Cyberatak rzadko wygląda jak filmowa scena z kapturem i „zielonymi cyferkami”. Zazwyczaj zaczyna się od pozornie zwykłego maila, SMS-a lub telefonu – a jego skutki potrafią sparaliżować sprzedaż, produkcję i obsługę klientów.
Największym błędem jest traktowanie bezpieczeństwa jako zadania działu IT. W praktyce to temat zarządczy, który dotyczy ludzi, procedur, technologii i gotowości na kryzys – szczególnie gdy narzędzia oparte na AI ułatwiają podszywanie się pod głos czy tożsamość.
Sprawdź nasz tekst główny z tej serii tematycznej:
Organizacja nie osiąga stanu „już jesteśmy bezpieczni” raz na zawsze. Bezpieczeństwo to proces: ciągłe wzmacnianie najsłabszych ogniw, ćwiczenie reakcji i weryfikowanie, czy mechanizmy działają w praktyce. Warto myśleć o nim jak o BHP: procedury mają działać pod presją, a nie tylko dobrze wyglądać w dokumentach.
Kluczowa jest kultura: pracownicy muszą rozumieć, czego nie robić, co zgłaszać i dlaczego „szybko” bywa wrogiem jakości. Technologia bez nawyków i konsekwencji daje złudne poczucie bezpieczeństwa. Z kolei nawyki bez narzędzi nie skalują się wraz ze wzrostem firmy i liczbą systemów.
„Cyberbezpieczeństwo to ludzie i ćwiczenie samoświadomości, a nie jednorazowy projekt” – Konrad Latkowski (współzałożyciel Riffsec; współtwórca Fundacji Startup Poland).
Podstawy są znane, ale w wielu firmach nadal nie są domyślnym standardem. Największą wartość daje powtarzalność: aktualizacje, konsekwentna polityka haseł i wieloskładnikowe logowanie wszędzie tam, gdzie to możliwe. Ważne jest też wzmacnianie odruchu „zgłoś natychmiast”, zamiast zamiatania incydentu pod dywan.
Praktyczny zestaw startowy można zamknąć w kilku punktach:
„Kopie zapasowe muszą być odizolowane i sprawdzane, a fundamentem jest edukacja oraz zgłaszanie incydentów” – Iwona Pruszyńska (ekspertka NASK; zajmuje się cyberhigieną i edukacją).
Najbardziej dotkliwym scenariuszem biznesowym pozostaje atak ransomware – czyli zaszyfrowanie danych i faktyczna blokada działania firmy. W praktyce problem nie ogranicza się do samego momentu uderzenia. Sprawcy często przez dłuższy czas pozostają w środowisku, rozpoznają infrastrukturę i sabotują kopie zapasowe, zanim przeprowadzą skoordynowany atak.
Dlatego liczy się ciągłość działania: redundancja, możliwość odtworzenia systemów oraz procedury zabezpieczenia logów bez paraliżowania firmy. Płacenie okupu bywa kuszące ze względu na czas, ale niesie ryzyka prawne, w tym potencjalne naruszenie sankcji, oraz nie daje gwarancji, że problem zniknie.
„Ransomware to sytuacja, w której przestępcy blokują dane i żądają okupu, a wcześniej potrafią naruszyć backupy” – Marek Smolik (członek zarządu i CTO IcySec; tworzy rozwiązania dla przemysłu i infrastruktury).
Istotnym źródłem ryzyka pozostaje rozproszenie urządzeń – praca hybrydowa, prywatne telefony i laptopy oraz szybkie wdrożenia realizowane bez spójnych polityk. Model BYOD (Bring Your Own Device), czyli wykorzystywanie przez pracowników prywatnych urządzeń do pracy i dostępu do zasobów firmy, może być efektywny, ale tylko pod warunkiem jasno zdefiniowanych zasad: jakie zasoby są dostępne, w jakich warunkach i przy jakim poziomie uwierzytelnienia. W części organizacji dopuszcza się korzystanie z urządzeń prywatnych, jednocześnie blokując ich bezpośrednie podłączanie do sieci firmowej.
Osobnym światem są urządzenia IoT – małe, liczne i „niesforne”. Bezpieczeństwo w tym obszarze zaczyna się od aktualności: pewnego dostarczania poprawek oraz zarządzania poświadczeniami tak, by były aktualne i możliwe do wymiany. Tam, gdzie stawką są kluczowe zasoby, sensowne jest silne uwierzytelnienie, w tym klucze sprzętowe.
„W bezpieczeństwie aktualność jest ważna – zarówno aktualizacje, jak i poświadczenia muszą być pewne i świeże” – Błażej Pawlak (dyrektor wykonawczy Modino.io; rozwija podejście do bezpieczeństwa urządzeń IoT).
W wielu firmach problemem nie jest brak narzędzi, tylko opór przed weryfikacją. Zewnętrzne audyty pomagają zobaczyć luki, których organizacja nie zauważa z przyzwyczajenia, a także ograniczają ryzyko, że „autorytet wewnętrzny” zablokuje niewygodne wnioski. W praktyce liczy się regularność i dopasowanie do skali – inne potrzeby ma mały zespół, inne duża organizacja.
Gdy dzieje się coś podejrzanego, warto korzystać z dostępnych kanałów wsparcia. NASK umożliwia zgłaszanie prób phishingu i wspiera działania ograniczające zasięg złośliwych kampanii. Przy incydentach związanych z danymi osobowymi pojawiają się też obowiązki wobec UODO. W tle działa Centralne Biuro Zwalczania Cyberprzestępczości, choć namierzanie sprawców bywa trudne i czasochłonne.
„Cyberbezpieczeństwo to konieczność i element kultury organizacyjnej – lepiej być przygotowanym niż potem liczyć straty” – Rafał Mrówka (profesor SGH; związany z tematyką zarządzania i ryzyk).
Asymetria między atakującymi a firmami rośnie, bo atak to często praca zespołowa oparta na procedurach i automatyzacji. AI przyspiesza rozpoznanie: dobór celu, zbieranie informacji i przygotowanie ataków. To wzmacnia argument, by upraszczać środowisko i budować spójne zasady dostępu, zamiast łatać dziesiątki wyjątków.
W tym kontekście pojawia się też technologia blockchain, rozumiana jako decentralizacja i ograniczanie „jednego punktu ataku”. Daje ona trwałość i integralność zapisów, ale sama implementacja nie rozwiązuje problemu – potrzebne są rozwiązania biznesowe i świadome łączenie komponentów scentralizowanych z rozproszonymi. Równolegle rośnie presja regulacyjna: NIS2, DORA czy Cyber Resiliency Act kierują uwagę na odpowiedzialność organizacji i zarządów.
„Blockchain usuwa jeden punkt ataku dzięki decentralizacji i wzmacnia integralność danych, ale nie jest magiczną tarczą” – Agata Slater (wiceprezeska Stowarzyszenia Blockchain Polska; specjalizuje się w cyberbezpieczeństwie i blockchain).
Cyberbezpieczeństwo zaczyna się od decyzji zarządczych: co chronimy w pierwszej kolejności, jak szybko musimy przywrócić ciągłość działania i kto ma uprawnienia do wykonywania operacji krytycznych. Najlepszy moment na uporządkowanie tych fundamentów jest przed incydentem – wtedy zmiany są tańsze, prostsze i możliwe do wdrożenia bez presji.
Jeśli trzeba wybrać jedną rzecz „na dziś”, warto zacząć od włączenia MFA w kluczowych narzędziach oraz uporządkowania kopii zapasowych tak, by były odizolowane i regularnie testowane. To nie zamyka tematu, ale znacząco zmienia punkt startu w dniu próby.
Źródło: Audycja „Firmament” – wspólny projekt programu InCredibles i Radia 357: https://www.youtube.com/watch?v=F_7RflRE0lQ
Treść została wygenerowana za pomocą AI.
Nigdy nie ma 100% pewności — liczy się odporność, ćwiczenia i gotowość na incydent (więcej w: Nie „100% bezpieczeństwa”, tylko gotowość i odporność).
Włącz MFA wszędzie, użyj menedżera haseł i dopnij aktualizacje. To redukuje większość najprostszych włamań (więcej w: Minimum higieny cyfrowej, które realnie obniża ryzyko).
