To jest 218. odcinek podcastu Porozmawiajmy IT, w którym z moim gościem rozmawiam o tym, jak wygląda praca specjalisty do spraw cyberbezpieczeństwa w banku w obliczu nowych trendów branżowych. 

Sponsorem tego odcinka jest PKO Bank Polski. Notatkę, linki oraz transkrypcję do dzisiejszego odcinka znajdziesz pod adresem porozmawiajmyoit.pl/218. 

Podcast Porozmawiajmy o IT jest dostępny zupełnie za darmo. Obowiązuje tylko jedna zasada: jeśli jesteś tu przynajmniej po raz drugi, to po pierwsze rozgość się, a po drugie odwdzięcz za te treści, wystawiając ocenę w Twojej aplikacji podcastowej lub polecając odcinek w social media. Dziękuję.

Ja się nazywam Krzysztof Kempiński. Moją misją jest poszerzanie horyzontów ludzi z branży IT, co realizuję m.in. poprzez ten podcast. A teraz zapraszam Cię już do odcinka.

Odpalamy!

Cześć!

Mój dzisiejszy gość to dyrektor Biura Architektury i Usług Cyberbezpieczeństwa w PKO Banku Polskim. Przez 16 lat pracy w banku rozwijał serwisy internetowe oraz transakcyjne banku. Współtworzył IKO oraz wiele innych rozwiązań w obszarze kanałów zdalnych. Obecnie kieruje zespołami w obszarze cyberbezpieczeństwa PKO Banku Polskiego. Absolwent wydziału Elektroniki i Technik Informacyjnych Politechniki Warszawskiej. Entuzjasta technologii, fan ich wykorzystania w sposób pozytywnie zmieniający codzienne życie. Ojciec dwójki dzieci, fan klasycznej motoryzacji i sportów motorowych. Moim i Waszym gościem jest Radosław Janusz. 

 

Cześć, Radku! Bardzo miło Cię tu gościć. 

 

Cześć! Bardzo dziękuję za zaproszenie, również jest mi miło. 

 

Dzisiaj będziemy rozmawiać o pracy specjalisty do spraw cyberbezpieczeństwa w banku i o tym, jak zmieniające się trendy branżowe na tę pracę wpływają. Tak że myślę, że bardzo ciekawy i bardzo na czasie temat. 

Zanim jednak do tego przejdziemy, to chciałbym Cię, Radku, zapytać, czy słuchasz podcastów i może będziesz w stanie jakieś ciekawe audycje zarekomendować. 

 

Tak, słucham podcastów. Jestem fanem podcastów od wielu lat. Zanim jeszcze moda na podcasty nastała w Polsce, to słuchałem podcastów amerykańskich. Takie pierwsze, których słuchałem z wypiekami na twarzy, to był podcast Leo Laporte o technologii, fajny podcast swego czasu, chyba nadal istnieje. Również podcasty Jasona Calacanisa to było coś, co bardzo lubiłem, Tima Ferrissa, to tyle jeśli chodzi o Amerykę i historię. 

Obecnie nadal konsumuję te treści, bo są fajne, bo jest ich dużo. Słucham podcastów z dziećmi na przykład, ale też słucham podcastów geopolitycznych, bo technologia, bankowość nie są oderwane od świata, od otoczenia, to zazębia się ze sobą. Staram się słuchać i podcastów zagranicznych, i polskich, i takich, które poszerzają moje horyzonty, tak więc i technologiczne, i geopolityczne. Różnie, zależnie od humoru i pory dnia. 

 

Rozumiem. W takim razie w przedstawieniu Cię obok fana motoryzacji powinienem jeszcze dołożyć fan podcastów, bo to faktycznie długa przygoda. 

 

Potwierdzam, tak. 

 

Cieszę się bardzo. Chciałbym naszą rozmowę zacząć od tego, kto może zostać specjalistą do spraw cyberbezpieczeństwa. Chciałbym, żebyśmy może na to spojrzeli pod kątem środowiska bankowego, bo na tym tutaj opieramy naszą rozmowę. Czy te kompetencje, które są wymagane, których Ty szukasz wśród specjalistów w tym środowisku bankowym, jakoś różnią się od innych branż? 

 

Generalnie w świecie cyberbezpieczeństwa gros ekspertów to jednak ludzie z silną podbudową technologiczną. Oczywiście posiłkujemy się kompetencjami np. prawnymi, innymi, prowadzenie projektów również ma miejsce w świecie cyberbezpieczeństwa, jednak gros to inżynierowie, tak jak powiedziałem. Przy czym to znowu jest dosyć szeroki temat, bo inżynierowie są przeróżni i nam zależy na tym, żeby mieć pełen zestaw kompetencji po to, aby pokryć właśnie pod kątem bezpieczeństwa wszystko to, co w banku może mieć miejsce, zatem mamy ludzi, którzy znają się dobrze na stacjach roboczych i ich zabezpieczaniu, mamy sieciowców, mamy inżynierów budujących oprogramowanie historycznie, takich, którzy świetnie się nad tym znają i wiedzą, jak to robić w sposób bezpieczny, mamy architektów rozwiązań, mamy naprawdę pełen zestaw kompetencji technologicznych. 

Czy to się różni od innych branż? Myślę, że niekoniecznie. Tam, gdzie jest bezpieczeństwo, tam pewnie mniej więcej patrzenie jest na te same zagadnienia, przy czym w banku patrzymy na nie, sądzę, dosyć głęboko, bo jeśli wyobrazimy sobie jakąś niewielką firmę technologiczną, która też myśli o bezpieczeństwie w sposób racjonalny, to pewnie robi to u nich jedna osoba, dwie, więc siłą rzeczy nie będą mieli aż tak głęboko kompetencji w każdym z obszarów, które wymieniałem. Wynika to z prostej rzeczy, tzn. oni się pewnie nie zajmują finansami, a my nie tylko odpowiadamy za dane klientów, których obsługujemy, ale też za ich pieniądze, w związku z tym musimy do tego przykładać naprawdę potężną uwagę.

 

Czy ta wiedza związana z bankowością, z finansami, właśnie z tą domeną jest w jakiś sposób niezbędna, żeby pracować w tej roli w banku, czy po prostu można się tego nauczyć po drodze?

 

Znajomość finansów nie jest niezbędna. Oczywiście jest milej widziana, natomiast ona też przychodzi z czasem. Tak naprawdę chodzi o technologię. Ta technologia jest wspólna niezależnie od tego czy ktoś sprzedaje kredyty, czy samochody, czy cokolwiek jeszcze innego przez internet. Technologia jest podobna i chodzi o jej znajomość. Jeśli ktoś jeszcze jest, powiedzmy, sympatykiem branży finansowej, to tylko lepiej, bo z większą wyobraźnią podejdzie do tego, co tak naprawdę robi w pracy, ale nie jest to warunek konieczny. 

Znajomość finansów nie jest niezbędna. Oczywiście jest milej widziana, natomiast ona też przychodzi z czasem. Tak naprawdę chodzi o technologię. Ta technologia jest wspólna niezależnie od tego czy ktoś sprzedaje kredyty, czy samochody, czy cokolwiek jeszcze innego przez internet. Technologia jest podobna i chodzi o jej znajomość. Jeśli ktoś jeszcze jest, powiedzmy, sympatykiem branży finansowej, to tylko lepiej, bo z większą wyobraźnią podejdzie do tego, co tak naprawdę robi w pracy, ale nie jest to warunek konieczny.

 

No tak, banki obecnie to firmy technologiczne, jakby nie było, więc faktycznie to nastawienie na technologię jest pewnie tutaj kluczowe. 

Cała ta domena cyberbezpieczeństwa zyskała w ostatnich latach mocno na znaczeniu. Też mam wrażenie, że jakoś tam przebiła się do takiej powszechnej świadomości wręcz w pewnych kręgach. W związku z tym pewnie wiele osób jest zainteresowanych, żeby swoją drogę kariery poprowadzić w tym kierunku. Czy według Ciebie ta specjalizacja obecnie jest problematyczna, trudna, jeśli chodzi o wejście, czy trudno jest rozpocząć karierę w takiej roli? 

 

Odpowiedź na to pytanie powinna już brzmieć: to zależy – jak często to w życiu bywa. To zależy od tego, gdzie dany kandydat startuje. Jeśli jest inżynierem, jeśli ma silną podbudowę technologiczną w jakiejś działce, to jemu jest już dużo łatwiej. Jeśli ktoś jest np. humanistą, co też się zdarza, znam takie przypadki, albo ma wykształcenie zupełnie inne, np. jest matematykiem, to jest mu trudniej siłą rzeczy, bo musi się nie tylko nauczyć świata cyberbezpieczeństwa, ale też technologii, którą zabezpiecza. Więc to zależy. 

W tym pierwszym przypadku myślę, że ta ścieżka nie jest jakaś specjalnie trudna. Mogę powiedzieć, że w banku mamy takie programy reskillingowe, polegające na tym, że ludzi ze świata technologii, takich, którzy już mają jakąś podbudowę, jesteśmy w stanie, myślę, że dosyć szybko nauczyć kompetencji wymaganych w świecie cyberbezpieczeństwa. 

W tym drugim przypadku też nie jest, myślę, to niemożliwe. Dzisiaj żyjemy w świecie, gdzie dostęp do informacji jest naprawdę na wyciągnięcie ręki. Są platformy edukacyjne, do których dostęp ma każdy z nas albo za darmo, albo za naprawdę niewielkimi opłatami. One aż pękają w szwach, jeśli chodzi o zawartość, związaną także z cyberbezpieczeństwem, z kryptografią, z zabezpieczeniem aplikacji, z zabezpieczeniem protokołów sieciowych. Wszystko tam można znaleźć. Nie kosztuje to jakichś dużych kwot, wszystko jest tylko kwestią determinacji, poświęconego czasu, uporu i konsekwencji w realizowaniu swojego celu i wtedy nie ma rzeczy niemożliwych. 

 

Rozumiem, czyli świat należy do ludzi odważnych i warto tutaj próbować, nawet jeśli nie skończyło się informatyki, prawda? 

 

Jasne, że tak. 

 

Wielokrotnie podkreślałeś, że ta podbudowa technologiczna jest ważna, że te kompetencje twarde są znaczące, wręcz niezbędne w tej roli. Czy wobec tego, jeśli mamy taką specjalizację technologiczną i chcemy skierować się, czy też pomyśleć o rozwoju, może przeskoczeniu wręcz do roli związanej z cyberbezpieczeństwem, czy to znaczy, że będziemy zajmować się ciągle tym samym, podobnymi zadaniami, nasza praca będzie w miarę taka sama, czy też może jest wręcz inaczej – cyberbezpieczeństwo jest na tyle różnorodne, że nie będziemy narzekać na nudę?

 

Myślę, że o nudzie nie może być mowy. Jesteśmy w świecie cyberbezpieczeństwa w stanie spełnić wymagania osób, które lubią stabilność i dobrze odnajdują się w scenariuszach powtarzających się co dnia, bo są tacy ludzie, którzy lubią po prostu swoją robotę i chcą to robić, nie chcą zmian, ale są też tacy, którzy zmian potrzebują i zmiany ich stymulują w pozytywny sposób i dla takich także mamy możliwości rozwoju. 

W naszym departamencie mamy tak naprawdę całą plejadę różnych zestawów kompetencji, różnych zadań, które realizujemy. One są bardzo różnorodne. Są to zadania, które np. polegają na kontakcie ze światem zewnętrznym, w rozumieniu spoza departamentu, mamy kontakt z jednostkami tzw. biznesowymi, które mają pewne inicjatywy i przychodzą do nas, aby je uzgodnić pod kątem ich bezpieczeństwa tudzież jego braku. Mamy partnerów po stronie technologii, dostawców, infrastruktury. Więc mamy ludzi po stronie naszego departamentu, którzy z nimi właśnie współpracują. I tutaj ta znajomość technologii jest może nieco mniej wymagana, chociaż nie jest opcjonalna. Nadal jej potrzebujemy, ale tutaj ważne są również umiejętności miękkie, umiejętności rozmawiania z ludźmi, wyciągania z nich informacji, na których nam zależy, syntetyzowania tych informacji, a następnie przekazywania ich np. do inżynierów czy architektów. 

Mamy też tych inżynierów i architektów, tak jak mówię, to są ludzie, którzy pracują koncepcyjnie nad pewnymi rozwiązaniami, zastanawiają się nad propozycjami, które ktoś im przedstawia po to, żeby je krytycznie ocenić, a być może czasem wymyślić alternatywy dla nich. 

Wreszcie mamy ludzi, którzy odpowiadają za obsługę incydentów, którzy analizują te incydenty, reagują na nie w odpowiedni sposób. W świecie bankowości jest to w ogóle zagadnienie samo w sobie, obsługa incydentów, ponieważ prawo nakłada na nas określone obowiązki z tym związane, tzn. to, jak musimy organizować sposób obsługi incydentów, w jaki sposób musimy realizować tę obsługę, te procesy, kto może je robić, w jaki sposób jego praca musi być zabezpieczona, udokumentowana, jak szybko musi to zrobić. 

Na koniec jeszcze mamy dużą grupę kompetencji takich, powiedzmy, analityczno-zgodnościowo-regulacyjnych. Bank, jak cały rynek finansowy jest regulowany, mamy nadzorcę swojego, regulatora KNF, Komisję Nadzoru Finansowego i w związku z tym musimy być zgodni z wytycznymi, raz, że regulatora, ale dwa, ogólnych przepisów prawa, a ich jest dużo, nasz świat jest mocno doregulowany, w związku z tym to też wymaga samo w sobie analizowania, reagowania na zmiany w przepisach, implementowania tego, co oznaczają dla nas zmiany, np. w naszych regulacjach, a czasami w naszych systemach. 

Mamy też kompetencje w zakresie realizowania audytów. Wszystko to, co robimy w sensie technologicznym, musi być przetestowane. Mamy kompetencje tego typu wewnętrzne, tzn. ludzi, którzy potrafią sami przetestować bezpieczeństwo aplikacji czy systemów. Mamy ludzi, którzy potrafią takie kompetencje pozyskać z rynku i koordynować pracę kogoś z zewnątrz, żeby przetestował coś u nas. 

Zatem mam nadzieję, że widać z tego, co mówię, że tak naprawdę spektrum możliwości, spektrum zadań jest u nas potężne. Więc wracając do początku Twojego pytania, nie ma mowy o nudzie. Jeśli ktoś chce się rozwijać, to ma na to sposobność. Jeśli ktoś chce zmienić profil swojej pracy, ale nadal w cyberbezpieczeństwie, ma ku temu wiele różnych ścieżek. 

Myślę, że o nudzie nie może być mowy. Jesteśmy w świecie cyberbezpieczeństwa w stanie spełnić wymagania osób, które lubią stabilność i dobrze odnajdują się w scenariuszach powtarzających się co dnia, bo są tacy ludzie, którzy lubią po prostu swoją robotę i chcą to robić, nie chcą zmian, ale są też tacy, którzy zmian potrzebują i zmiany ich stymulują w pozytywny sposób i dla takich także mamy możliwości rozwoju.

 

Czy te specjalizacje, czy kompetencje, jak je nazwałeś, zazwyczaj oznaczają, że mimo wszystko poruszamy się w jednym wąskim obszarze związanym z cyberbezpieczeństwem, czy też może posiadając kilka tych kompetencji jesteśmy w stanie jakoś międzydziałowo, czy też powiedzmy z takim podejściem szerszym podchodzić do pracy i realizować różne z tych zadań?

 

Jak najbardziej. Tutaj nie ma żadnych barier poza barierami organizacyjnymi. Każdy musi mieć szefa i najczęściej jest to jeden szef. Natomiast nic nie stoi na przeszkodzie, żeby być zaangażowanym w różnorodne zadania. Wręcz dbamy o to, żeby tak się działo. Jeśli w naszym gronie jest osoba, która na danym zagadnieniu zna się najlepiej, to nie patrzymy na podział organizacyjny, na to, że ona jest w innym zespole, tylko po prostu prosimy ją o pomoc. 

 

W takiej powszechnej opinii (nie ukrywam, że ja też mam podobne mniemanie) o pracy właśnie specjalisty z tego obszaru, jest to praca odpowiedzialna i stresująca, jakby nie było, prawda? W sensie, jeśli wszystko dzieje się dobrze, to pewnie ta praca nie jest jakoś bardzo zauważana i po prostu nikt na to jakoś szczególnie przychylnym okiem nie patrzy, tak się domyślam. 

Natomiast jeśli dzieją się rzeczy już niefajne, niekorzystne, problematyczne, to wtedy gdzieś to faktycznie znajduje swoje ujście i trzeba tutaj pewnie wykazać się nie lada odpornością psychiczną, żeby te obowiązki w takim właśnie natłoku i jednocześnie presji realizować. Tak jest w powszechnej i też w mojej opinii. Jestem ciekawy, jak Ty na to od wewnątrz patrzysz. 

 

Odpowiem może odrobinkę przewrotnie, tzn. czym jest stres? Stres to jest reakcja naszego organizmu zaprogramowana w nas głęboko przez naturę, która tak naprawdę pomaga nam funkcjonować w sytuacji wymagającej od nas wzmożonego wysiłku, szybszego reagowania na sytuację. Nie wiem, kiedyś to była ucieczka przed jakimś drapieżnikiem, powiedzmy, a dzisiaj to są reakcje trochę innego rodzaju. Natomiast w przypadkach takich właśnie stres jest naszym sprzymierzeńcem, pomaga nam w wyostrzeniu zmysłów, w skróceniu czasu reakcji. 

I teraz, czy on w świecie bezpieczeństwa jest? Tak, stres jest częścią naszej pracy, natomiast nie patrzę na niego jak na wroga. I zachęcam moich współpracowników, kolegów i koleżanki do też takiego traktowania stresu. 

Natomiast to łączy się w konsekwencji z jakąś tam potrzebą odporności psychicznej, budowania jej w sobie, bo długotrwała ekspozycja na stres nie jest dobra ani dla zdrowia psychicznego, ani dla fizycznego. Nie ma się co oszukiwać, trzeba sobie z tym radzić. W związku z tym poświęcamy swój czas też na to, żeby znajdować pasję. Jak przedstawiałaś mnie, to mówiłeś o tym, że mam pewne hobby. Każdy z nas powinien mieć jakieś hobby, jedno czy więcej nawet, tak uważam, po to, żeby rozładowywać ten negatywny, emocjonalny ładunek wynikający ze stresu i wracać następnego dnia do pracy z nową siłą, z werwą i z nową gotowością do podjęcia nowych zadań, być może znowu z jakimś tam stresem związanych. 

Czy jest to cecha niezbędna? Na niektórych naszych stanowiskach trzeba być odpornym psychicznie, nie ma opcji, musi tak być. W innych ta odporność może być na nieco niższym poziomie. Jeśli weźmiemy np. ten obszar, o którym mówiłem, jeśli chodzi o obsługę incydentów, to tutaj niestety ten stres jest, bo jeśli wpada nam incydent, który musimy obsłużyć w reżimie czasowym typu kilka czy kilkanaście minut, a musimy to przeanalizować w sposób kompletny i wiemy, że jeśli zrobimy błąd w swojej analizie, to to może pociągnąć ze sobą określone konsekwencje – o ryzykach wolałbym nie mówić, ale naprawdę te konsekwencje mogą być poważne – to jest to związane ze stresem, jak 2 plus 2, musi tak być. 

Natomiast jeśli realizujemy zadania innego rodzaju, mówiliśmy o prowadzeniu projektów, o analizie jakichś rozwiązań, które przyniósł do nas świat, o projektowaniu czegoś, to ten stres oczywiście też jest, ale to nie jest taki rodzaj stresu, to jest trochę coś innego, inna bajka. 

 

Rozumiem. Mówiłeś tutaj o konieczności posiadania jakiegoś hobby, jakiegoś ujścia, żeby faktycznie ten stres rozładowywać. Ale powiedziałeś też, że ważne jest, żeby taką odporność na ten stres w jakiś sposób budować. Zastanawiam się, w jaki sposób bank czy Twój zespół pomagają w takim budowaniu odporności poprzez jakiegoś rodzaju ćwiczenia, próby, które mają nas trochę oswoić z taką realną sytuacją? 

 

Tak, myślę, że takich działań można by wymienić naprawdę całą serię. Myślę, że mogę się podzielić taką informacją z naszymi słuchaczami, że np. na jednej z naszych przestrzeni mamy konsolę do gier wideo dla ludzi, którzy chcą się oderwać na chwilę od swoich obowiązków, mamy stół do piłkarzyków, mamy dartsy. Są na to sposoby, żeby się rozładować tak szybko, punktowo w pracy. Nasze biuro umożliwia również krótki spacer na tarasie, jednym z kilku tarasów, które mamy. Natomiast mamy też szereg działań, jak to nazywają nasi koleżanki i koledzy z HR, well-beingowych, które także pomagają w jakiś taki systematyczny sposób zadbać o swoje zdrowie, czy to psychiczne, czy fizyczne, także przy pomocy ekspertów w danych dziedzinach, więc wiele działań w tym zakresie jest w banku, tak. 

 

Wiele raportów takich branżowych związanych z rynkiem pracy IT wskazuje, że ta specjalizacja właśnie cyberbezpieczeństwa jest bardzo poszukiwaną i że w ostatnich latach faktycznie popyt na specjalistów tego typu wzrósł bardzo. 

Wynika to oczywiście z wielu powodów. Jednym z głównych jest to, że życie w dużym stopniu przeniosło się, przynajmniej takie zawodowe, faktycznie do internetu, do sieci, w związku z tym te zjawiska niekorzystne dla naszego bezpieczeństwa się zwiększyły. 

W związku z tym to zapotrzebowanie jest bardzo duże. Specjaliści, zwłaszcza doświadczeni specjaliści, mogą przebierać w ofertach pracy. Więc zastanawiam się, co może stanowić o takiej atrakcyjności pracy w banku dla specjalisty, który pewnie może przebierać właśnie w tych ofertach. 

 

Myślę, że leciutko zahaczyliśmy już o odpowiedź na to pytanie. Wcześniej mówiłem o tym, że w banku bardzo głęboko wchodzimy w to bezpieczeństwo i jeśli ktoś jest ekspertem w swojej wąskiej dziedzinie, to również bardzo głęboko wejdzie w bezpieczeństwo tej swojej wąskiej dziedziny ekspertyzy. 

Dlaczego banki są atrakcyjne dla bezpieczników? Moja opinia jest taka, może trochę nieskromnie to zabrzmi, ale nie ma innej branży, może z jakimiś drobnymi wyjątkami, która musi aż tak dbać o bezpieczeństwo jak banki. Banki historycznie żyją z zarządzania ryzykiem tak naprawdę. Z jednej strony przyjmują kapitał, z drugiej strony sprzedają ten sam kapitał na jakiś procent i muszą dobrze ważyć ryzyko, żeby zarabiać na tym kapitale. 

To jest nasza kluczowa kompetencja i to ryzyko to jest coś, z czym my pracujemy na co dzień w cyberbezpieczeństwie i tak jak mówię, jest mało branż, które muszą o to dbać tak jak my musimy. W związku z tym jeśli ktoś chce naprawdę na poważnie myśli o cyberbezpieczeństwie i chce tu pracować, to bank jest świetnym miejscem dla takiej osoby, bo ciężko o miejsce, gdzie można to robić na takim poziomie, albo na wyższym, gdzie można się wzbogacić, jeśli chodzi o kompetencje, jeśli ktoś ma tam jakieś braki, gdzie można być cały czas na topie tych kompetencji i na topie informacji o zmieniającym się świecie. 

Oprócz tego, bo to, co powiedziałem, to jest dosyć oczywista rzecz, dbamy też o to, żeby była dobra atmosfera pracy u nas. Dbamy o to, aby zadania były realizowane w sposób odpowiedni dla danej osoby. Mówiliśmy przed chwilą o tym, że mamy różne typy osobowości, jedni lubią stabilność i powtarzalne zadania realizować, a inni chcą mieć urozmaicenie, w związku z tym staramy się dobrze dobierać zadania do potrzeb danych osób. 

Dbamy o to, abyśmy mieli atrakcyjne stanowisko pracy, środowisko, otoczenie nasze, tak jak mówiłem o tych różnych rozrywkach w czasie nieco wolniejszym. Tutaj również staramy się naszych pracowników stymulować, więc to wszystko, myślę, składa się na całkiem fajny pakiet, który jest atrakcyjny dla naszych potencjalnych pracowników. 

 

A czy myślisz, że skala działalności banku, to że tam faktycznie ilość przypływających danych jest taka, a nie inna, też może być takim czynnikiem przyciągającym właśnie w kierunku banku? 

 

Tak, jak najbardziej, to są takie dosyć oczywiste rzeczy. Duże banki, takie jak np. PKO Bank Polski współpracują przez implikacje niejako z dużymi dostawcami, z dużymi partnerami, operujemy stosunkowo dużymi budżetami, w związku z tym możemy sobie pewnie pozwolić na dosyć dobre narzędzia, może czasem nawet najlepsze narzędzia na świecie. Więc jak najbardziej, to także może być magnes, przy czym to jest magnes dla kogoś, kto rozumie, czym ten magnes jest. Dla kogoś, kto zaczyna tę ścieżkę swoją w cyberbezpieczeństwie, niekoniecznie on będzie wiedział, co to znaczy, ale tak, jak najbardziej jest to jedna z zalet. 

 

To bardzo ciekawe, co powiedziałeś. Nie wiem, czy będziesz chciał się podzielić taką informacją, ale czy faktycznie PKO Bank Polski zatrudnia też osoby początkujące w tej domenie, czy też może raczej stawia na doświadczenie? 

 

Tak naprawdę to zależy od zadań, jakie w danym momencie mamy do zrealizowania i dla których szukamy wypełnienia luki. Zdarza się nam szukać ekspertów, pewnie najczęściej szukamy ekspertów, natomiast również szukamy osób, które są na początku swojej ścieżki cyberbezpieczeństwa. Pewnie nie szukamy ludzi, którzy zupełnie nie mają żadnego doświadczenia w tym obszarze. Bo nie ma się co oszukiwać, że wyedukowanie osoby zupełnie spoza tego świata jest kosztowne i może się nie zwrócić, więc nie chcemy tego ryzyka podejmować, a przynajmniej nie często. Niemniej juniorów także szukamy. 

 

Mówiłeś, że bank z racji na swoją skalę na budżet jest w stanie sobie pozwolić na najlepsze narzędzia, jest w stanie współpracować z dostawcami tych topowych technologii. Wszystko to, myślę, sprowadza się do trendów technologicznych, które, jakby nie było, w cyberbezpieczeństwie też bardzo szybko prą do przodu. Taka konieczność bycia na bieżąco, bycia poinformowanym – jak te rzeczy wpływają na codzienną pracę bezpiecznika w banku? 

 

Zanim o trendach i ich wpływie, to jeszcze może krótki komentarz do tego co powiedziałeś o tym, że bank stać. Jesteśmy dużą instytucją i pewnie mamy jakieś tam budżet, tak jak powiedziałem wcześniej, natomiast muszę też podkreślić, że my każdą złotówkę oglądamy z obu stron. Zanim ją wydamy, to naprawdę przeprowadzamy solidny proces myślowy, czy tam na pewno ta złotówka się zwróci i jak mocno. Zatem to wszystko musi mieć uzasadnienie biznesowe, żebyśmy byli w stanie wydać pieniądze na narzędzie, nawet jeśli ono jest najlepsze na świecie. 

A teraz wracając do Twojego pytania o trendy, z jednej strony mamy pewnego rodzaju fundament, tzn. jesteśmy dziś w jakimś tam stanie, w sensie infrastruktury, narzędzi, stopnia ich adopcji w organizacji, tego, w jaki sposób są skonfigurowane i co nam dają. I to się nie zmienia z dnia na dzień, to jest jakaś taka stabilna warstwa, która oczywiście ewoluuje z czasem, niektóre narzędzia zastępujemy innymi, nowocześniejszymi, upgradujemy ich wersje, udoskonalamy całą swoją konstelację różnych narzędzi, żeby ona była jeszcze lepsza, jeszcze pełniej, dawała nam poczucie, że jest wszystko w porządku. Natomiast nie możemy być ślepi na zmiany na świecie, bo z kim my się mierzymy z drugiej strony? Tak naprawdę z przemysłem. 

Mówiąc dzisiaj przestępca, nasi słuchacze mam nadzieję, że wiedzą, że to nie jest jakiś złodziej w opasce na oczach, który włamuje się do banku. Tego już dzisiaj nie ma prawie że wcale. To są zorganizowane firmy wręcz, które mają też duże budżety, może większe niż niektóre banki, które naprawdę solidnie przykładają się do swojej pracy, bo to jest ich praca, to jest dla nich biznes. Więc mierzymy się tak naprawdę z zawodnikami ciężkich wagi. 

I oni kombinują. Oni wymyślają coraz to nowe wektory ataku, coraz to nowe techniki. Nie możemy być na to głusi, ani ślepi. Musimy cały czas przewidywać ich ruchy, bo znowu, jeśli pozwolimy im na jakieś operacje i będziemy reagować, to będziemy zawsze o krok do tyłu. Musimy myśleć w przód. Musimy przewidywać to, czym oni nas mogą chcieć zaskoczyć. Dlatego jak mówiłem o różnorodnych kompetencjach, Wspomniałem też o tym, że my także zatrudniamy ludzi, którzy mają kompetencje, trochę upraszczając, hakerskie. Właśnie po to, żeby móc iść tak samo szybko jak nasi przeciwnicy, a być może czasem szybciej. 

Więc trendy to jest coś, co jest naszą codziennością. Ich śledzenie, ich przewidywanie, ich monitorowanie, analiza, co one mogą dla nas oznaczać, tak w aspekcie pozytywnym, co możemy z nich dla siebie wyciągnąć, jak i negatywnym, czym mogą nas zaskoczyć i zaszkodzić w jakiś sposób. 

I oni kombinują. Oni wymyślają coraz to nowe wektory ataku, coraz to nowe techniki. Nie możemy być na to głusi, ani ślepi. Musimy cały czas przewidywać ich ruchy, bo znowu, jeśli pozwolimy im na jakieś operacje i będziemy reagować, to będziemy zawsze o krok do tyłu. Musimy myśleć w przód. Musimy przewidywać to, czym oni nas mogą chcieć zaskoczyć. Dlatego jak mówiłem o różnorodnych kompetencjach, Wspomniałem też o tym, że my także zatrudniamy ludzi, którzy mają kompetencje, trochę upraszczając, hakerskie. Właśnie po to, żeby móc iść tak samo szybko jak nasi przeciwnicy, a być może czasem szybciej.

 

To może powiedz, proszę, jakimi obecnie trendami żyje branża, o czym się mówi i co jest takim topowym, czy kilkoma topowymi trendami. 

 

Mogę odpowiedzieć tak naprawdę pewnie o jednym gorącym trendzie dotyczącym cyberbezpieczeństwa, takiego wprost cyber. I tutaj mam na myśli komputery kwantowe. To jest coś, czemu się przyglądamy, bo, mimo że jest to ciekawostka dzisiaj, taka powiedzmy laboratoryjna, te komputery do działania potrzebują ekstremalnie ujemnych temperatur, bardzo niskich, w związku z tym mało kto jest w stanie pozwolić sobie na to, żeby taki komputer stworzyć. Jest tylko kilka takich komputerów, poważnych rozwiązań na świecie. Niemniej jest to jakaś przyszłość, która niektórzy wieszczą, że zrealizuje się w świecie takim już bliskim nam w najbliższych kilka lat. 

W związku z tym silnie się temu trendowi przyglądamy. Bo komputery kwantowe, jak to się wieści, mogą spowodować dosyć proste i szybkie przełamanie algorytmów kryptograficznych, które dzisiaj powszechnie wykorzystujemy. W związku z tym musimy być na to gotowi. To jest jeden z trendów, o których, tak jak mówiłem wcześniej, przyglądamy się po to, żeby wyciągnąć dla niego to, co najlepsze i przewidzieć pewne ryzyka, nawet z dalszej przyszłości. 

Natomiast oprócz tych komputerów kwantowych gorący temat od roku już, czyli generatywna sztuczna inteligencja. Tutaj również się temu bacznie przyglądamy. Raczej nie w aspekcie takim, że ktoś skrzywdzi nas jako bank, używając jakiejś generatywnej sztucznej inteligencji. Przyglądamy się temu z dwóch perspektyw. 

Pierwsza jest taka, że to jest narzędzie, które jest potrzebne naszym ludziom, naszym pracownikom, może być przydatne w pracy. Rozmawiamy tutaj w podcaście technologicznym, pewnie część naszych słuchaczy korzysta z rozwiązań typu Copilot w środowiskach deweloperskich swoich itd. Więc w banku też się temu przyglądamy, przy czym ważymy zyski z kosztami. Nie chcemy, żeby ktoś wszedł w posiadanie naszego kodu albo kodu, który wygenerowano u nas, w związku z tym podchodzimy do tych narzędzi z dużą ostrożnością, ale też ze świadomością benefitów, które potencjalnie mogą nam dać. 

Z drugiej strony patrzymy też na generatywną, sztuczną inteligencję jako na coś, co może zaszkodzić albo nam jako bankowi, np. jeśli ktoś się podszyje pod bank, tworząc jakieś nagranie czy jakiegoś rodzaju treść sugerującą, że to bank przemawia do klienta, więc tutaj patrzymy z mocną ostrożnością, jak i na naszych klientów. Bo to może być nie bez znaczenia. 

