Czy zdarzyło Ci się kiedyś wejść na podejrzaną stronę internetową lub stracić dostęp do swojego konta?
A może niespodziewanie musisz dopłacić do przesyłki, na którą czekasz?
Rolą specjalistów od cyberbezpieczeństwa jest zapobieganie tego typu sytuacjom. Wojciech Ciemski, Ekspert naszego najnowszego odcinka Call for Tech, w rozmowie z Dominikiem Jurkiem & Piotrem Jurkiem, podzielił się swoją wiedzą na temat cyberbezpieczeństwa. Obejrzyj wywiad lub przeczytaj transkrypcję, aby dowiedzieć się:
Jakie cyberzagrożenia będą popularne w najbliższych miesiącach?
Czy trzeba mieć certyfikaty, żeby dostać pierwszą pracę?
Jaki jest najlepszy sposób na weryfikację kompetencji kandydatów?
Miłego oglądania/czytania!
Wojtku, czy mógłbyś nam się przedstawić i powiedzieć, czym się zajmujesz na co dzień?
Nazywam się Wojciech Ciemski. Obecnie jestem konsultantem do spraw cyberbezpieczeństwa, aczkolwiek tutaj muszę to zaznaczyć, że będę raczej mówił o swoim podejściu i o podejściu jakiegokolwiek z moich obecnych, czy byłych pracodawców. Prowadzę serwis Security Bez Tabu, gdzie pomagamy osobom, które chcą wejść w IT, ale też o tych które również już w tym są, żeby zwiększyć ich świadomość odnośnie cyberbezpieczeństwa, zwiększyć ich wiedzę, jak również pokazać im, jakich narzędzi mogą użyć. Wyszło to z tego, że sam kilka lat temu miałem problemy, poszukując wiedzy o cyberbezpieczeństwie, zwłaszcza po polsku.
Według Światowego Forum Ekonomicznego brakuje 3 milionów specjalistów do spraw cyberbezpieczeństwa. Czy myślisz, że tym osobom młodym jest trochę łatwiej dzisiaj wejść w ten rynek?
Myślę, że tak. O wiele, wiele łatwiej. To wynika moim zdaniem z dwóch rzeczy. Po pierwsze dużo łatwiej jest potencjalnemu atakującemu wykorzystać jakiś gotowy skrypt, gotowe narzędzie, gotowy framework do tego, żeby zaatakować organizacje. Czy to będzie phishing, czy to będzie jakiś bardziej kierowany phishing, czy to będą jakieś botnety. Czasami można powiedzieć, że taki typowy atakujący – jak pokazywały historie rosyjskich hakerów – nie musi mieć wiedzy stricte technicznej. Ma po prostu pomysł i narzędzia. I teraz to jest pierwsza rzecz, że tych ataków jest coraz więcej. Zwiększa się świadomość organizacji, że to po prostu jest w sieci, jest więcej ludzi, łatwiejsza dostępność do technologii, więcej incydentów, więcej ludzi jest potrzebne. Po drugie u nas w Polsce, dwa albo trzy lata temu, weszła ustawa o krajowym systemie cyberbezpieczeństwa. Teraz każdy operator usług kluczowych powinien posiadać swój własny lub angażować SOC (Security Operations Center). Taka młoda osoba, nawet bez doświadczenia, takiego praktycznego, ma szansę na wejście w świat cyberbezpieczeństwa. Może to być jej pierwsza styczność z IT, więc tych miejsc pracy moim zdaniem będzie tylko więcej.
Z jednej strony powiedziałeś, że łatwiej jest troszeczkę wejść w ten rynek, bo jeżeli ktoś ma pomysł i narzędzia, to jest w stanie to zrobić, a z drugiej strony jest jej troszkę ciężej, bo też po stronie defensywnej jest większa świadomość takich ryzyk.
Tak, aczkolwiek tutaj wchodzimy niestety w taką smutną rzeczywistość, że mówimy o dużych firmach, które mają bogatą świadomość i oczywiście obecnemu specjaliście IT już trudno mówić, o administratorze czy o programiście, który w ogóle nie interesuje się bezpieczeństwem, czy też jeżeli mówimy o jakichś większych produktach, które nie mają jakiegoś przynajmniej jednego testera.
Całe szczęście, że to się zmienia. Jest bardzo wiele firm. Trzeba pamiętać, że większość firm, chociażby w naszym kraju, to są mikrofirmy, to są mini firmy, które nie mają pomysłu albo po prostu nie mają budżetu na to, żeby takie rozwiązania wprowadzać. I wtedy taki phishing może być dla nich po prostu tragiczny w skutkach.
