Krzysztof:
To jest 307 odcinek podcastu Porozmawiajmy o IT. Dziś rozmawiamy o zagrożeniach i pracy w cyber security. Notatkę, linki i transkrypcję znajdziesz na Porozmawiajmy o IT łamane na 307. A jeśli myślisz o zmianie pracy albo po prostu masz dość klikania dalej na ogłoszeniach bez widełek, to zajrzyj na Solid Jobs. Tam wszystko jest na tacy. Wynagrodzenie, technologie, projekty. Bez zgadywania. Nazywam się Krzysztof Kempiński. Tworzyłem ten podcast. Napisałem też książkę Marka Osobista w branży IT. Jeśli lubisz ten podcast, udostępnij ten odcinek albo zostaw ocenę w swojej apce. To jest dla mnie nieoceniona pomoc. A teraz odpalamy. Cześć, mój dzisiejszy gość wdrażał, doradzał i audytował na temat bezpieczeństwa, informacji, IT, zarządzania ryzykiem i zarządzania jakością w różnych branżach i organizacjach, w tym o zasięgu międzynarodowym. Jest współwłaścicielem i dyrektorem zarządzającym spółek w Polsce i Wielkiej Brytanii, współzałożycielem The Anti-Fragility Institute, byłym prezesem i członkiem zarządu Instytutu Audytorów Wewnętrznych IA Polska. Jest posiadaczem międzynarodowych certyfikatów zawodowych, a prywatnie miłośnikiem gór, biegania, sztuk walki i nowych technologii. Moim waszym gościem jest Sebastian Burgemejster. Cześć Sebastian, bardzo miło mi gościć w podcaście.

Sebastian:
Cześć Krzysztof, witam was wszystkich bardzo serdecznie.

Krzysztof:
Dzisiaj z Sebastianem będziemy rozmawiać na temat cyberbezpieczeństwa, o którym w ciągu ostatnich kilku lat bardzo dużo się mówi, z różnych oczywiście powodów wzrastającego zagrożenia, wpływu tej sfery cyber na nasze życie, rozwoju AI, no i wielu różnych aspektów, o których pewnie dzisiaj będziemy mówić. A taką główną osią tego naszego spotkania jest porozmawianie o tym, jakie są zagrożenia obecnie związane właśnie z tą strefą cyber i jak możemy sobie z tym radzić, a jak również, jak wygląda praca osób, które na co dzień właśnie z tą branżą cyber security są związane. Zanim do tego przejdziemy, to chciałbym cię Sebastian zapytać, czy słuchasz podcastów, jeśli tak, to co ciekawek na twojej podcastowej liście się znajduje.

Sebastian:
Tak, słucham. Ostatnio może trochę mniej, bo głównie słucham jak jeżdżę samochodem albo chodzę z psami na spacer, to jest taki mój główny wtedy odskocznia od takich codziennych zajęć. Różnych generalnie, jeśli chodzi o biznes, to takim moim ulubionym to jest Zaprojektuj swoje życie, ZSZ. Jeśli chodzi o cyber, to mam kilka, że tak powiem, polskich, które są związane jednak z Fundacją Bezpieczna Cyberprzestrzeń, drugi z Niebezpiecznikiem. Jeśli chodzi o zachodnie, to naprawdę kilku. Jeden na pewno to Isaki. Często nieraz też w tematach cyber security wypowiada się, czy w ramach podcastu DARP, czyli tej amerykańskiej agencji nowych technologii, nazwijmy to tak, też te tematy cyber security się pojawiają. Więc jak najbardziej tak, lubię podcasty, nieraz przy braku takiego czasu zastępują mnie po prostu książki.

Krzysztof:
Bardzo słusznie. Dobrze, dziękuję Ci bardzo za te rekomendacje. Spójrzmy może na początku na ten krajobraz cyberzagrożeń, czy też zagrożeń związanych z cyberbezpieczeństwem. Co się najbardziej zmieniło w ciągu ostatnich dwóch, trzech lat, na co najbardziej powinniśmy zwrócić naszą uwagę?

Sebastian:
To tak, powiem trochę o kontekście globalnym, później przejdę do naszego tego kontekstu Polski, czyli bardziej europejskiego, bo wiadomo, że troszeczkę inaczej wygląda ten krajobraz zagrożeń w różnych miejscach na świecie. Na pewno jeśli chodzi o takie podejście globalne ryzyka, to te cyberzagrożenia są na pewno numer jeden, albo przynajmniej w pierwszej trójce tych zagrożeń globalnych. Administracja nowego prezydenta Stanów Zjednoczonych trochę nam dorzuciła niepewności, więc ta część niepewności na pewno też wysuwa się na prowadzenie. Natomiast jeśli chodzi o takie stałe ryzyka, które funkcjonują, to cyberbezpieczeństwo, czyli cyberzagrożenia w pierwszej trójce funkcjonują. I mamy według mnie trzy takie drivery, które powodują, że te cyberzagrożenia stale rosną. Pierwszy driver to jest driver finansowy. Bo nie chcę powiedzieć branża, ale obszar związany z cyberprzestępczością jest obecnie wyceniany na około 12 bilionów dolarów rocznie. Czyli to jest tyle pieniędzy, ile ci cyberprzestępcy kradną czy wyłudzają rocznie.

Sebastian:
I to jest wyliczane na trzecią gospodarkę świata, jeżeli byśmy ustawili to po GDP. To jest trzecia gospodarka świata. Co jest ciekawe, te zagrożenia rosną 15% rok do roku, tak? Czyli to jest stały wzrost. Więc na pewno tutaj ta cyberprzestępczość będzie rosła, no bo po prostu są tam pieniądze, tak? Więc to jest jeden driver, jeden z tych czynników. Drugim czynnikiem to są działania grup związanych z państwami. Im więcej konfliktów, im więcej napięć międzynarodowych, tym wiadomo, służby różnych państw będą działały w różnych obszarach. My to czujemy jako państwo prawie frontowe na co dzień, bo w Unii Europejskiej jesteśmy pierwszym krajem, który jest atakowany przez Federację Rosyjską. Poza Ukrainą, mówię tutaj o Unii Europejskiej, bo na pierwszym miejscu tak w Europie jest Ukraina i to jest ten drugi driver. Oczywiście, znowu ja patrzę przez pryzmat konfliktów, natomiast możemy do tego dodać takie podejście cyberszpiegostwa. No i tutaj w drugą stronę możemy mówić o operacjach rządu chińskiego wycelowanych w kradzież wartości intelektualnej różnych państw zachodnich. To jest drugi motywator. Trzecim motywatorem, jeśli chodzi o cyberzagrożenia, to jest ciągły wzrost znaczenia technologii w naszym codziennym życiu. Więc im więcej technologii, im bardziej będziemy uzależnieni od technologii, to też te cyberzagrożenia będą za tym jakby podążać.

Krzysztof:
Wspomniałeś tutaj astronomiczną kwotę, można powiedzieć wyceny całej tej, w cudzysłowie, branży. No i tak nie ulega wątpliwości, że to będzie zdecydowanie liczba, która będzie rosła w kolejnych latach. Co byś mógł powiedzieć na temat rodzajów czy też typów ataków, zagrożeń wymierzonych w firmy, takie najbardziej podstawowe czy też najczęściej obecnie spotykane zagrożenia dla firm, które mogą faktycznie wpłynąć na ich działalność.

