Polska celem ataków hakerów! Cyberbezpieczeństwo inwestycją, nie wydatkiem | Paweł Stachewicz [Cyberbezpieczeństwo i hakerskie ataki]

Nie jesteśmy bezpieczni, to na pewno. Yyy żyjemy w bardzo ciekawych czasach i zagrożenia yyy czychają na nas dosłownie wszędzie. Są też czasy wojenne. W końcu jesteśmy państwem przyfrontowym i tutaj też jesteśmy celem ataków. A jeśli chodzi o kwestie związane z wpływem na nas jako na społeczeństwo. Nie ma takich możliwości, żeby dać gwarancję 100%ową. z tego względu, że nawet jeśli te wszystkie urządzenia działają idealnie, to zawsze jest ten element ludzki, który pozwala na wejście do systemu niepowołanym osobom. I oczywiście musi być tutaj właśnie ta scenergia pomiędzy odpowiednimi zabezpieczeniami, procedurami i odpowiednią wiedzą pracowników. To dopiero daje cyberoodporność. Nie ma ucieczki od tego, żeby nie inwestować w cyberbezpieczeństwo, bo to jest zdecydowanie inwestycja. To nie jest koszt, to jest inwestycja. I na zawsze warto sobie zadać pytanie, a ile bym stracił, gdyby wszystkie moje dane wyciekły, albo gdybym je stracił. Kamil Markiewicz, witam na kanale Evix Mag. Dziś porozmawiamy o bezpieczeństwie, które w ostatnim czasie odmieniane jest przez niemal wszystkie przypadki. Dziś porozmawiamy o bezpieczeństwie w kontekście internetu, czyli konkretnie o cyberbezpieczeństwie. A naszym gościem jest Paweł Stachewicz, menadżer w firmie Test Army, >> która specjalizuje się właśnie w obszarze cyberbezpieczeństwa, ale także w testowaniu oprogramowań, a także szkoleniach między innymi z dziedziny IT, jak i cyberbezpieczeństwa. >> Tak, gama szkoleń jest szeroka od twardych szkoleń po szkolenia miękkie. w tym zwłaszcza właśnie dotyczące cyberry bezpieczeństwa kierowanego do działu IT, ale też do szeregowych pracowników firm Security Awareness i wszystkie te elementy, które są związane z zapewnieniem bezpieczeństwa z pozycji właśnie szkoleń. >> Jak to bezpieczeństwo w dzisiejszych czasach wygląda? To bezpieczeństwo w sieci. Nie jesteśmy bezpieczni, to na pewno. Żyjemy w bardzo ciekawych czasach i zagrożenia czychają na nas dosłownie wszędzie. Dzisiaj każdy ma w ręku smartfona, który jest furtką do chociażby usług bankowych, do danych wrażliwych i z punktu widzenia takiego zwykłego użytkownika. Jesteśmy narażeni na wiele różnych sytuacji, gdzie nasze dane mogą zostać wykradzione, gdzie nasze pieniądze mogą zostać wykradzione, gdzie możemy być wykorzystani do ataku na przykład na organizację, w której pracujemy. I musimy musimy być wyjątkowo czujni, zwłaszcza, że są różne okoliczności, które się zmieniają. To jest kwestia chociażby tego, że są coraz łatwiej dostępne m programy, aplikacje do tego, aby próbować nas zhakować. Są też czasy wojenne. W końcu jesteśmy państwem przyfrontowym i tutaj też jesteśmy niewątpliwie celem ataków, jeśli chodzi o kwestie związane z wpływem na nas jako na społeczeństwo. i też rozwój przede wszystkim but not least AI, co jest dzisiaj coraz bardziej popularne, czyli te narzędzia, które są z punktu widzenia hakerów na coraz wyższym poziomie, a niestety z naszego punktu widzenia użytkowników możemy się coraz bardziej dawać, nabierać na to, że już nie tylko ktoś nam napisze SMS-a, ale wręcz ktoś zadzwoni z głosem czy to naszego współmarzonka, czy czy szefa w firmie, albo nawet połączymy się z kimś w ramach rozmowy wideo i też okaże się, że ta osoba, która którą widzimy, to tak naprawdę nie jest naprawdę tą osobą, tylko tylko jest to właśnie twór aiowy, więc jak najbardziej jesteśmy dzisiaj w w takiej i sytuacji, gdzie bardzo musimy na siebie uważać, zwłaszcza też, że że dzisiaj bardzo często łączymy te dwa światy, świat prywatny i zawodowy i i jeden świat się z drugim przenika, co ma też swój mocny wpływ na to, jak jak bezpieczne są nasze dane czy dane firmy, w której w której jesteśmy zatrudnieni. >> Wspomniał pan o tym, że jesteśmy krajem przyfrontowym. Tak bardzo te zagrożenie się zwiększyło od momentu, gdy Rosja zaatakowała Ukrainę. I na czym polega to zagrożenie? To zagrożenie polega na tym, że my jesteśmy jako społeczeństwo poddawane różnym manipulacjom socjotechnicznym i widzimy wszelkiego rodzaju wysypy różnych komentarzy na zwłaszcza na social mediach, bo to są głównie media społecznościowe. Niezależnie od tego, z jakiego medium korzystamy, to to te tematy związane z z wojną, z naszym wsparciem czy czy też z naszą opinią, co myślimy o uchodźcach, pojawiają się w praktycznie ogromnej ilości. No i bardzo często są to yyy są to po prostu yyy komentarze, które nie mają nic wspólnego z rzeczywistymi y rzeczywistymi yyy osobami, które faktycznie mają swoje zdanie, tylko są to bardzo często farmy troli, które y które komentują lub też po prostu aowe narzędzia, które starają się nadać jakiś jakiś bieg pewnej narracji i No niekoniecznie, niekoniecznie właśnie są to realne osoby, które z którymi można pogadać i z którymi które można nakłonić do zmiany zdania, co powinno być de facto celem rozmowy, jeśli komentujemy jakieś wydarzenia. >> Wspomniał pan o tym, że jesteśmy narażeni przez social media. Yyy, a czy możemy sprecyzować, czy w ogóle możemy określić yyy które z narzędzi, z którego korzystamy jest dla nas bardziej ryzykowne? Czy są to urządzenia mobilne, takie jak smartfony, czy też komputery, czy w którymś z tych