Czy to osoby prywatne? No, nie oszukujmy się, że niestety większość ofiar tych cyberprzestępstw to będą osoby, które nie są techniczne. I tutaj też, powiedzmy to jest ta misja, żeby nawet jeżeli mówimy o rzeczach takich podstawowych, to żeby o tym po prostu mówić cały czas.
A powiedz jakie umiejętności powinien posiadać taki specjalista do spraw cyberbezpieczeństwa? Czy powinien jakiś język programowania znać?
I to jest w ogóle fajne pytanie, bo one się gdzieś tam pojawiają. Na swoich wystąpieniach też poruszałem to jako, pewien mit, jeżeli chodzi o same języki programowania. Cyberbezpieczeństwo w tej chwili jest podzielone na tyle sfer, że programowanie nie jest wymagane. Zawsze jest dobrze nauczyć się programowania, bo programowanie jest przyszłością. Jeżeli ktoś by się zastanawiał, jaki język miałbym mu doradzić, to bym doradził mu Pythona, ponieważ będzie najbardziej uniwersalny. Jeżeli bardziej będzie go interesował governance i audyt, nie natknie się w ogóle na programowanie, jeśli będzie go interesowała administracja serwerami i będzie chciał je zabezpieczać, czy zabezpieczać jakieś endpointy nie dotknie tego programowania. Jeżeli będzie miał coś związanego z kodem, z aplikacjami, to prawdopodobnie zmusi go do tego rynek i jego obowiązki, które ma, natomiast nie jest to obligatoryjne.
Jeżeli miałbym wskazać takie umiejętności, które w tej chwili będą potrzebne, czy wymagane, to trochę odwrócę pytanie. Jakie ja widzę najczęstsze błędy wśród osób, które dziś mnie pytają i z którymi rozmawiałem – to jest to, że nie odrobili pracy domowej, czyli jak ja to mówię, nie zrobili podstaw, bo pomimo tego, że możemy się wyćwiczyć w czytaniu czy patrzeniu na to, jakie alerty wyskakują z narzędzi, czerwona lampka itd., to jeżeli my nie wiemy, jak działa sieć, co się w tej sieci dzieje, a w tej chwili wszystko jest podłączone do sieci – co to jest protokół? Co to jest port? I tak dalej i tak dalej, takie naprawdę podstawowe rzeczy, ale żeby je po prostu rozumieć – to się na nas prędzej czy później zemści i przyjdzie do nas problem, którego nie jesteśmy w stanie rozwiązać, obsłużyć narzędzi i nie będziemy w stanie zinterpretować, co się w zasadzie wydarzyło. I pójście wyżej, gdziekolwiek dalej byśmy chcieli w swojej karierze, czy na jakiekolwiek wyższe stanowisko – to też będzie zaraz potrzeba. Ja bym wyróżnił podstawy systemów operacyjnych od strony administracyjnej, ze względu na to, czy to będzie Windows, czy Linux – wybierzcie sobie, język programowania nie jest obligatoryjny, podstawy sieci, no i znajomość angielskiego. Bo powiedzmy, nawet jeżeli nie chodzi o to, że po polsku źródeł nie ma, bo jest ich coraz więcej, co mnie bardzo cieszy, natomiast zgłaszanie ticketów do supportu, czytanie dokumentacji technicznej od producenta jest w języku angielskim i będzie w języku angielskim. To się nie zmieni.
Wojtku, gdzie warto szukać informacji, a raczej czego unikać? Co byś doradził nowej osobie? Jak bardzo też Twoja książka „Wejść w BlueTeam”, może takiej osobie pomóc?
Ja staram się, żeby w mojej książce „Wejść w BlueTeam” – no właśnie, wprowadzić tą osobę w BlueTeam, czyli znajdzie tam podstawy bezpieczeństwa defensywnego, wszystkie, metodologie, frameworki będą tam wymienione, jest plan też, żeby było tam jak najwięcej omówionych narzędzi. Jednakże, bardziej to jest książka dla kogoś, kto już chce wejść w defensywę lub jest w IT i po prostu potrzebuje tej optyki. W jaki sposób podnieść poziom bezpieczeństwa w systemach i sieciach swojej organizacji, w tych systemach czy sieciach, którymi się zajmuje i czy to będzie książka idealna dla każdego, kto by chciał wyjść z CyberSecurity? Uważam, że nie. I totalnie szczerze. Ja w tej chwili zrobiłem w formie newslettera, taki sześcio-mailowy cykl, gdzie dzielę się z takimi informacjami dla osoby totalnie, początkującej, powiedzmy gdzieś na poziomie studenta.