Tak, ale tylko gdy są odizolowane, regularnie testowane i nie da się ich łatwo zaszyfrować razem z produkcją (więcej w: Ransomware: ciągłość działania wygrywa z paniką i okupem).
Można, ale tylko z politykami dostępu, silnym uwierzytelnianiem i segmentacją zasobów; inaczej to proszenie się o incydent (więcej w: Urządzenia, dostęp i IoT: polityki, które domykają „ostatnią milę”).
Kluczowe są trzy ścieżki:
NASK: zgłaszanie phishingu i złośliwych stron (pomaga ograniczyć zasięg ataku).
UODO: obowiązkowe zgłoszenie w przypadku naruszenia bezpieczeństwa danych osobowych.
CBZC: zawiadomienie organów ścigania w celu namierzenia sprawców przestępstwa.
(więcej w: Audyty i instytucje: wsparcie, które skraca dystans do dobrych praktyk).
Nie. Blockchain wzmacnia integralność danych i usuwa „jeden punkt ataku” (dzięki decentralizacji), ale nie rozwiązuje wszystkich problemów. To narzędzie, które musi być mądrze połączone z procesami biznesowymi i tradycyjnymi systemami, by realnie podnieść bezpieczeństwo (więcej w: AI, decentralizacja i regulacje: jak zmienia się pole gry).
Incredibles. Incredibles. Mission Driven Startups. Jarosław Sroka. Dobry wieczór. Nie wiem, czy też tak macie, ale często, gdy mówi się o cyberbezpieczeństwie, to od razu przed oczami stają sceny hakerów w kapturach łamiących kody w ciemnych piwnicach. Czarne ekrany, zielone cyferki. No chyba już Państwo oczyma wyobraźni widzą, co ja mam na myśli. Tymczasem mamy do czynienia z rzeczywistością, w której zagrożenie może przyjść zupełnie niespodziewanie, w biały dzień, w zwykłym mailu lub wiadomości, a konsekwencje mogą być bardzo bolesne. Ile razy słyszeliście, że cyberbezpieczeństwo to sprawa działu IT? Że my przecież nie mamy nic do ukrycia? Albo ulubiona wymówka mamy przecież dobre hasła. Niestety w świecie, w którym sztuczna inteligencja może naśladować Twój głos, podrobić podpis lub oszukać Twojego księgowego, to za mało. Mam nadzieję, że udało się Państwa nieco nastraszyć, a ciąg dalszy tego dreszczowca, po piosence. Firmament. Audycję wydaje i realizuje Paweł Sołtys, a w studiu zjawili się już goście. Konrad Latkowski, współzałożyciel startupu Riffsec i współzałożyciel fundacji Startup Poland. Dobry wieczór. Dobry wieczór. Marek Smolik, członek zarządu i CTO startupu IcySec. Dobry wieczór. I Paweł Żebrowski, odpowiedzialny za rozwój startupu Modino.io. Cześć, pozwolę sobie poprawić. Jestem Błażej Pawlak, ego dyrektor wykonawczy. Paweł ostatnio się ze sobą nie widział, ale miło Was widzieć wszystkich. Cześć! Aaa to ja Cię bardzo przepraszam. Ewidentnie padłem ofiarą ataku hakerskiego i ktoś mi tutaj namieszał w tych notatkach. Bardzo Cię przepraszam, panowie, czym wy się tak naprawdę zajmujecie, Bo nazwy waszych firm absolutnie niczego nie podpowiadają. To nie jest do końca prawda. Riffsec od riffu gitarowego. Wiele riffów powoduje świetne utwory. Podkład do dobrego utworu jest takim testem w Internecie, który powtarza się non-stop i szuka wycieków. I dzięki temu wiemy, czy nasze dane nie są już publiczne, a bardzo często się to zdarza i informuje, alarmuje o tym. Twoje hasło jest już znane całemu światu albo twój numer karty kredytowej. Nie jestem pewien, czy to skojarzenie z branżą muzyczną jest takie zupełnie automatyczne, ale brzmi przekonująco. Bardzo dziękuję. Marku. W IcySec’u jest podobnie. IcySec od Industrial Cyber Security, a my zajmujemy się akurat rozwiązaniami dla przemysłu, dla infrastruktury, dla infrastruktury krytycznej. I nasze oprogramowanie próbuje znaleźć pewnego rodzaju anomalie i nieprawidłowości w pracach sieci technologicznych. A o co chodzi z tym modino? Modino to z kolokwialnego polskiego zachowuj się. Mówi się do małych dzieci Francesco, modino, modino. Tak nam to się spodobało w czasie jakiegoś wieczornego wieczoru przy piwie, że stwierdziliśmy, że to jest dobra nazwa, a czym się zajmujemy? Modino zajmuje się właśnie zachowaniem urządzeń IoT. Jest ich bardzo dużo, są małe i są niesforne. A chodzi o kwestie aktualizacji bezpieczeństwa, czyli pewności dostarczenia aktualizacji oraz także poświadczeń, które są zawsze aktualne, bo w bezpieczeństwie aktualność jest ważna. No dobrze, no to zacznijmy naszą rozmowę od bardzo prostego, rozgrzewkowego pytania. Skąd wiemy, że jesteśmy dobrze zabezpieczeni? Nie wiemy. Nigdy. Nie da się. Czy nie można tego w żaden sposób testować? Tak własnoręcznie, bez skorzystania z zewnętrznej płatnej konsultacji? To ja odwrócę pytanie, kiedy wiemy, że jesteśmy w firmie przygotowani do tego, że ktoś ma zawał i wiemy, jak zareagować? No bo blednie, bo źle się czuje, bo narzeka od rana na kłucie w klatce piersiowej. To chyba jest jakby już wtedy wiemy, że ktoś ma zawał. A kiedy wiemy, że jesteśmy przygotowani do tego? Nigdy nie jesteśmy. Po prostu to jest kwestia ćwiczeń samoświadomości. No to powiedzcie, jakie są zasady takiej higieny firmowej, żeby mieć minimalne poczucie, przynajmniej poczucie, że jest się bezpiecznym? Oj, to jest cała pełna historia tego, które można zrobić od. Myślę, że zacznę od najważniejszej rzeczy — od ludzi. Cyberbezpieczeństwo to ludzie tak naprawdę, czyli przede wszystkim szkolenia, szkolenia i jeszcze raz szkolenia. Przygotowanie do tego, w jaki sposób się nie zachowywać. Przygotowanie do tego, w co nie klikać, dlaczego nie klikać. No oczywiście przed tym jest jakieś technologiczne zabezpieczenie realizowane przez działy informatyczne, które powinny powodować minimalizację takich zagrożeń. Ale głównym, głównym, że tak się wyrażę problemem w firmach to jest brak świadomości, świadomości ludzkiej. Czyli nigdy dział IT, a tylko użytkownicy są tutaj głównymi podejrzanymi. Zawsze. Także dział IT jako użytkownicy są przyczynami problemów. Czyli co? Można zaryzykować, że firma jest bezpieczna, bo suma świadomości bezpieczeństwa, cyberbezpieczeństwa użytkowników, pracowników powoduje właśnie, że taki stan można osiągnąć. Myślę, że kilka rzeczy, czyli suma bezpieczeństwa i świadomości pracowników to jest jako pierwsze przyczyna. Kolejną oczywiście jest technologia, którą jednak w firmie trzeba posiadać i trzeba. Jakieś technologiczne wyposażenie mieć oczywiście, żeby, żeby też ograniczać te potencjalne zagrożenia. No i myślę, że trzecim tutaj takim aspektem jest korzystanie również z ekspertów zewnętrznych do pomocy czy do przygotowania w postaci audytów, w postaci jakichkolwiek sprawdzeń i weryfikacji tego, co u nas się dzieje. I tu bym chciał dodać, bo częstym z naszej tutaj startupowej przygody wynika, że częstym problemem we wdrożeniach jest ego dyrektora IT. Niestety, to jest ten ludzki czynnik. Nie bać się audytów zewnętrznych. To powinno być standardowe podejście, że tak. Chciałbym zobaczyć, co w mojej firmie nie działa, bo to nie jest kwestia.Nie jest to ważne, czy coś się stanie, tylko kiedy coś się stanie, bo ludzie są tutaj jednym z czynników, yy, niestety podatności. Więc to jest wielo– bezpieczeństwo, jest wieloskładnikowe, więc audyty zewnętrzne, nie tylko wewnętrzne. To