarówno po stronie dostawców, jak i odbiorców końcowych maszyn i całych linii produkcyjnych, mnogość norm i zawartych w nich wymagań może powodować pewnego rodzaju zagubienie. Rozwój techniki i implementacja nowych rozwiązań do projektów powoduje powstanie nowych niebezpieczeństw, związanych z produkcją i finalnym wykorzystaniem maszyn. Przykładem niech będzie zastosowanie już bardzo powszechnej w instalacjach przemysłowych, jak i pojedynczych aplikacjach bezprzewodowej transmisji danych. D O DAT KOW E P OTW I E R D Z E N I A S P E Ł N I E N I A W Y M AG A Ń

Świadomość dotycząca bezpieczeństwa, wymogi rynku, a w znacznym stopniu konkurencja pomiędzy producentami powoduje, że zarówno producenci jak

i odbiorcy końcowi potrzebują dodatkowego potwierdzenia spełnienia wymagań i oceny swoich działań. Taką dodatkową oceną w zakresie oceny bezpieczeństwa zajmuje się TÜV Rheinland. Eksperci jednostki certyfikującej przeprowadzają ocenę bezpieczeństwa maszyn oraz linii produkcyjnych, tak u producentów jak i w miejscach docelowych instalacji. Zwieńczeniem takiej oceny jest przekazanie klientowi szczegółowego raportu zawierającego zestawienie wymogów normatywnych wraz z oceną punktową dotyczącą zidentyfikowanych niezgodności. C E RTY F I K ATY

Ważnym potwierdzeniem bezpieczeństwa maszyn, w szczególności dotyczącym producentów, może być przeprowadzenie dobrowolnej certyfikacji na znak zgodności TEST+MONITORING oraz znak zgodności TEST. Pozytywne zakończenie tych procesów upoważnia do posługiwania się certyfikatem w celach marketingowych oraz do oznaczania wyrobów znakiem zgodności. Certyfikaty potwierdzają zgodność z wymaganiami normatywnymi określonymi

w dokumentach procesowych i wystawiane są na okres do 5 lat.

potwierdzającego faktyczny poziom nienaruszalności bezpieczeństwa.

Dla szczególnych realizacji TÜV Rheinland prowadzi certyfikację potwierdzającą faktyczny poziom nienaruszalności bezpieczeństwa SIL (Safety Integrity Level) zgodnie z wymaganiami zastosowanych norm. Ocena w tym zakresie obejmuje, między innymi weryfikację dokumentacji projektowej, wykonanie obliczeń sprawdzających osiągnięcie wymaganego SIL dla wszystkich funkcji bezpieczeństwa, przeprowadzenie testów FAT i SAT pod nadzorem eksperta. Zakończeniem tego procesu jest sporządzenie raportu końcowego, będącego podstawą wnioskowania do Dyrektora Jednostki Certyfikującej Wyroby o wydanie certyfikatu

TÜV Rheinland Polska zajmuje się także weryfikacją deklaracji zgodności. Proces z nią związany ma za zadanie ocenę działań producentów maszyn zmierzających do wystawienia deklaracji zgodności i nadania oznaczenia CE. Zwieńczeniem tej usługi jest przekazanie klientowi raportu określającego zarówno pozytywnie ocenione zakresy wymagań, jak i wskazanie niezgodności dotyczących prowadzonego procesu. Pozytywnie przeprowadzona weryfikacja potwierdzana jest stosownym certyfikatem zawierającym stwierdzenie o braku uchybień w procedurze zgodności wyrobu, zgodnie z wymaganiami dyrektyw dla określonych maszyn i urządzeń.

Jarosław Graczyk – Specjalista ds. Certyfikacji Wyrobów TÜV Rheinland Polska. Absolwent Wydziału Mechanicznego na kierunku Mechanika i Budowa Maszyn Politechniki Łódzkiej. Posiada wieloletnie doświadczenie konstruktorskie w przemyśle maszynowym. Obecnie pracuje w Sekcji Bezpieczeństwa i Jakości Wyrobów gdzie zajmuje się realizacją procesów certyfikacji i oceną bezpieczeństwa maszyn.

17

Jakosc 01/2019

Prosty skład produktów podnosi ich jakość OCTIM Wytwórnia Octu i Musztardy Sp. z o.o. w Olsztynku to certyfikowany producent wysokiej jakości octów, glazur balsamicznych, musztard, sosów musztardowych i ketchupów przygotowywanych z surowców naturalnych. Do procesu produkcji trafiają tylko najlepsze zbiory, które muszą spełniać szczegółowe wymagania jakościowe. Do rozmowy na temat systemowego podejścia do jakości zaprosiliśmy panią Ewelinę Dąbrowską, pełnomocnika ds. systemów zarządzania jakością w spółce. Firma słynie z wysokojakościowych produktów tworzonych według tradycyjnych receptur, znanych na Warmii i Mazurach od lat. Jednocześnie są Państwo dostawcą do sieci handlowych, co wiąże się z przestrzeganiem określonych standardów. Jak udaje się godzić te kwestie (tradycji i nowoczesnych wymagań)? E W E L I N A DĄ B R OW S K A | To prawda, jesteśmy firmą, która na rynku funkcjonuje ponad 50 lat. Nadrzędnym celem naszej firmy jest dostarczanie klientom produktów spełniających ich wymagania jakościowe, a jednocześnie wyprodukowanych według wieloletnich receptur. Na jakość stawiamy od zawsze, dlatego łatwo było nam sprostać oczekiwaniom sieci, które mają bardzo restrykcyjne obwarowania dotyczące stabilnego poziomu jakości i bezpieczeństwa żywności. Dodatkowo, tradycyjne receptury wiążą się z prostym składem, bez wszelkiego rodzaju „polepszaczy smaku”, a dziś konsumenci są bardzo świadomi i szukają właśnie takich produktów. Zwiększenie świadomości konsumentów na temat „czystej etykiety” przyczynia się do popularyzacji produktów wartościowych, naturalnych, o przejrzystym składzie. My właśnie takie produkty chcemy dostarczać.

18

W firmie funkcjonuje system jakości spełniający wymagania kilku standardów. Proszę powiedzieć jak udało się pogodzić te wymagania, czy standardy się wzajemnie uzupełniają? Czy któreś wymagania były trudne do spełnienia lub wymagały zmian technologicznych? E D | Pracujemy zgodnie zasadami Dobrej Praktyki Produkcyjnej i Higienicznej (GMP/ GHP), wdrożyliśmy system Analizy Zagrożeń i Krytycznego Punktu Kontrolnego (HACCP), dodatkowo w naszej firmie skutecznie i efektywnie funkcjonuje system oparty o wymagania standardów BRC oraz IFS. Przestrzegamy także zasad kreowania rozwoju z jak najmniejszym oddziaływaniem na zasoby

przyrody. Zobowiązujemy się do spełnienia wymagań prawnych dotyczących bezpieczeństwa żywności i bezpieczeństwa naszych pracowników. Standardy BRC oraz IFS określają i ujednolicają wymagania dla wszystkich producentów żywności, gwarantując bezpieczeństwo i jakość produktów, ich zgodność z wymaganiami prawnymi, legalność. Są bardzo podobne, wzajemnie się uzupełniają, m.in. wymagania dotyczące zaangażowania najwyższego kierownictwa, konieczność przeprowadzania audytów wewnętrznych, szkolenia, działania korygujące i zapobiegawcze, system identyfikowalności, higiena i utrzymanie czystości. Realizacja wymagań jednego standardu pozwala na jego dostosowanie do kolejnego. Różnice pomiędzy standardami dotyczą m.in. sposobu oceny spełnienia ich wymagań i czasu, który jest konieczny do usunięcia niezgodności stwierdzonych podczas audytów. Proces wdrażania Systemu Zarządzania Jakością jest procesem praco- i czasochłonnym, nie można przeprowadzić go pobieżnie. Wymaga pewnego usystematyzowania. Myślę, że dość istotna, przy wdrażaniu systemów jakości, była kwestia uporządkowania i nadzoru nad dokumentacją i wszelkimi zapisami. Systemy jakości wymagają, aby dokumentacja była jasna, przejrzysta dla wszystkich pracowników, a jednocześnie kompletna, z zachowaniem pełnej identyfikowalności. Ponadto, wymagania wdrożonych już systemów ulegają ciągłemu doskonaleniu i na bieżąco konieczne jest wprowadzanie zmian oraz aktualizacji. Wymaga to zaangażowania całego personelu, od pracowników produkcyjnych po najwyższe kierownictwo. Dlatego też niezbędne są szkolenia i spotkania, które pomogą przekonać współpracowników, aby czynnie uczestniczyli w zmianach i rozumieli istotę systemów zarządzania.

19

20

Jakosc 01/2019 Na Państwa stronie internetowej można znaleźć informację, iż do procesu produkcji trafiają tylko najlepsze zbiory, które muszą spełniać szczegółowe wymagania jakościowe. Wyselekcjonowana gorczyca to podstawa przygotowania każdej unikalnej musztardy OCTIM, a ocet jabłkowy zawdzięcza swoje zdrowotne właściwości produkcji m. in. z polskich jabłek. Jak w praktyce wygląda u Państwa proces oceny dostawców? E D | Dobrej jakości surowce są gwarancją pełnowartościowego produktu, dlatego korzystamy tylko ze sprawdzonych dostawców. Co roku nasi dostawcy poddawani są ocenie poprzez analizę jakości dotychczasowych dostaw, w której oceniane są m.in. terminowość, reklamacje, powtarzalność surowców. Dodatkowo, dostawcy wypełniają ankietę dotyczącą autooceny. W razie konieczności (np. zwiększona liczba reklamacji) przeprowadzamy audyty i wizyty kontrolne. W przypadku, gdy zaczynamy współpracę z nowym dostawcą obowiązuje jakościowa ocena partii próbnej dostarczanego surowca przez laboratorium i/ lub technologów oraz towarzyszącej dokumentacji (specyfikacje, atesty jakościowe, wyniki badań). Zatwierdzenie próbki surowców oraz wyniki wstępnej oceny dostawcy i analizy oferty upoważnia Dział Zakupów do wpisania nowego dostawcy do bazy kwalifikowanych dostawców. Istotnym czynnikiem przy wyborze przez nas dostawców jest posiadanie certyfikowanych systemów zarządzania akceptowanych przez GFSI (Global Food Safety Inititive) . OCTIM zatrudnia ponad 100 pracowników, przez co jest jednym z największych pracodawców w regionie. W każdym zakładzie produkcyjnym istotny wpływ na końcowy produkt mają pracownicy produkcji. Jak wygląda kwestia ich szkoleń w kontekście kontroli jakości oraz bezpieczeństwa pracy na linii produkcyjnej? E D | Podnoszenie kwalifikacji pracowników jest niezwykle istotne w naszej firmie, ponieważ podnosi jakość i efektywność wykonywanych zadań oraz minimalizuje popełnianie błędów, co może przełożyć się m.in. na zmniejszenie ilości reklamacji czy różnego rodzaju niezgodności. Ponadto dobrze wykwalifikowany pracownik jest bardziej samodzielny i wymaga mniejszej kontroli przełożonych. W naszej firmie, na początku roku opracowywany jest roczny

harmonogram szkoleń dla pracowników poszczególnych działów. Organizowane są zarówno szkolenia wewnętrzne (np. dotyczące CCP, alergenów, zabiegów mycia i dezynfekcji, obsługi maszyn) jak i zewnętrzne (np. dla Zespołu HACCP, szkolenia sensoryczne). Każdy nowozatrudniony pracownik przechodzi szkolenie stanowiskowe, szkolenie BHP oraz szkolenie dotyczące funkcjonowania systemów zarządzania jakością- adekwatnie do wykonywanych prac. Taki program szkoleń pozwala na to, aby nowozatrudniony pracownik mógł zweryfikować swoje umiejętności nabyte w szkole, czy na studiach, a osoba pracująca długo na danym stanowisku nie wpadła w tzw. „rutynę”. Ważne jest także to, aby informacje zostały przekazane jasno i klarownie, zrozumiale dla personelu, dlatego zawsze sprawdzamy wiedzę pracowników wyniesioną ze szkoleń poprzez rozmowę czy test weryfikujący. W jaki sposób minimalizowane jest ryzyko wystąpienia nieplanowanych przestojów produkcji? Jakie są zależności między zadaniami służb utrzymania ruchu, a zadaniami osób odpowiedzialnych za jakość produkcji? E D | Każdy nieplanowany przestój powoduje straty dla przedsiębiorstwa poprzez niezrealizowanie w terminie zaplanowanych prac, co w efekcie obniży wydajność produkcji. Przyczyny nieplanowanych przerw w zakładach produkcyjnych wynikają z wielu czynników. Do najczęstszych należą awarie maszyn, błędy pracowników, czy braki surowców i materiałów. Sprawny park maszynowy ma szczególne znaczenie dla prawidłowej i efektywnej pracy nie tylko w pełni zautomatyzowanych przedsiębiorstwach, dodatkowo gwarantuje bezpieczeństwo pracowników. Aby zminimalizować przestoje związane z awariami, przeprowadzane są okresowe przeglądy i naprawy maszyn. Na początku roku opracowywany jest harmonogram wszelkich prac prewencyjnych,