Skąd warto czerpać wiedzę? Ja zapraszam do siebie na bloga, jak zacząć się uczyć, cybersecurity. Również w Polsce zrobiłem takie wystąpienie, skąd tą wiedzę czerpać. I myślę tak, to jest taka sprawa gorąca, będzie trochę autoreklamy, ale z wydawnictwem Helion, w bardzo dość krótkim czasie, w przeciągu kilku miesięcy ukaże się taka mała, w formacie kieszonkowym, książka właśnie z opracowanymi prawie że dwustu pytaniami, które mogą się pojawić na rozmowie na stanowisko Junior Security Specialist. I tu w zasadzie bez względu na to, w jakim teamie, czy w w jakim charakterze. Te pytania mogą się pojawić i będzie tam o podstawach sieci, będzie o podstawach programowania, o przeglądarkach, kodach itd. Więc gdzie szukać takich informacji? Ja polecam do siebie, natomiast, polecałbym, żeby szukać rzeczy sprawdzonych. Ja wiem, że jest takie bardzo fajne powiedzenie, że „w internecie to się znajdzie wszystko”. Oczywiście, że tak, ale nie wiadomo, w jakiej wersji, czy to będzie akurat pasowało dla Ciebie i nie wiadomo, czy wszystko zrozumiesz. Za dużo, by trochę o tym opowiadać. Podsumowując, ja zapraszam do siebie, gdzie wszystko to jest po prostu zebrane w jednym miejscu.
Czyli rozumiem, że osoba, która nigdy cybersecurity się nie zajmowała, powinna mieć te podstawy. Jak już to podstawy ma, rozumie pewne zależności pomiędzy różnymi pojęciami, wtedy może przeczytać książkę „Wejść w BlueTeam” i trzecim etapem będzie ta książka, która będzie wydana odnośnie rozmów kwalifikacyjnych, pytań i wyposażona w te elementy?
Ja myślę, że nawet zanim by chciała przeczytać „Wejść w BlueTeam”, to żeby sobie sięgnęła po wiedzę i sprawdziła wiedzę odnośnie podstaw. Jeżeli mówimy w zasadzie o IT, to na każdym stanowisku moglibyśmy powiedzieć: „odrób lekcje, zrób podstawy”, bo gdzieś tam widzę, że masa osób tych podstaw nie ma. I z jednej strony rozumiem jakiś żal, że po co to administratorowi, który zajmuje się tylko i wyłącznie systemami powstałych z baz danych, natomiast praktyka pokazuje, że to się mści.
Wspomniałeś o bazach danych, a jakie jeszcze są te podstawy?
Taka osoba powinna je znać, żeby się dobrze przygotować do tej rozmowy kwalifikacyjnej. Znowu tutaj wchodzimy w coś takiego: na jakie stanowisko? Powinna przede wszystkim przeczytać, czym się będzie zajmować i wiedzieć, jeżeli to jest stanowisko, które ogólnie ma za zadanie zwiększać poziom bezpieczeństwa albo będzie się zajmować częściowo tym, to powinna się rzeczywiście przygotować.
Być może nawet ze wszystkiego. Jeżeli mówimy o takich ogólnych, jakbym miał powiedzieć, takie bloki tematyczne, to podstawy bazy danych, podstawy zapytania języka SQL, jeżeli mówimy o systemach Linux – podstawowe komendy, logi, sprawdzanie logów, sprawdzanie portów i tego, co się w systemie dzieje. Windows – tak samo. Dowiedzenie się w zasadzie tego samego, co powiedziałem w Linuksie, czyli jakie porty, jakie usługi, co jest zainstalowane, jakie były ostatnie aktywności, szukanie w dzienniku, przeglądarki internetowe, kody odpowiedzi przeglądarek internetowych, jak działa przeglądarka internetowa na takim bardzo podstawowych zasadach? Czym jest certyfikat SSL? Co to znaczy szyfrowanie? Co to znaczy VPN? Kiedy już przejdziemy do tego, no to mamy sieci, znowu porty, rodzaje protokołów. Co to znaczy TCP, UDP? To częste pytanie, które się pojawia. Mamy taką i taką usługę.
Na jakim rodzaju zabezpieczeń ona będzie? Transmisje działania czy TCP czy UDP to też się bardzo często pojawia. Najbardziej popularne usługi mają, powiedzmy na stałe przypisane porty domyślne.