jest bardzo istotna kwestia. Jakaś częstotliwość, jakaś głębokość tych audytów jest wskazana? To zależy. Ja bym powiedział, że na pewno co najmniej raz w roku. Pewnie zależy od wielkości przedsiębiorstwa i od tego, jak duże i rozległe jest- Konrad nabrał powietrza w płuca i kiwa głową. To jest zawsze takie bardzo to zależy, to tak consultingowo zawsze. No ale, nie możemy porównywać firmy, która zatrudnia siedem tysięcy osób i firmę, która zatrudnia piętnaście osób. Jakby w tej małej firmie samoświadomość pracowników jest dużo ważniejsza, bo tam nie będzie drogich firewalli i bardzo drogiego oprogramowania. A w dużej organizacji musimy jednak pamiętać o tym, że jesteśmy tak słabi jak najsłabsze ogniwo i tam trzeba trochę myśleć też za innych. I to jest wtedy ten dział IT i to jest to wsparcie, żebyśmy zrobili coś jeszcze proaktywnie No, a jeżeli dojdzie do ataku. Przepraszam za takie pytanie, ale łapiemy taką perspektywę trochę pracowniczą też i pracodawcy. Kto jest winny? Szef działu IT ten, który stworzył ten system czy pracownicy, którzy w nie być może niedoskonały sposób opanowali zasady To jest pytanie numer sto na liście. Numer jeden to jest, czy mamy redundantną infrastrukturę, która pozwala nam działać. A gdybyśmy jeszcze rozszyfrowali, cóż to oznacza? Doskonale? Czyli mamy zastępowalność. Jeśli wchodzi firma IT po incydencie, będzie chciała nam zamknąć na chwilę naszą firmę, żeby zabezpieczyć logi. To co się wydarzyło? Jeśli wyłączymy serwery, żeby to zrobić, nie nadpisywać informacji, to nagle nie mamy działającej firmy. Nie da się w firmie produkcyjnej wyłączyć wszystkiego na trzy dni. Ale tak jeszcze wejdę w buty pracownika. No, chyba że ransomware Dalej znowu pytanie jest takie czy mamy backupy? Czy sprawdzamy, czy te backupy nie zostały zaszyfrowane, bo cyberprzestępcy potrafią być w infrastrukturze dużo wcześniej. I czy działają Bo Marek użył jakiegoś określenia, którego nie zdążyłem zarejestrować. Pojawiło się kolejne backup. Czy możemy to tak- Było dwa ransomeware i backup. O no właśnie. Dobrze. No to ransomeware to jest sytuacja, w której wszystkie nasze dane zostają zahackowane. I przestępcy mówią, ok, a teraz zapłaćcie dwieście pięćdziesiąt tysięcy euro kupu, a my wam to odszyfrujemy. I to jest jakby jeden obszar. A jeszcze w międzyczasie te dane zostały oczywiście skopiowane, zabrane i-i-i… Różnie bywa, ale tak. Groźba udostępnienia Tak. No dobrze, to ostatnie pytanie w tej części, jeżeli pozwolicie, bo za chwilę oddamy głos naszemu gościowi specjalnemu. Czy tego typu niedopełnienie obowiązków ze strony pracownika wiąże się z jakąś określoną kategorią sankcji? Czy można zostać ukaranym przez pracodawcę, bo niewłaściwie albo niestosownie do ewentualnego zagrożenia nie zastosowałem się do tej higieny cybernetycznej w firmie. Ja nie znam takich sytuacji, takiego ukarania. Natomiast no czasami pokazujemy, ee-yy podczas testu, podczas realizacji wdrożeń naszego oprogramowania, że w infrastrukturze krytycznej przy realizacji usług dla klientów w postaci różnego rodzaju dostawy wody, prądu, gazu i tak dalej, obsługa korzysta z sieci technologicznej do przeglądania stron XXX. Tak więc pokazujemy czasami, jak to wygląda i nie zdarzyło się nam jeszcze, żeby ktokolwiek został za to ukarany. Natomiast podejrzewam, że tak jak za każde przekroczenie to jest ustawowo sobie- Przede wszystkim firmy są odpowiedzialne. Tak jak weszło GDPR, czyli nasza implementacja RODO w Polsce. Wiele firm, jak zwykle z bezpieczeństwem, czeka do ostatniej chwili, w końcu się posypały ka-kary pochodzące z Unii Europejskiej. No i to firma odpowiada, a w firmie jest głowa. No to głowa odpowiada i co potem dalej się w firmie dzieje, to często już jest sprawa wewnętrzna. Ja na to pytanie lubię odpowiadać taką anegdotą, że nikt nie zwalnia mechanika w Formule 1 za błędne wymianę o… To zdarza się, jeśli dopełniał swoich obowiązków najlepiej jak potrafił. Czasami popełnia się błędy Bardzo Wam dziękuję. A teraz kilka słów od profesora Rafała Mrówki ze Szkoły Głównej Handlowej, we współpracy z którą powstaje Firmament. Firmament. Skala problemu rośnie. Według badań koszty cyberprzestępczości liczone są już w bilionach dolarów rocznie. A co najgorsze, wiele ataków udaje się, bo firmy nie dbają o podstawowe środki bezpieczeństwa. Słabe hasła, brak aktualizacji systemów czy lekceważenie szkoleń dla pracowników to proste błędy, które mogą mieć katastrofalne skutki. Jak się bronić? Po pierwsze świadomość. Cyberbezpieczeństwo to nie tylko technologia, ale też kultura organizacyjna. Nawet najlepsze zabezpieczenia nie pomogą, jeśli pracownicy klikają w podejrzane linki i otwierają nieznane załączniki. Po drugie, regularne aktualizacje, solidne procedury dostępu i zabezpieczone kopie zapasowe. Po trzecie przygotowanie na kryzys. Każda firma powinna mieć plan działania na wypadek cyberataku. Kto reaguje? Jakie są kroki awaryjne? Jak minimalizować straty? Cyberbezpieczeństwo to nie opcja, ale konieczność. Współczesny biznes nie może działać bez świadomości zagrożeń cyfrowych, bo dzisiaj to nie pytanie, czy tylko kiedy ktoś spróbuje włamać się do naszej organizacji. A lepiej być przygotowanym niż potem liczyć straty. Jakiś komentarz na gorąco do tego, co pan profesor? Bardzo dobre podsumowanie, takie w pigułce tego, co trzeba robić i to jest punkt wyjścia do tysięcy następnych zadań. No dobrze, a poziom bezpieczeństwa jest pochodną budżetu, którym dysponujemy. Czy można to zrobić tanio i dobrze? Czy trzeba rzeczywiście wydawać na to chyba coraz większe pieniądze? Myślę, że zdrowy rozsądek najważniejszy i czasami można zrobić i tanio i dobrze, ale wrócę. Zdrowy rozsądek najważniejszy. Bo wiem przecież, że w cyberbezpieczeństwie nigdy nie ma szybko. To jest jakby ten kłopot, że mamy tylko te dwie opcje, a nie trzy, bo szybko będzie zawsze kłopotem, niestety.Tak i to jest wieloskładnikowa rzecz od oprogramowania, które tworzymy powinniśmy mieć możliwość tworzenia tego oprogramowania w bezpieczny sposób już od tego momentu, nie? Więc edukacja, edukacja. Im bardziej wyedukowany jest nasz personel, tym lepiej. No dobrze, tak, mieliśmy, dotknęliśmy takiej perspektywy pracownika, użytkownika, a patrząc teraz, wchodząc w buty młodego przedsiębiorcy, jakie najczęściej błędy popełnia się projektując czy kreując taką sieć czy system zabezpieczeń w firmie? Nie myśli się o tym. Po prostu traktuje się komputer, traktuje się narzędzie, którym się pracuje, jako rzecz do pisania maili, do otworzenia dokumentów. O tym to się myśli na końcu. Ja to rozumiem. Tak po prostu jest. No bo dla mnie najważniejsze jest dzisiaj jako młodego przedsiębiorcy rozkręcić mój biznes. I dzisiaj nikt nie patrzy na to, czy żeby zabezpieczyć. Oczywiście tu jest też problemem ilość obowiązków, które kra– które ciążą na przedsiębiorcach. Na– jak patrzymy sobie ile musi być sprawozdawczości finansowej, podatkowej i tak dalej, i tak dalej. Więc branie sobie na głowę jeszcze Cyber Security jest chyba