Sebastian:
I znowu trzeba popatrzeć na, tak jak ja patrzę, nazwijmy to na specyfikę działania organizacji, bo co innego będzie jakiś mały e-commerce, będzie się mierzył z innymi zagrożeniami. Oczywiście pewna część zagrożeń będzie w miarę podobna, a co innego np. Organizacja posiadająca infrastrukturę krytyczną państwa, szczególnie np. Frontowego, tak jak jesteśmy my, więc to będą różne zagrożenia, no bo różne grupy mogą targetować różne organizacje. Natomiast jest kilka, nazwijmy, metod ataku albo zagrożeń, które w różnych raportach są pokazywane jako te nazwijmy to topowe. Więc najczęstszym zagrożeniem, takim top-top, jest po prostu ransomware, czyli po prostu szyfrowanie, generalnie wymuszanie okupu. No bo to jest tak, że jak myślimy o ransomware, to myślimy oczywiście o okupie i myślimy najczęściej o szyfrowaniu infrastruktury ofiary. Natomiast coraz częściej, już od kilku lat zresztą, mamy wieloaspektowe działanie cyberprzestępców. Czyli z jednej strony oczywiście szyfrowanie, to jest podstawa, a z drugiej strony równocześnie kradzież, kradzież danych. I jeśli chodzi o później zastraszenie czy ten szantaż, no to z jednej strony mówimy o odszyfrowaniu infrastruktury, a z drugiej strony bardzo często będziemy mówić o szantażu w ujawnieniu, ujawnieniu danych, tak, i potencjalnych ryzyka związanych albo z reputacją, albo z działaniami już regulatorów. No i to jest związane z, jakby wracając do tych bilionów dolarów, to jest związane po prostu z zarobkiem grup przestępczych. Oraz powiązane, bo warto to od razu powiedzieć, oraz powiązane z branżą krypto, czyli kryptoasetów. Bo wiadomo, że i to też nie jest żadna wiedza sekretna, że przestępcy najczęściej, i też pokazywane są raporty, oczekują płatności w kryptoasetach. W około chyba 85, czy prawie 90% mówimy tu o Bitcoinie, później jest Ethereum i inne mniej znane waluty cyfrowe. Więc mamy po prostu pralnie pieniędzy walutami cyfrowymi. I to jest, no, pierwszy element. Kolejny element z takich klasycznych wektorów ataku, no bo ransomware jako sam z siebie nie jest wektorem ataku, tak? jest pewnym mechanizmem, zagrożeniem, który później się ujawnia. Z klasycznych wektorów ataku Najbardziej popularny i to może być coś, co jest ciekawostką, stary, dobry phishing. To jest w okolicach chyba 70, znowu jak dobrze pamiętam, kilku procent wektorów ataku jest phishing. Możemy do tego wiadomo dodać spear phishing, czyli taki targetowany, celowany działanie. No obecnie mega usprawnione dzięki różnym modelom językowym, dzięki tak zwanym AI. Który po prostu i językowo i graficznie jest w stanie zimitować bardzo dobrze mechanizmy czy strony wyglądające jak podszywające się pod strony rzeczywiście do logowania. No a zatem idzie wyłudzenie kredensiali, no i jak powiem dostanie się potencjalnie możliwość dostania się na urządzenie ofiary. Więc to jest pierwszy najczęściej występujący wektor ataku. Drugim wektorem, też związanym trochę z rozwojem, nazwijmy to automatyzacji, czy wykorzystaniem jakichś algorytmów opartych o sztuczną inteligencję, jest automatyczne wykrywanie podatności w urządzeniach, systemach, które są bezpośrednio dostępne z sieci internet, czyli wystawione na potencjalne ataki. I wykorzystywanie tego albo słabej konfiguracji, albo po prostu nie załatanych podatności. Znowu statystyki są dramatyczne, jeśli chodzi, oczywiście mówimy o statystykach globalnych, są dramatyczne, mówiące o tym, że nadal infrastruktura, czy tam systemy są niełatane przez więcej niż sto ileś dni. Możemy mówić, że to jest 120, 140, spada to rok do roku, natomiast cały czas te wartości są dość zatrważające. No i wiadomo, kiedy mamy automat po drugiej stronie, takiego crawlera, który… Znajduje coś i później automatycznie stara się wykorzystać jakąś znaną podatność. No to to jest coś, co znowu dość łatwo, łatwo może. Raczej atakujący mogą łatwo coś takiego wykorzystać. I trzecim elementem, na który bym zwrócił uwagę, bo nie mówimy też o profesjonalnych atakach, nie wiem, zero day’ach czy takich grupach, które naprawdę będą chciały skorzystać czy dostać się do infrastruktury ofiary, Ale z kolejnym takim wektorem ataku, który często występuje, to jest wektor związany z jakimś wyciekiem, czy ujawnieniem kredensiali, czy generalnie danych do logowania. Poprzez, nie wiem, nieuwagę pracowników wycieki z różnych baz danych i później w przypadku niezastosowania drugiego czynnika, czyli 2FA, MFA, no to taki atakujący znowu dostaje gdzieś tam przepustkę czy łatwość dostania się na dane konto. Więc mamy takie trzy główne elementy. Oczywiście bardziej zaawansowane grupy, które chcą naprawdę przejąć jakiś cel, będą korzystały z dużo bardziej zaawansowanych rozwiązań, w tym oczywiście z zero dayów, na które no nie ma tak na dzień dzisiejszy można powiedzieć, że no nie ma bezpośrednich zabezpieczeń. Oczywiście możemy zbudować wielowarstwową obronę i to w jaki sposób ogranicza nam ryzyko. Natomiast no ten konkretny system, urządzenie będzie skompromitowane.

Krzysztof:
Mówiłeś o tym, że rozwój technologii jest jednym z takich driverów, które powoduje, że ten wacharz, też ten krajobraz zagrożeń nam się poszerza i umacnia ciągle. Czy według ciebie to właśnie technologia jest tutaj głównym problemem? Czy ona przyczynia się do tego, że coraz więcej różnych możliwości ataku, różnych zagrożeń się pojawia? Czy też może problem jest, można powiedzieć tutaj, jak zawsze po stronie człowieka i procesów, czyli pewnych rzeczy nieidealnych, których mimo wszystko nie jesteśmy w jakiejś stopniu w stanie naprawić tak jak technologii i może to tutaj właśnie jest to źródło, czy też ta furtka, która umożliwia właśnie wejście jakichś zagrożeń, czy też atakujących podmiotów, które są w stanie później dostać się do firmy, bądź też na jakieś osobiste komputery i pewnych szkód po prostu dokonać.

Sebastian:
Czyli nie winiłbym bezpośrednio technologii. Technologia jest pewnym narzędziem, która też jest pisana, projektowana przez ludzi, więc mamy też dostawców technologii, mamy osoby później, które tę technologię wdrażają i konfigurują w organizacji. Więc te podatności czy słabości, które najczęściej występują, najczęściej one występują gdzieś na styku działania człowieka i technologii, no bo ani sam człowiek, ani sama technologia bezpośrednio przy dobrze zbudowanym systemie nie będzie przyczyną pojawienia się incydentu. Ja wiele lat, prawie 12 lat pracowałem w branży lotniczej i tam też często się mówi o tej wielowarstwowej obronie, która każda z tych warstw, to jest tak zwany model Arizona, tak jak trochę elementy zbudowane z sera, który ma dziury, każda warstwa ma dziury i dopiero kiedy mamy tych warstw odpowiednio dużo, to jesteśmy w stanie ograniczyć, bo nie mówię, że wyeliminować, ograniczyć możliwość wystąpienia incydentu czy materializacji. Czasy. Materializacji ryzyka. Człowiek będzie pewnie do pewnego momentu tym najsłabszym ogniwem, ze względu na wpływ, jaki ma na funkcjonowanie całego środowiska. Natomiast wydaje mi się, że przestrzegałbym na przykład przed, bo jest doświadczenia też jakby na to patrzę, przed tym, żeby na przykład winić zwykłych pracowników, nie wiem, biurowych, takich nazwijmy to liniowych pracowników za złapanie się na, nie wiem, phishing czy innego typu działanie. Znowu statystyka jest bezlitosna, bo nawet najlepsze np. Szkolenia pishingowe, takie top-topowe, ograniczają ryzyko do 98%. Czyli powiedzmy 98% pracowników nie będzie, nie kliknie czy nie da się złapać na jakąś tam pułapkę założoną przez atakujących. No i mamy 2%. Przy 100 osobach to są dwie osoby, przy 1000 osób to jest 20 osób. No i wiadomo, że skala robi różnicę. I mówimy tutaj o topowych. Im słabiej przeprowadzone te szkolenia, to wiadomo, że ten procent będzie… Będzie mniejszy, więc tylko połączenie, skuteczność tego funkcjonowania, tylko połączenie właśnie z jednej strony zwrócenia uwagi na działania człowieka, takiej słabości, które po prostu mamy jako. Elementy białkowe, też z emocjami, ze swoimi gorszymi dniami i technologii, która ma nam pomóc wyeliminować te słabości, czy wyłapać, działania atakujących, część rzeczy po prostu zablokować, nie wiem, na filtrze antyspamowym, na firewallu czy gdziekolwiek indziej. Ewentualnie jeżeli ktoś już coś zrobi, no to mamy właśnie tego, nie wiem, MFA-a, żeby nie dało się wyłudzić kredensiali, mamy jakiś anty-mallware czy jakiś EDR na endpoincie i tak dalej, i tak dalej, tak? Czyli mamy tą wielowarstwowość wdrożoną, no bo tylko wydaje mi się w ten sposób możemy przy dzisiejszym rozwoju technologii działać i znowu im bardziej skomplikowana i rozbudowana infrastruktura wewnętrzna w każdej organizacji, no to tym większy procent uzależnienia się od automatyzacji narzędzi. Nie da się tego, jak powiem, tym interfejsem białkowym, administratorem przysłowiowym, który będzie siedział i gapił się w logi, czy przeglądał raz na jakiś czas logi, wykryć potencjalnych zagrożeń. To już te czasy, myślę, że minęły 10 lat temu. Dzisiaj bez automatyzacji, i bez automatyzacji dobrze skonfigurowanej nie da się w większych organizacjach funkcjonować.