Na jakim porcie będzie działał? Na jakim porcie działa usługa SSH? Albo na przykład na porcie 22 co działa, co może działać, czy musi na tym na tym działać? Cyberbezpieczeństwo i w ogóle całe IT, ale cyberbezpieczeństwo szczególnie, to powinna być wiedza, trochę zobrazowana na poziomie kałuży, czyli powinniśmy mieć rozlaną ją na bardzo wielu tematach. Nie musimy na samym początku wchodzić bardzo głęboko, ale powinniśmy mieć świadomość o bardzo wielu rzeczach.
W cybersecurity można zdobywać różnego rodzaju certyfikaty, zresztą Ty też na swoim profilu masz ich kilka. Powiedz, jak to jest z tymi certyfikatami? Czy to jest tak, że powinno się zdobyć je na początku, czy też jednak polecasz zdobywanie ich w czasie wraz z rozwojem kariery?
Pytanie, które bym podzielił na dwie rzeczy, na dwie kategorie. Ja mam całą masę certyfikatów, bo są to certyfikaty często darmowe, często jakieś challenge, no bo jeżeli coś polecam, to dobrze, żebym to przejrzał, zrobił, wykonał. Warto też pokazać, że jest coś fajnego w sieci. Natomiast jeżeli mówimy o pracy, żeby wejść, to mamy certyfikację, czyli np. od firmy CompTIA Security+ czy taki powiedzmy entry level, które z jednej strony przez bardzo wielu będą zadawane pytania, po co? Itd. Z drugiej strony dla rekrutera bardzo często to wygląda, tak, że człowiek poświęcił swój czas, poświęcił swoje pieniądze, zamknął jakiś etap i pokazuje, że tę wiedzę ma, posiada, ktoś to sprawdził oficjalnie. Security+ jest tzw. standardem. Jest to egzamin bardziej teoretyczny, testowy, natomiast pokazujący, że jest jakaś świadomość ogólnie o cyberbezpieczeństwie. Natomiast jeżeli jest możliwość, róbcie certyfikaty praktyczne oraz OACP. Jest ofensywne, nie jest często polecane na entry level, bo to entry level nie jest, ale eJPT, niestety nie przypomnę sobie firmy, ale eJPT, jak wpiszecie – na pewno znajdziecie. Security BlueTeam Level 1. Też to z jednej strony jest entry level, przez niektórych uznawany, przez innych nie jest, ale to jest fajny, learningowy certyfikat do polecenia. To jest cała masa darmowych rzeczy. I znowu te darmowe z praktycznego punktu widzenia mogą nic nie wnosić, z drugiej strony dostajecie opracowane przez jakąś większą firmę materiały. Ktoś usiadł, zweryfikował. Podpisał swoją firmą, że jest to sprawdzone i raczej tam powiedzmy, że tak powiem, lipy nie ma. I polecam tu w ogóle Akademię Netacad od Cisco. Oni mają Cybersecurity Essentials, Introduction to Cybersecurity, też również są w języku polskim, są też w języku angielskim, żeby można było zobaczyć chociażby, czy to jest dla mnie, czy mi się to podoba, czy to jest wiedza, która mi przychodzi z trudnością, z łatwością. I też mówimy o takiej stronie typowo korporacyjnej, gdzie więcej certyfikatów – lepiej. I wtedy takie nawet małe rzeczy po prostu mogą zmienić, czy też pokazać, że człowiek się interesuje.
A czy są jakieś polskie certyfikaty, które byś polecał?
Jeżeli chodzi o polskie certyfikację, to mam z tym, nie tyle problem, co po pierwsze – nie znam, albo nie mogłem się w nie wgryźć tak głęboko, żeby je polecić. Ja zresztą sam bardzo bym chciał je polecać. To jest taka wizja przyszłości. Mam nadzieję, że w najbliższym czasie, jak będziecie oglądać ten wywiad, to wspomnicie te słowa z nostalgią albo z dumą, że to wyszło. Ja bym bardzo chciał, żebyśmy my jako Polacy, jako Polska, mieli swoją certyfikację gdzieś – byłoby cudownie – na poziomie ASCP, ale żeby była taka pewność, że jak człowiek ma to w CV, to znaczy, że tak powiem, że zrobił pracę domową, ma te podstawy, czyli jest na jakimś poziomie, czyli jakiś wycinek wiedzy został sprawdzony praktycznie i nie trzeba mu pewnych pytań zadawać, bo ufamy całej tej jednostce, która go certyfikowała, że on to umie.