ostatnią rzeczą, o której ktoś myśli. Mam komputer, mam aktualizacje i tyle. I mało kto myśli, tak mi się wydaje, takie jest moje rozumienie. To tak jakby jest, jakby obawiam się, że w coraz większych organizacjach niemyślenie o cyberbezpieczeństwie będzie dużo bardziej dotkliwe niż niedbanie o księgowość. Kary jednak mają swoje limity. Zwłaszcza, że jesteśmy w erze sztucznej inteligencji i agentów, którzy wykonują zadania za powiedzmy hakerów, tak to nazwijmy w krótce. Wirtualnych hakerów. No jeszcze bym nie szalał. Znaczy tutaj research pewnie jest faktycznie już dzisiaj zautomatyzowany, ale te ataki można porównać do będzie znowu trudne słowo script kids- Czyli takich dzieciaków również niekoniecznie wiekiem, ale takich mało zaawansowanych ludzi, którzy myślą, że jak mają jakieś narzędzie do ataku, to są bogami i to faktycznie się automatyzuje. Więc przepraszam Nie, nie, w porządku, mieliśmy się nie zgadzać, także jak najbardziej. Natomiast to pokazuje jakiś trend, że będą próbowali i będą szli dalej w te, w te rzeczy. Tak więc kto wie, w jakim, do jakiego stopnia się to rozwinie No ale wchodząc troszkę tak na listę przebojów hakerskich czy ataków w cyberprzestrzeni, co jest dzisiaj najczęsts– na tej– na czele tej liści– listy. Co się najczęściej pojawia? Z czym trzeba się liczyć prowadząc firmę? Wydaje mi się, że ransomeware- Jakby dzisiaj rosnące od bardzo dawna, czyli to szyfrowanie danych, ataki na firmy. I to nie są ataki, które Czyli zdalnie komuś zamykamy dostęp do jego własnej firmy i oczekujemy za to okupu- Znaczy jesteśmy w tej firmie od bardzo dawna, obserwujemy co się dzieje, prawdopodobnie nadpisaliśmy już wszystkie kopie bezpieczeństwa, więc firma żyje w łudnym poczuciu bezpieczeństwa i któregoś dnia- Z szefem IT na czele. Tak. I pewnego dnia przychodzimy do firmy i nic nie działa. Jest to bardzo lukratywne zajęcie niestety, bo te okupy są spłacane i te firmy w cudzysłowie ransomwarowe działają jak firma. Mają swój helpdesk, pomogą Ci bitcoinem zapłacić za to. Więc jest to bardzo rozwinięty interes i bardzo lukratywny. No dobrze, ale że tak za szybko- Przepraszam, ale tu musimy pamiętać o jednej rzeczy. Płacąc okup bardzo często możemy łamać sankcje, bo to są organizacje z Rosji, z Białorusi. Więc jeśli zapłacimy te dwieście pięćdziesiąt tysięcy czy nawet dwadzieścia pięć tysięcy euro, to łamiemy sankcje. No dobrze, to jeszcze pojawia nam się kolejny geopolityczny wymiar ataków cyber– w cyberprzestrzeni. Ale, no ale tak na chłopski rozum, drodzy goście, czy nie ma jakiegoś takiego cybernetycznego komisariatu? Czy mamy po prostu tak bardzo szybko przeszliśmy do tego płacenia? Nie ma możliwości namierzenia tych przestępców? Nie ma jakiejś policji, prokuratorów cybernetycznych, którzy są jednak po naszej stronie i eliminują albo ograniczają to ryzyko? Jest i-i coś się dzieje. Jest jeden, tak z asygnału wnioskuję z tego, co powiedziałeś. Nie no, są takie organy. Myślę, że koledzy może będą więcej mogli powiedzieć. Natomiast tu chodzi o tempo, o czas pracy, bo firma unieruchomiona traci pieniądze, nie przynosi zysków. I to jest duży problem. Czas reakcji i to niestety zajmuje dużo więcej czasu, odnalezienie i odzyskanie tych danych, niż, niż zapłacenie tego okupu. I to jest bardzo zachęcające w tym całym procederze. Znaczy oczywiście, tutaj dzisiaj organizacji jest tak, jak kolega powiedział, dość dużo, które już zajmują się, chociażby NASK jako instytucja, która zaczyna działać naprawdę fajnie, proaktywnie, gdzie już można zgłaszać praktycznie online czy SMS-em, czy, czy, czy mailem próby phishingu, próby, jakieś niebezpieczne sytuacje, w których się znajdujemy. Oni próbują to namierzać, wyłączać dostępy niebezpiecznych stron, blokować próby phishingu. To się już dzieje, to siedzi, to działa w miarę dobrze i przyzwoicie. To, to, to można naocznie sprawdzić czasami, bo osiem osiem osiem czy osiemdziesiąt osiem numer już nie pamiętam SMS-em. W tej chwili to jest. Tutaj chwała za to NASK-owi za takie działania. Natomiast, natomiast dlaczego oni namierzają? No, to jest bardzo trudny temat na mierzenie przestępców, którzy działają z różnych lokalizacji, z różnych miejsc na świecie. Chowają i ataki, ataki przeprowadzają. Mówimy o tych zaawansowanych, nie mówimy o kids scriptach, tylko mówimy już o zaawansowanych przestępcach cybernetycznych. To są ludzie, którzy potrafią ukrywać się za wieloma tak zwanymi hopami, za wieloma, za wieloma serwerami, za wieloma miejscami, będąc, nie wiem, na Białorusi mogą wykonywać ataki ze Stanów, z każdego innego miejsca. W związku z tym dlatego ich namierzenie nie jest takie proste i-i, no, jak już się coś namierzy, to są już spektakularne akcje, o których dość dużo się mówi i w mediach, i-i w policji. Natomiast oczywiście dzisiaj jednostki próbują działać i to proaktywnie w Polsce i to jest fajne To ja nieśmiało ponowię pytanie, czy jest jakaś jednostka w policji, czy w jakichś służbach specjalnych, która zajmuje się pomocą przedsiębiorcom konkretną? Bo Marku, wspomniałeś o tym, że no, nie wiem, zwykły przedsiębiorca, który ma problemy zTo, co zidentyfikowaliśmy, możemy zasygnalizować i ktoś spróbuje nam wyjaśnić źródło i pochodzenie ataku. No ale najczęściej, tak jak wspomniał Konrad, my nawet nie wiemy, że ktoś nas przez kilka miesięcy penetruje i przygotowuje ten atak i potem albo nam wyprowadza pieniądze, albo zablokuje firmę z zewnątrz. Do kogo się zwrócić wtedy? To, ehh, przede wszystkim prawo obowiązuje spółkę do tego, żeby zgłosiła to do odpowiednich służb typu UODO, czy jeśli mamy wyciek danych osobowych, to, to jest pierwsze, o czym powinniśmy myśleć. Z tyłu oczywiście będzie. Jest Centralne Biuro Zwalczania Cyberprzestępczości i tutaj jakby mówienie, że oni nie działają czy ich nie ma, no jakby oni nie są od tego, żeby przyjmować od nas zgłoszenia. To nie jest zgubiony dowód osobisty. Oni są od tego, żeby przejąć od nas informacje wywiadowcze i zacząć namierzać tą organizację. Tylko musimy pamiętać o tym, że jeśli ta organizacja jest na Filipinach, w Rosji, w Białorusi, to my tam nie możemy sobie zrobić wjazdu i pojechać. Cześć, dzień dobry, zapraszamy do, przed polski sąd. Były już bardzo spektakularne zatrzymania grup, które atakowały w Polsce z różnych innych krajów wschodnich i to się po prostu dzieje tam, gdzie się da i uda się to namierzyć. Było bardzo duże rozbicie grupy w Polsce, która atakowała wiele spółek, yy, z naszego terenu. Więc to jest tak, że to wszystko się dzieje, te służby są, ale musimy rozróżnić, że to zgubiony dowód czy okradziony samochód to nie jest to samo, co okradziona firma i te służby, żeby namierzyć te grupy, poświęcamy tu dużo więcej czasu. Czyli to co, ratunku nie ma? Ratunkiem jest nasza samoświadomość i świadomość naszych podwykonawców, współpracowników. To jest jakby podstawa. Jak ze zdrowiem lepiej zapobiegać niż leczyć. No dobrze, to cytując jednego z polskich premierów, a może lepiej się ubezpieczyć? Czy można się ubezpieczyć