Krzysztof:
To jest dosyć zadziwiające, że takie prostackie można wręcz powiedzieć zagrożenie czy atak w postaci phishingu ciągle jest jednym z najbardziej skutecznych i ciągle właśnie da się złamać systemy używając człowieka, jego słabości, a nie technologii, tak jak to przedstawiłeś. Okej, no to mamy jakiś tam obraz, czy jakiś tam pogląd na temat tego krajobrazu zagrożeń. Spójrzmy teraz na osoby, które muszą się z tymi problemami mierzyć na co dzień, czyli z osobami zajmującymi się cyberbezpieczeństwem, popularnie nazywanymi bezpiecznikami. Jak faktycznie wygląda ich praca i jak bardzo różni się to od często takiego wykreowanego przez Hollywood obrazu osoby i pracy właśnie tej osoby codziennej? Jak bardzo duży jest to rozdźwięk?

Sebastian:
No i to zależy, to zależy, zależy od organizacji, zależy od stanowiska, bo możemy mieć bezpiecznika, który pracuje w, załóżmy w startupie, czy w niewielkiej firmie technologicznej, załóżmy do, nie wiem, 100, 150, 200 osób, który jest takim człowiekiem od wszystkiego, tak, czyli i musi znać się na technologiach, czyli musi, nie wiem, skonfigurować, załóżmy CMA, nieraz przejrzeć logi firewallu, czy wiedzieć, które porty powinny być zablokowane, które usługi, puścić skaner podatności, czyli taka bardziej klasyczna rola w obszarze cyber. Ale również w takiej mniejszej organizacji będzie musiał zajmować się takimi rzeczami, które są bardziej oparte o tak zwaną zgodność czy compliance, czyli tworzyć polityki, tworzyć procedury, badać zgodność z przepisami, regulacjami, wywaganiami klientów, czy jeżeli nie wiem, wdroży jakiś standard czy framework, nie wiem, ISO 27000, SOCA drugiego, czy cokolwiek innego, no to musi zadbać również o tą zgodność, z tymi wymaganiami. Może mogą do tego dojść jakieś wymagania, nie wiem, prywatności. Ochrony danych osobowych, teraz AI i tak dalej, i tak dalej, więc po jednej stronie możemy mieć takiego człowieka od wszystkiego. I te wymagania też będą wtedy takie, które będą na niego nakładały dużo większy zakres obowiązków i dużo większą znajomość w różnych obszarach. A możemy teraz przejść na poziom, nie wiem, korporacji, gdzie działy cyberbezpieczeństwa, nie wiem, mają kilkadziesiąt albo kilkaset osób i mamy tam konkretne specjalizacje, tak? Mamy specjalizacje np. Osób, które funkcjonują w Security Operation Center na różnych liniach, czyli mamy różnych analityków czy operatorów Security Operation Center, gdzie pierwsza linia to jest taka linia najprostsza, analiza zdarzeń, tego co system wyrzuci, sprawdzenie czy to jest false positive, false negative, czy rzeczywiście potencjalny incydent. Druga linia, bardziej zaawansowana, gdzie mamy już specjalistów, którzy mogą głębiej wejść w te systemy i ewentualnie rozwiązywać już konkretne incydenty. No i trzecia linia coś, eksperci od Threat Intela czy analizy powłamaniowej. I to jest tylko SOC. Mamy ludzi, którzy mogą się zajmować klasycznym red teamingiem. Czyli po prostu pentesterów. Po drugiej stronie będziemy mieli ten tak zwany blue team, czyli ci właśnie od wykrywania i zapobiegania możemy mieć ludzi od klasycznego compliance czyli właśnie od zgodności, którzy będą tą częścią polityk, procedur się opiekować zgodnością. Prawną, będziemy mieli menadżerów, tak, którzy znowu będą dbali o rozwój zespołu, więc ten obszar, kompetencji jest dość szeroki, w zależności od tego, gdzie wylądujemy w swojej organizacji. Dodatkowo dałbym znowu nie tylko kontekst wielkości, ale też kontekst organizacji, tak? No bo jeżeli taka organizacja będzie miała tak zwany produkt, tak? Jakiś produkt, który buduje, Często będziemy mieli do czynienia również z ludźmi, którzy będą się zajmowali security produktu, czyli bezpieczeństwem samego produktu, czyli bezpieczeństwem procesu wytwórczego i tego, że dana aplikacja ma ograniczoną ilość podatności. Też będą brali udział w pracy nad tym produktem, współpracowali przy analizie zagrożeń itd. i tak dalej. Tu mamy jeden obszar. Możemy mieć obszar na przykład technologii przemysłowych, gdzie mamy ekspertów, którzy się zajmują bezpieczeństwem technologii przemysłowych, takich klasycznych czy na produkcji. Czy w fabrykach, czy w na przykład lotnictwie, tak? Czyli technologie, które jednak odbiegają od klasycznego IT, mają inne interfejsy, inne protokoły połączeń, aczkolwiek powoli te światy zaczynają się zbliżać, natomiast nadal one są jednak od siebie odległe. Więc znowu, możemy mieć bardzo konkretne specjalizacje i to w ramach tych specjalizacji te działania, czy ta praca bezpiecznika będzie bardzo różna. Aczkolwiek w wypadku wystąpienia incydentu wiadomo, że to już nie jest tak wesoło, no bo wtedy gdzieś tam wszystkie te ręce na pokład, każda ta linia będzie miała do odegrania troszeczkę inne zadania. No bo co innego, taka klasyczne obsłużenie incydentu w systemach, ograniczenie skutków, identyfikację, co się wydarzyło. Kto coś zrobił, czy to jest tylko kompromitacja jednego obszaru, czy atakujący skompromitowali inne obszary naszych systemów i sieci. i to jest jeden obszar. W drugim obszarze kompliansowym będą już pracowali ludzie, którzy będą na przykład musieli… Zdążyć z raportowaniem zgodnie z jakimiś przepisami prawnymi do konkretnych regulatorów, po to, żeby ograniczyć ryzyko już prawne czy ryzyko finansowe. Więc mamy bardzo różne aspekty, natomiast mówię, no nie jest to taka sytuacja przyjemna. Też takie sytuacje, gdzie są zaangażowani wszyscy, często jest wdrożenie jakiegoś nowych wymagań, na przykład prawnych. Teraz mamy NISA drugiego, czyli ustawę o krewnym systemie cyberbezpieczeństwa, która wdraża nam dyrektywę NIS-2. No i wiadomo, że później trzeba będzie spełnić konkretne wymagania. No i wtedy też ci ludzie od Compliance rozbijają to na części pierwsze, budują jakieś tam analizę luki, natomiast później to przechodzimy już przez ten poziom papierowo-procesowy do poziomu technologicznego, jak ograniczyć rzeczywiste ryzyka, czy to cyber, czy ryzyka zgodności. Więc z tego… Tego trochę jest. Nawet w samym na przykład pentestingu, tak jak kiedyś można było powiedzmy rozdzielić pentestingu na infrastrukturę i software czy aplikację, no to teraz dochodzi trzecia nazwijmy to noga AI. Atakowanie konkretnych modeli językowych. Więc mamy kolejną specjalizację, która nam się po prostu urodziła właśnie ze względu na to, że zmieniły się technologie, tak jak swego czasu wchodziła chmura, no to mieliśmy ludzi od bezpieczeństwa chmury, którzy się po prostu na tym znali, w tym się specjalizowali.