Mamy coś takiego zrobionego, jeżeli chodzi o audyty, to jest to środowisko, które gdzieś jest mi bliższe, więc wiem, że coś takiego mamy. Jak ktoś dostaje tytuł audytora wiodącego, to raczej się go nie będzie pytać o pewne rzeczy, bo jest kredytowany. Chciałbym, żeby to również było jakąkolwiek część cybersecurity, bo ona do tego dąży.
Super, no to kibicujemy bardzo mocno, żeby Ci się to udało, bo brzmi jak wyzwanie i to bardzo spore.
Patrząc na ilość rzeczy, które jest to tak, ale to może przy innej rozmowie.
Chciałbym Cię jeszcze podpytać odnośnie stanowisk pracy związanych z obszarem cybersecurity. Jakie są według Ciebie obecnie najbardziej popularne, a które będą zyskiwały na popularności w kolejnych latach?
Myślę, że takim, które zdobywa na popularności i będzie rosnąć raczej, chyba w cybersecurity, na razie nie ma i moim zdaniem nie będzie niczego nowego, chyba że firmy spojrzą przychylniejszym okiem na blockchaina i NFT, ale to jest jakaś pieśń przyszłości, dosyć kontrowersyjna sprawa. Ja osobiście uważam, że będzie miało to zastosowanie.
Natomiast to, co zyskuje na popularności, to jest SOC. Ze względu na to, że coraz więcej firm patrzy, orientuje się, że musi spełnić pewne wymagania. Coraz więcej takich mniejszych firm, średnich przedsiębiorstw, małych przedsiębiorstw, czasami mikroprzedsiębiorstw decyduje się na to, że chcą outsourcować SOC. Jeżeli chcą to outsourcować, są potrzebni ludzie, którzy będą takie usługi świadczyć, w tym Security Operation Center, zwłaszcza Level 1 prawdopodobnie będzie tym, co zacznie być coraz bardziej popularne.
Wspomniałeś, że SOC zyskuje mocno na popularności. Pod kątem tego, jakie są teraz obecnie stanowiska, jakbyś mógł wymienić takie dwa – trzy podstawowe, najbardziej popularne obecnie.
To jest właśnie, operator SOC Level 1, w pracy zmianowej. Junior Security Specialist i znowu w zależności od tego, co firma potrzebuje i co rozumie pod tym pojęciem. Czy jest to osoba, która albo jest odpowiedzialna ogólnie za bezpieczeństwo, czy jest to osoba, która bardziej trzyma się governance i pilnuje, żeby była zgodność z pewnymi normami i powiedzmy sprawdza, czy programista wykonuje jakieś testy, czy osoba odpowiedzialna za to czy aplikacja ma jakieś podstawowe poziomy bezpieczeństwa. Jeszcze się spotkałem z Security Specialist jako po prostu Junior Penetration Tester, czyli sprawdza po prostu czy te aplikacje, czy systemy, czy sieci, czy te luki, które zostały znalezione przez system można wykorzystać do tego, żeby podnieść uprawnienia, czy żeby zaszkodzić organizacji.
A czy mógłbyś w 2-3 zdaniach powiedzieć, jak wygląda dzień takiego specjalisty właśnie w dziale SOC? Co on tak naprawdę robi?
Generalnie rzecz biorąc, Security Operation Center najczęściej jest pracą, zmianową związaną z tym, że obserwujemy, albo w zasadzie czytamy z już dostrojonych narzędzi naszej organizacji czy występują jakieś naruszenia bezpieczeństwa, czy znaleziono nowe podatności lub incydenty związane z bezpieczeństwem. Zazwyczaj, jak już jesteśmy na takim stanowisku, to narzędzia, które tam są, zostały wdrożone już dużo, dużo, dużo wyżej. I my w zasadzie jesteśmy po to, żeby obserwować to, sprawdzić tą podniesioną flagę na jakimś podstawowym często poziomie, dowiedzieć się, czy to nie jest czasem jakieś pospolite, czy to rzeczywiście miało miejsce i albo się tym zająć, albo poinformować, albo skierować to po prostu wyżej.
Czyli taka osoba sobie siedzi, patrzy na monitory, aż się zapali czerwona flaga, wtedy musi zareagować?
To jest bardzo, bardzo mocne spłycenie, ale można by było tak to nawet nazwać.
Rozumiem, że jeśli byś aplikował o pracę, to stanowisko SOC by Cię nie interesowało, bo to nie jest ten etap kariery? Natomiast jeżeli byś sobie wyobraził siebie jako kandydata, to na jakie elementy oferty pracy zwróciłbyś uwagę – oczywiście poza zarobkami, bo zawsze są istotne – to czego byś jeszcze szukał w takiej ofercie pracy, żeby Ciebie zainteresowała?