od ataku hakerskiego? Czy można odzyskać część straconych pieniędzy? Są już, są już, są już ubezpieczalnie, które, które, które, czy zakłady ubezpieczeń, które wprowadzają taką usługę, można to wykupić. Nie będę tutaj robił reklamy, natomiast no są, można poszukać i znaleźć. Ja bym tylko proponował przeczytać wyłączenia, które są w tej umowie. No dobrze, a co w takim razie tam się może znaleźć? Jakie wyłączenia się na pewno pojawią i wtedy cała ta umowa traci sens? Bo rozumiem, że taka jest intencja tego komentarza? Tak, znaczy jest cała masa sytuacji, które firma musi spełniać, żeby faktycznie to odszkodowanie móc otrzymać. Prawdopodobnie w takim prawdziwym świecie spełnienie tego wszystkiego przez małe podmioty jest po prostu nierealne. To prawda, sami kiedyś próbowaliśmy się temu poddać i o takich prostych rzeczy typu kopia bezpieczeństwa i jakiś firewall i takie systemy nadzoru, w pewnym momencie procedury były tak dłużej skomplikowane, że było to bardzo trudne dla startupu. Ale słuchając panów mam takie wrażenie ogromnej asymetrii. To znaczy ci ofensywnie działający, którzy nas atakują, mam wrażenie, są o wiele lepiej przygotowani i technologicznie i intelektualnie- Bo to prawda. Do tego, co my robimy. A ta dysproporcja będzie jeszcze chyba bardziej się pogłębiać na skutek właśnie coraz lepszej sztucznej inteligencji, która przejmie chyba część tych naszych, tej naszej kreatywności i będzie to robiła jeszcze efektywniej. Punktem wyjścia dla nas powinno być zrozumienie, że ci ludzie, którzy nas atakują, to najczęściej nie są jakieś orły, sokoły pojedyncze. To są całe grupy, które przychodzą o ósmej do pracy i do szesnastej i korzystając z playbooków, z takich instrukcji, próbują oszukać jakąś firmę. Oni doskonale wiedzą, jakie są zyski tej firmy, po KRS-ie w Polsce. Oni doskonale wiedzą, kto jest prezesem, gdzie jest jego rodzina, jakie ma profile na social mediach. I tą pracę, właśnie wywiadowczą dzisiaj ułatwia im AI czy wszystkie możliwe języki, te takie pochodne, systemy, które będą im ułatwiały, automatyzowały tą pracę. I tutaj jest kłopot, że dzisiaj zdobycie wywiadowczych informacji na temat kogo warto zaatakować w branży, nie wiem, medycznej, energetycznej, to nie jest już kilka tygodni szukania. To jest może dzień, dwa. Mamy po prostu gotową listę posegregowaną, kogo warto zaatakować w pierwszym momencie. I tak, ta symetria jest i będzie, bo to są ludzie, którzy niczym innym się nie zajmują. Jeśli zatrudnimy kogoś do przekopania ogródka i zajmuje się tym zawsze, to zrobi to szybciej niż my. I tam po drugiej stronie są ludzie, którzy nic innego nie robią. Oni się po prostu zajmują atakowaniem nas wszystkich w różnych krajach A Polacy na tej mapie takiego zaangażowania i świadomości, jeżeli chodzi o cyberprzestrzeń i to, co ona nam może zrobić plasują się w jakiejś, chociaż średniej europejskiej? Jesteśmy bardzo wysoko Czyli inni mają gorzej Tak. Znaczy my mówimy, my mówimy w tej chwili, ja mówię w tej chwili o obronie raczej, czyli dzisiaj polskie, polskie systemy cybernetyczne są naprawdę na wysokim poziomie w rozumieniu instytucji wojskowych, instytucji państwowych. Wygrywają w różnych rodzajach, w różnego rodzaju w tej chwili zawodach i-i-i współzawodnictwie różnego rodzaju służb cybernetycznych. Od kilku lat są na, na bardzo wysokim, pierwszym, drugim i trzecim miejscu. Także tutaj Polacy są, jeśli mówimy o obronie, przygotowani. Jeszcze mówiąc o atakach czy o tych wszystkich organizacjach atakujących. Tutaj nie należy zapominać o pieniądzach, które za tym idą. Czyli bardzo dużo tych organizacji atakujących są sponsorowanych przez rządy. Mówimy tutaj szczególnie o Wschodzie, na wschód od Polski. Tam są olbrzymie pieniądze w tym, żeby ci ludzie tworzyli oprogramowanie. I ja bym nie powiedział, słuchajcie, pozwolę sobie zgodzić. To nie tylko są skills– kid scripty, tylko to są bardzo zaawansowani specjaliści, wyszkoleni, wyszkoleni i posiadający olbrzymią wiedzę, próbujący wyszukiwać i znajdować podatności na urządzenia, które później wykorzystują i te podatności, które służą im do ataków na różne rzeczy, w tym o tym, czym my się zajmujemy, czy na infrastrukturę krytyczną. Także-To jest po pierwsze. I są ludzie– znaczy są grupy, które mają olbrzymią wiedzę i są dodatkowo jeszcze finansowane przez państwo. No, myślę, że ten komponent wiedzy, który państwu zaprezentowaliśmy do tej pory, upoważnia nas do tego, żeby wysłuchać spokojnie piosenki. Firmament. Halo, halo? A teraz połączymy się z dr Agatą Slater, wiceprezeską Stowarzyszenia Blockchain Polska, która specjalizuje się w bezpieczeństwie cyfrowym i technologii blockchain. Czy się słyszymy? Halo? Dzień dobry. Ja słyszę państwa. Cześć. Poznań. (śmiech) Witamy z Poznania. Tak. A wytłumacz nam Agata, co to takiego ten blockchain? Bo my już tyle tutaj mądrych słów rozszyfrowaliśmy, a jeszcze nam blockchain na deser został. (śmiech) To jest w ogóle ciekawa sprawa, że właśnie wprowadzamy temat technologii blockchain do rozmowy o cyberbezpieczeństwie, bo zazwyczaj, no, jest to temat pomijany, temat technologii blockchain. A może dlatego, że wielu osobom technologia blockchain cały czas kojarzy się z niechlubnymi tematami, takimi jak kryptowaluty, Bitcoin i-i inne tematy, no, które nie są w żaden sposób związane z cyberbezpieczeństwem, a wręcz przeciwnie. Natomiast kluczem do zrozumienia samej technologii blockchain, jak ona działa, jest decentralizacja. I blockchain pozwala na umieszczenie informacji o transakcjach poza jedną organizacją. Czyli nie tylko jest to rozproszenie danych, ale też ich decentralizacja. Czyli usuwamy w ten sposób jeden punkt informacji, no, który swoją drogą jest newralgiczny i podatny na ataki. I tego typu zabieg, wprowadzenie tej technologii pozwala właśnie na to, żeby uniknąć jednego punktu ataku. A do tego blockchain– informacje zawarte w takim rejestrze transakcji opartym o technologię blockchain są też trwałe, transparentne i niezmienialne. Także taka integralność danych, którą oferuje blockchain, no, jest jeszcze wartością dodaną do wprowadzania tych technologii. Bardzo dziękuję. Bardzo to przekonująco brzmi, ale zapytam Cię błyskotliwie. Czyli co? Wystarczy skorzystać z technologii blockchain, żeby czuć się absolutnie bezpiecznym i zabezpieczonym w firmie? Oczywiście nie. I skoro można zapytać oczywiście również przewrotnie, skoro jest tyle zalet technologii blockchain, to dlaczego właśnie nie widzimy tych wdrożeń w praktyce? No, jest oczywiście wiele powodów ku temu. To jest złożona kwestia. Pierwsza to jest właśnie taka– te wszystkie mity i przekonania związane z tym, jak używany jest blockchain w świecie kryminalistyki. Natomiast żeby wprowadzić technologię blockchain, trzeba by oczywiście, no, zastąpić obecne scentralizowane bazy danych, a dla wielu firm to jest za duży wysiłek i za duży koszt. Także blockchain jest jednym z zabiegów, które można wprowadzić. Trzeba oczywiście pomyśleć, jak to zrobić, jak taką technologię