Krzysztof:
Czyli widzimy, że mamy mnóstwo ról wewnątrz cyberbezpieczeństwa. Wspomniałeś tutaj o tym, że kiedy faktycznie jest taka potrzeba, kiedy zachodzi sytuacja jakiegoś zagrożenia, to wszystkie ręce na pokład, no i wtedy trzeba działać sprawnie, trzeba działać szybko. Pociągnijmy może ten fragment, bo to jest pewnie dosyć interesujące. Co najbardziej jest stresujące właśnie w tej pracy, a co z drugiej strony daje największą satysfakcję?

Sebastian:
O, to jest ciekawe, to jest na pewno ciekawe pytanie. Na pewno, tak jak mówiłeś, te sytuacje podwyższonego ciśnienia, w wypadku wystąpienia incydentu nie są na pewno przyjemne. To nie są przyjemne sytuacje, bo wtedy najpierw walczymy z tym, żeby ograniczyć straty, je potencjalnie zidentyfikować, czy wyrzucić atakujących z naszych systemów, czy zablokować szkodliwe oprogramowanie, różnie to może wyglądać. Natomiast w wielu wypadkach, poza tym, gdzieś mamy z tyłu głowy, co się będzie potencjalnie działo po, bo to może mieć bardzo różne skutki. Szczególnie dla może niezwykłych pracowników bezpieczeństwa, natomiast już dla tych menadżerów, dyrektorów bezpieczeństwa, to mogą być skutki związane z potencjalnym utratą pracy, bo też, szczególnie w takich głośnych wyciekach, no to pierwsza osoba, która traciła pracę, no to nie był zarząd, ale to był człowiek od bezpieczeństwa, który równie dobrze mógł nie być tak do końca winny, że taki incydent wystąpił. Natomiast powiem jeszcze, co może być frustrujące, a później przejdziemy do tej części pozytywnej, Często frustrujące w takiej pracy bezpiecznika jest to, że bezpiecznik widzi konkretne ryzyka, konkretne zagrożenia i bardzo często wie, w jaki sposób ograniczyć to w ramach organizacji. I często niestety jest tak, że to jest trochę takie wołanie samemu sobie, bo zarząd na przykład ignoruje konkretne sygnały, czy menadżerowie jakiegoś wyższego szczebla ignorują jakieś sygnały mówiące o tym, że coś trzeba zrobić. Ewentualnie trzeba znaleźć jakiś budżet na ograniczenie. Naprawdę, szczególnie w większości wypadków mówimy o tych najbardziej krytycznych rzeczach, a nie o jakichś zabawkach czy świecidełkach. No i to jest super frustrujące. Kiedy przychodzimy do zarządu, mówimy, że to nie działa tamto, warto by było to zrobić i się nic nie dzieje, praktyki na przykład nie zostają zmienione. ewentualnie ileś rzeczy idzie za naszymi plecami, tak? No bo też pewne doświadczenie, że bezpiecznik na przykład dowiaduje się o wdrożeniu jakiegoś systemu, który ma się odbyć za trzy dni, i zielonego pojęcia nie miał, że taki system ma właśnie wejść, żadnych testów nieprzeprowadzonych, no i wiadomo, że termin wydania jest na przykład zafiksowany, tak? I za bardzo z tym nie ma możliwości nic zrobienia. Więc to są na pewno frustrujące sytuacje. Natomiast z drugiej strony, Takie pozytywne rzeczy, czyli to, że na przykład uda się rzeczywiście coś wdrożyć. Uda się przezwyciężyć jakąś trudność, czy na przykład nawet z tym incydentem, że uda się przy bardzo skomplikowanym incydencie wyjść z tego jednak z tarczą, a nie na tarczy, no to są na pewno takie sytuacje mega pozytywne i mega budujące. Natomiast praca bezpieczników, czy w tym bezpieczeństwie, przez to, że teoretycznie incydent może zdarzyć się prawie w każdej chwili, no bo mamy taką, a nie inną sytuację tych zagrożeń, na pewno nie jest komfortowa. No bo gdzieś z tyłu głowy trzeba mieć to, że nawet jeżeli wykonamy naszą robotę w 100% tak poprawnie dołożyliśmy tej należytej staranności, no to nie da się zabezpieczyć wszystkiego i nawet nie da się nieraz mieć pełnej wiedzy o lukach, które posiadamy.

Krzysztof:
O tej branży, o cyber security mówi się również w kontekście rynku pracy. Wiele różnych artykułów, wiele różnych wpisów, które mówią o tym, że faktycznie jest wiele obecnie poszukiwanych osób właśnie do tej branży, że z racji na to, że technologia się rozwija, to coraz więcej będzie potrzebne i jest, co by nie mówić tutaj, duża luka na rynku. Jakie są obecnie takie najbardziej gorące, można powiedzieć, role związane z cyberbezpieczeństwem, które rynek poszukuje i ewentualnie jakie, które w przyszłości mogą się takimi stać?

Sebastian:
No na pewno, po pierwsze tak, luka jest i myślę, że jeszcze luka pozostanie. Na pewno z takich ról, które na pewno będą jeszcze się rozwijały, bo kilka ról, też powiem o pewnych zagrożeniach związanych z tymi rolami, to są wszelkiej maści na pewno architekci bezpieczeństwa, osoby, które zajmują się projektowaniem i architekturą bezpieczeństwa w różnych komponentach. To może być komponent chmurowy, może być komponent OT, może być właśnie ten produktowy. Podobnie pewnie będzie z osobami ekspertami od Threat Intelligence, generalnie pracownikami SOCA, aczkolwiek jest tak, że tak jak mówiłem o tych liniach w Security Operations Center, to najczęściej pierwsza linia, to może jest smutne co powiem, jest obsadzana osobami tak zwanimi juniorami. Tam jest największa rotacja, nieraz nawet dochodząca do kilkudziesięciu procent w skali roku. Więc, no bo też ona nie jest jakoś tak bardzo w dłuższej perspektywie rozwijająca i też nie jest, nie wiadomo jak płatna w stosunku do innych stawek rynkowych, więc tam są juniorzy bardzo często, tam są osoby na tych pozycjach niższego poziomu. Myślę, że też do pewnego momentu te stanowiska menedżerskie czy tak zwanego IT compliance będą się rozwijały, aczkolwiek tutaj daje pewne, znaczy szczególnie w tym IT compliance, wiadomo, że powstaje coraz więcej regulacji, trzeba nad tym zapanować, natomiast z drugiej strony poprzez znowu, na szczęście mamy tego AI, mamy pewną automatyzację, możemy sobie tym pomagać, Więc ta automatyzacja w wielu wypadkach na pewno pomoże, a w związku z tym zmniejszy presję zatrudnieniową w obszarze klasycznego IT compliance. Na pewno, mówię, wiedza technologiczna tutaj na różnych obszarach, czy specjaliści administracji i tak dalej. Znaczy bezpieczeństwa takiego klasycznego, czy sieci, czy zarządzania systemami operacyjnymi na pewno będą mieli wzięcie. Specjaliści od OT, mówię tacy wąskodziedzinowi też, mam wątpliwości, czy w dłuższej perspektywie klasyczni pentesterzy, utrzymają się na rynku, dlatego, że znowu powolutku wchodzą nam platformy automatyzacyjne i znowu tak jak trochę w dewelopmencie, tak, czyli mamy narzędzia budujące nam, czy pomagające budować kod na poziomie, no takiego junior-juniora. To tutaj trochę też tak wydaje mi się, że te narzędzia będą powoli zastępowały kolejne poziomy pentesterów. No i jest pytanie, w pewnym momencie jak one będą dobre. No bo jeżeli będą bardzo dobre, no to znowu presja na ilość pentesterów będzie się zmieszała, no bo będzie jedna osoba, czyli ten senior będzie mógł w jakiś sposób zautomatyzować sobie, czy nadzorować sobie pracę tego typu narzędziami. Więc to jest kolejny element. tam, gdzie widzimy, przynajmniej ja widzę, możliwość zaadresowania czegoś, co będzie automatyzowało pracę, no to potencjalnie waga tych ról czy ilość osób w ramach tych ról nie będzie aż tak krytyczna w ramach organizacji. Więc tu widzę, przynajmniej dla osób, które chciałyby teraz sobie projektować karierę, to tutaj widzę ryzyko, które trzeba brać pod uwagę, gdzie ta automatyzacja potencjalnie może ograniczyć potrzeby rynku. Myślę, że to jest ciekawy temat w ogóle. Myślę, że teraz kolejna rzecz, gdzie na pewno specjalistów przez hype na AI nie będzie brakowało, no to specjalistów od cyber samego AI-a, tak? No ale to jest nowa nisza, też tych osób nie będzie, czy nie jest na rynku za dużo, no i, ale, a potrzeby rynku są i, więc podejrzewam, że w ramach każdej nowej technologii, każdej nowej specjalizacji będzie, będzie potrzeba, potrzeba ludzi na, do, do pracy. po prostu na rynku, tak.

Krzysztof:
Zacząłeś mówić o temacie, który z pewnością rozpala wyobraźnię, czyli zarobki, więc chciałbym Cię zapytać, ile można zarabiać w cyber security. Domyślam się, że odpowiesz mi, że to zależy, więc uprzedzając już tą odpowiedź zapytam, od czego najbardziej zależy.

Sebastian:
Dobrze, z jednej strony możemy powiedzieć, że zależy od miejsca, gdzie się pracuje, raczej od, nie może nie miejsca, od firmy, gdzie jest położona i gdzie ma siedzibę, czy wykonywana jest swoją pracę. Nawet na poziomie Polski. Co innego będzie jakaś firma z mniejszej miejscowości, a co innego będzie firma na przykład z Warszawy. Tak porównując, tak bezpośrednio. Podobnie będzie porównanie, nie wiem, obszaru Europy Środkowej, na przykład płac w Europie Środkowej i płac na przykład w Europie Zachodniej czy w Stanach Zjednoczonych, tak? Będziemy mieli jednak te różnice płacowe. Ale i teraz tutaj przez to, że jest możliwość pracy dzięki COVID-owi zdalnej, jeżeli takie oczywiście firmy dają taką możliwość, to na pewno dla firm właśnie, nie wiem, z za wielkiej wody czy z innych miejsc zlokalizowanych, te zarobki będą zdecydowanie większe niż na przykład w firmach, nie wiem, w Europie Środkowej. Więc to jest pierwszy czynnik różniący, więc jeżeli, ja w ogóle wszystkich zachęcam, jeżeli znacie dobrze język angielski, no to wiadomo, że warto szukać pracy nie tylko tak stacjonarnie w Polsce czy w okolicach. Drugim tym czynnikiem to są te specjalizacje, o których mówiłem. Zupełnie inna pensja będzie na tym stanowisku tego juniora w tej pierwszej linii Security Operation Center i architekta chmurowego. Natomiast tak uśredniając, czy nie wiem, dyrektora bezpieczeństwa w małym startupie i w korporacji. Natomiast na pewno, jeżeli jesteśmy, podzielę to tak trochę na poziomy, kompetencyjne. Jeżeli zaczynamy, czy jesteśmy tym juniorem, to tak czy siak myślę, że w okolicach 10 tysięcy to są już te pensje. Które potencjalnie możemy w większych firmach, znaczy mamy jakieś kompetencje, znamy się na czymś, to możemy sobie w tych obszarach rzeczywiście zażądać. No i do poziomu, od takiego poziomu średniego, czyli dwadzieścia kilka, trzydzieści tysięcy, jako średniej klasy specjaliści do poziomu ekspertów powyżej 40 tysięcy, czy dyrektorów bezpieczeństwa spokojnie powyżej 50 tysięcy. Też oczywiście to zależy od formy zatrudnienia, czy to jest B2B, czy to jest umowa o pracę, więc to też będzie miało wiadomo, że znaczenie. Natomiast znowu, jeżeli na przykład mówimy o poziomach pracy za dzień konsultantów, no to to są już stawki, zależy znowu od kompetencji, ale 2000 plus za pracy za dzień. I to spokojnie w górę. Biedy nie ma. No i trochę jest tak, że przez to, że to cyberbezpieczeństwo nadal jest na topie i tych specjalistów brakuje, no to jeżeli ktoś jest dobry, to naprawdę może jakby narzucać swoje warunki zatrudnienia, swoje warunki finansowe. Po prostu tych ekspertów, tej wysokiej klasy ekspertów, no nie ma na rynku zatrważających ilości, więc nie ma za bardzo też jakby z punktu widzenia pracodawców czym przebierać.

Krzysztof:
Więc pewnie planując swoją karierę warto właśnie uwzględnić tą specjalizację, skoro jest zapotrzebowanie, skoro jest potrzeba. Pozostaje takie pytanie właśnie związane z tym wejściem do branży cybersecurity, czy… Trzeba mieć jakieś doświadczenie właśnie techniczne związane z IT, być może być w jakichś różnych rolach technicznych wcześniej, żeby lepiej zrozumieć cyber security, żeby być lepszym specjalistą, czy też nie jest to zupełnie wymagane i można spokojnie swoją karierę właśnie od tej branży rozpoczynać?