Czy ja już jestem na takim etapie, że mnie by interesowała ścieżka kariery? W sensie, co bym mógł potem dalej robić? Ja wiem, że wszyscy patrzą na widełki, ale już od jakiegoś etapu widełki to nie jest to, co człowieka najbardziej, że tak powiem, pociąga, tylko chciałby wiedzieć, że to, co robi, ma duży sens. No i potem patrzenie, czy to będzie go rozwijać, u mnie, powiedzmy może nawet nie chodzi o jakąś sprawczość, tylko właśnie czy te wyzwania będą dla mnie czymś nowym, czy jednak będzie to stagnacja?
Czy będę się zajmował cały czas tym samym, czy będzie szansa na jakieś nowe wyzwania?
A jakbyś mógł, nie wiem, może, czy są jakieś takie słowa, które mogą to tak naprawdę określić? Bo każde stanowisko może brzmieć ciekawie. Czy są jakieś słowa, klucze, jakieś hasła, których byś szukał w takiej ofercie pracy?
Nie no, owocowe czwartki i dynamiczny zespół. A na poważnie, no przepraszam, ale te owocowe czwartki się pojawiają wszędzie. Wiesz co? Trudno jest mi odpowiedzieć na to pytanie, bo oferta może brzmieć jakkolwiek, a potem się okazuje na rozmowie jaka jest rzeczywistości, bo też niestety byłem po tej stronie barykady, gdzie wiem, że często jak tworzy ogłoszenie kadrowiec, to bardzo często – no nie bardzo często, ale często nie wie, co w tym powinno być. Taki przykład koronny takiego, powiedzmy, uśmiechu, to jest wpisywanie certyfikacji CISSP, która jest certyfikatem menedżerskim, który jest certyfikatem uznanym przez rząd i który jest bardzo drogi i bardzo specjalistyczny, ale wpisywanie go na pozycję entry level to jest, powiedzmy, jakiś standard w tej branży, to się pojawia przy stanowiskach związanych z cyberbezpieczeństwem, więc trudno mi powiedzieć, czego bym szukał, raczej bym patrzył, co firma robi i do jakiego to jest działu.
I wtedy podczas rozmowy staram się wyłuskać – oczywiście na ile oni mi są w stanie powiedzieć to na danym etapie rekrutacji – czym się będą zajmował,przed jakimi zadaniami będę stał, przed jakimi wyzwaniami itd.
Jaki jest według Ciebie taki najbardziej optymalny sposób weryfikacji kompetencji na stanowiska związane z cybersecurity?
Moim zdaniem to jest wyjaśnienie dokładnie, w jaki sposób ktoś rozumie, że coś działa i w jaki sposób on to będzie tłumaczyć. Czy my mówimy tutaj o tym, jeżeli chodzi o entry level, o poziom juniora. Wytłumacz mi jak działa: szyfrowanie symetryczne, asymetryczne, jak wygenerujesz ten klucz? Opisz mi dokładnie krok po kroku. Bo czasami to nie jest kwestia, czy ty wiesz, jaką komendę wpisać, to jesteśmy w stanie sobie znaleźć. Czy rozumiesz co się tak naprawdę dzieje? Czy rozumiesz co się dzieje jak klikasz w link w przeglądarce i co to właściwie znaczy, że ta kłódka jest zielona? I co to właściwie znaczy? Jaki to ma sens w przypadku naszej aplikacji? Dlaczego ta płytka jest zielona? Dlaczego ja sobie sam nie mogę wygenerować? Znaczy ja mogę sobie sam wygenerować certyfikat, tylko dlaczego kłódka nie będzie zielona? Jak zrobić, żeby była zielona? A to już są inne rzeczy. Natomiast jeżeli chodzi o stanowiska bardziej zaawansowane, to szczerze powiedziawszy nie wiem, ciężko mi powiedzieć, które zadanie będzie, jaki typ zadania, czy teoretyczny, czy nie teoretyczny będzie odpowiedni.
A jeżeli chodzi o twoją ostatnią rozmowę, czy to też było na zasadzie wywiadu, czy może posadzono Cię przed komputerem? Taki life case i działaj?
To było na zasadzie wywiadu i były bardzo takie dokładne i specyficzne pytania, nie tylko czym się zajmowałeś, ale powiedzmy opowieść. Typu: Taki jest scenariusz i co robisz i dlaczego to robisz?
Również nie chcę do końca zdradzać, ale w tym duchu, czyli dokładnie opisz, co byś zrobił, jak byś zrobił, dlaczego byś tak zrobił i dlaczego uważasz, że to jest najlepsze podejście twoim zdaniem.