zaimplementować. Dlaczego mielibyśmy taką technologię zaimplementować? Bo implementacja technologii samej w sobie nic nam nie da. Musimy zbudować rozwiązania biznesowe w oparciu o taką technologię. To też jest wysiłek dla firm. I oczywiście jeszcze dodatkowo zadbać oczywiście o warstwę cyberbezpieczeństwa, bo blockchain jako system nie udźwignie wszystkich danych, które w firmie się znajdują i często stosuje się właśnie takie połączenie baz scentralizowanych z decentralizowanymi. Czyli nie wszystkie informacje są zapisywane w bazie blockchain, tylko na przykład ich kawałek albo ich ślad. Różnie to się rozwiązuje. Także jest to jedna z metod, natomiast oczywiście nie jedyna, żeby się uchronić Ale tak wnioskuję z tego, co mówisz, że jest to metoda, która chyba jest jeszcze w wieku dziecięcym. Że przyszłość dopiero się rysuje w świetlanych barwach przed blockchainem. To jest technologia, która jest dopiero rozwijana, jest stosunkowo młoda. Prawda to? To jest prawda i nieprawda. To zależy, co dla kogo znaczy młoda technologia. Blockchain powstał w 2009 roku, więc jak spojrzymy sobie na-na jej żywotność, no to nie jest aż- Wieki temu. Tak, dokładnie. W świecie, w którym technologia postępuje tak szybko, to jest, to jest, to są wieki temu. Natomiast ta technologia bardzo szybko się rozwija i te problemy, które technologia blockchain miała jeszcze jakiś czas temu związane z wydajnością, z przetwarzaniem danych, z szybkością, bo to były główne zarzuty do tego, do tej technologii, szczególnie właśnie z tego sektora biznesowego, że ta technologia nie jest tak wydajna i jest przede wszystkim droga w porównaniu do technologii scentralizowanych. Te wszystkie problemy są teraz bardzo szybko rozwiązywane. I muszę od razu też zaznaczyć, że nie ma czegoś takiego jak jedna technologia blockchain. Są różne podejścia do tego, jak te transakcje są przetwarzane w bazie blockchain. Co do przepustowości tych transakcji i te rozwiązania blockchainowe można znaleźć odpowiednie rozwiązanie dla swojej firmy. A Ty jesteś optymistką czy pesymistką? Czy kwestia tak dynamicznego rozwoju technologii de facto będzie dla nas dodatkowym elementem bezpieczeństwa? Czy tych ataków będzie tylko więcej i będą coraz bardziej wyrafinowane?Myślę, że na pewno będą coraz bardziej wyrafinowane. Natomiast ja pozostaję optymistką w tym, w tej kwestii, że bardzo wierzę właśnie w decentralizację danych i uważam, że będzie ona postępować. I teraz jest właśnie na to bardzo dobry moment. Z dwóch powodów. Pierwszy powód jest geopolityczny. Widzimy to, co się dzieje na świecie i myślę, że tutaj Europa bardzo mocno musi zacząć myśleć o tym, jak siebie chronić, budować rozwiązania wewnętrznie. My też musimy o tym pomyśleć jako Polska, tutaj region Europy Środkowo-Wschodniej. Także to na pewno będzie napędzać innowacje. Sytuacja, którą mamy. A druga kwestia to jest to, co się dzieje w obszarze technologii w ogóle. Widzimy bardzo duży wzrost rozwiązań związanych ze sztuczną inteligencją. Widzimy postępujący stały rozwój Internetu rzeczy. Ja myślę, że decentralizacja doda bardzo dużą wartość do rozwoju tych ościennych technologii. I to połączenie tych trzech technologii to jest to, co, w co ja wierzę. Myślę, że izolowanie silosowania technologii to nie jest dobry pomysł, a technologia blockchain, i tutaj właśnie decentralizacja jest to, co może pomóc nam wprowadzić więcej transparencji, integralności i bezpieczeństwa także do takich technologii jak właśnie AI czy Internet rzeczy. Z tego, co widzę, to te wątki rozgrzały moich gości w studiu. A powiedz, co rozgrzewa poznaniaków dzisiaj? Co ty tam robisz? Co dzisiaj dla branży CyberSec jest kluczowym wyzwaniem? Jesteśmy w Poznaniu na technologii Tech of Tomorrow. Jest to konferencja, którą ja współorganizuję i celem tej konferencji jest właśnie pokazanie bardzo praktycznych rozwiązań, jak te trzy technologie blockchain, Internet rzeczy i sztuczna inteligencja mogą się przenikać. Cyberbezpieczeństwo jest oczywiście i zabezpieczenie tych technologii, czy to za pomocą właśnie blockchaina, zabezpieczenie AI i IoT przez blockchain, czy w inne sposoby, czy samo zabezpieczenie blockchaina, też to są tematy, które tutaj się przewijają. Natomiast ciekawe jest to, że wprowadziliśmy też właśnie scenę ściśle techniczną i scenę warsztatową do tej konferencji, gdzie uczestnicy mogą w bardzo praktyczny sposób dowiedzieć się, jakie rozwiązania są już obecne na rynku. Spróbować trochę tych rozwiązań właśnie na praktycznych warsztatach i miejmy nadzieję wyjść z nową wiedzą i móc wdrażać te technologie już teraz u siebie w firmach, bo sami wiemy i rozmawiamy o tym, jakie to jest ważne w tym momencie. Agata, bardzo dziękuję za szalenie inspirującą rozmowę. Mam dziwne przeczucie, że nie powinniśmy się żegnać, bo wkrótce się zobaczymy. Wszystkiego dobrego i raz jeszcze dziękuję za rozmowę. Dziękuje bardzo i zachęcam do wskoczenia w pociąg bądź samochód i przyjechania tutaj do nas do Poznania. Tak będzie. Do widzenia. Dziękuję. Do widzenia. Cześć. A teraz czas na dekalog dobrych praktyk. Krótko na ten temat opowie Iwona Pruszyńska ze wspomnianego już NASK-u. Firmament. Taką kluczową zasadą jest, by dostęp taki zdalny właśnie do zasobów firmowych był możliwy tylko po podwójnym uwierzytelnieniu. Pomyślałabym sobie też o tych właśnie atakach typu ransomware i o tym, co najczęściej zawodzi, kiedy obsługujemy takie ataki, co najczęściej wtedy widzimy. No i tym słabym ogniwem jest system kopii zapasowych, które często są przechowywane w tym samym na przykład miejscu, gdzie cała reszta danych. Ten system kopii zapasowych powinien być odizolowany, a same kopie regularnie sprawdzane i weryfikowane po to, że gdy dojdzie do właśnie tego rodzaju cyberataku, my będziemy się w stanie sprawnie odtworzyć i nie z kopii sprzed na przykład dwóch lat, a z aktualnej kopii, która zawiera wszystkie niezbędne dla nas dane. Inna zasada to jest aktualizacja systemów, szczególnie tych, które są dostępne z Internetu, o aktualizacjach urządzeń będących w bezpośrednim posiadaniu pracowników. Taka firma, jeśli chce być bezpieczna, powinna też zadbać o właściwą politykę dotyczącą haseł. Czyli te hasła powinny być odpowiednio mocne, odpowiednio długie. W tej polityce dotyczącej haseł oczywiście może pojawić się też ten element, który ja gorąco rekomenduję, czyli podwójne uwierzytelnianie. No i dla mnie też takim fundamentem faktycznie bezpieczeństwa jest edukacja pracowników. Niezwykle istotne jest takie budowanie wśród nich świadomości dotyczącej tych cyberzagrożeń oraz tego, że oni pracownicy mają wpływ na bezpieczeństwo całej organizacji. To budowanie świadomości jest też o tyle ważne, że powinien znaleźć się w nim ten element dotyczący tego ok, ja coś zrobiłem, wszedłem, coś się zadziało i ja mam świadomość, że lepiej będzie to w takim razie zgłosić do mojego administratora, niż spróbować na własną rękę usunąć plik i uznać, że nic się nie wydarzyło Z Iwoną Pruszyńską rozmawiał