Sebastian:
To powiem tak, na pewno wiedza techniczna zdobyta na innych stanowiskach pomaga, nie przeszkadza. Załóżmy, że mamy tego programistę, który chciałby w jakiś sposób zmienić swoją rolę na architekta bezpieczeństwa produktu. Więc w 100% taka osoba po pierwsze zna się na kodowaniu, wie jak wygląda praca programisty i wie jakie są problemy, takie codzienne problemy w budowaniu kodu, w pipeline’ach itd. Więc taka osoba lepiej będzie rozumiała problemy ludzi, których później będzie próbowała challenge’ować w obszarze klasycznego cyber security. Więc na pewno wiedza techniczna pomaga. Tak samo jeżeli ktoś był administratorem sieci, no to ta wiedza z poziomu sieciowca przyda mu się na przykład w pracy architekta bezpieczeństwa w obszarze szeroko rozumiałego sieci czy architektury bezpieczeństwa budowania całej organizacji. Więc tutaj uważam, że to pomaga, a nie przeszkadza. Oczywiście możemy mówić, że może przeszkadzać nieraz mindset, bo osoba, która pracowała jako, nazwijmy to, na tej pierwszej linii, lubi włożyć swoje ręce, żeby wykonać coś, natomiast bezpieczeństwo w wielu wypadkach jest w tej tak zwanej drugiej linii, czyli za część rzeczy może odpowiadać, ale w wielu wypadkach to bezpieczeństwo daje pewne wytyczne, dobre praktyki, ewentualnie coś weryfikuje, a niekoniecznie samo siedzi i konfiguruje jakieś. Urządzenia, czy pisze kod. Więc jakby to jest ten mindset. Trzeba trochę zmienić mindset. Natomiast tak jak ja. Ja nie jestem osobą, która pracowała stricte technicznie. Ja pracowałem w obszarach takich jak Audit, Compliance czy Ryzyko. Natomiast zawsze się interesowałem technologiami, zawsze się interesowałem bezpieczeństwem. Więc moja droga jest troszeczkę inna i myślę, że część osób z branży gdzieś tam też Adam Hertle, który jest też mega znaną osobą w zakresie cyberbezpieczeństwa też nie kończył informatyki tylko jak dobrze pamiętam jakieś studia z zarządzania więc to też nie jest tak, że ktoś kto nie ma czy wykształceniacz bezpośrednio nie pracował w tym IT takim klasycznym, nie będzie się nadawał do cyberbezpieczeństwa. Druga rzecz. Tak jak mówiłem, cyberbezpieczeństwo, czy bezpieczeństwo informacji jest bardzo szerokie. W związku z tym też mamy w branży bardzo dużo osób z wykształceniem prawnym, które po prostu lądują w tej części komplajansowej, o ile, i to jest ważne, o ile rozumieją A, biznes, B, technologie, tak, no bo to jest jakby kluczowe. W jakbym dobrym spełnieniu się w obszarze cyberbezpieczeństwa, A, rozumienie biznesu, B, rozumienie technologii. Nie chcę się źle wypowiadać o prawnikach, natomiast jeżeli spotykałem gdzieś na swojej drodze osoby bez tego mindsetu biznesowo-technologicznego, no to zatrzymywanie się tylko na takiej zgodności prawnej bardzo często po prostu marnowało czas i organizacji i bezpieczeństwa. To jednak trzeba zejść na ten poziom niżej i dostosowania się do organizacji. Więc jakby te drogi do samego bezpieczeństwa są na pewno różne. Wydaje mi się, że podstawowym mianownikiem, przynajmniej to nie wiem, ja na przykład, mnie praca w tym obszarze interesuje, gdzieś bawi, sprawia mi przyjemność, jest to, żeby być tym zainteresowanym. No bo cyber trochę jak technologie, one cały czas ewoluują, zmieniają się. Tutaj nie można być, nie wiem, zasiedzieć się 20 lat, tak? Tutaj tak naprawdę, nie wiem, rok to już jest dużo, jeśli chodzi o potencjalne zmiany Nawet nie samych technologii, ale na przykład metod ataków, tak? Więc cały czas trzeba troszkę gonić tego króliczka. I jeżeli ktoś lubi trochę tego króliczka gonić, jest tym zainteresowany, to na pewno znajdzie sobie fajną niszę. I też w tej niszy będzie mu bardzo dobrze i na pewno się spełni. To jest, mówię, takie moje podejście, czy filozofia, ale też widzę po kolegach z branży, że te osoby, które są naprawdę tak mocno zajarane tym, co robią, to mają sukces. Na pewno, co jeszcze, mówiliśmy o kwestiach technicznych, tych komplejensowych, ale co na pewno pomaga, wiem, że obecne młodsze pokolenia czy osoby z większych miast mają z tym mniejszy problem, ale zdecydowanie znajomość języka angielskiego. Brak znajomości strasznie ogranicza rozwój w obszarze technologicznym cyber. Tutaj trzeba, nawet nie chodzi o to, żeby się komunikować, ale żeby rozumieć język, solidnie rozumieć język czytany. Chyba, że pracujemy w środowisku międzynarodowym, to wiadomo, że ta komunikacja jest ważna, ale bez tego języka to tych rzeczy nowych wytycznych, nowej wiedzy, nie wiem, podcasty, jakieś rzeczy na YouTubie, czy gdziekolwiek indziej, no to wiadomo, że najpierw pojawiają się w języku angielskim. Wiem, że można teraz używać tłumaczy i tak dalej, natomiast co innego przeczytać jednak coś w oryginale, a co innego to przepuścić przez nawet świetnej klasy LLM-a.

Krzysztof:
Zgadzam się w stu procentach. A jakie najczęstsze ścieżki wejścia właśnie do tej branży ty spotykasz wśród osób z twojego otoczenia? Czy to jest klasyczne podejście w postaci studiów, może samokształcenie, może przejście z ról pośrednich typu deweloper, administrator, helpdesk, tak?

Sebastian:
Znaczy na pewno najwięcej, ale to też wynika z ewolucji branży, to są ludzie z klasycznego IT, tak? Którzy po prostu przeszli z jednego miejsca na drugie. Tak jak podawałem ten przykład prawników, podobnie, tak? Czyli to są jakieś, zmiany zainteresowań albo zmiany zawodowe związane ze zmianą, nie chcę powiedzieć branży, ale stanowiska, tak? Więc tutaj tych ludzi z klasycznego IT jest najwięcej. Wiadomo, że tych, którzy pracują blisko przy software’ze, to będą deweloperzy, ci, którzy będą bardziej od tej części infrastrukturalnej, no to będą osoby, które bardziej pracowały w takim klasycznym, takiej klasycznej administracji IT. Więc to jest to. Natomiast jeśli chodzi o osoby spoza branży, to najczęściej tak jak widziałem. W ramach tego przekształcania to trafiają na studia jakieś podyplomowe. Zresztą podobnie jak ja. Gdzieś w tej drodze przeszedłem przez studia podyplomowe. No i cały czas próbowałem się rozwijać. Też znowu trochę się zmieniło. No bo 20 lat temu, czy nawet może 10 lat temu to już powstawały pierwsze kierunki na studiach cyberbezpieczeństwa, ale takie klasyczne, inżyniersko-magisterskie. Teraz każda szanująca się uczelnia ma kierunek cyberbezpieczeństwo i tam rzeczywiście, tak jak znam jakby sylabusy tych studiów, no to mówimy o kształceniu konkretnych ludzi od cyberbezpieczeństwa, którzy będą zajmowali się klasycznym cyberbezpieczeństwem. Oczywiście niektórzy bardziej infrastruktura, inni trochę bardziej software’owo, ale będziemy mieli, myślę, pierwszy raz, powiedzmy te ostatnie 10 lat spowoduje to, że będziemy mieli pierwszy raz taką klasyczną kadrę cyberbezpieczeństwa wykształconą, co na przykład, nie wiem, w Stanach Zjednoczonych czy w Izraelu było już wiele lat temu realizowane, nawet jako takie kierunki rozszerzające, czy przedmioty rozszerzające, klasyczne kierunki technologiczne.

Krzysztof:
To spójrzmy może na kompetencje, oczywiście zarówno techniczne, jak i miękkie, które według Ciebie są absolutnym fundamentem, absolutnym takim minimum, które musi posiadać osoba myśląca właśnie o karierze w cyber security.

Sebastian:
No i też jest pytanie, jaki to będzie rola, ale tak, znowu, podam globalnie, tak, wiadomo, że fajnie by było, żeby każdy się znał na wszystkim, ale pewne, no, choć minimalne kompetencje, takie globalne powinny być, według mnie, ujednolicone. Pierwsza rzecz to jest rozumienie technologii. I teraz tak, w zależności od tego stanowiska, co innego będzie, nie wiem, ten człowiek, architekt od sieci, no to wiadomo, że on będzie musiał tą sieć znać kompletnie na wyrywki. Czy, nie wiem, architekt bezpieczeństwa produktu, no to wiadomo, że bezpieczeństwo softu będzie musiał bardzo dobrze znać. Natomiast na takim ogólnym poziomie, no to i rozumienie sieci, rozumienie protokołów, usług. Rozumienie tworzenia, znowu przechodząc z sieci na na przykład tworzenie kodu, to rozumienie, jak wygląda proces tworzenia kodu, jak wygląda proces komitowania, jak wyglądają pipeliny, gdzie mamy te gejty, potencjalnie poustawiamy. Jeśli chodzi o systemy operacyjne, to też rozumienie, jak wygląda funkcjonowanie systemów operacyjnych, środowisk wirtualnych. Takie podstawy, ja bym to nazwał podstawy IT, podstawy technologii, które powinny być cross-funkcjonalne. Czyli jednak pewne podstawy ci ludzie na różnych nawet stanowiskach cyberbezpieczeństwa powinni posiadać. To jest jedna warstwa. To jest podstawa technologiczna. Druga warstwa to jest, ja to nazywam rozumienie biznesu. No bo co innego, możemy być naprawdę super klasy ekspertem technologicznym, jeżeli nie będziemy tej wiedzy umieli a dobrze sprzedać, b przełożyć na to jak jest skonstruowana firma, gdzie biznes chce kreować wartość. No to znowu ta wiedza techniczna oczywiście się przyda, ale te zabezpieczenia będą niedoskalowane. Najczęściej będą występowały konflikty między security a biznesem. Więc dla mnie to drugi element to jest bardzo dobre zrozumienie biznesu. Jakie biznes ma oczekiwania? Oczywiście też mówimy o pewnym poziomie ryzyka, który w pewnym momencie przestaje być akceptowalny też na poziomie bezpieczeństwa. Ale rozumienie biznesu, gdzie biznes chce iść, gdzie są największe ryzyka dla biznesu, To jest drugi ten poziom dla mnie krytyczny. I trzeci poziom jest, w zależności od stanowiska, które będziemy zajmować, jest albo mniej ważny, albo powiedzmy, no bardziej trzeba na niego położyć wagę. No to są te, nazwijmy to kompetencje, miękkie czy interpersonalne, no bo jakoś musimy się komunikować z naszymi kolegami. Czy z tego samego działu, czy z innych działów, tak, jak wychodzimy poza tą security, to najczęściej będziemy chodzić albo do IT, albo do bezpieczeństwa. I będziemy próbować w jakiś sposób przekonywać do naszych racji, no bo na końcu to biznes podejmuje gdzieś tam tę decyzję o akceptacji czy poziomie ryzyka. Będziemy musieli w jakiś sposób, no po pierwsze mówić się językiem zrozumiałym, a po drugie umieć przekonać ludzi do naszych racji i być też jakimś takim sensowną osobą w ogóle do współpracy. Tak więc te umiejętności, czyli ta pewno miękkie są tutaj ważne. Chyba, że mówimy o osobie, która rzeczywiście siedzi przy konsoli, to jest jej główna praca, no to wiadomo, że najważniejsze, żeby też w jakiś sposób nie psuła pracy zespołu, tak? Ale to będzie gdzieś tam mniej potrzebne. No i tak jak mówiłem, ten taki techniczny rozumienie języka, języka angielskiego jest, wydaje mi się, w dzisiejszych czasach no minimum, tak? Żeby, żeby pracować w technologiach, bo bez tego naprawdę widzę bardzo dużą trudność z komunikacją, po prostu z czytaniem nowych wytycznych. Więc ja bym to w ten sposób podzielił. Mówiłem trochę o tej ciekawości, no bo tutaj stałe uczenie jest też tą kompetencją czy tą umiejętnością, która ja zatrudniałbym zwracał uwagę, no bo bez tego tutaj ten brak rozwoju tej osoby w jakiś sposób będzie ograniczał potencjał zespołu i też będzie ograniczał, tak naprawdę zwiększał ryzyko. No bo jeżeli nie śledzimy i chcemy zastosować rozwiązania, które nie są adekwatne, bo były skuteczne pięć lat temu, a nie dzisiaj, no to wiadomo, że to będzie już generowało konkretne ryzyka dla organizacji.

Krzysztof:
No i tu podałaś taką dobrą wskazówkę, jeśli chodzi właśnie o udział w rekrutacjach, także nie tylko te kompetencje techniczne są oceniane przez firmy, czy też przez rekruterów, ale cały ten stos właśnie, który przed chwilą wymieniłeś, znajomość biznesu, jak i również te kompetencje miękkie, interpersonalne, to wszystko ma znaczenie w codziennej pracy. A jak już idziemy tym tropem, to chciałbym Cię też zapytać o certyfikaty, które różnie w różnych obszarach IT funkcjonują, ich znaczenie jest mniejsze lub większe. Jaką rolę odgrywają certyfikaty właśnie w cybersecurity? Czy warto je robić? A jeśli tak, to ewentualnie które?

Sebastian:
Znowu, to mamy bardzo duży temat, bo znowu certyfikaty, ja bym je podzielił na certyfikaty ogólne, jeśli chodzi o bezpieczeństwo i certyfikaty bardziej specjalistyczne. Czy są niezbędne? Nie, nie są. To od razu odpowiem pierwszą taką prostą odpowiedzią. Czy są niezbędne? Nie, nie są. Czy pomagają w zatrudnieniu? Tak, pomagają i to nawet bardzo. Aczkolwiek jeżeli mamy osobę, która ma pięć certyfikatów, ale nie ma kompetencji, to wiadomo, że za bardzo jej nie pomogą na rozmowie rekrutacyjnej. Ewentualnie szybko pracodawca po okresie próbnym podziękuje takiej osobie. Więc jakby certyfikat musi iść za tą częścią mocnych kompetencji. I teraz tak, jeżeli mówimy o ogólnych certyfikatach, takich przekrojowych przez różne obszary, no to takim najbardziej rozpoznawalnym certyfikatem w zakresie bezpieczeństwa jest CISP. To jest taki certyfikat dla specjalistów do spraw cyberbezpieczeństwa, gdzie mamy zarówno część techniczną, jak i część tą proceduralną, ale jednak ta część techniczna jest tutaj trochę bardziej rozbudowana. Więc mamy ten pierwszy certyfikat. Jeżeli mówimy o trochę wyższym poziomie, czyli takich menadżerów bezpieczeństwa, ludzi od ryzyka technologicznego, to są już certyfikaty ISAC-owe. Też gdzieś tam podzielone na pewne, jak bym to nazwał, grupy. Jedno związane na przykład z ryzykiem, to jest Sirisk. Drugi związane na przykład z zarządzaniem obszarem bezpieczeństwa, to jest CISM. Czy z audytem IT, czy tam audytem cyber, to jest CISA. Tak, więc mamy ten przekrojowy obszar. Mamy certyfikaty, też ogólne bezpieczeństwa chmurowego. I tutaj mamy audytora, to jest chyba CECAK, ISAC i Cloud Security Alliance i mamy jeszcze jeden certyfikat, chyba Cloud Security Body of Knowledge, nie pamiętam dokładnie skrótu, ale też Cloud Security Alliance i to są te takie ogólne certyfikaty, tak? Czyli tam ten poziom wiedzy technologicznej jest, nie chcę powiedzieć bardzo ograniczony, ale jest w jakiś sposób ograniczony I później mamy tą część specjalistyczną czy opartą, związaną z konkretnymi działaniami. Bo możemy mieć specjalistów od systemów technologii przemysłowej i to mamy wtedy… Certyfikacje AX62333 chyba, gdzie mamy różnych specjalistów do spraw bezpieczeństwa OT. Mamy certyfikaty też związane z bezpieczeństwem przemysłowym. Mamy bezpieczeństwo tworzenia oprogramowania. Mamy bezpieczeństwo cloudowe już takie, na przykład związane z poszczególnymi vendorami. Mamy certyfikaty, które dotyczą pentesterów, czyli mamy klasyczne certyfikaty, nie wiem, cech czy ofensywny haker, więc znowu branża jest dość mocno tutaj poszatkowana. Powoli wchodzą certyfikaty związane z bezpieczeństwem czy audytem AI-a. Ale też na razie ten poziom, no jest pewien, dochodzimy do pewnego poziomu technologicznego i nie schodzimy głębiej, więc tam jest dużo takich rzeczy governance’owo-compliance’owych i związanych z ryzykiem, a te rzeczy bezpośrednio technologiczne zatrzymują się na takich podstawach, rozumienia technologii, tak bym to nazwał. I mamy jeszcze, jeżeli ktoś by chciał iść w kierunku klasycznego compliance, to też są certyfikacje związane z szeroko rozumianym, tak zwanym privacy, czyli tą ochroną danych osobowych. I tutaj mamy certyfikacje takiej organizacji jak IIP, gdzie znowu mamy różne certyfikaty w zależności od reżimu prawnego. Czyli możemy mieć Europę, Stany Zjednoczone, Kanadę, obszar na przykład Chin i tak dalej. Więc mamy różne w zależności od specjalizacji. I też, co mówią badania, aczkolwiek wiadomo, że te badania… Tak do końca trzeba też patrzeć przez jakby pryzmat rzeczywistości. Teoretycznie osoby z certyfikatami zarabiają więcej niż osoby bez certyfikatów. Natomiast ja bym patrzył na te badania w ten sposób, że jeżeli ktoś, w większości wypadków jednak pracodawcy płacą za certyfikaty, czyli jeżeli ktoś już jest na konkretnym poziomie eksperta. Dodatkowo pracodawca mu płaci za certyfikat i on znowu wchodzi na jakiś tam wyższy poziom i znowu z średniego poziomu awansuje na seniora, to wiadomo, że będzie więcej zarabiał. Więc tak, znowu dane mówią, że osoby z certyfikatami zarabiają więcej. Jest pytanie, czy to przez to, że mają certyfikat, czy przez to, że akurat już są na jakiejś ścieżce rozwoju i zrobiły certyfikat i w ramach tego rozwoju zarabiają więcej, bo są na wyższym stanowisku.

Krzysztof:
Tak czy siak warto, może się to przydać, nie jest to niezbędne, tak jak zaznaczyłeś, ale może faktycznie nam posłużyć. Na rozmowach kwalifikacyjnych często pada takie pytanie, jak pan, pani widzi siebie za 5-10 lat. Ja tutaj na koniec naszej rozmowy zapytam Cię, jak Ty widzisz tą branżę za 5-10 lat i komu dziś najbardziej opłaca się w nią inwestować?

Sebastian:
O Boże, to powiem tak, myślę, że w technologii pytanie, co będzie za 5-10 lat, to jest szczególnie dzisiaj. Możemy się cofnąć te ile? 6 lat, tak? 6 lat przed COVID-em mówiło się o machine learningu, czy tam analityce danych, ale nie mieliśmy takiego boomu na narzędzia AI-owe, tak? Jesteśmy 6 lat i wtedy nikt nie był w stanie tego przewidzieć, tego boomu. Więc patrzenie za 10 lat w branży, która tak się szybko zmienia i może coś wyskoczyć z kapelusza, jest myślę bardzo trudne. Ja jedną rzecz na pewno powiem, że na pewno nie uciekniemy od automatyzacji. To jest… i nawet nie chodzi o same te narzędzia AI-owe, aczkolwiek one będą na pewno coraz lepsze. Natomiast to jest coś, co na pewno widzimy, coraz większą automatyzację w różnych obszarach. Nawet możemy popatrzeć na rozwój motoryzacji. Tak jak kiedyś, 20 lat temu, każdy mógł sobie rozebrać samochód i spróbować go naprawić, to teraz przy nowoczesnych samochodach z pełną ilości elektroniki, bez wizyty w salonie, to już jest dużo trudniej. Chyba, że osoba pracowała, ekspert i po prostu założyła własny obszar, więc na pewno automatyzacja. No i to zwiększy też presję na cyberbezpieczeństwo, więc ja myślę, że ta branża nadal będzie się rozwijać, no bo tak jak mówiłem, to jest bezpośrednio powiązane z rozwojem technologii. Chyba, że będzie mieli krach jakiś gigantyczny, technologiczny, no to może i się wtedy cofniemy jako nie tylko branża, ale jako społeczeństwa tam ileś dziesiąt lat wstecz. Natomiast jeżeli to będzie na tej trajektorii. Wznoszącej się, to automatyzacja jestem święcie przekonany, że wyprze, tak jak mówiłem, wiele zawodów albo ograniczy zatrudnienie w wielu zawodach. Ja też, może to nie jest taki klasyczny cyber, ale to pewnie ty, Krzysiek, bardziej siedzisz. Ja rozmawiam z kolegami, którzy są programistami i zaczynają mi mówić, że oni coraz mniej programują.

Krzysztof:
To prawda.

Sebastian:
Że oni teraz nadzorują narzędzia, którymi wytwarzają KOTI i sprawdzają, czy tam nie ma jakichś wzór, ewentualnie dopisują rzeczy, których tam brak. Więc to może być, nie wiem, stety czy niestety, przyszłość, przyszłość rozwoju też cyberbezpieczeństwa, no bo ile rzeczy będzie można automatyzować. Co do reszty, nie mam zielonego pojęcia. Poza tym, że na pewno, no nie wiem, nawet z punktu widzenia, tak jak myślimy o tych smart, rozwiązaniach smart, tak? I rozwiązania smart, poza tym, że potrzebują komunikacji, nie wiem, 5G czy tam 6G, czyli wysokiej sprawności sieci, to mamy też tą komunikację między sobą, tak? Czyli mamy urządzenia tak zwane IoT. Natomiast pod spodem, co jest pod spodem? Najważniejsze dla ludzi, co jest pod spodem. Góra jest ważna, ale pod spodem mamy w wielu wypadkach cloud, wirtualizacja, infrastruktura, sieć. Czyli klasyka pozostaje gdzieś tam ta sama. Górne warstwy będą zmienione. No i znowu, jeżeli atakujący, tak możemy sobie wyobrazić, będzie mieli inteligentne miasta, będzie chciał sparaliżować miasto, to będzie próbował zaatakować taki system. No i znowu bez odpowiedniego cyberbezpieczeństwa tego, no to będą potencjalnie, będziemy mieli wielkie katastrofy. Więc zobaczymy. Na pewno będzie ciekawie. Znaczy zachęcam wszystkich, jeżeli ktoś chciałby pracować, to jest na pewno branża, w której się nie będzie nudził. Nie wiem, czy to dobrze. Podobno w Chinach to przekleństwo, żeby żyć w ciekawych czasach, ale kto lubi się rozwijać, kto lubi trochę adrenaliny, no to na pewno w cyber nie będzie mu źle.

Krzysztof:
Chyba w szeroko rozumianym IT jesteśmy właśnie na tą zmianę skazani. Myślę sobie, że niezależnie od tego, czy ktoś tutaj ze słuchaczy chce pracować w cyber security, czy też nie, warto tą branżę obserwować, ponieważ poniekąd dotyka ona każdego z nas, więc przynajmniej jakaś tam świadomość tych rzeczy, które się w tej branży dzieją jest myślę istotna. Moim waszym gościem dzisiaj był Sebastian Burgemejster. Rozmawialiśmy szeroko o branży cyber security, o tym jakie wygląda, jakie spektrum zagrożeń obecnie grozi nam właśnie ze strony atakujących, jak również jak wygląda praca osoby od cyberbezpieczeństwa na co dzień. Sebastian, bardzo ci dziękuję za spotkanie i za tą rozmowę.

Sebastian:
Dzięki bardzo Krzyśku i dziękuję państwu za słuchanie.

Krzysztof:
Powiedz proszę jeszcze na końcu, gdzie cię możemy znaleźć w internecie?

Sebastian:
Myślę, że najłatwiej znaleźć mnie na LinkedInie. Staram się co jakiś czas opublikować różne fajne rzeczy z obszaru cyberbezpieczeństwa. No i to jest główny obszar, gdzie tak naprawdę można mnie znaleźć, plus oczywiście jakieś tam konferencje, gdzie zwykle jestem prelegentem.

Krzysztof:
Oto link do Twojego profilu na LinkedInie będzie w notatce do tego odcinka. Jeszcze raz dzięki za to spotkanie. Do usłyszenia i cześć.

Sebastian:
Dzięki i cześć.

Krzysztof:
To już wszystko na dzisiaj. Jeśli chcesz więcej takich rozmów, Archiwum czeka. Tam też dzieją się ciekawe rzeczy. Masz pytania? Przemyślenia? Możesz się ze mną skontaktować na social mediach lub mailowo na krzysztof@porozmawiajmoit.pl. Nazywam się Krzysztof Kempiński, a to był odcinek Porozmawiajmy o IT o zagrożeniach i pracy w cyber security. Dzięki za wspólnie spędzony czas. Do usłyszenia w kolejnym odcinku.