A czy tego typu właśnie zadania, co byś zrobił w danej sytuacji, też myślisz, że znajdą się w tej twojej książce z 200 pytaniami odnośnie rozmowy kwalifikacyjnej?
To są rzeczy bardzo trudne do powiedzenia, bo znowu co byś zrobił najlepiej? Czy mam takie pytanie, co bym zrobił w przypadku incydentu? Mam podobne pytania, natomiast tam będzie jak najwięcej takiej wiedzy powiedzmy, że nie uniwersalnej, tylko takiej, która jest najprościej mierzalna. Bo czasami w tym pytaniu właśnie, co byś zrobił, jakbyś zrobił, czasami nie najważniejsza jest poprawna odpowiedź, tylko ważne jest, w jaki sposób człowiek myśli, rozumuje czy czasami może podjął złe kroki. W tym sensie, że użył złych narzędzi, ale poprawnie zadziałał. Może zrobił błąd, ale wiedział dokładnie, jaką ścieżką powinien pójść. Oficjalną, że na przykład tego incydentu czy tego zdarzenia nie kisił w sobie, tylko od razu w odpowiedni sposób w tej organizacji zgłosił to i to już może być dobrze, wystarczająco. I każda organizacja na różnym poziomie ma te rzeczy różnie opisywane. To jest bardzo ciekawe przemyślenie, pomyślę sobie jak go ugryźć, więc jak tylko będzie on ugryziony, nie omieszkam wspomnieć.
Cieszymy się, że być może jakaś inspiracja Ci się pojawiła.
Jak najbardziej. Inspiracje są od tego, to nie będę oszukiwał, że jeden człowiek jest w stanie wymyślić wszystko. Co więcej, będzie kilka różnych wersji, też kolejnych.
To co roku możesz wydać kolejne wydanie, może pytania, które gdzieś tam też mają być.
Byłbym za.
Czy to jest już tak jak mówiłem marzenie z certyfikacją, ale wiedząc, ile ja sam, może nawet nie jest to nic do pochwalenia, ale może tak dla świadomości słuchaczy: wiedząc, że wydałem na swoją wiedzę, na certyfikację, na różnego rodzaju studia gdzieś w okolicach, nie wiem, 80.000zł i to były pieniądze prywatne, wiedząc, jak czasami trudno było tą wiedzę zdobyć i czasami kupowało się całą książkę dla jednego zdania, żeby zrozumieć tą jedną rzecz czy żeby pójść na szkolenie, żeby móc zadać jedno pytanie, które rozjaśniało to wszystko. Naprawdę uważam, że zwłaszcza w tej dziedzinie, tej wiedzy, tego dzielenia się wiedzą jest nigdy za mało. Zresztą ja sam staram się taką społeczność budować. Zapraszam do obserwowania, ale chciałbym, żeby tego było po prostu jak najwięcej i najlepiej za darmo. Nie oszukuje się bo wiem, że każdy ma różną historię, różne, że tak powiem, potrzeby, ale tu już wchodzimy trochę w takie wyobrażenia czy idee, ale gdzieś to powstawało, że to, że teraz ja z Wami rozmawiam, właśnie zaczęło się od tego, że chciałem się tą wiedzą podzielić. Bo wiedziałem, że jej nie ma.
To teraz chciałbym też z Twojej wiedzy jeszcze skorzystać i zapytać Ciebie, bo nie tak dawno amerykańska firma Fortinet opublikowała raport, z którego wynika, że w 8 na 10 badanych przedsiębiorstw miał miejsce przynajmniej jeden incydent, który można przypisać brakowi kwalifikacji lub wiedzy w zakresie ochrony. Jak Twoim zdaniem można zminimalizować ryzyko właśnie takich ataków?