z uwzględnieniem wcześniejszych awarii. Jeśli jakakolwiek naprawa wymaga dłuższego czasu, w miarę możliwości pracownicy oddelegowywani są do innych prac. Przestoje mogą być związane z błędami pracowników, dlatego przed przystąpieniem do pracy, tak jak wspominałam wcześniej - każdy nowozatrudniony pracownik przechodzi szkolenie stanowiskowe organizowane przez przełożonego, dodatkowo w ciągu roku odbywają się szkolenia przypominające. Natomiast o braku surowców i materiałów mogą decydować sytuacje losowe, na które nie mamy wpływu, ale także nieterminowe dostawy. Dlatego warto mieć kilku sprawdzonych dostawców, a wszelkie nieterminowe, czy niespełniające wymagania jakościowe dostawy analizować i brać pod uwagę przy dalszej współpracy. Wbrew pozorom współpraca Działu Utrzymania Ruchu oraz Działu Jakości jest bardzo istotna. Głównym celem UR jest gwarancja płynnej realizacji zleceń produkcyjnych poprzez zapewnienie stabilnej pracy maszyn i urządzeń oraz gwarancję bezpieczeństwa zarówno pracowników, jak i wyrobów gotowych. Dział Utrzymania Ruchu odgrywa zatem jedną z kluczowych roli podczas codziennej produkcji wyrobów gotowych, spełniających określone wymagania jakościowe. Ważne jest to, aby UR pracował zgodnie z opracowanymi procedurami. W przypadku awarii maszyn wymagających demontażu lub montażu urządzeń, czynności techniczne przeprowadzane są z wyłączonym procesem produkcyjnym lub po jego zakończeniu tak, aby nie zagrażać bezpieczeństwu wyrobów gotowych. Wszelkie prace konserwacyjne i naprawcze przeprowadzane są przy zachowaniu zasad higieny. Wnoszone do Działu Produkcji materiały i narzędzia są pod ścisłym nadzorem. Po zakończeniu prac Dział Utrzymania Ruchu porządkuje stanowisko pracy oraz zgłasza przełożonemu wykonane zadanie.

Ewelina Dąbrowska – w firmie Octim Wytwórnia Octu i Musztardy sp z o.o. pracuję od 2015 roku jako Pełnomocnikiem ds. Systemów Zarządzania Jakością i Technolog.Jest absolwentką Uniwersytetu Warmińsko - Mazurskiego w Olsztynie, studiowała Biotechnologię (specjalizacja Biotechnologia przemysłowa) na Wydziale Biologii i Biotechnologii. Następnie ukończyła studia doktoranckie na Wydziale Nauki o Żywności, jest doktorem nauk rolniczych; dyscyplina naukowa: technologia żywności i żywienia. Skończyła także studia podyplomowe Menedżer jakości i bezpieczeństwa żywności realizowane na Wydziale Nauki o Żywności UWM w Olsztynie.

21

Jakosc 01/2019

Zarządzania opartego o wartości uczmy się od Wikingów Nowa rzeczywistość wymaga innych niż dotąd metod i narzędzi zarządzania. Dotychczasowe rozwiązania, długofalowo nie sprawdzają się w nowych niezmiennie zmiennych realiach. Stąd w odpowiedzi na te wyzwania pojawia się wiele nowych teorii dotyczących przywództwa czy zarządzania. Jednak nie chodzi o modną czy przystępnie opisaną teorię naukową, a o to by rozwiązanie było adekwatne do zmieniającego się świata i odpowiadało na potrzeby nowych pokoleń w organizacjach, ale by było też skuteczne z punktu widzenia biznesowego. „VUCA world” to uproszczony opis naszej rzeczywistości, czyli: Volatility zmienność, Uncertainty - niepewność, Complexity - złożoność, Ambiquityniejednoznaczność. To świat zupełnie inny od tego, do którego byliśmy dotąd przyzwyczajeni. To rzeczywistość, która nieustannie się zmienia, zaskakuje nas i jedyne czego możemy się spodziewać to nieoczekiwanego. Jak w takich okolicznościach skutecznie zarządzać organizacją? Jak angażować pracowników? Jak budować identyfikację z firmą ?

katalog wartości, ale o rzeczywisty sposób funkcjonowania organizacji przejawiający się w zachowaniach i postawach pracowników. Połączenie słów wartości i biznes w pozytywnym kontekście często nadal spotyka się z niedowierzaniem. Rozwój gospodarczy kojarzy się z presją optymalizacji oraz zysku za wszelką cenę. Jednak w XXI wieku jak nigdy dotąd stoimy przed wyzwaniami z zakresu filozofii i etyki. Nie wystarczy już ani zysk ani rozwój jako cel sam w sobie. Społeczeństwa potrzebują czegoś więcej.

P OT R Z E B A STA Ł O Ś C I

W świecie, gdzie jedyną pewną jest zmiana, ludzie potrzebują czegoś stałego, co będzie dla nich drogowskazem, ale także punktem odniesienia. Pracownicy coraz częściej zaskakują managerów zadając pytanie dlaczego? To odwieczne pytanie o cel czyli sens działań. Cel odpowiada na pytanie dlaczego robimy właśnie to, a nie coś innego. Pracownicy XXI wieku chcą czuć się częścią czegoś większego, czegoś co ma znaczenie, nie tylko finansowe. Interesuje ich także pytanie Jak? czyli sposób w jaki funkcjonuje organizacja, jakimi zasadami kieruje się w swojej działalności. To właśnie wartości, pomagają podejmować decyzje jak działać, szczególnie w sytuacjach wątpliwości czy kryzysów w firmie. KO D E K S P O ST Ę P OWA N I A

22

Wartości to rodzaj kodeksu postępowania, który określa co jest właściwym, a co niewłaściwym zachowaniem. Jednak nie chodzi o piękny dokument zawierający

Pytania filozoficzne w świetle nieustannych zmian oraz rozwoju sztucznej inteligencji stały się powszechne. Ludzie od zawsze szukają celu oraz stałego, uniwersalnego punktu odniesienia. Wartości i tym samym wskazówek jak postępować, bo „nie jest trudno podjąć decyzje, gdy znasz swoje wartości”. Tylko dopiero teraz zaczynamy zauważać jak ważna jest ta potrzeba w kontekście życia zawodowego. Dlatego organizacje powinny podjąć działania by w czasach ekstremalnych zmian, zapewnić taki sposób zarządzania by był on jak najbardziej spójny z wartościami pracowników. S K A N DY N AW S K I E P O D E J Ś C I E DO ZARZĄDZANIA

Przykładem, który z powodzeniem sprawdza się w świecie VUCA jest skandynawskie podejście do zarządzania. To właśnie firmy skandynawskie odnoszą stabilne i długotrwałe sukcesy, z powodzeniem podejmując odważne decyzje czy

wprowadzając innowacje, stając się liderami ekologii, zrównoważonego rozwoju oraz dbałości o zasoby. Równocześnie pracownicy wykazują wysoki stopień satysfakcji z pracy, czego efektem jest ich zaangażowanie oraz identyfikacja z organizacją. Firmy skandynawskie są też ulubionym pracodawcą, idealnym miejscem pracy i rozwoju dla młodego wymagającego pokolenia. Dlaczego tak się dzieje? Co jest innego, szczególnego w sposobie funkcjonowania organizacji, że to właśnie firmy skandynawskie odnoszą sukcesy? To pytanie zadali sobie autorzy książki „Return of the Vikings - Nordic Leadership in Times of Extreme Change” Chris Shern oraz Henrik Jeberg. Po wnikliwej analizie, licznych wywiadach z osobami odnoszącymi sukcesy w krajach i firmach skandynawskich, doszli do wniosku, że chodzi tu o wartości które są głęboko zakorzenione w tym społeczeństwie, stanowiąc swoiste kulturowe DNA, które niepostrzeżenie przenika wszystkie aspekty życia. WA RTO Ś C I W E D Ł U G W I K I N G ÓW

Autorzy odkryli, że są to wartości, które zdefiniowano jeszcze w czasach Wikingów, ale wciąż pozostają żywe w skandynawskiej codzienności. Ich rygorystyczne stosowanie pozwoliło Wikingom podbić świat, a współczesnym organizacjom zapewnia nadal długotrwałe sukcesy. Są to wartości, które zostały określone w mitologii skandynawskiej jako 9 Szlachetnych Cnót Wikingów

(9 Noble Virtues): odwaga, zaufanie, honor, wierność, dyscyplina, gościnność, samodzielność, pracowitość, wytrwałość. Te uniwersalne wartości okazały się na tyle prawdziwe, spójne ale i skuteczne, że weszły głęboko w sposób funkcjonowania społeczeństw i organizacji biznesowych w krajach Skandynawii. Ale co one oznaczają w XXI wieku i rzeczywistości

VUCA? 9 Wartości Wikingów to zamknięty katalog, którego należy przestrzegać. Jednak nie wystarczy mówić o wartościach, bo wartości poznajesię w działaniu. Chociaż cytując W. Churchilla „odwaga to najważniejsza cecha człowieka, ponieważ to wartość która gwarantuje wszystkie pozostałe” i trudno się z tym nie zgodzić. Odwaga, by mieć wartości, odnosić się do nich w sposób otwarty i postępować zgodnie z nimi. Odwaga by zmieniać świat, lub chociaż dotychczasowy sposób zarządzania firmą. WDROŻENIE ZARZĄDZANIA O PA RT E G O O WA RTO Ś C I

W kontekście wyzwań świata VUCA zarządzanie oparte o wartości to już nie tylko odwaga wprowadzania zmiany, a jednak konieczność dopasowania organizacji do nowej rzeczywistości. Dla wielu organizacji podejście to wymaga modyfikacji dotychczasowego sposobu funkcjonowania. Nie chodzi tu wyłącznie o zdefiniowanie a następnie zakomunikowanie wartości pracownikom i dostawcom. To nie wystarczy by wartości były żywe i realizowane w organizacji. Chodzi o przełożenie ich na rzeczywistość

firmy, tak by wartości były odzwierciedlone w zachowaniach organizacyjnych czyli w sposobie działania firmy, jej pracowników i dostawców. Nie wystarczy żeby w organizacji zadeklarować, że ważna jest dana wartość - np. „mówimy otwarcie”, ale należy opracować rozwiązania systemowe umożliwiające jej praktyczną realizację - np. wprowadzenie spotkań zespołu, kultury feedback’u, procedury

ROLA PRZYWÓDZTWA

zgłaszania nadużyć oraz szkolenie pracowników w tym zakresie i budowanie świadomości itd.

lidera musi być on nie tylko kompetentny, ale przede wszystkim postępować zgodnie z uniwersalnymi wartościami uznawanymi przez pracowników. Bez wartości przywództwo nie ma szans na długofalową skuteczność ani autorytet.

Wdrożenie zarządzania opartego o wartości zaczyna się od uświadomienia wartości które są ważne w firmie i wypracowania wspólnego ich rozumienia. Ten etap jest szczególnie istotny, gdy mamy zespoły wielopokoleniowe czy wielokulturowe. Kolejny to wypracowanie, najlepiej poprzez facylitację, katalogu zachowań pożądanych, a następnie opracowanie procedur umożliwiających postępowanie zgodne z ustalonymi zasadami i wdrożenie ich do organizacji.

Warto pamiętać, że warunkiem sine qua non zarządzania opartego o wartości jest silne przywództwo. Tu nie wystarczy być managerem, trzeba być przywódcą. Co to oznacza? Wyróżnikiem skutecznego przywództwa są dwie zmienne: efektywność biznesowa (effectivness) oraz bycie wzorem do naśladowania (followers). Jednak by pracownicy szli za przykładem

Ale jakie wartości wprowadzić? Organizacja może wypracować wspólnie z pracownikami własny katalog wartości, można także zainspirować się skutecznymi od ponad 1000 lat 9 Wartościami Wikingów. Nie zawsze trzeba wymyślać koło, a uczyć warto się od najlepszych.

Ewa Ginalska – certyfikowany trener i konsultant zarządzania, ekspert systemów zarządzania oraz CSR. Absolwentka Wydziału Prawa i Administracji na Uniwersytecie Jagiellońskim oraz studiów podyplomowych w obszarze biznesu. Od 2001 roku związana z branżą przemysłową. W latach 2017-2018 wiceprezes Stowarzyszenia Konsultantów i Trenerów Zarządzania MATRIK. Odpowiedzialna za opracowanie Kodeksu Profesjonalnego Postępowania Konsultanta Zarządzania. Aktualnie prowadzi projekty standaryzacji zakładów produkcyjnych, budowania kultury organizacyjnej opartej o wartości oraz projekty rebrandingowe. Specjalizuje się w tematyce: przywództwa skandynawskiego, zarządzania projektami, budowania wizerunku oraz optymalizacji procesów.

23

Jakosc 01/2019

Poznawaj świat oczami ekspertów, czyli kulisy pracy w TÜV Rheinland Polska W roku 2017 świętowaliśmy jubileusz 20-lecia firmy w Polsce. Przy tej okazji powstał film na temat wartości TÜV Rheinland Polska, w którym pokazaliśmy codzienność naszych pracowników. W tamtym momencie było nas blisko trzysta osób, pod koniec lutego 2019 poziom zatrudnienia sięgnął rekordowej liczby czterystu pracowników. Wciąż trwają rekrutacje na wiele ciekawych stanowisk, których nazwy jak np. technical reviewer nie dla wszystkich są jasne. Czym zajmują się nasi eksperci? I na czym polega ich praca? Do odpowiedzi na te pytania zaprosiliśmy samych pracowników. W ogłoszeniach rekrutacyjnych można przeczytać między innymi „pracując w TÜV Rheinland Polska stale uczysz się czegoś nowego. Niezależnie od rodzaju wykonywanej pracy posiadasz dostęp do wiedzy oraz technologii, które pozwalają lepiej rozumieć otaczającą nas rzeczywistość”. Obietnica dotyczy wszystkich działów funkcjonujących w naszej firmie tj. działu certyfikacji systemów, działu certyfikacji wyrobów, działu szkoleń i certyfikacji osób, działu usług dla przemysłu, a także działu ekonomiczno-organizacyjnego. N A C Z Y M P O L E G A P R AC A E K S P E RTA TÜV RHEINLAND POLSKA

Mianem ekspertów określamy osoby, które posiadają uprawnienia, wiedzę oraz doświadczenie. Ekspertem w naszym rozumieniu będzie więc zarówno audytor, który odwiedza firmy sprawdzając zgodność systemów zarządzania z konkretną normą, będzie nim też rzeczoznawca, oceniający konstrukcje spawane, jak i pracownik laboratorium. Eksperci pracują także jako doradcy klienta, specjaliści ds. certyfikacji czy właśnie, wspomniani wyżej technical reviewerzy. CZYM ZAJMUJE SIĘ TECHNICAL REVIEWER

24

„Praca technical reviewera wymaga obowiązkowości, rzetelności i skrupulatności” – mówi Katarzyna Zbrzyzna, Specjalista ds. Certyfikacji w Sekcji Certyfikacji Systemów Zarządzania w Przemyśle Spożywczym (Technical Reviewerr w obszarze GLOBALG.A.P.) „To głównie sprawdzanie

dokumentacji poaudytowej pod kątem formalnym i merytorycznym na zgodność ze standardem. Największą zaletą tej pracy jest samodzielność i ciągły rozwój, wynikający z tego, że trzeba być na bieżąco z przepisami prawnymi i wymaganiami standardu. To co daje mi największą satysfakcję to możliwość poznawania od podszewki firm zajmujących się produkcją żywności pierwotnej oraz kontakt z audytorami, od których wiele się uczę” – dodaje. T R Z E B A BYĆ N A B I E Ż ĄC O

Podobnego zdania jest Anna Boczkowska, która także pracuje w Olsztynie jako Technical Reviewer standardu GLOBALG.A.P. „W tej pracy nie ma miejsca na rutynę. Każdy sprawdzany przeze mnie projekt jest inny, nasuwa inne wątpliwości, a zarazem motywuje do samokształcenia. Konieczna jest wnikliwość i spostrzegawczość, co przydaje się nie tylko w życiu zawodowym, ale także prywatnym” – tłumaczy. „Praca Technical Reviewera TRP wymaga ciągłego rozwoju, oraz podążania za nowymi trendami produkcji żywności. Nie wystarcza tu teoria, czy raz zdobyta wiedza. Każdy przypadek jest indywidualny, a przepisy prawne jak i wymagania standardu ulegają ciągłym zmianom. Jest to praca w dużej mierze samodzielna i odpowiedzialna, dla osób które nie lubią monotonii i mają wyobraźnię. Ważne jest, aby być otwartym na nowe rozwiązania, a zarazem rozważnym w ich analizie” – dodaje.

KO N TA K TY N A C A Ł Y M Ś W I E C I E

Dla Beaty Kraszewskiej, Audytora Wiodącego i Technical Reviewera IFS/BRC/ ISO 22000 zdobycie potrzebnych kwalifikacji było dużym wyzwaniem. Szkolenie na to stanowisko to kilkuetapowy proces: szkolenie za granicą oraz treningowe przeprowadzanie oceny dokumentacji z osobą posiadającą odpowiednie uprawnienia. Obecnie dokumentacja poaudytowa z innych zagranicznych biur w języku angielskim jest sprawdzana w biurze w Olsztynie (tak zwanej „lokalizacji krytycznej”, w której pracuję). „Dzięki tej pracy mam kontakty z innymi pracownikami biur i audytorami TÜV Rheinland na całym świecie, m.in. z Hiszpanii, Węgier, Bułgarii, Argentyny, Chile, Rumunii i wielu innych lokalizacji. Niezbędna jest więc dobra znajomość branżowego języka angielskiego. Ciekawe jest także poznawanie aspektów kulturowych, związanych z produkcją żywności w tych krajach. Na pewno nie mogę narzekać na nudę w pracy” – opowiada Beata Kraszewska. T RWA JĄC E R E K R U TAC J E

Dzięki różnorodności świadczonych usług i branż z jakimi współpracujemy, a także dzięki atmosferze sprzyjającej wymianie doświadczeń, pracownicy TÜV Rheinland Polska zyskują dostęp do wiedzy i „poznają świat oczami ekspertów”. Aktualne oferty pracy można znaleźć w zakładce Praca i kariera na stronie www.tuv.pl lub wpisując https://www.tuv.com/poland/pl/kariera/ Wspomniany film o naszych wartościach można zobaczyć na firmowym kanale youtube https://bit.ly/2HcZGLI

Agata Tynka – redaktor Magazynu Jakość, Specjalista ds. Public Relations TÜV Rheinland Polska Absolwentka Uniwersytetu Jagiellońskiego, na kierunku Dziennikarstwo i komunikacja społeczna ze specjalizacją public relations. Karierę zawodową rozpoczęła w 2004 roku pracą w agencji PR w Krakowie. Kolejne doświadczenia, w tym praca w wydawnictwie książkowym, przybliżały ją do celu zajmowania się słowem pisanym. W TÜV Rheinland Polska odpowiadam za tworzenie i realizację strategii komunikacji zewnętrznej oraz copywriting. Od 2011 roku redaguje magazyn Jakość.

25

Jakosc 01/2019

Najważniejsze wydarzenie branży wytwórców wyrobów medycznych W ciągu dwóch dni trwania V Forum Wymiany Doświadczeń dla Wytwórców Wyrobów Medycznych eksperci TÜV Rheinland podzielili się swoją wiedzą i wieloletnim doświadczeniem audytorskim. Bogaty program konferencji zawierał, jak zawsze, najistotniejsze zmiany przepisów i wymagań dla producentów aktywnych i nieaktywnych wyrobów medycznych. W wydarzeniu wzięli udział przedstawiciele wielu polskich firm, zajmujących się produkcją wyrobów medycznych. Duże zainteresowanie uczestników konferencji wzbudziły nowe wymagania Medical Device Regulation 2017/745 (MDR).

26

w konferencji aktywny udział wziął także ekspert z TÜV Rheinland Brazil, Vagner Rodrigo de Souza Lima, który zaprezentował wymagania dla wyrobów medycznych na rynku Brazylijskim.

Temat szczegółowo omówił Daniel Świątko, Regional Business Field Manager Medical Europe TÜV Rheinland.

Uczestnicy konferencji chwalili dużą wiedzę ekspertów, to dzięki niej już po raz piąty tak licznie przybyli, aby podyskutować o swoich doświadczeniach.

Dwudniowy program Forum wypełniony był wystąpieniami ekspertów jednostki notyfikowanej. Poza pracownikami polskiego oddziału TÜV Rheinland

Relację wideo z wydarzenia można zobaczyć na kanale youtube TÜV Rheinland Polska https://www.youtube.com/user/ tuvrheinlandpolska

27

Jakosc 01/2019

Zabawki kupuj wszystkimi zmysłami, nawet te inteligentne – apeluje TÜV Rheinland Trendy w zakresie bezpieczeństwa i jakości zabawek były tematem prezentacji prowadzonych na stoisku TÜV Rheinland na Międzynarodowych Targach Zabawek, które odbyły się w lutym 2019 w Norymberdze. Główny nacisk położono na bezpieczeństwo zabawek inteligentnych, nowe rozwiązania w zakresie norm, w tym mechaniczne testy zabawek oraz certyfikację zabawek na rynki międzynarodowe.

28

Wiodącym tematem targów były zabawki inteligentne (smart toys). Pod pojęciem „inteligentne” kryją się wszystkie te zabawki, które mogą być podłączone do Internetu i w ten sposób oferują nowe lub dodatkowe możliwości zabawy. Z punktu widzenia TÜV Rheinland jedną z konsekwencji wprowadzenia takich zabawek jest to, że producenci muszą spojrzeć na kwestię bezpieczeństwa z nowej, bardziej kompleksowej perspektywy. „Także rodzice, którzy chcą podarować swoim dzieciom zabawkę podłączoną do w sieci, powinni zwrócić szczególną uwagę na ochronę danych”, mówi Günter Martin, ekspert ds. Internetu Rzeczy w TÜV Rheinland. Jego podstawowa zasada brzmi: „Zawsze nadawaj bezpieczne hasło”.

zabawek z własnymi laboratoriami w Ameryce, Azji i Europie uważa, iż konsumenci powinni zwracać uwagę nie tylko na cenę, ale także na jakość, trwałość wykonania, wartość edukacyjną i bezpieczeństwo zabawki.

Z W R AC A J U WAG Ę N A W Y KO N A N I E

Takie znaki testowe przyznawane są dopiero po pomyślnym przejściu testu laboratoryjnego. Ponadto firmy produkcyjne poddawane są dokładnej kontroli przez inspektorów. Testy obejmują szeroki zakres aspektów bezpieczeństwa, w tym na przykład bezpieczeństwo elektryczne lub możliwe zanieczyszczenia. Uwzględniane są również kontrole mechaniczne lub badania palności zabawek miękkich.

Niezależnie od tego, czy zabawka jest w pełni analogowa, czy podłączona do sieci internetowej - eksperci TÜV Rheinland zalecają aby kupować przede wszystkim za pomocą wszystkich zmysłów. Alicja Lisowska-Kęcik, ekspert ds. testowania zabawek w TÜV Rheinland Polska: „Ostre naroża i krawędzie lub luźne części są nie tylko irytujące, ale mogą być także niebezpieczne”. Należy pamiętać, że informacje o producencie lub importerze muszą być wymieniony na opakowaniu lub produkcie. Jeśli tego brakuje lub jeśli opisy nie są podane w języku polskim, lepiej takiej zabawki nie kupować. TÜV Rheinland, jako jeden z wiodących instytutów badawczych

D O DAT KOW E O Z N A KO WA N I E P R O D U K TÓ W P O M AG A W I D E N TY F I K AC J I

Ponadto prawie dwie trzecie wszystkich konsumentów poszukuje przy zakupie znaków testowych niezależnych organizacji badawczych. Takie znaki to m.in. GS dla „przetestowanego bezpieczeństwa” lub specjalne znaki TÜV Rheinland dla badania zawartości substancji szkodliwych, jak również znak jakości LGA (bezpieczeństwo, użyteczność).

I N T E L I G E N T N E Z A B AW K I I B E Z P I E C Z E Ń ST WO DA N YC H

Czasy popularności klocków i drewnianych pociągów nie dobiegły jeszcze końca, jednak digitalizacja wpłynęła także na rynek zabawek. Nowe trendy

to inteligentne zabawki – lalki, przytulanki czy roboty podłączone do Internetu. Mogą komunikować się z dziećmi, odpowiadać na pytania, przyjmować polecenia i przekazywać wiadomości głosowe od rodziców. Inteligentne zabawki pamiętają urodziny, imiona i zainteresowania i są połączone ze smartfonami poprzez aplikacje. Inteligentne zabawki mogą być pedagogicznie cenne w przygotowaniu młodego pokolenia do świata cyfrowego - pod warunkiem, że rodzice i inni nabywcy mają na uwadze kilka rzeczy. B E Z P I E C Z E Ń ST WO DA N YC H

Inteligentne zabawki pociągają za sobą dwa rodzaje ryzyka w zakresie ochrony danych: z jednej strony są hakerzy, którzy mogą mieć dostęp do niezabezpieczonych urządzeń i w ten sposób komunikować się z dziećmi lub kraść dane. Z drugiej strony są producenci i dostawcy, którzy mogą wykorzystywać uzyskane dane do celów, dla których nie są one przeznaczone. Chcąc w jak największym stopniu zapobiec takim nadużyciom, należy zagwarantować wysoki poziom ochrony i bezpieczeństwa danych. Eksperci TÜV Rheinland przedstawili dwa certyfikaty, którymi mogą kierować się konsumenci: „Protected Privacy IoT Product”, który polega na przykład, na ocenie zabawki i sposobu przekazywania przez nią danych; „Protected Privacy IoT Service” oznacza bezpieczną obsługę danych przez producenta.

I N T E L I G E N T N E Z A B AW K I A R O D O

Wraz z europejskim rozporządzeniem o ochronie danych (RODO), prawodawcy w Europie ustanawiają nowe standardy ochrony prywatności. Klienci mogą teraz żądać od dostawców produktów usunięcia wszystkich danych osobowych. Jeżeli nie są one zgodne z nowymi wymogami, mogą zostać nałożone surowe grzywny i sankcje. Chociaż większość branż już stosuje się do nowych wytycznych, rodzice powinni być świadomi, kiedy kupują zabawki. Na przykład w dokumentacji produktu lub na stronie internetowej producenta powinny znajdować się oświadczenia dotyczące ochrony danych: gdzie i jak długo będą przechowywane dane? Kto jest za nie odpowiedzialny? TÜV Rheinland doradza również użytkownikom, aby upewnili się, że mogą wylogować się z aplikacji i że połączenie Bluetooth pomiędzy smartfonem i zabawką działa tylko z potwierdzeniem obu urządzeń. Na przykład, jeśli w aplikacji nie można ustawić hasła, zabawka nie powinna być w ogóle używana.

29

Jakosc 01/2019

ZASADY ZAKUPU ZABAWEK WEDŁUG TÜV RHEINLAND

Według ekspertów TÜV Rheinland przy zakupie zabawek należy przestrzegać następujących zasad:

•

Kupuj zabawki wyłącznie ze sprawdzonych źródeł, na które można składać skargi.

•

Kontrola wzrokowa: wszystkie napisy, ostrzeżenia i instrukcje obsługi muszą być kompletne i sporządzone w języku polskim. Na przykład producent lub importer musi być identyfikowalny. Jest to konieczne w przypadku uszkodzenia lub reklamacji.

•

•

•

•

Oznakowanie CE musi być umieszczone na produkcie lub opakowaniu. W ten sposób producent sam oświadcza, że jego produkt jest zgodny z przepisami obowiązującymi w UE. Znak CE nie jest znakiem testowym niezależnego ośrodka badawczego. Dodatkowe znaki kontrolne TÜV Rheinland lub LGA zapewniają większe bezpieczeństwo przy zakupie. Dobrze znany jest znak GS dla sprawdzonego bezpieczeństwa, testowana jakość LGA (jakość, przydatność do użytku) lub specjalne znaki dla testowania substancji szkodliwych. Na znaku TÜV Rheinland lub LGA znajdują się indywidualne numery. Na platformie internetowej Certipedia pod adresem www.tuv.com można w każdej chwili sprawdzić, co zostało przetestowane na produkcie. Kluczowe terminy, takie jak „przetestowane na obecność substancji szkodliwych” również dostarczają informacji na ten temat. Zabawki dla dzieci powyżej 3 roku życia mogą wymagać ostrzeżenia „Nie nadaje się dla dzieci poniżej 3 roku życia”. To lub inne ostrzeżenia, jak również informacje o zamierzonym wieku powinny być zawsze sprawdzane przy zakupie.

•

Kontrola dotykowa: Weź zabawkę do ręki i poczuj ostre kąty i krawędzie. Metalowe części mogą prowadzić do skaleczeń. Jeśli zwraca się uwagę na jakość wykonania przy zakupie, można wyciągnąć wnioski na temat ogólnej jakości zabawki.

•

Małe części mogą być łatwo połknięte przez dzieci. Oczy, przyciski i tym podobne muszą być mocno przymocowane tak, aby nie poluzowały się podczas zabawy.

•

Jeśli zabawka ma wyraźny zapach, należy zachować ostrożność. Dzieci są wrażliwe na zapachy dużo bardziej niż dorośli. Może to także świadczyć o zawartości szkodliwych substancji.

•

Plusz: zwróć uwagę, czy zabawki tekstylne można prać lub przynajmniej myć. Jeśli to możliwe, umyj zabawkę przed pierwszym użyciem.

•

Drewno: drewno lite jest mniej ryzykowne niż drewno laminowane lub płyta wiórowa, ponieważ nie zawiera kleju. Powłoki kolorowe powinny być odporne na ślinę i pot.

•

Zwróć uwagę na produkty wypełnione płynem - na przykład gumowe kulki, zabawki te muszą być wystarczająco trwałe, aby ich zawartość nie była dostępna podczas zabawy. Regularnie sprawdzaj zabawki. Dotyczy to również zabawek z innymi materiałami wypełniającymi.

•

Wszystko, co wydaje dźwięk, powinno zachęcać do podsłuchiwania i bliższego słuchania. Uszy dziecka są wrażliwe, dlatego ważne jest, aby zwrócić uwagę na głośność zabawki.

W TÜV Rheinland Polska badaniami i certyfikacją zabawek zajmuje się Laboratorium Badawcze w Wieliczce. Więcej informacji można uzyskać pod adresem https://www.tuv.com/poland/pl/zabawki.html

30

31

Jakosc 01/2019

Jak nie zginąć w cyfrowym świecie? Przy codziennym korzystaniu w dobrodziejstw Internetu narażamy się jednocześnie na ryzyko przypadkowego pobrania złośliwego kodu, który może doprowadzić do utraty cennych informacji. Marcin Pieleszek, autor książki „Bądź bezpieczny w cyfrowym świecie” w rozmowie z redakcją zwraca uwagę na podstawowe kwestie bezpieczeństwa w sieci. Przede wszystkim: korzystając z usług w sieci musimy uważać komu i w jaki sposób, powierzmy nasze hasła. Książka „Bądź bezpieczny w cyfrowym świecie” to, zgodnie z podtytułem, poradnik bezpieczeństwa IT dla każdego. Dlaczego uznał Pan, że taka książka jest potrzebna? M a r c i n P i e l e s z e k | Współcześnie każdy użytkownik technologii jest narażony na potencjalne zagrożenia czy staje się wręcz obiektem ataku. Stąd podtytuł książki. Prawie codziennie dostajemy maile od przestępców, w których „czekają” na nas niezwykłe „okazje”, również niezapłacone „faktury” za usługi i inne „niespodzianki”. Są to tzw. przestępcze wezwania do akcji w wyniku, których możemy uruchomić złośliwe oprogramowanie. Codziennie serfujemy po Internecie, może się zdarzać, że wejdziemy na strony o wątpliwej reputacji i stamtąd pobierzemy złośliwy kod. Wchodząc na stronę banku powinniśmy widzieć jak dokonać prostej weryfikacji czy jest z nią wszystko w porządku. Korzystając z usług w sieci musimy uważać komu i w jaki sposób, powierzmy nasze hasła. To tylko niektóre z fundamentalnych zagadnień jakie poruszam w książce.

32

Kolejne rozdziały książki przybliżają czytelnikom zagrożenia związane z ich obecnością w sieci, niezależnie czy korzystają ze smartfona czy z laptopa. Czy istnieją badania, które pokazywałyby statystyki dotyczące cyber ataków na osoby prywatne? Czy możemy mówić o zjawisku na masową skale czy to wciąż nagłaśniane przez media pojedyncze przypadki? M P | Oczywiście istnieją badania, które pokazują rosnącą skalę przestępstw popełnianych w sieci. Banki i inne instytucje ostrzegają swoich klientów, również w dość kosztowych kampaniach medialnych. Pojawią się informacje o wyciekach danych z firm i instytucji.

Przykładowo według raportu firmy Symantec w 20 badanych krajach, internetowi złodzieje skradli tylko w 2017 roku 172 biliony dolarów, a skala złych zjawisk rośnie, wraz z ekspansją technologii na nowe obszary naszego życia. W mediach są nagłośniane tylko pojedyncze przypadki, najbardziej spektakularnych przestępstw, zwykle dotyczących znanych na rynku firm. Porozmawiajmy o bankowości internetowej i systemach zabezpieczających. W książce podaje Pan przykłady ataków nie tyle na same systemy bankowe co na ich klientów. Czy to znaczy, że bezpieczeństwo naszych pieniędzy zależy wyłącznie od nas samych? M P | Bezpieczeństwo korzystania z technologii, zależy w znacznej mierze od świadomości jej użytkowników. Zdecydowanie łatwiej zaatakować klienta banku na jego komputerze, np. poprzez spreparowanego maila lub stronę, która tylko udaje bank, niż instytucję finansową gdzie często 24 godziny na dobę, monitoruje się ewentualne negatywne symptomy w infrastrukturze. Trzeba również pamiętać, że banki oferują nam dodatkowe zabezpieczenia których konfiguracja zależy od nas np. limity transakcji na kartach i koncie, dodatkowe zabezpieczenia logowania do konta itd. Bank za nas nie przejrzy ustawiań konta i nie zadecyduje o mniej lub bardziej radykalnych rozwiązaniach lub o wyborze specjalnej karty tylko do płatności w sieci. W jednym z rozdziałów udowadnia Pan czytelnikom, że smartfon to też komputer. Czy użytkownik, który nie korzysta z Internetu na telefonie może czuć się bezpieczny? M P | Dziś trudno sobie wyobrazić użytkowanie smartfona bez korzystania

z sieci czy aplikacji, które łączą się z siecią. Popularność aplikacji mobilnych nieustannie rośnie. Ale znowu ważna jest świadomość, że zagrożenia na tym urządzaniu są podobne do tych na komputerze stacjonarnym czy mobilnym oraz przynajmniej podstawowe narzędzia ochrony. Tak zwany zwykły telefon może być np. wykorzystywany do realizacji przelewów na większe kwoty w firmie i wtedy powinno być to urządzanie dedykowane tylko do realizacji zadań finansowych. Ale i tu trzeba pamiętać, że SMS może zawierać link, który jeżeli otworzymy na komputerze może stać się również źródłem problemów. Do korzystania nawet z bardzo prostego urządzenia też jest potrzebna świadomość zagrożeń, straty finansowe mogą zacząć się również od rozmowy telefonicznej („korzystnej oferty”, prośby o login i hasło) lub oddzwonienia na międzynarodowy numer, z czym będą wiązać się wysokie opłaty. Na koniec zapytam jeszcze o osławione RODO. Rozporządzenie wielu osobom spędziło sen z powiek, nadal jego interpretacja zależy w dużej mierze od polityki firmy. Jaki wpływ, Pana zdaniem, ten dokument może mieć na kwestie naszego bezpieczeństwa w cyfrowym świecie? M P | Przepisy RODO i medialny szum wokół nich, zwróciły uwagę na kwestie bezpieczeństwa danych osobowych. I to jest znaczna korzyść. Praktyczna ochrona danych w firmach zależy przede wszystkim od konsekwentnie wdrażanych i przestrzeganych przez ludzi procedur (również w oparciu o te przepisy) oraz wdrażanych technologii. Dla mniejszych podmiotów mogą być przydatne miedzy innymi te wskazane w mojej książce.

Marcin Pieleszek – specjalista od bezpieczeństwa systemów z ponad 20-letnim stażem, certyfikowany trener Microsoftu, wykładowca akademicki, przedsiębiorca i inwestor, współautor Biblii e-biznesu 2. Absolwent Politechniki Wrocławskiej. Swoją drogę zawodową związał z technologiami IT. Przez kilka lat prowadził własną firmę w zakresie doradztwa IT w małych firmach oraz obsługi kas fiskalnych. Pracował jako informatyk, a następnie inżynier systemowy (autoryzacja Microsoftu) dla dużej grupy kapitałowej. Jego wielką pasją jest dzielenie się wiedzą. Posiada blisko dwudziestoletnie doświadczenie w zakresie prowadzenia różnego rodzaju programów edukacyjnych na różnych szczeblach kształcenia. Jest autoryzowanym trenerem technologii Microsoft. Wykłada na uczelniach biznesowych. Publikuje również na blogu www.pieleszek.pl.

33

Wpisz hasło 1

2

3

4

5

6

7

8

9

10

24

25

26

27

28

29

30

31

32

33

Poziomo

3. nazwa platformy z aktualnymi certyfikatami wydanymi przez TÜV Rheinland 6. inaczej punkt widzenia 10. to niedocenione zagrożenie dla bezpieczeństwa danych 13. adres URL należy zawsze … 16. ich bezpieczeństwo jest tematem normy ISO 27001 17. takie są m.in. ataki phishingowe 18. taki powinien być zintegrowany system bezpieczeństwa fizycznego 19. jest nim GS lub LGA 20. szacownie ryzyka pomaga uniknąć …

34

11

12

13

Pionowo

14

15

16

17

1. mieli swój system 9 szlachetnych cnót 2. np. maszynowa 4. ich ochrona jest szczególnie istotna dla firm 5. inaczej wprowadzenie w życie 7. inaczej branża 8. trzeba o nie dbać 9. może dotyczyć problemu 11. często na niej bazują hakerzy 12. są tematem filmu jubileuszowego TÜV Rheinland Polska 14. jej wysoki poziom można uzyskać dzięki szkoleniom 15. Rozporządzenie Ministra… nakłada wprost obowiązek posiadania i utrzymywania SZBI wg ISO?IEC 27001

18

19

20

21

22

23

Do wygrania: •

Bądź bezpieczny w cyfrowym świecie

autorstwa Marcina Pieleszka ufundowane przez wydawnictwo Helion (www.onepress.pl), • 3 kubki TÜV Rheinland. Litery z pól oznaczonych kolorem tworzą hasło krzyżówki. Hasło prosimy przesłać mailem na adres redakcja@pl.tuv.com do 31 maja 2019 roku.

Biorąc udział w konkursie, zgadzam się na przetwarzanie danych w celach udziału w konkursie. Administratorem danych osobowych osób uczestniczących w konkursie jest TÜV Rheinland Polska Sp. z o.o. ul. Komitetu Obrony Robotników 56, 02-146 Warszawa. Dane będą przetwarzane na podstawie art. 6 ust 1 lit a RODO, za zgodą Uczestników. Dane nie będą przekazywane innym podmiotom. Dane będą przechowywane do czasu rozstrzygnięcia konkursu. Są podane są dobrowolnie, lecz są konieczne do uczestnictwa w konkursie. Osoby biorące udział mają prawo dostępu do swoich danych osobowych, sprostowania, sprzeciwu wobec przetwarzania, usunięcia lub ograniczenia, prawo do przenoszenia danych oraz wniesienia skargi do organu nadzorczego. Zgoda osób może być odwołana w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania. Dane inspektora ochrony danych osobowych: Adam Piątek, adam.piatek@tuv.pl, adres korespondencyjny: TÜV Rheinland Polska Sp. z o.o. ul. Wolności 327, 41-800 Zabrze.

Jakosc Zapisz się na roczną, bezpłatną prenumeratę drukowanej Jakości Imię Nazwisko Firma Stanowisko Adres do wysyłki Skan lub zdjęcie wypełnionego formularza z tej strony prosimy przesłać na adres redakcja@pl.tuv.com lub faksem na numer +48 32 271 64 88.

Aby otrzymywać newsletter z Jakością w formie elektronicznej, prosimy wypełnić formularz pod linkiem: bit.ly/2OaI6Jm Administratorem Pani/Pana danych osobowych jest TÜV Rheinland Polska Sp. z o.o. z siedzibą w Warszawie 02-146 przy ulicy Komitetu Obrony Robotników 56, wpisana do Rejestru Przedsiębiorców Krajowego Rejestru Sądowego w Sądzie Rejonowym dla m. st. Warszawy w Warszawie XIII Wydział Gospodarczy Krajowego Rejestru Sądowego, KRS: 0000081930, REGON: 010422615. Kontakt inspektora ochrony danych: adam.piatek@tuv.pl. Przetwarzanie Pani/Pana danych osobowych odbywać się będzie na podstawie art. 6 ust 1 lit a RODO w celu realizacji prenumeraty magazynu. Pani/Pana dane nie będą przekazywane innym odbiorcom. Pani/Pana dane osobowe nie będą przekazywane do państwa trzeciego/organizacji międzynarodowej. Pani/Pana dane osobowe będą przechowywane przez okres trwania prenumeraty do czasu zakończenia jej realizacji lub odwołania Pani/Pana zgody. W związku z przetwarzaniem Pani/Pana danych osobowych, przysługują Pani/Panu następujące prawa: prawo dostępu do treści swoich danych osobowych, sprostowania, uzupełnienia, usunięcia, ograniczenia przetwarzania danych, wniesienia sprzeciwu wobec ich przetwarzania, przenoszenia danych, prawo do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, wniesienia skargi do organu nadzorczego. Podanie przez Panią/Pana danych osobowych jest konieczne do realizacji prenumeraty. Pani/Pana dane osobowe nie będą przetwarzane w sposób zautomatyzowany i nie będą profilowane.

2019/01

NDT Days TÜV Rheinland Polska 28-30 maja 2019, Boutique Hotel’s, Łódź Zarejestruj się na: www.ndt-days-2019.syskonf.pl