Podczas Business Sync Hub Tomasz Matuła (prowadzący), Łukasz Kuflewski z Cloudware Polska, Grzegorz Chmielecki ze Stadler Polska, Jacek Niedziałkowski z IBM oraz Jarosław Bielak z SailPoint rozmawiali o zarządzaniu tożsamościami w świecie, w którym niemal każda organizacja funkcjonuje w modelu hybrydowym. Chmura prywatna, publiczna, SaaS, on‑premise, praca zdalna i setki integracji sprawiły, że liczba tożsamości – ludzkich i maszynowych – wymknęła się prostym schematom sprzed kilku lat.
Od IAM silosów do „identity fabric”
Jak podkreślił Łukasz Kuflewski, klasyczne, scentralizowane systemy IAM, wdrażane dekadę temu, przestały wystarczać w realiach chmury i SaaS. Każda większa organizacja ma dziś:
- tożsamości w systemach on‑premise,
- konta w chmurach publicznych,
- użytkowników i role w aplikacjach SaaS,
- setki kont technicznych, API, workloadów i kontenerów.
Każdy z tych obszarów ma swój własny mechanizm zarządzania dostępem. Efekt? Świat tożsamości jest rozproszony, a „centralny IAM” widzi tylko część rzeczywistości. Odpowiedzią na to jest koncepcja identity fabric – warstwy, która nie zastępuje lokalnych mechanizmów, ale je scala.
Identity fabric ma być:
- centralnym miejscem, z którego da się spojrzeć na wszystkie tożsamości i uprawnienia,
- punktem, gdzie tworzy się spójne polityki i standardy,
- „kręgosłupem” dla IAM, IGA, PAM, ISPM i ITDR w środowisku hybrydowym.
To powrót do idei centralizacji, ale z uwzględnieniem faktu, że systemy są rozproszone i zmieniają się dynamicznie.
IAM, wygoda i bezpieczeństwo – jak to pogodzić?
Jacek Niedziałkowski zwrócił uwagę, że w praktyce wiele firm chce wdrożyć IAM, ale… „tak, żeby nic nie zmieniać” i nie pogorszyć wygody użytkowników. Tymczasem praca z tożsamościami to fundament cyberbezpieczeństwa: chodzi o to, kto, do czego i na jakich zasadach ma dostęp.
Kilka ważnych obserwacji:
- tożsamość to nie tylko pracownik, ale także klient, kontraktor, zewnętrzny administrator, konto serwisowe i aplikacja,
- dostęp (posiadanie konta) to coś innego niż uprawnienia (co można zrobić po zalogowaniu),
- w dużych organizacjach analizy często ujawniają tysiące kont należących do osób, które już nie pracują, oraz „osierocone” konta serwisowe, o których nikt nie pamięta.
Wdrożenie IAM powinno być okazją do:
- przeglądu procesów (onboarding, zmiana roli, offboarding),
- „role mining” i recertyfikacji uprawnień – ograniczania nadmiarowych dostępów,
- uporządkowania ról i modeli uprawnień, zamiast „doklejania” kolejnych wyjątków.
Jak podkreślił Jacek, atakujący coraz częściej logują się, zamiast się włamywać – wykorzystują skradzione lub zaniedbane tożsamości. Dlatego nie wystarczy „kliknąć” nowego systemu, trzeba też mieć odwagę posprzątać stare uprawnienia i procesy.
Produkcja, OT i kultura bezpieczeństwa
Grzegorz Chmielecki, CIO Stadler Polska, wniósł perspektywę środowisk przemysłowych – z systemami SCADA, PLC, liniami produkcyjnymi i infrastrukturą kolejową. Tutaj zarządzanie tożsamościami dotyczy nie tylko aplikacji biurowych, ale i środowisk, od których zależy bezpieczeństwo fizyczne.
Priorytetem jest:
- identyfikacja informacji, które naprawdę trzeba chronić,
- zrozumienie, kto i z jakich systemów korzysta,
- segmentacja sieci i częsty przegląd zachowań użytkowników.
Grzegorz podkreślił, że najsłabszym ogniwem często okazuje się offboarding. Jeśli proces odejścia pracownika nie jest dobrze ułożony, w systemach zostają martwe konta – czasem z dostępem do krytycznych danych. Równie ważne jest budowanie kultury bezpieczeństwa wśród kadry zarządzającej, tak aby nadmiarowe „wyjątki” i obchodzenie procedur nie stały się normą.
Widoczność i governance: IGA w praktyce
Jarosław Bielak z SailPoint skupił się na roli rozwiązań Identity Governance and Administration (IGA). Podkreślił, że podstawą jest widoczność: nie da się zarządzać czymś, czego nie widać.
To dotyczy:
- pracowników, kontraktorów, stażystów, studentów, osób na B2B,
- tożsamości maszynowych, botów, agentów AI, kont API i workloadów.
Wdrożenie IGA warto zacząć od odpowiedzi na kilka pytań:
- co organizacja chce osiągnąć – tylko compliance, czy realne bezpieczeństwo,
- jak to wpisuje się w szerszą strategię IT i bezpieczeństwa,
- kto będzie właścicielem procesów i danych o uprawnieniach.
IGA daje narzędzia do:
- regularnej certyfikacji dostępu,
- angażowania menedżerów i właścicieli systemów w proces potwierdzania uprawnień,
- porządkowania ról i minimalizowania nadmiarowych dostępów.
Bez tego nawet najlepsza technologia IAM nie zapewni skutecznej ochrony – będzie tylko „ładną listą” dostępów, na które nikt nie patrzy.
Rekomendacje ekspertów na 2026 rok
Na zakończenie panelu każdy z prelegentów wskazał jedną rzecz, którą warto zrobić, aby poprawić zarządzanie tożsamościami i cyberodporność organizacji:
- Łukasz Kuflewski (Cloudware Polska)
Połączyć dwie perspektywy: Identity Security Posture Management (ISPM) – czyli ciągłą ocenę „stanu zdrowia” tożsamości i uprawnień, oraz Identity Threat Detection and Response (ITDR) – wykrywanie, czy ktoś już próbował wykorzystać luki w tożsamościach. - Grzegorz Chmielecki (Stadler Polska)
Postawić na edukację i świadomość użytkowników. Im bardziej ludzie rozumieją konsekwencje swoich działań, tym mniej błędów popełniają. - Jacek Niedziałkowski (IBM)
Nie odkładać myślenia o bezpieczeństwie „na później”. Najpierw zdefiniować problemy i luki, a dopiero później dobierać narzędzia. Zadawać sobie regularnie niewygodne pytania: gdzie mamy podatności, które konta są naprawdę potrzebne, co się stanie, gdy któraś tożsamość zostanie przejęta. - Jarosław Bielak (SailPoint)
Zrobić szczery rachunek sumienia z dojrzałości w obszarze tożsamości. Rozmawiać z innymi organizacjami, uczyć się z ich doświadczeń, a szczególnie edukować osoby odpowiedzialne za certyfikację uprawnień – bo to one są ostatnią linią obrony.
Jak celnie zauważył na koniec Grzegorz, skoro największe globalne firmy padają ofiarą spektakularnych wycieków danych, warto zadać sobie pytanie: w jakim stanie są zabezpieczenia mniejszych organizacji z mniejszymi budżetami? To pytanie, które dobrze zostawić sobie na refleksję po lekturze.