narzędzi jesteśmy w jakiś sposób bardziej narażeni na atak? Jesteśmy narażeni na tak przez każde narzędzie i i tutaj zarówno laptopy jak i urządzenia mobilne, tablety czy telefony komórkowe są wrotami de facto do tych samych informacji bardzo często. Natomiast urządzenia to jest rzecz wtórna. Kluczem jest to, żeby dobrze yyy identyfikować te zagrożenia i przede wszystkim nie dać się podejść. A my jako test armii pracujemy z firmami, które szukają zabezpieczeń, chcą się chronić i widzimy jak y jak bardzo jest potrzebna taka kompleksowa usługa. Yyy powiem tak, że im yyy bardziej doskonałe i profesjonalne są narzędzia yyy IT yyy tym większy nacisk ze strony atakujących jest na m yyy na jednostkę, na człowieka, który zawsze będzie tym najsłabszym ogniwem, bo po prostu hakerzy myślą ekonomicznie i nie opłaca im się zużywać zasobów, już tak brzydko mówiąc, na to, żeby żeby złamać jakieś zabezpieczenia, jeśli w cudzysłowie wystarczy kogoś namówić, żeby ich wpuścił. No i tutaj wiadomo jak jak mamy super pancerny, tak pancerne drzwi do mieszkania, to >> co z tego, że są tam najlepsze zamki, jeśli klucz trzymamy pod wycieraczką albo albo otwieramy wręcz komuś, kto chce nas okraść. >> Jeśli chodzi o ryzyka, jakie są największe? Utr utrata danych to jest chyba to z ryzyk, który najczęściej się pojawia w takiej przestrzeni publicznej. Czy jeszcze jesteśmy w jakiś sposób inny narażeni właśnie ze strony hakerów? >> Tak. Ja może zacznę od tego w ogóle z skąd ci hakerzy się biorą, bo to też często jest taką zagadką i nie zawsze to wybrzmiewa. A dzisiaj hakerzy bardzo mocno odbiegają od takiego y wzorca, który wszyscy mieliśmy jeszcze kilka kilkanaście lat temu, czyli >> to są chba takie grupy, które rekrutują kolejne osoby i działają w takich siatkach całych. >> Dokładnie. Dokładnie tak. Kiedyś to były bardziej samotne wilki, którzy, które polowały na firmy, na osoby prywatne. Dzisiaj to są po prostu korporacje, które mają swoje struktury, swoje działy, swoje sposoby rozliczeń. To jest po prostu organizacja, która funkcjonuje i no jak to organizacja ma swój cel. W większości wypadków to są po prostu cele związane z yyy z zarobkiem i yyy ich sposobem jest yyy ich sposobem na na oszukanie jest to, aby najczęściej dostać się do systemu y poprzez właśnie obejście zabezpieczeń, wykorzystując na to najsłabsze ognipo tego tego człowieka, który wpuści nas i no następnie te zagrożenia jeśli chodzi o firmy są bardzo duże, bo przede wszystkim dzisiaj takim popularnym ataków to jest atak ransomware, gdzie nasze dane zostają nam ukradzione, czyli jesteśmy pozbawieni de facto tego, co jest najistotniejsze. nie działają systemy w firmie, nie ma przepływu informacji, firma jest sparaliżowana i tutaj koszty są w zależności oczywiście od skali przedsiębiorstwa ogromne. No bo to każde przedsiębiorstwo musi odpowiedzieć sobie samo na pytanie ile kosztuje ich tydzień, miesiąc przestoju, gdzie nie jest przedsiębiorstwo w stanie funkcjonować. No i reputacja. Do tego dochodzą jeszcze inne aspekty, bo bardzo często hakerzy działają dwu, a czasem nawet trzytorowo i z jednej strony nie chcą oddać danych dopóki nie dostaną zapłaty, które się domagają. A z drugiej strony jeszcze grożą, że te dane upublicznią, jeśli jeśli nie dostaną okupu. Więc w firmie grozi z jednej strony to, że nie będzie miała tych informacji, które są kluczowe dla niej, a z drugiej strony, >> że konkurencja dowie się o wszystkim. Konkurencja to jest to jest jedna rzecz, ale też wszystkie dane dotyczące na przykład klientów indywidualnych, dane dotyczące takie jak adresy mailowe, PESEL czy czy inne elementy czy czy inne dane, które nie powinny się znaleźć w niepowołanych rękach. yyy to już jest taka groźba właśnie yyy która zwiększa ten wymiar czy ten zwiększa ten koszt dla klienta. Kilka lat temu była dosyć głośna sprawa, gdzie jedna z firm z branży medycznej dostała nie tylko właśnie po po głowie poprzez groźby dotyczące okupu, ale i upublicznienia danych, ale wręcz y ich pacjenci dostawali informację, że jeśli firma nie zapłaci, to to i dane zostaną upubliczone, więc na każdym możliwym froncie tutaj można można stracić. Stąd też rekomendacja moja, ale nie tylko moja, wszystkich tych, którzy się zajmują w jakikolwiek sposób cyberrybezpieczeństwem jest taka, że koniecznie trzeba zapobiegać. To jest dużo tańsze niż niż potem radzenie sobie z ewentualnymi problemami. A jak mówi stare porzekadło, to firmy dzielą się na te, które już zostały zaatakowane i na te, które dopiero będą. Także każdego zapewne czeka. jakaś jakaś forma walki z tego typu zdarzeniami i im szybciej po prostu tym tym lepiej, tym bezpieczniej. >> Tu będziemy jednak przy stanowisku stać, że lepiej zapobiegać niż leczyć, bo miejmy nadzieję, że Polak nie będzie tym razem mądry po szkodzie, tylko wcześniej nasi nasi osoby, które nas oglądają, przedsiębiorcy będą zabezpieczać swoje systemy tak, aby nie doszło do ataków hakerskich. I tu moje pytanie, czy jest jakiś taki sposób, który może nam zagwarantować bezpieczeństwo takie w pełni, czy w ogóle są takie możliwości, aby w pełni zabezpieczyć się przed przed hakerami? >> Oczywiście nie ma i prawdopodobnie nigdy nie będzie. To to jest tak, że jeśli ktokolwiek obiecuje panu redaktorowi 100% bezpieczeństwa, to po prostu kłamie. nie ma takich