Przemysław Zieliński z mamstartup.pl. Panowie nieustannie kiwali twierdząco głową. W jakim celu? Żeby było tak milej, że się zgadzamy. Zgadzacie się, ale z Agatą czy z Iwoną? Pani z NASK-u to była? Iwona. Pani Iwona w dwie minuty powiedziała to, co od trzydziestu pięciu w zasadzie mówimy. Czyli właściwie możemy kończyć naszą Właśnie dlatego tak nie chciałem tego tak wprost powiedzieć, no ale trochę tak brzmi, że tutaj to, co wybrzmiało trzy razy, ja powtórzę czwarty. Dwuetapowa weryfikacja, jeśli coś mamy i jedną rzecz dzisiaj wdrożyć do naszego cyberbezpieczeństwa. Na wszystkie narzędzia wdróżmy dwuetapową weryfikację. Nie SMS-em Ja bym jeszcze dodał do tych tego dekalogu kwestię menadżerów haseł. Czyli jeżeli mamy znać jedno hasło, to warto by było, żeby ono otwierało menadżera, który losowo generuje hasła dla różnych stron i przechowuje te informacje. A oprócz tego coraz bardziej dostępna jest technologia passkey.Która umożliwia za pomocą biometrii dostanie się do różnych zasobów typu strona internetowa- Geometrii? Yyy, biometrii. Aaa biometrii. Biometria, czyli to, kim jestem. Mój odcisk palca. Czyli palce, oczy- Twarz. Tak jest. Tak? I to jest- W Polsce bardzo dobry startup, który zajmuje się weryfikacją podrabiania, jeśli chodzi o głos, więc to też tak można było akurat wspomnieć, że mamy dobrą firmę, która wie, że AI będzie to bardzo mocno podrabiać i zajmują się właśnie weryfikacją tego. No i mamy też firmę, która zupełnie pewnie w innej intencji, ale rozwija również technologię głosową, która może być wykorzystywana z kolei do ataków i nadużyć, prawda? Znaczy tam podejrzewam, jest jednak jakaś weryfikacja, to nie jest takie proste, żeby teraz sobie sklonować dowolny głos, więc myślę, że akurat już powiedzmy Eleven Labs na pewno podejmuje kroki w tym kierunku, żeby, żeby to zabezpieczyć. Niemniej mamy też polską bardzo dobrą firmę, która zajmuje się, żeby wyłapywać te, te rzeczy. Myślę, że kiedyś może się skończy jakąś współpracą, żeby właśnie blokować to automatycznie. No dobrze, rozrzuciliśmy tych pomysłów trochę na tym stole w studiu. Uporządkujmy. Marek, patrzę na Ciebie ufnie i zapytuję, co zrobić, żeby ustrzec swoich bliskich przed włamaniem do telefonu czy komputera? Co zrobiłeś ty i ty? Jak rozwiązałeś ten problem u siebie? Brutalnie. Ograniczyłem w domu na firewall’u wszystkie reguły, które można i pozwoliłem wychodzić tylko tam, gdzie ja pozwalam. To zrobiłem w domu, brutalnie. Natomiast czy tak robić? Można– jest wiele innych sposobów. Przede wszystkim uczulałem na nie klikaj. Uczulałem na różne hasła, tutaj co było mówione, do każdego serwisu trzymajcie inne hasła czy używajcie innego hasła. Tam, gdzie się da również włączcie dwuetapowe uwierzytelnianie. Również nie przez SMS-y, tylko aplikacjami. Yyy- Albo hardware. Albo hardware’m oczywiście. Nie, akurat tam po aplikacji dzisiaj u mnie używają- Czyli techniki dwukilowy pęk kluczy. Hardware. Mam tutaj w dłoni właśnie takie małe urządzenie, które wygląda jak pendrive, które wpijamy po USB, może do telefonu, może do komputera i przy próbie logowania musimy dotknąć tego urządzenia, żeby ono pozwoliło nam zalogować się. To jest zasadniczo nie do obejścia na dzień dzisiejszy. Oczywiście komputery kwantowe mogą to zmienić, ale już nie komplikujmy obrazka. Ale Ty masz takich kluczy kilkanaście. Po co? Dlaczego ich tak dużo? Znaczy, bo jeszcze gdzieś muszę mieszkać i jakby, no do domu, jeszcze nie mam takich automatycznych- Czyli nie można jednym otworzyć wszystkiego? Wszystkie urządzenia elektroniczne mogę jednym. Do domu i jakby schowek, no niestety jeszcze nie. Znaczy nie dorobiłem się jeszcze do tej pory. No dobrze, czyli i teraz mamy tego pracownika, który czy który studenta wychodzi z domu ze swoim sprzętem, swoim komputerem, swoim telefonem, przychodzi do biura. Czy to jest dopuszczalne? Czy tu powinny się pojawić jakieś ograniczenia czy zasady wykorzystania sprzętu prywatnego do pracy, a w pracy zdalnej, hybrydowej tak konkretnie, podróżujemy z tym naszym sprzętem i mamy po dwa telefony, często dwa komputery. Jak to powinno być rozwiązane, żeby było bezpieczne dla wszystkich? To jest oczywiście kwestia polityk, które firma jeżeli mówimy teraz o rozwiązaniu firmowym, które przyjmuję. Znam firmy, w których to jest zabronione kompletnie i nie wolno własnych urządzeń ani wnosić, ani używać, ani podłączać. Ale nie możecie wnosić prywatnego telefonu do biura? Nie wolno. Nie wolno. Oczywiście nie wolno tych rzeczy robić. Nie wolno podłączać, wnieść można, nie wolno podłączać do sieci lokalnych, może źle się wyraziłem, czyli sieci firmowych, przepraszam. To jest, to jest pierwsza rzecz, a znam firmy, w których urządzenia pracowników są dozwolone. Są odpowiednie mechanizmy technologiczne zaimplementowane, które pozwalają na użycie takich urządzeń. No i to się bring your own device. To jest technologia, która istnieje już od kilkunastu lat co najmniej. I są, i takie, i takie rozwiązania. Wszystko zależy oczywiście od polityki danej firmy. Błażej, jak Wy to rozwiązujecie? To zależy. Zależy od tego, na jakiej wagi rzeczy są i nad którymi pracujemy. Gdybym u nas, u nas w firmie akurat mamy mechanizmy, gdzie pozwalamy na bring your own device. Natomiast nie masz zasobów do firmowych rzeczy, które przechowujemy, które mogłyby być naszymi jakimiś trade secrets, czyli tam gospodarczymi rzeczami. Natomiast, no my też jesteśmy startupem, więc jeszcze nie narobiliśmy całej masy takich danych, które mogłyby być niebezpieczne. Ale też mamy kod źródłowy, tak? Mamy dokumentację, mamy różne inne rzeczy, które jeszcze nie ujrzały światła dziennego i nie chcielibyśmy, żeby jeszcze ujrzały. Bezwarunkowo, tak po prostu zostały wykradzione. Więc te rzeczy są bardzo mocno zabezpieczone między innymi takimi urządzeniami, jak tutaj kolega pokazywał, czyli hardware’m, żeby można było pracować, to musisz się uwierzytelnić, taką silną metodą uwierzytelniania. Jeśli chodzi o firmy, które tam są, tak jak tutaj kolega powiedział, no to zależy. W takim NASKu na przykład zakładam, że te metody będą bardziej rygorystyczne. Dodatkowy komputer, brak wnoszenia sprzętu swojego czy nawet metody biometryczne, a w innych to po prostu będzie kwestia zakazu wnoszenia swojego urządzenia czy podłączenia do sieci WiFi, albo może nawet włączenia jakichś dodatkowych mechanizmów cybernetycznych. Konrad, słyszałeś kandydata numer jeden, kandydata numer dwa. Czy coś jeszcze do tego byś dołożył? Trzy rzeczy, postaram się na szybko. Po pierwsze, zdecydujmy się na jakieś środowisko. Niestety albo Microsoft, albo Google. Od początku firmy środowisko ma Office 365 albo Google Workspace. To nam obsłuży bardzo wiele procesów bezpieczeństwa. Czyli mieszanie tych dwóch systemów nam nie służy. Znaczy przede wszystkim problemem jest brak jakiegokolwiek z tych systemów i trzymanie poczty na jakimś firmie, przepraszam w Koziej Wólce. I wychodzenie z założenia, że to będzie fajnie, bo tam jest tanio. Tanio jest zwykle wrogiem