I ostatni trend, o którym chciałem powiedzieć, jest związany mocno z Gen AI, czyli to, co nasi przeciwnicy, przestępcy robią w świecie ataków na naszych klientów używających psychotechniki. 

Kevin Mitnick 30 lat temu pisał w swojej książce, że nie łamał systemów, tylko ludzi. I przestępcy dzisiaj robią to samo. Wspomniałem przed chwilą trochę żartobliwie o przestępcy w opasce na oczach. Nie ma dzisiaj ataków na dyliżanse, na banki. Zdarzają się jakieś ataki na bankomaty czasami, takie fizyczne. Ale najczęściej to, z czym mamy do czynienia, to jest jednak atak na osobę, na człowieka, na klienta banku, który polega na tym, że nęci się go jakimiś emocjami albo pozytywnymi, mówiąc mu, że może szybko zarobić jakąś dużą kasę, albo negatywnymi. Znamy wszyscy metody na wnuczka i podobne. 

I wtedy w tych silnych emocjach, czy pozytywnych, czy negatywnych, klient reaguje nieco nieracjonalnie, jeśli jest troszeczkę mniej ostrożny, albo jeśli nie jest wyczulony na takie techniki. A przestępcy widać, że naprawdę w tym są świetni. Więc te psychotechniki, coraz to nowe, które oni tworzą, tak naprawdę nie są to ryzyka ze świata cyberbezpieczeństwa, ale jako żywo są ze świata internetu. Są to ryzyka technologiczne, przy czym kierowane nie w stronę instytucji, tylko w stronę naszego klienta. I to też jest trend, któremu się bacznie przyglądamy i próbujemy przeciwdziałać. 

 

Teraz już rozumiem, dlaczego ta branża staje się coraz szersza, bo jeśli mówimy tutaj o quantum computing, jeśli mówimy o AI, to automatycznie oznacza to, tak przypuszczam, że osoby znające się na tych obszarach również muszą gdzieś wchodzić do tego działu cyberbezpieczeństwa i również swoją wiedzę, swoje doświadczenie dokładać. Z racji na to, że obserwujemy ten rozwój technologiczny, który się ciągle rozpędza, będzie to pewnie oznaczało, że sama branża cyberbezpieczeństwa też będzie musiała dostosowywać się do tego i rosnąć z całym rozwojem technologicznym świata. 

Zastanawiam się, czy to też działa w drugą stronę, bo powiedziałeś, że banki muszą śledzić te trendy w cyberbezpieczeństwie, żeby nadążyć za atakami, możliwymi wektorami ataku. Ale czy to też działa w drugą stronę? Czy banki same kreują trendy, które właśnie w przyszłości mają szansę być wykorzystywane też w innych branżach? 

 

Myślę, że tak, tzn. wspomnieliśmy na początku, że jestem fanem motoryzacji. I tak jak w świecie motoryzacji są sporty motorowe, jak Formuła 1 czy inne ekstremalne, które wymyślają tak naprawdę różne ciekawostki, czy to poprawiające osiągi samochodu, czy lepszą skuteczność hamowania, przeróżne rzeczy, większą efektywność energetycznych silników i potem po 5, 10, czasem 15 latach te nowinki, jeśli się sprawdzą, to tak naprawdę lądują w samochodach klasy compact, dostępnych dla każdego z nas, tak myślę, że w świecie bezpieczeństwa może trochę na wyrost ta analogia, ale też taka trochę jest, że pewne rozwiązania adoptowane są najpierw w bankowości, bo mówiliśmy o tym, że bankowość musi mieć na to priorytet, że musimy mieć na to finanse, no i je mamy. Ale w miarę jak te rzeczy wchodzą do coraz powszechniejszego użycia i stają się coraz bardziej popularne, to również stają się coraz bardziej przystępne cenowo. I w związku z tym coraz szerzej są dostępne na rynku. 

Więc coś, co dzisiaj w bankowości pewnie działa i niespecjalnie gdzieś indziej również, pewnie wraz z upływem czasu będzie trafiało pod strzechy. Sądzę, że tak, można o takim trendzie mówić. 

 

Powiedzieliśmy tutaj, że nowoczesne banki to przede wszystkim technologia, ale w takim też powszechnym mniemaniu albo w takim skojarzeniu bank równa się safe, można byłoby powiedzieć. I tak jak tutaj nawiązywałeś do tych dyliżansów i zabezpieczania takiego fizycznego wręcz pieniędzy, tak może się też wydawać, że na tym właśnie opiera się praca specjalisty od cyberbezpieczeństwa, że on buduje takie coraz wyższe, grubsze mury, które mają za zadanie odbić ataki z zewnątrz. Czy to tak wygląda, czy ta strategia ma szansę się sprawdzić długoterminowo? 

 

Nie do końca, tzn. bezpieczeństwo to jest zwykle wypadkowa wielu różnych aspektów, bo o bezpieczeństwie możemy mówić w odniesieniu do sejfów, o jakich powiedziałeś i wtedy tutaj nie ma żadnych, nie można iść na kompromisy w takim przypadku. Natomiast o bezpieczeństwie też możemy mówić np. jeśli chodzi o procesy, które w jakiś sposób angażują naszego klienta. 

I tu niestety już mamy pewne tarcie pomiędzy aspektami bezpieczeństwa a wygodą. Zawsze tutaj szukamy jakiegoś, no nie powinno paść to słowo, ale jednak go użyję, kompromisu. Więc musimy coś zrobić i wygodnie, i bezpiecznie, coś kosztem czegoś, ale najlepiej gdybyśmy nie musieli tutaj tego kompromisu szukać ani po jednej, ani po drugiej stronie. 

I wydaje mi się, że dużo rzeczy nam tu sprzyja. Nie musimy budować coraz to wyższych murów, wystarczy, że będziemy się zabezpieczać nieco lepiej, korzystając z tego, co współczesna technologia nam daje. W miarę jak pojawiła się np. biometria na telefonach komórkowych, to do aplikacji bankowych zaczęliśmy się dostawać odciskiem palca czy wizerunkiem naszej twarzy, a nie numerem klienta i hasłem, czy potem PIN-em. 

Ogólnie na świecie widać trend związany przykładowo z, to jest takie fajne hasło, passwordless. Czy to podwyższa bezpieczeństwo? Wydawać by się mogło, że kurczę, nie będzie hasła, na pewno nie będzie bezpiecznie. Otóż może być dokładnie odwrotnie. Zabezpieczymy sobie to bezpieczeństwo w kompletnie inny sposób, to hasło stanie się zbędne, bo będziemy tak pewni bezpieczeństwa poprzez inne faktory, że hasło stanie się tak naprawdę niepotrzebne. 

Więc czy coraz wyższe mury musimy budować? Nie, nie musimy budować coraz wyższych murów. Wystarczy, że będziemy sprytnie analizować to, co możemy robić i wykorzystywać to na naszą potrzebę. 

 

Wcześniej nawiązałeś do socjotechniki jako elementu łamania tych murów i okazuje się, że to nie kwestia techniczna, ale właśnie człowiek jest najczęściej tym najsłabszym ogniwem całego systemu i właśnie to ogniwo jest najprościej złamać. W związku z tym pojawia się pytanie, czy zabezpieczenie, czy stawianie tych murów, tych zasieków to jest dobre rozwiązanie czy też może właśnie edukowanie użytkowników i w ten sposób pośrednio zabezpieczanie systemu jest lepszym podejściem?

 

To jest trochę jak z łańcuchem, że mówi się, że łańcuch jest tak mocny jak jego najsłabsze ogniwo i z bezpieczeństwem jest identycznie. Bezpieczeństwo jest tak mocne jak najsłabszy element, który na nie wpływa. 

Najczęściej jest tak, że tym najsłabszym elementem jest człowiek. Z perspektywy firmy to może być pracownik, z perspektywy bazy klienckiej zazwyczaj jest to klient. W naszym przypadku nie tylko dbamy o to, żebyśmy byli bezpieczni jako instytucja w sensie technicznym, bo to jest takie konieczne, to jest warunek niezbędny, musi tak być, kropka, ale nie możemy zapominać o człowieku – tak pracowniku, jak i kliencie. 

I o ile to pierwsze jest wykonalne, wiemy, jak to zrobić, jak zabezpieczyć się technicznie, to to drugie to jest nieustający proces, który wymaga od nas działań tak naprawdę przez cały czas. Bo tak jak mówiłem, druga strona nie śpi, oni ciągle wymyślają nowe, coraz to lepsze techniki ataków, wymyślne bardzo. I ta edukacja jest niezbędna, niezbędne jest ciągłe analizowanie tych trendów po to, żeby klientów i pracowników uczulać na nie i ciągle i od nowa powtarzać im, że to na ich barkach leży brzemię bezpieczeństwa, tak finansów klienta, jak i bezpieczeństwa instytucji. 

Więc odpowiadając jednym słowem, edukacja jest, myślę, numerem jeden. Cała reszta w tle, ale edukacja jest numerem jeden. 

 

No tak, to jest taka też niekończąca się praca, prawda? Jak coś zauważyłeś, to się nigdy gdzieś tam nie zatrzyma, zawsze trzeba będzie ten poziom edukacji podnosić. 

 

Dokładnie tak. 

 

Świetnie. Dzisiaj moim gościem był Radosław Janusz. Rozmawialiśmy o pracy specjalisty do spraw cyberbezpieczeństwa w banku i mówiliśmy też trochę o trendach branżowych, które na tę pracę, jak i na całą branżę wpływają. 

Radku, bardzo Ci dziękuję za podzielenie się wiedzą, za spędzony czas. 

 

Dziękuję, Krzysztof, dziękuję słuchaczom za spędzony z nami wspólnie czas, dzięki.

 

Powiedz jeszcze, proszę, na koniec, gdzie Cię możemy znaleźć w internecie albo gdzie możemy słuchaczy odesłać. 

 

Zachęcam do obserwowania stron banku, tam, gdzie mamy ogłoszenia o pracę, pkobp.pl/kariera. Chętnie serdecznie zapraszam do kontaktu tamtą ścieżką, a jeśli ktoś ma ochotę, to również zapraszam do kontaktu ze mną: jestem na LinkedInie, jestem na portalu X, zwanym dawniej jako Twitter. Zapraszam do kontaktu. 

 

Oczywiście ten link i namiary Radka będą w notatce do odcinka. Tak że tam zapraszam, tam odsyłamy. Radku, Tobie jeszcze raz bardzo dziękuję. 

Do usłyszenia. Cześć!

 

Do usłyszenia!

 

I to na tyle z tego, co przygotowałem dla Ciebie na dzisiaj. Po więcej wartościowych treści zapraszam Cię do wcześniejszych odcinków, a już teraz, zgodnie z tym, co czujesz, wystaw ocenę, recenzję lub komentarz w aplikacji, w której słuchasz, lub w social mediach.

Zawsze możesz się ze mną skontaktować pod adresem krzysztof@porozmawiamyoit.pl lub przez media społecznościowe. 

Ja się nazywam Krzysztof Kempiński, a to był odcinek podcastu Porozmawiajmy IT o tym, jak wygląda praca specjalisty do spraw cyberbezpieczeństwa w banku w obliczu nowych trendów branżowych.

Zapraszam do kolejnego odcinka już wkrótce.

Cześć!