możliwości, żeby dać gwarancję 100%ową. Z tego względu, że nawet jeśli te wszystkie urządzenia działają idealnie, to zawsze jest ten element ludzki, który który pozwala na wejście do systemu niepowołanym osobom. I oczywiście musi być tutaj właśnie ta yyy ta synergia pomiędzy yyy odpowiednimi zabezpieczeniami, procedurami i odpowiednią wiedzą y pracowników. To dopiero daje yyy cyberoodporność. To jest słowo, które coraz bardziej wybiera cy >> bezpieczeństwo. Jeśli byśmy mogli to określić w procentowo, ile procent nam daje te dadzą te wszystkie mechanizmy, które zastosujemy. Jeśli nasz personel, nasi pracownicy wiedzą jak korzystać z tych wszystkich narzędzi, jeśli mamy oprogramowania, które nas chronią i zakładamy, że nie dojdzie do przechwycenia nam jakby wpłynięcia na jednego z osób, które pracują w danej firmie, aby udostępniła ten to, mówiąc kolokwialnie, punkty wejścia. W jakich na ile procent możemy powiedzieć, że możemy się ochronić przed takim atakiem? to ciężko to jest yyy do określenia procentowo. Ja ze swojej strony mogę powiedzieć, że jeśli miałbym komuś zarekomendować wybór, czy czy lepiej postawić w 100% na zabezpieczenia w postaci narzędzi, a zero zero, ale w żadnej ilości tych procentów nie postawić na szkolenia, na wiedzę pracowników, czy odwrotnie w 100% skupić się na szkoleniu bez dodatkowych zabezpieczeń, to z dwojga złego lepiej mieć dobrze wyszkoloną kadrę, która jest po prostu świadoma tych wszystkich zagrożeń. Natomiast w oczywisty sposób po prostu trzeba zadbać o o wszystko, bo tutaj tylko te elementy, jeśli one są łącznie występujące, to dają większe szanse na na obronienie się. >> Wy jako test armii też dysponujecie takimi narzędziami. W jaki sposób dobieracie je do klienta? Czy jak wygląda taki proces? Jeśli pojawiacie się w jakiejś firmie, jeśli słyszycie, że firma zajmuje się tym i tym, w jaki sposób jesteście w stanie dobrać narzędzia, aby tę firmę jak jak najbardziej chronić? >> To jest też kwestia tego, jak wygląda firma. Nie ma idealnej recepty dla każdej firmy, aby stosować te same rozwiązania. Ja ze swojej strony mogę powiedzieć, że to tak naprawdę indywidualne preferencje czy czy indywidualne cechy tej firmy mają mają znaczenie przy wyborze środków do zabezpieczenia jej. Ale >> a czy w jaki sposób diagnozuje? >> Oczywiście tak to audyt. Audit to jest pierwsza rzecz, która która jest robiona i na bazie tego audytu bezpieczeństwa są rekomendowane środki. Oczywiście to są pewne rzeczy, które są standardowe, bo na przykład jest kwestia związana czy to ze szkoleniami, czy to z rekomendacjami w ogóle teraz rekomendacjami z NIS D, które się przerodziły w ustawę, która zaczyna obowiązywać 3 kwietnia, ustawę o właśnie o cyberrybezpieczeństwie. I tutaj yyy jest bardzo mocny akcent na przerzucanie odpowiedzialności yyy już z takiego typowego y działu IT, gdzie menadżerowie mówili: "Okej, to IT ogarnie nam całe cyberbezpieczeństwo właśnie na osoby decyzyjne i no do tego stopnia, że to osoby decyzyjne odpowiadają już bezpośrednio personalnie. >> Chodzi o ustawę o krajowym systemie cyberbezpieczeństwa." Dokładnie tak. Dokładnie tak. e, UKSC i tutaj tutaj w tym w tym zakresie są też rekomendacje i są też wskazania chociażby dotyczące odpowiednich szkoleń. Więc z jednej strony to są standardy, które powinny obowiązywać firmy. Natomiast też są elementy, które wynikają stricte z charakterystyki firmy. Też zależy od tego, co dana firma chroni. Dla niektórych będzie to nie wiem technologia silnika odrzutowego. Dla będzie baza danych i i tutaj do wszystkiego trzeba podejść indywidualnie. Ważne, żeby po prostu pracować z firmami, które mają doświadczenie z z daną branżą czy z szerokim spektrum firm, tak aby mieć pewność, że te środki, które są dobrane są właściwymi środkami. >> W jaki sposób wydobieracie takie środki? Jak diagnozujecie te zagrożenia w przypadku konkretnego przedsiębiorcy? To to zaczyna się od audytu i na na bazie audytu właśnie nasi eksperci dobierają zestaw tego, co jest potrzebne. najczęściej badamy chociażby kwestie związane z odpornością firmy na takie rzeczy jak jak fishing, czyli maile, które są rozsyłane do do pracowników i patrzymy jak oni się dają na to złapać lub nie. Mogę, mogę taki jeden z przykładów podać ciekawy, który też dosyć fajnie obrazuje to, jak teoretycznie łatwo dostać się do do organizacji. A jedna z firm poprosiła nas o to, abyśmy zbadali jak ich pracownicy są odporni i postanowiliśmy postawić pizzerię tak wirtualnie. zareklamowaliśmy się jako pizzeria, która właśnie otwiera się danego dnia dokładnie obok obok biura i możemy zaoferować pizzę w wyjątkowo niskiej cenie wraz z gadżetem. yyy te maile zostały dostarczone do do pracowników firmy. Oni te maile pootwierali, a pizza została zamówiona. Bo była też strona oczywiście tej pizzerii, był nawet samochód oklejony czy kartony, które miały logo pizzerii, ale no kluczowym elementem było to, że też te gadżety, które dostali pracownicy w postaci lampek USB zostały podłączone do do komputerów i pozwoliły naszej firmie dzięki temu, że miały w sobie zżyte odpowiednie oprogramowanie przejąć nad tymi komputerami. kontrolę. Więc to tego typu tego typu działania, które my wykorzystaliśmy, oczywiście zrobiliśmy je w dobrej wierze, żeby żeby pomóc tej firmie w zdiagnozowaniu, gdzie tutaj są słabe elementy. Potem są takim taką wskazówką, co należy zrobić, żeby żeby zabezpieczyć firmę. Ja mówię tutaj akurat o tej sferze związanej stricte z atakiem socjotechnicznym. Yyy, natomiast yyy yyy też mamy oczywiście specjalistów od tego twardego cyberbezpieczeństwa, które którzy yy robią testy penetracyjne i i starają się wcielić w prawdziwych hakerów, którzy starają się właśnie yyy każdą możliwą lukę, każdą y potencjalną szansę wykorzystać, aby aby włamać się do do sieci, do komputerów i i przejąć tam kontrolę. Także jako firma mamy pełen zakres, czyli red teaming właśnie pentesty, fishing, szkolenia i tak dalej. Wszystko to razem jest y takim zestawem do tego, aby praktycznie każdej organizacji zapewnić zapewnić bezpieczeństwo. No bo my pracujemy z zarówno średnimi firmami, małymi średnimi, jak i z największymi korporacjami, w tym bankami. Ten przykład, o którym pan podał, tej takiej, mówiąc kolokwialnie, marchewki rzuconej dla pracowników yyy jest dość obrazowy, ale przecież mamy mnóstwo sytuacji, gdy wspomniane pana przez pana maile trafiają na skrzynkę i ludzie bezrefleksyjnie klikają w linki, które się tam znajdują. Jak bardzo duży jest to odsetek i jakie zagrożenie to za sobą niesie. Generalnie jako jako kraj mamy coraz więcej incydentów i jeśli dobrze pamiętam to w zeszłym roku 2025 zgłoszonych zostało 170 000 incydentów. Przy czym ta liczba jest no rośnie drastycznie ponad 30% rok do roku. A jeśli dobrze kojarzę, to w 2000 bodajże 20 roku tych incydentów było raptem 10 000. Więc na pewno jesteśmy coraz bardziej atakowani i to też wynika z tego, że tak jak dzisiaj łatwo nam jako użytkownikom cokolwiek zrobić w internecie, chociażby wygenerować fajne zdjęcie. Tak samo też hakerzy mają do dyspozycji narzędzia, które im pozwalają łatwiej nas sprawdzać, łatwiej nas hakować. A, co więcej są są takie wręcz serwisy hacker as a service yyy które yyy które pozwalają za opłatą po prostu bez konieczności posiadania bardzo zaawansowanej wiedzy technicznej pozwalają komuś z na zostanie hakerem i próbę właśnie atakowania czy to klientów indywidualnych czy czy właśnie firm I następnie no to też jest tak, że ta liczba, ten próg, który jest dużo niżej niż był kiedyś, sprawia, że tych ataków jest dużo więcej. Technologia też sprawia, że że ta skalowalność jest większa. My, ponieważ korzystamy z coraz większej ilości danych serwisów, kont, urządzeń i tak dalej, też musimy praktycznie na każdym kroku się mierzyć z możliwym zagrożeniem. Stąd też właśnie ta świadomość jest tak niezbędna. Jednym właśnie ze ze sposobów hakerów na to, żeby się do nas dobić, to jest tak zwane takie zmęczenie cybry bezpieczeństwem, czyli hakerzy mogą wysyłać kilkukrotnie czy wielokrotnie w nocy prośby o zatwierdzenie do do nas na nasze urządzenie mobilne, aby wpuścić na abyśmy wpuścili do jakiegoś serwisu i czasem zmęczeni o tej 2:00 w nocy tam klikamy już okej, no niech będzie. One są różne. Ja osobiście dziś dostałem takie powiadomienie, że kończy mi się usługa na pewnym serwisie i muszę ją odnowić klikając w odpowiedni przycisk, który otrzymałem w mailu. Oczywiście tego nie zrobiłem, ale tego typu wiadomości przychodzą coraz częściej do Polaków i jest szansa w jaki sposób chronić się przed tym i czy są narzędzia, które mogą tego typu wiadomości usuwać, zanim one do nas dojdą? To nie tylko wiadomości, bo coraz bardziej popularną metodą na oszustwo jest są fałszywe QR kody, gdzie możemy je spotkać, czy to w restauracjach, czy na parkingach, czy >> na przykład przy okazji próby pobrania hasła do WiFi >> na przykład. I okaże się, że taki kod QR nas prowadzi w miejsce, które które nie jest tym miejscem, do którego chcieliśmy dotrzeć i jakieś złośliwe oprogramowanie jest instalowane na nasz telefon. Oczywiście są są sposoby na to, żeby w jakimś stopniu otrzeć te yyy te maile i to jest y zadanie y właśnie y też działów IT, żeby żeby mieć odpowiednie narzędzia, które pozwolą to yy pozwolą na odseparowanie tych meli, bo utonęlibyśmy w tym. Ale to też jest tak, że no to jest wyścig między między hakerami a a tymi, którym zależy na bezpieczeństwie, który gdzie zawsze ktoś jest na na prowadzeniu. I pamiętajmy o tym, że że odporność musi być 24 godziny na dobę, bo hakerom wystarczy, że raz wygrają. Tak. I i tutaj to jest to jest też wielkie wyzwanie właśnie, jeśli chodzi o odporność. To jest tak, że nawet jeśli będziemy mieli bardzo dobrze zabezpieczone, bardzo dobre, dobrze skonfigurowane zabezpieczenia, które nam pozwalają na eliminację większości, znacznej większości tych podejrzanych maili, to nigdy nie będziemy mieli pewności, że ktoś nie wyśle yyy ktoś jednak nie dostanie się yyy do tego, chociażby z tego powodu, że ktoś może przejąć konto osoby z innej firmy, klienta, partnera, który już z nami koresponduje i >> tak to odbywa się między innymi w social media, gdy te konta są przejmowane chociażby na Facebooku i poprzez Messengera osoby otrzymują wiadomości często nawiązujące do wcześniejszych rozmów na tym koncie, więc więc bardzo łatwo paść ofiarą takiej takiego oszustwa. >> Dokładnie tak. Dokładnie tak. I i to jest y to jest tak, że musimy mieć wiecznie z tyłu głowy. Różni ludzie łapią się i na różnego rodzaju triki i to w tym ci, którzy mają dużą wiedzę. Więc ta wiedza to jest jedna rzecz, ale to na co my mocno stawiamy to są nawyki, które trzeba zbudować. No bo jeśli jeśli mówimy chociażby o o szkoleniach, to wiadomo, jest krzywa gausa, jest jakiś moment, kiedy to szkolenie kolokwialnie mówiąc ucieka z głowy człowiekowi i w pewnym momencie tak naprawdę po dłuższym czasie mało z niego zostaje. Natomiast jeśli rozmawiamy o takiej wrażliwej części funkcjonowania jak właśnie cyberbezpieczeństwo w firmie, to musimy mieć tak naprawdę tę wiedzę utrwaloną. i na koniec zamienioną w nawyki. Stąd też staramy się nie tylko szkolić, ale ja wraz z jednym z bardziej cenionych ekspertów na rynku Pawłem Wołuszko, jesteśmy autorami platformy e-learningowej, która jest o tyle innowacyjna, że nie tylko dostarcza szkolenia dla firm z cyrybezpieczeństwa, ale w założeniu daje regularnie mikroszkolenia, takie pigułki wiedzy, które pozwalają temu wiedzę utrwalać, aktualizować o nowe zagrożenia, które się pojawiają oraz finalnie wzbudzać w człowieku takie naturalne odruchy, które są de facto już na stałe, czy czy są po prostu z nami na co dzień, które pozwalają być czujnym i dużo lepiej oceniać ewentualne zagrożenia, czy to mailowe, czy nie wiem, chociażby jak ktoś znajdzie pendrivea na podłodze to powinien wiedzieć, że nie można go podłączać do do komputera. To jest kwestia tego, że często te elementy, o których pan redaktor wspomniał, związane z z tymi narzędziami działają reaktywnie, czyli pojawia się zagrożenie, do tego jest dostosowane narzędzie, które ma to zagrożenie eliminować. No ale jest jakiś czas, gdzie to zagrożenie wchodzi i po prostu my jako ludzie mając ten instynkt i wiedzę i te nawyki musimy wykazywać się tą odpornością i przede wszystkim mieć tą świadomość. >> Platforma to jest jedna z opcji, rozumie, takiego szkolenia. Jakie są jeszcze opcje dostępne dla firm? W jakich firmach te szkolenie szkolenia prowadzicie i w jakich branżach one najbardziej by się przydały? Jeśli chodzi o szkolenia, to o zdecydowanie w każdej branży by się przydały szkolenia z tego prostego powodu, że dzisiaj nie ma branży, która byłaby wolna od od zagrożeń. I wynika to chociażby z tego, że tak jak wspomniałem wcześniej, około 80% ataków jest kierowanych czy motywowanych finansowo, więc wszędzie tam, gdzie są firmy, które są w stanie, które funkcjonują na rynku, czyli zarabiają, czyli mogą, mają cenne dane, za które, których nie chcą stracić i za które są w stanie ewentualnie zapłacić, jeśli ktoś te dane im zaaresztuje czy też zażądania okupu za nie, to tamci hakerzy będą działali. Stąd też nie ma bezpiecznych branż. yyy są yyy oczywiście jak jak właśnie moglibyśmy spojrzeć na na ustawę yyy na na KSC to też są wymienione te branże, które są yyy wskazane jako topowe yyy i wiadomo, że energetyka yyy czy czy bankowość, te kluczowe branże są yyy są na topie, ale dzisiaj też bardzo mocno za te firmy istotne uważa się te działające w branży chociażby logistycznej czy czy w różnego rodzaju >> No to wszystko też w kontekście zagrożenia ze wschodu, >> tak? Ale ale nie tylko to generalnie oczywiście te wszystkie rzeczy związane z logistyką, z łańcuchami dostaw, z obiegiem informacji to są niewątpliwie te elementy, które mają wpływ na inne firmy, inne branże i faktycznie wyciągnięcie takiego jednego klocka z systemu sprawia, że że jest problem generalnie większy niż dla samej jednej firmy. Natomiast konkluzja jest prosta. nie ma bezpiecznych branż. >> A czy to nie jest tak, że nowe narzędzia, które pojawiają się na rynku są powodem do tego, że tych zagrożeń jest coraz więcej? Y chodzi mi chociażby o metodę wyłudzenia pieniędzy na kod Blik. To jest taka yyy sprawa, która w ostatnim czasie dość mocno była poruszana w internecie. Są nawet całe, nie wiem, siatki, które można kupić w internecie też w na jakiś forach, które krok po kroku tłumaczą w jaki sposób właśnie w tego typu biznes, mówiąc oczywiście w cudzysłowie, wejść. Tak, niestety dzisiaj jeśli ktoś jest zainteresowany tym, aby zejść na złą ścieżkę to ma do tego bardzo dużo możliwości. może zrobić to, co pan redaktor wspomniał. Może też skorzystać z jednego z serwisów w Dark Webie, który też za rękę poprowadzi tego yyy tego yyy początkującego hakera yyy do do pierwszych aktywności. Ale też są serwisy, które pozwalają właśnie na przykład zawiedzionym pracownikom czy rozgoryczonym pracownikom na to, aby zemścili się na swojej firmie, tudzież byłej firmie i i przekazali jakieś dane. Więc dzisiaj dużo łatwiej jest wejść na tę ścieżkę hakerską i to oznacza, że też dużo więcej ludzi stanowi dla nas zagrożenie. A to, że mamy właśnie rozwój narzędzi chociażby sztucznej inteligencji sprawia też, że ta skala jest po prostu inna, bo, bo to nie jest tak, że ktoś musi się skupiać personalnie na ataku na jednej osobie, tylko zaangażowane są w to dużo, dużo lepsze narzędzia, które niż kiedyś, które potrafią symulować tego człowieka i i po prostu dużo większa grupa może być objęta takim atakiem, nawet jak się mniej procentowo złapie, to i tak suma sumarom no będzie to dla hakera opłacalne, bo bo działa na więcej na większej ilości ludzi niż jest sam w stanie to zrobić, gdyby miał być po prostu jedynym punktem kontaktowym. >> A jak rozwój sztucznej inteligencji na to wpłynął? rozwój sztucznej inteligencji wpłynął na to bardzo mocno, bo rozwinęły się przede wszystkim te obszary, które do pewnego czasu uchodziły za w miarę bezpieczne, bo no i wiadomo, jeśli chodzi o SMS-y, no to to jest nie widzimy tego de facto, kto wysyła tę wiadomość realnie nie ma głosu, twarzy. Natomiast dzisiaj ataki typu wishing, czyli ataki głosowe, czy czy ataki typu właśnie deep fake, gdzie widzimy twarz osoby, są już dużo poważniejsze i dużo trudniejsze do rozpoznania. I to sprawia, że dzisiaj gdyby ktoś bardzo gdyby komuś bardzo zależało na ataku na daną firmę czy daną osobę i poświęciłby czas na zdobycie odpowiednich informacji, mógłby byłby w stanie zbudować chociażby awatar przez przyszą inteligencję konkretnej osoby, która mogłaby zadzwonić na spotkanie wideo i na przykład poprosić o zrobienie pilnego przelu I takie sytuacje miały miejsce w w biznesie, gdzie gdzie różnego rodzaju właśnie rozmowy de facto, które nie były rozmowami prezesów, ale tak się wydawało na przykład księgowym, kończyły się tym, że że osoba dostawała polecenie zrobienia przelewu. i i ten przelew robiła. A a de facto na koniec dnia wychodziło, że był to awatar stworzony przez sztuczną inteligencję. >> To jak się ochroni przed takimi typu sytuacjami? >> No bo tak naprawdę trudno będzie osobie czy też księgowej czy innej osobie w firmie zorientować się, że ma y styczność z falsyfikatem. >> Tak, coraz ciężej. Natomiast to nie znaczy, że jesteśmy bezradni. Przede wszystkim trzeba ufać procedurom i unikać unikać tego, aby dawać się łapać na na takie zagrania, które mają wszystkim czy w stresowym środowisku nas zmusić do czegoś. Yyy, jeśli jest procedura, że przelewy wykonuje się w odpowiedni sposób, to się jej trzymamy. Yyy, a jeśli jest sytuacja wyjątkowa, to musimy się upewnić w tych sytuacjach, o których ja mówię, że pojawiło się yyy pojawił się avatar i i ktoś y podawał się za prezesa firm. >> Są jednostkowe sytuacje pewnie na ten moment, ale w przyszłości tego typu zdarzeń może być więcej. Tak, bo tak, ale to to wystarczyłoby, żeby ta osoba po tej rozmowie zadzwoniła do prezesa i i upewniła się, że taka sytuacja faktycznie ma miejsce. To by rozwiązało rozwiązało problem. Więc generalnie musimy stosować zasadę zero trust, która jest taką zasadą, która wypiera tą wcześniejszą zasadę myślenia o o firmie jak o zamku, gdzie jest firewall i wszyscy wewnątrz to są osoby zaufane. Dzisiaj musimy segmentować te te całe nasze IT, czyli nie możemy pozwolić, żeby ktoś z marketingu miał dostęp do danych z księgowości i tego typu połączenia wewnętrznie po prostu ucinać, aby nie było tak, że jedna osoba zhakowana stanowi łatwą autostradę wręcz do tego, żeby przejąć kontrolę nad nad danymi z całej firmy. Więc, więc no tych, tych sposobów jest sporo, ale to są przede wszystkim rzeczy, które muszą właśnie być wpojone osobą, bo na koniec dnia to ludzie o tym >> właśnie czynnik ludzki chyba jest cały czas najbardziej zawodnym w tym całym systemie. jest i zawsze będzie, bo bo po prostu nawet jeśli mamy te zabezpieczenia na jak najwyższym poziomie, to na koniec ktoś ten dostęp może komuś dać świadomie bądź nie i no nieważne jak jak dobrze mamy ustawione zabezpieczenia, jak ktoś nas wpuszcza do tego tego mieszkania, ktoś nam te drzwi otwiera. że to jest zdecydowanie zdecydowanie najbardziej wrażliwy obszar. Y tym bardziej, że że tak jak jak wspomniałem dzisiaj, te światy właśnie zawodowe, prywatne się prze przewijają. Ludzie mają na telefonach komórkowych dostęp do danych firmowych i i na odwrót korzystają z komputerów firmowych do do rzeczy, które są raczej z ich prywatnego świata. No i stosują często podobne hasła w różnych serwisach. Wystarczy drobny wyciek i po prostu zagrożenie jest dla całej firmy i dla danej osoby. Także edukacja, edukacja edukacja. >> Powiedział pan o hasłach. To chyba też jest niezwykle ważny czynnik, który wpływa na nasze bezpieczeństwo. Hasło jakie powinno być i czy hasło jedno wystarcza, aby chronić nasze dane. >> Czy powinno być ten dwuetapowy, przynajmniej dwuetapowy system logowania? >> Tak. No przede wszystkim zacznijmy od tego, że każda firma powinna mieć odpowiednią politykę haseł. To jest to jest absolutna podstawa. te hasła w tę politykę, w tej polityce powinno się zawierać to, że te hasła powinny być bardziej skomplikowane niż admin 123 zdecydowanie, ale to o czym pan wspomniał jest bardzo istotne, czyli czyli MFA musimy mieć zabezpieczenie co najmniej właśnie dwuskładnikowe. Mówię tokeny i tak dalej, bo to są narzędzia, które oczywiście jeszcze bardziej nas chronią, ale nie są tak y może są dostępne, to też nie ma nie może mówić, że nie są, ale na pewno są sprawiają dużo więcej trudności osobie, więc ten dwuetapowe, dwuetowe logowanie to jest taka najprostsza forma większego zabezpieczania. >> Tak jest. Tak to to bardzo często pozwala zabezpieczyć firmę właśnie przed potencjalnym atakiem, bo bo stanowi już taki taki próg, gdzie mała ilość organizacji hakerskich może w łatwy sposób przez to przejść. Więc zdecydowanie te zabezpieczenie, które polega na tym, że dostajemy dodatkowe potwierdzenie, czy to na aplikację, czy w innej formie, no to na pewno dużo daje. Oczywiście nie jest to jedyna jedyna forma chociażby właśnie te klucze o których pan wspomniał na przykład mogło to być fizyczne urządzenia, klucze USB, ale tak, no zacznijmy od takich absolutnych podstaw i i zdecydowanie te logowania dwuskładnikowe są niezbędne, łącznie z tym, że że też właśnie ta ta zasada Zero Trust, którą firmy powinny się kierować też mówi, że takie logowanie powinno być nie raz na zawsze, Ale ten to dwuskładnikowe dwuskładnikowy element raz na jakiś czas powinien wystąpić ponownie, tak żeby mieć pewność, że dana osoba korzysta z konta, bo ma do tego uprawnienia. >> Pan jako osoba, która obserwuje to, co się dzieje na rynku w cyberbezpieczeństwie, mówiliśmy o tym, że pojawiają się całe systemy, które można po prostu kupić i korzystać z nich do niecnych celów. Niestety y z drugiej strony chciałem zapytać jak reagują na to służby, bo wiemy, że jest dużo organizacji, które zajmują się zwalczaniem cyber przestępczości, a mimo wszystko ta cały czas się rozwija i wydaje się, patrząc po po tym, co dzieje się na rynku, ma się całkiem nieźle. To jest na tyle dochodowy biznes, że ciężko spodziewać się, aby nie rósł, tak brutalnie mówiąc. Stąd też no jest konieczność, aby aby służby wchodziły na coraz wyższe poziomy, jeśli chodzi o o walkę z z cyberprzestępczami, z cyberprzestępcami. Dzisiaj mamy narzędzia AIowe, mamy kryptowaluty, które też z kolei pozwalają łatwiej tym przestępcom zarządzać stroną finansową, kiedy już się uda taki taki okup wyłudzić. Więc zdecydowanie tutaj potrzebujemy jak największych środków ze strony służb czy największy jak największych działań jak najbardziej skutecznych, żeby zwalczać te grupy i słyszymy raz od czasu do czasu, że grupy hakerów zostały rozbite. Natomiast zdecydowanie to zagrożenie jak jak patrzymy na twarde dane to ono rośnie, więc nie ma ucieczki od tego, żeby żeby m nie inwestować w cyberbezpieczeństwo, bo to jest zdecydowanie inwestycja. To nie jest koszt, to jest inwestycja. I na zawsze warto sobie zadać pytanie: "A ile bym stracił, gdyby wszystkie moje dane wyciekły?" albo gdybym je stracił i y zamiast zamiast też y zastanawiać się czy jesteśmy potencjalnym atakie czy jesteśmy zagrożeni potencjalnym atakiem czy też nie, to lepiej sobie zrobić test i sprawdzić ile czasu by nam zajęło postawienie firmy na nogi gdybyśmy takim taką ofiarą ataku jednak zostali. czy to, czy udałoby się taką firmę postawić w kilka godzin, czy czy w tydzień, czy w miesiąc. I to nam też pozwala potem realnie ocenić na jakim etapie odporności jesteśmy. >> Wspomniał pan o inwestycji. To chyba nie jest jednorazowa inwestycja. To jest cyberbezpieczeństwo. To jest coś w co musimy, co musimy kalkulować przez każd w każdym kolejnym roku do naszego budżetu, bo te wszystkie zagrożenia się zmieniają, więc te nasze systemy ochronne muszą się zmieniać wraz z nimi. >> Zdecydowanie muszą. Tak, to jest kwestia tego, że że sprzęt ewoluuje, więc musi też być sprawdzany i i zmieniany, kiedy jest taka konieczność. Yyy, zmieniają się też sposoby cyberprzestępców, które też muszą być dopasowywane yyy pod kątem właśnie zabezpieczeń. Yyy zmieniają się yyy też yyy okoliczności, zmieniają się yyy chociażby yyy sposoby, które wpływają na właśnie yyy ataki socjotechniczne, więc też kwestia związana ze szkoleniami jest tutaj bardzo istotna. Ustawa, ustawa dotycząca cyberrybezpieczeństwa mówi też, że zarząd musi być szkolony raz na rok, a jeśli chodzi o pozostałe osoby z firmy, to muszą odbywać regularne szkolenia. Przy czym nie jest to doprecyzowane, ale samo w sobie jest to jest to wskazanie, że nie mówimy tutaj o jednorazowym o jednorazowym aspekcie. Zresztą to też jest o tyle istotne, że właśnie tak jak wspomniałem wcześniej, jedno szkolenie najczęściej daje efekt krótkotrwały, ale jeśli chcemy rzeczywiście się zabezpieczyć, to musimy musimy mieć tych szkoleń więcej w regularnym odstępie, albo właśnie korzystać z takiego narządzia jak platforma, która która tymi mikroszkoleniami wspiera ten proces budowania odporności w konkretnych pracownikach. >> Ustawa o krajowym systemie cyberbezpieczeństwa jest o tyle ważna, y, bo nakłania na wskazuje wprost, że władze firmy, tak jak pan wspomniał, prezesi muszą to szkolenie przechodzić raz w roku i to chyba bardzo istotne, bo osobiście słyszałem przypadki, gdzie prezesi firm mówili, że po co kolejne szkolenie, przecież dopiero byliście szkolenie, po co inwestować w kolejny system. yyy jakieś oprogramowanie, które ma nas chronić. Przecież dopiero w to inwestowaliśmy. Więc ta świadomość od góry wydaje się niezwykle istotna i właśnie ta ustawa ku temu skłania, żeby ci prezesi wiedzieli o tym, że te trendy się zmieniają i żeby sami na swoich pracownikach musieli wymusić to, żeby oni to bezpieczeństwo chcieli zachować i w tych szkoleniach uczestniczyć. Tak, cyberbezpieczeństwo to nie jest kwestia IT dzisiaj. To jest kwestia zarządu, to jest kwestia procedur y takiemu prcesowi, który mówi: "Po co szkolić, po co inwestować". Takie przypadki były. >> Tak to można odpowiedzieć, że chociażby po to, żeby taki prezes nie dostał kary w wysokości 300, a czasem 600% swojego wynagrodzenia, bo dzisiaj to jest odpowiedzialność osobista i zakazu zajmowania stanowisk. Więc to jest dzisiaj odpowiedzialność, która ciąży personalnie na osobach decyzyjnych, a nie nie jest możliwa do załatwienia taką typową z psychologią, gdzie ktoś był odpowiedzialny, jakaś osoba, która była wskazana i ona nie dopełniła najwidoczniej swoich obowiązków. Ustawa wskazuje jasno, że że są odpowiedzialni osoby decyzyjne, zarząd i prezes i oni odpowiadają też za to personalnie, więc to zdecydowanie jest podniesienie rangi tego tej cyberoodporności na wyższy poziom. No i to też sama sama ustawa zwiększa oczywiście też liczbę tych firm, bo z 400 bodajże podmiotów dzisiaj ta liczba wzrasta do do prawie 40 000. Według różnych szacunków liczba osób, które są łącznie objęte tą ustawą, które pracują w tych wszystkich firmach, może sięgać kilku milionów, nawet bodajże 4 milionów. Więc naprawdę potężna ilość osób musi y wiedzieć co ma robić. Musi mieć określone procedury, musi być szkolona >> i tu musi mieć też świadomość, że tych zagrożeń prawdopodobnie będzie coraz więcej, a nie coraz mniej. >> Tak to to już widzimy, że że to jest to idzie w jedną stronę. Niestety nie wrócimy do czasów, gdzie y gdzie te zagrożenia będą likwidowane, >> bo nie odniemy się od sieci, bo teraz teraz taki mamy świat, że trudno się bez tego obejść. I jeszcze chciałem zapytać, co zrobić w przypadku, gdy doszło do takiego ataku, gdy te dane wyciekły? Czy jest jakiś też sposób działań, które firma powinna podjąć, aby w jakiś sposób próbować część przynajmniej tego wycieku zablokować? Tak, to jest oczywiście też kwestia tego właśnie jak jak funkcjonują procedury w firmie, bo takie rzeczy muszą być określone, aby przy identyfikacji jakiegoś zagrożenia zneutralizować je jak najszybciej i nie dopuścić do tego, aby aby no pogłębić jeszcze ten problem. I to są też elementy, które które wynikają z przepracowania z firmami właśnie tych procedur związanych z z reakcją na na tego typu zagrożenia. Czyli tego typu sytuacje podczas szkoleń też są yyy ćwiczone. To >> tak, oczywiście mamy mamy osobne szkolenia dla yyy dla kadry y zarządzającej, gdzie gdzie poruszamy te tematy czy dla osób operacyjnych, które wdrażają z kolei politykę bezpieczeństwa y w firmie. Natomiast dzisiaj jest tak, że zaledwie 20 kilka do 30% według różnych szacunków, bo to jest to jest tylko szacunek tak naprawdę. yyy firm zgłasza incydenty, a reszta no nie chwali się tym, że że coś się zadziało nie tak, że że zapłaciło okup, bo nie zależy im na tym, aby y aby wszyscy dookoła wiedzieli, że nie poradzili sobie i i >> to też rzutuje na ich obraz ze strony klientów. >> Zdecydowanie tak, klientów, partnerów biznesowych, więc ta reputacja może być mocno naczarpnięta. E, no też jest kolejny element do wyceny tego, na ile ważne jest nasze cybrebezpieczeństwo. >> Jeśli chodzi o ten schemat działań, co, co w takiej sytuacji należy zrobić? Jak z reguły wyglądają tego typu działania w firmach? Przede wszystkim jeśli dochodzi do wycieku danych, bo bo o tym najczęściej mówimy, trzeba trzeba powiadomić odpowiednie organy i i tutaj no jest osoba po stronie firmy, która powinna odpowiadać za tego typu rzeczy i chociażby ta ustawa NIS 2 teraz też reguluje czas jaki jest na zgłoszenie tego typu incydentu i niektóre rzeczy trzeba zgłaszać już do 24 godzin, więc firma nie może sobie pozwolić na to, żeby żeby spróbować zamieść sprawę pod dywan na zasadzie okej, a nóż nic się nie stało, a nóż nikt się nie dowie, jakoś to będzie. Tylko tylko no to jest już jasno określone, co trzeba robić i oczywiście już neutralizować w jak najbardziej efektywny sposób potencjalne zagrożenia. No przede wszystkim jeśli dysponujemy w firmie danymi, a w każdej firmie dysponujemy danymi, to musimy mieć też określoną procedurę, procedurę backupu. Czyli to jest to, o czym wspomniałem, jak szybko firma potrafi wstać po po takim ataku. Jeśli mamy określony proces na to, jak odbudować się po ataku na firmę, to wdrażamy działania, które mamy zaplanowane, odbudowujemy to wszystko i wiemy, że jesteśmy na tyle odporni, że że jako firma będą będąc nawet ofiarą ataku, nie staniemy z produkcją, z usługami, nie będziemy sparaliżowani, ale to trzeba Trzeba oczywiście mieć przećwiczone, to trzeba mieć zaplanowane, to trzeba mieć wszystko przeszkolone. I to nie jest tak, że łudzimy się, że uda nam się w razie czego wyjść z w miarę sucho stopą przejść przez taki kryzys, tylko to wynika po prostu z odpowiedniej pracy, którą włożymy wcześniej, bo tą ofiarą cyberataku prędzej czy później możemy jako firma zostać. A pytanie, co zrobimy, kiedy to już się stanie? I i tutaj ogromna właśnie część jest do zrobienia. No znaczy całość to jest zrobien do zrobienia przed ewentualnym atakiem, żeby się do tego po prostu przygotować. >> Dziękuję bardzo za dzisiejszą rozmowę. Mam nadzieję, że państwu przybliżyliśmy temat cyberbezpieczeństwa i wskazaliśmy kierunki, w których firmy i osoby prywatne powinny iść, aby uchronić się przed y z przykrymi konsekwencjami cyberataków. Mam nadzieję, że nasza rozmowa pomoże państwu też przekonać się do tego, że to jest inwestycja w jeśli chodzi o oprogramowania i szkolenia jeśli w firmach i w życiu prywatnym, bo w życiu prywatnym też musimy wiedzieć cały czas jakie zagrożenia nas czychają, aby móc się przed nimi chronić. My oczywiście do Test Armii zostawimy link w opisie do filmu, abyście państwo mogli szybko trafić i ewentualnie móc skorzystać z usług firmy. Ja dziękuję za dzisiejszą rozmowę. Naszym gościem był Paweł Stachewicz, menadżer z firmy Test Armi. >> Bardzo dziękuję i zapraszam do kontaktów osoby, które są zainteresowane naszymi usługami. >> Dziękuję bardzo Kamil Markiewicz i do zobaczenia.