bezpieczeństwa. Niestety mamy taką sytuację, że mamy dwie firmy, dwa big techy, które jakby zdominowały ten rynek i-Postawienia na któregoś z nich dzisiaj bardzo mocno na starcie porządkuje bezpieczeństwo firmy. Druga rzecz — ustalenie procedur. Mówiliśmy o tym generowaniu dźwięku. Nie wiem, czy koledzy tutaj macie sytuację w swojej rodzinie ustalone, że jeśli dzwonicie i mówicie, że jest wypadek i potrzebujecie szybko wręczyć łapówkę dla policji, to czy macie jakieś słowo, które musi paść, żeby osoba po drugiej stronie wiedziała, że to jesteście wy? Jeśli macie w internecie przynajmniej piętnaście minut próbki swojego głosu, to wygenerowanie Waszego głosu, nawet nie z pomocą naszego polskiego narzędzia, tylko dowolnego innego, jest bardzo proste, szybkie, więc podłożenie tego pod rozmowę telefoniczną i zażądanie po prostu przelewu na Blika, cokolwiek, bez ustalonego słowa, jest ryzykowne. Dlatego dobrze mieć to zabezpieczone i to samo mieć w firmie, czyli mieć ustalone procedury, że tylko jedna osoba robi przelewy i musi paść coś. Oczywiście jest to do wychwycenia przez cyberprzestępców, ale wszystko jest zawsze skomplikowane. Trzecia rzecz, którą bym bardzo polecał, to jest zdrowy rozsądek. Tak jak już dzisiaj mówiliśmy chyba wielokrotnie, musimy nauczyć ludzi myśleć. To jest dobro, dobro szczególnie poszukiwane i szczególnie rzadkie. No niestety tak, ale bez świadomości tego, że każdy może stać się ofiarą cyberbezpieczeństwa i nie ma, to tak jak ludzie, którzy twierdzą, że nie są podatni na reklamę. Bredzą. Tak samo ludzie, którzy mówią, że są niepodatni na cyberataki, bredzą i musimy się z tym pogodzić. Niesłychanie pogodne podsumowanie tego wątku, ale użyłeś określenie środowisko informatyczne. Czy mój własny serwer daje mi większe poczucie bezpieczeństwa niż ich własna chmura, w której są zdeponowane moje wrażliwe dane? Jeśli masz to rozrzucone po, pocztę masz u jednego usługodawcy, pliki trzymasz u drugiego usługodawcy, a jeszcze do tego masz, łączysz się przez jakieś komunikatory u trzeciego, to tak, jednak jedno środowisko będzie dużo spójniejsze i bezpieczniejsze. Ale właśnie serwer czy chmura? Mity i fakty dotyczące jednego i drugiego rozwiązania. Znaczy pamiętajmy, że nie ma czegoś takiego jak chmura. To zawsze jest gdzieś komputer, który gdzieś stoi i jakby to, odczarujmy to słowo, to jest oczywiście bardzo wygodne, one są zastępowalne, dzielą się danymi i super fajnie. To jest zawsze w przypadku chmury kwestia kosztów i potrzeby. Jeśli mamy dużo pieniędzy i potrzebujemy, żeby te dane były dostępne geolokalizacyjnie w Azji, w Europie, w Stanach, to postawmy jednak na chmurę. Jeśli mamy pliki, które mają być bezpieczne, trzymajmy u jednej firmy w bezpiecznym miejscu. Mógłbym tu opowiedzieć historię pewnej firmy, która straciła dane, trzymając w jednym bezpiecznym miejscu. Po prostu firma została kupiona hostingowa i ta firma hostingowa jakoś nie zgłosiła do reszty firm, że została przejęta przez pewną firmę ze Wschodu. Nikt nie uznał tego za jakoś istotne, a po prostu chodziło o to, że można było taniej kupić firmę hostingową niż się włamywać. No ale Konrad, poruszyłeś tutaj bardzo istotny wątek. Tutaj wykonamy de facto taki krok do kolejnej audycji, w której będziemy rozmawiać o zagrożeniach wynikających z sytuacji geopolitycznej dla biznesu. Użyłeś takiego określenia w jednym z wątków — sankcje. Czy my możemy nie wiedzieć, a zakładam, że z reguły nie mamy pojęcia, że jesteśmy atakowani przez przestępców cybernetycznych ze Wschodu. Nie wiemy, komu płacimy de facto, podkreśliliście to kilka razy. W związku z tym, dlaczego jakaś dodatkowa sankcja ma na nas jeszcze spaść, skoro i tak straciliśmy wszystko, co mieliśmy? To jest taka sytuacja, w której musimy przyjąć, że większość ataków będzie pochodziła z trzech krajów: Białoruś, Rosja i Chiny. Oczywiście możemy dorzucić do tego Filipiny, ale najczęściej są wykorzystywane, przepraszam, trudne słowo proxy, czyli taki pośrednik przez któreś z tych krajów. Więc dzisiaj to nie jest kwestia tego, że my musimy o tym wiedzieć, ale fajnie mieć świadomość, że jeśli płacimy ten okup, to on może trafić do kraju, w którym otrzymanie przelewu jest po prostu objęte sankcjami państwową. Jest jedna rzecz, której ja nie mogę zaakceptować, nie mogę zrozumieć i chyba przyjdzie nam się z tym pogodzić, że nie mamy wyboru. Musimy zapłacić okup. Nie ma żadnego innego systemu zbackupowania swojego, swoich własnych zasobów, ukrycia ich gdzieś na jakimś serwerze zewnętrznym, żeby nie zostać pod ścianą zupełnie bezbronnym. Marku Chyba to, chyba to nie do końca tak, bo wystarczy stosować dobre praktyki, zbudować organizację w ramach pewnych frameworków, które są dostępne, ogólnie dostępne, za darmo dostępne i tak naprawdę mówiąc teraz o bardziej zaawansowanych organizacjach budować sobie czy ISO 27001, czy dowolne inne, zdobyć inne certyfikaty bezpieczeństwa. I w tym momencie, jeżeli to jest zrobione zgodnie z, dalej mówię zdroworozsądkowo i zgodnie z pewnymi zasadami, no to można zbudować organizację, która jednak po ataku ransomware, który może się zdarzyć, jest w stanie się w miarę szybko odtworzyć. No, mamy wiele różnych innych certyfikatów, które można zdobyć w odpowiedni sposób, przygotowując organizację. Patrz przykład ciągłości działania. Jest tego mnóstwo. Ja nie jestem ekspertem w aspekcie tych certyfikacji i może nie będę się tutaj mądrzył. Natomiast, natomiast można oczywiście przygotować organizację do tego w sposób naprawdę rozsądny i nawet w wypadku ataku w miarę szybko i sprawnie taką organizację odtworzyć do działania A ja bym jeszcze dodał, że Unia Europejska mocno zaczyna czuwać nad tym. Regulacje się pojawiają, jest Cyber Resiliency Act, jest NIS 2, o którym pewnie słyszeliście, jest DORA, jest szereg ISO skierowanych do różnych wydziałów czy też różnych domen medycyny, urządzeń wbudowanych, radiowych. A więc zaczynają się temu przyglądać, tak jak mieliśmy GDPR, czyli nasze RODO. Tak, te regulacje się pojawiają. Ten regulator konsultuje się z osobami, które mają głowę na karku. Konrad, zafrasowany jesteś ostatnie zdanie, które podsumuje całą naszą dzisiejszą dyskusję. Będzie gorzej czy będzie lepiej? Wszystkie te regulacje wymuszają pewne rzeczy i coś, co jest pewnie ważne, musimy pamiętać, że DORA wymusza odpowiedzialność zarządu na cyberbezpieczeństwo. Trzymamy kciuki za DORĘ. (muzyka) Firmament, to już wszystko na dziś, a za dwa tygodnie poruszymy kolejny niewygodny, trudny temat, jakim jest biznes i wojna. Jak rozwijać biznes w niepewności geopolitycznej? Co powinien robić odpowiedzialny i nowoczesny przedsiębiorca? Nasz ulubiony, czyli słuchacz Firmamentu, żeby być przygotowanym dosłownie na wszystko. Padną trudne pytania, to na pewno mogę obiecać, a więcej treści prosto z Firmamentu w podcastach Radia 357 oraz na kanałach programu Incredibles Sebastiana Kulczyka. Paweł Sołtys, Jarosław Sroka. Do usłyszenia. Incredibles, Incredibles, mission driven startups.