Tu już wchodzimy w to, co trzeba w zasadzie robić od samego początku, czyli edukować ludzi i edukować pracowników, bo z jednej strony mamy błędy techniczne, ale większość incydentów jest spowodowanych przez czynnik ludzki. Niektórzy mówią, że to tylko czynnik ludzki, ale moim zdaniem kluczem tutaj tego jest nie tylko edukowanie ludzi, wnikliwe maile, zastanów się, itd. – to już było. Większość ludzi to wie, ale edukowanie ich w taki sposób, żeby oni mogli ochronić swoich najbliższych. Bo nie chciałbym patrzeć na ludzi jako na najsłabszy łańcuch tego ogniwa, tylko właśnie na najsilniejsze albo najmniej doceniane. Jeżeli oni dostaną wiedzę, w jaki sposób mogą swoje prywatne pieniądze zabezpieczyć, będą wiedzieli, żeby nie klikać, żeby cię nie okradli, nie klikać, żeby nie okradli twojej mamy, twojego taty, którzy są w podeszłym wieku. To zwiększa szanse diametralnie. Żeby oni nie kliknęli tego w pracy, bo w pracy nie mają takiego ładunku emocjonalnego i aż takiego interesu jak w życiu prywatnym. Mówi się, że trzeba ludzi edukować, z drugiej strony nigeryjski przekręt ma się cały czas dobrze. Ostatnio był bardzo popularny atak, zwłaszcza na panie: Amerykański generał, komandor, który przyjedzie jak tylko mu się kupi bilet. Niestety. No powiedzmy internetowi złoczyńcy – nie chcę mówić hakerzy, bo haker kiedyś oznaczał wysokiej klasy specjalistę, Kogoś kto rozumiał temat, Dzisiaj to jest trochę już wyświechtane w drugą stronę, ale oni chcą po prostu zarobić. I wszystko wykorzystają, co jest skuteczne. I tutaj nie ma mowy o żadnej moralności.
Trochę wyprzedziłeś kolejne pytanie, właśnie miałem Cię zapytać o rosnące cyberzagrożenia, co się coraz częściej pojawia i też o to czego według Ciebie możemy się spodziewać w kolejnych miesiącach? Jakie zagrożenia na nas czyhają i co zyskuje na popularności, jeśli chodzi o metody używane przez tych hakerów, czy tych właśnie cyberprzestępców?
Bardzo teraz ostatnio popularna była kampania, która chyba do tej pory jest popularna to dopłać do paczki. Telefony od banku, ale to już, powiedzmy, banki, podnoszą świadomość swoich użytkowników, że gdzieś tam jakieś kodów nie podawać, więc tu tendencja jest mniejsza. Ja bym może to wykorzystał, że jeżeli ktokolwiek kto słucha i mógłby doradzić sobie i komukolwiek innemu – jeżeli dostaje się wiadomość, która ma w założeniu wzbudzić emocje, to zarówno jak mówimy o fake newsach i o atakach, to coś jest złego. I powinno nam się zapalić, że coś jest z tym jednak nie tak. Czekam na paczkę: „o nie, złotówkę tylko trzeba dopłacić, nie wyślą mi, mojej np. konsoli” czy czegokolwiek, co zamówiłem. No z założenia ma to coś wzbudzić. Jakieś emocje. “O nie na Ukrainie coś, coś tam.” – To jest ten temat gorący dla tego problemu. Czy na Facebooku bardzo często był taki atak: „zobacz tutaj film”, zazwyczaj z jakimś mocnym stwierdzeniem, powiedzmy jakiejś napaści seksualnej, żeby już nie używać mocnych słów. Jeżeli to ma iść dalej. „Tu Facebook musi cię tylko zweryfikować.” „Wpisz się”. No zaraz, zaraz. No tak, klikam w coś emocjonującego, ja rozumiem, że jest to zainteresowanie, jest ten ładunek emocjonalny, ale to powinno nam zapalić od razu lampkę. Nigeryjski książę, komandos z Ameryki, Ukrainka. Ktokolwiek, kto chce nas nagle poznać. Spadek po wujku z takim samym nazwiskiem, którego nigdy nie znaliśmy i jest w jakimś dziwnym kraju.
Wojtku czego Ci życzyć w najbliższym czasie, poza wydaniem kolejnej książki?
Czego mi życzyć? Chyba zdrowia, bo to obecnie, że tak powiem, najbardziej jest potrzebne do ilości zadań w czasie, które mam. A w zasadzie to można też nie życzyć – ja będę bardzo wdzięczny za zaobserwowanie i jeżeli ktoś by miał ochotę wesprzeć tę ideę propagowania cyberbezpieczeństwa, to ja teraz, też niedawno tak powiem, otworzyłem Patronite, właśnie w tym celu. U mnie to jest bardzo duża transparentność tego, co robię w sieci. Tak to sobie wymyśliłem, nie każdemu to się podoba, trudno.
Natomiast jeżeli ktoś by miał ochotę mnie wesprzeć i otrzymać za to dużo więcej, to zapraszam, żeby mnie znaleźć.
Super. Bardzo dziękujemy Ci za rozmowę i do usłyszenia. Do usłyszenia, do zobaczenia!
Dzięki, cześć!
Materiały, o których wspomina Wojtek: