Bezpieczny Kod

Opublikowano 

 przez 

Bezpieczny Kod

 w ,

Cyberbezpieczeństwo w dobie AI – Doktor Prawa o sztucznej inteligencji

W najnowszym odcinku podcastu zagłębiamy się w przyszłość cyberbezpieczeństwa w dobie AI, analizując jego największe wyzwania na najbliższe pięć lat. Dr Piotr Siemieniak, doktor prawa, a jednocześnie ekspert z dziedziny technologii, wskazuje na kluczowe problemy, takie jak security i compliance w systemach sztucznej inteligencji (AI), gdzie obawa przed wyciekiem danych staje się realnym zagrożeniem.

W podsumowaniu, najważniejsze punkty poruszone w rozmowie to:

  • Wyzwania związane ze sztuczną inteligencją w cyberbezpieczeństwie: Konieczność zapewnienia bezpieczeństwa i zgodności w systemach AI, aby zapobiec niekontrolowanemu generowaniu i wyciekom danych. Wzrost nadużywania AI może prowadzić do spadku jakości oprogramowania i poważnych incydentów.
  • Zmiany geopolityczne a infrastruktura IT: Rosnące zaufanie do własnych centrów danych i odchodzenie od chmury z powodu decyzji politycznych, co stwarza nowe możliwości rozwoju i inwestycji w obszarze cyberbezpieczeństwa infrastruktury tradycyjnej i hybrydowej.
  • Zarządzanie podatnościami i rozwój kompetencji: Trudności w pogodzeniu zarządzania podatnościami z wymaganiami biznesowymi i dostępnością zespołów. Podkreślono znaczenie ciągłego rozwoju kompetencji technicznych (programowanie, automatyzacja) oraz miękkich (zrozumienie biznesu) dla osób wchodzących w branżę cyberbezpieczeństwa.

Odcinek dostępny na YouTube, Spotify, Apple Podcasts i innych platformach.

Transkrypcja

Andrzej: Kolejne pytanie do naszego gościa z zeszłego roku, również z WDI. Piotrze, opener, startowe pytanie. Challenge w security na najbliższe lata, ale tutaj za najbliższe lata przyjmijmy 5 lat. I największe challenge. Trzy.

Piotr: Ok. Myślę, że pierwszym z takich dużych problemów będzie kwestia security i compliance w odniesieniu do systemów sztucznej inteligencji. Chodzi o to, żeby odpowiednio stosować różne procesy i procedury, aby jednocześnie systemy sztucznej inteligencji nie wypuszczały danych na świat, nie… generowały danych maksymalnie fikcyjnych, czego nie chcemy. I to będzie jeden z większych problemów w obszarze sztucznej inteligencji. Security wraz ze sztuczną inteligencją. Kolejne to są, myślę, że połączone takie ogniwa dotyczące ataków nie tylko na biznes, ale także na jednostki, na każdego z nas. Więc tutaj coraz częściej będzie dochodziło do bardzo wyrafinowanych ataków, które mają na celu po prostu przejęcie środków, kont, danych określonych osób i to będzie coraz bardziej skuteczne. Niestety, ale mamy… coraz mniej w mojej ocenie możliwości ochrony przed takimi rozwiązaniami z uwagi właśnie na dokładność, precyzję tych rozwiązań. I to jest właśnie drugi taki bardzo ważny problem. Trzeci taki problem w obszarze cyber to jest to, co się dzieje w obszarze takim geopolitycznym. Można dzisiaj zauważyć, że traci się powoli zaufanie np. do dostawców chmur internetowych ze względu na różne decyzje polityczne, które są podejmowane, przez co coraz więcej podmiotów może zechcieć odchodzić od tego, co wiąże się z kolejną masą problemów i trudności związanych chociażby z utrzymaniem własnej infrastruktury, z zarządzaniem nowymi dostawcami. Korzystaniem z nowych technologii w ramach tych innych infrastruktur, które będą na terenie na przykład Unii Europejskiej.

Andrzej: To tutaj od razu pytanie, które mi się nasuwa, połączę je z twoją trzecią odpowiedzią, bo jest to problem, nazwijmy to taki ogólny, powiedzmy na przykład państwa, czy zestawu państw jak Unia Europejska, ale dla nas, ludzi pracujących w techu, czy konkretnie w cyberbezpieczeństwie, no to wygląda trochę bardziej jak okazja niż problem, no bo jeśli będą się wycofywać z chmury i będą musieli robić swoje centra danych, etc., to ktoś musi to obsługiwać, ktoś musi to zabezpieczać. To technicznie jest to problem, ale dla nas jest to rozwiązanie, albo inaczej, my jesteśmy rozwiązaniem. Tutaj zgoda, niezgoda, rozwinięcie?

Piotr: Myślę, że w dużym stopniu mogę się zgodzić, pod warunkiem, że w zespołach cyberbezpieczeństwa w danych organizacjach będzie odpowiedni katalog kompetencji. Bo to jest tutaj zasadnicze, bo jednak przejście z chmury na bardziej tradycyjne centra danych wymaga znowu trochę innych kompetencji, nie dokładnie takich samych. Jednak są pewne różnice, właśnie są różnice w technologiach, które mogą być wybrane właśnie do obsługi tych innych centrów danych, ale to jest również duża szansa dla rozwoju osób, które wchodzą w obszar cyberbezpieczeństwa lub w nim są, że mogą wybrać kolejną ścieżkę kariery, żeby rozbudować swoje umiejętności w obszarze na przykład infrastruktury takiej bardziej tradycyjnej lub hybrydowej chociażby, co jest również wartością samą w sobie. Więc dla obszaru cyber na pewno to jest jakaś szansa rozwoju, na pewno będą realizowane inwestycje. Natomiast dla obszaru chmurowego, czy dla tych osób, które pozostaną jakby w jednym miejscu, będzie nieco ciężej.

Andrzej: Od razu kolejne pytanie, które mi się tutaj urodziło. Piotrze, ja wiem, że poza tym jednym faktem, że jesteś doktorem prawa, zajmujesz się technologią, to świadczysz usługi konsultingowe. Czyli dostarczasz pewne usługi dla rynku, dla klientów. I teraz, my mieliśmy niedawno z Krzyśkiem taką rozmowę odnośnie usług, odnośnie outsourcowania pewnych capabilities, pewnych umiejętności przez organizacje na zewnątrz i czy, tak jak przed tym powiedziałeś, że organizacje będą musiały pewne kompetencje budować, pewne capabilities budować, zdobywać, to jak widzisz tutaj pole albo rozkład w najbliższych latach pomiędzy tym, co zrobimy u siebie, a tym, co wyrzucimy na zewnątrz?

Piotr: To jest akurat bardzo ciekawe pytanie, fajne zagadnienie.

Andrzej: Dziękuję.

Piotr: Na co chciałem zwrócić uwagę, może tak na bazie współpracy z różnymi klientami, więc tak historycznie wiele sytuacji miało miejsce takich, że dany klient nie miał właśnie zasobów związanych z cyberbezpieczeństwem i dochodziło do sytuacji, że do realizacji projektów IT zatrudniano też zewnętrzne zespoły programistyczne. I do czego dochodziło? Dochodziło do takich sytuacji, że klient inwestował dość konkretne środki w nowe systemy, w nowe rozwiązania. Następnie miał bardzo dobrze opracowane co chce, co wymaga, ale w tych wymaganiach nie było na przykład konkretnych wymagań w zakresie cyberbezpieczeństwa. Do czego jeszcze dochodziło? Dochodziło właśnie do procesu wdrożeniowego i następnie na etapie audytu z obszaru cyberbezpieczeństwa i ochrony danych, często to łączy się jedno z drugim, miały miejsce sytuacje, gdzie system informatyczny, który powstał, był wynikiem tej współpracy, nie spełniał, można powiedzieć, żadnych standardów cyberbezpieczeństwa, a zabezpieczenia często… kończyły się na frontendzie, więc musicie mieć świadomość, że brakuje cały czas tych umiejętności i świadomości, pomimo tego, że zespoły programistyczne wydają się, że mają kompetencje, ale jednak w trakcie audytów i różnych analiz wychodzi, że sporo jeszcze brakuje.

Krzysiek: To Twoją predykcją, Piotr, byłoby budowanie tych kompetencji in-house’owo czy outsourcowanie ich i pokrywanie ryzyka na zewnątrz?

Piotr: To zależy właśnie od skali działalności. Nie każda działalność jest w stanie stworzyć wewnętrzny zespół. Nie zawsze każda działalność ma możliwości i kompetencje, żeby potrafić pokierować takim zespołem, czy nawet wskazać, jakie są oczekiwania. To jest bardzo trudne. Natomiast zewnętrzne podmioty mają kompetencje w określonych obszarach, na których mogą się skupić i mogą w odpowiedni sposób albo doradzić, albo stworzyć taki zespół in-house’owy dla tej firmy, co też jest jak najbardziej ciekawym podejściem. I wtedy dochodzi już do takiej sytuacji, gdzie problem możemy rozwiązać.

Andrzej: To jeszcze jedno pytanie, zahaczę tutaj, zrobię taki mały haczyk, a potem przejdę do kolejnego. Bo wspomniałeś o pomocy w budowaniu wewnętrznego zespołu, czy z klientami, z którymi miałeś przyjemność współpracować na rynku polskim, albo nawet europejskim. Spotkałeś się z tego typu działalnością, bo ja wiem, że takie coś, przynajmniej w Stanach, jak najbardziej funkcjonuje. Są firmy, które pomagają budować na przykład wewnętrzny zespół bezpieczeństwa, ale sama firma jest zewnętrzna. Czy widziałeś coś takiego na naszym rynku? Wiadomo, bez podawania nazw, etc., tylko czy w ogóle miałeś przyjemność zobaczyć takie przypadki?

Piotr: Ja na polskim rynku nie miałem takich przypadków. Miałem przypadki bardziej związane z doradztwem, gdzie to proszono mnie o doradztwo, analizę, wsparcie i wsparcie przy podejmowaniu decyzji, które jest związane z określeniem ryzyka dla danego projektu. To tak. Później taki zespół bardziej decydował się, ok, weźmiemy zewnętrzną firmę albo ty doradzisz nam, która z tych firm będzie ok, żeby nam pomóc przy tym projekcie IT na bazie już określonych kryteriów, czyli wspólnie zbudujemy kryteria i następnie pomożesz nam wybrać względem tych kryteriów jakąś firmę, która będzie dalej ten projekt realizować. Natomiast na zagranicznych rynkach… miałem już takie sytuacje, gdzie dochodziło do tego, że kompetencje w ramach organizacji były. Nie mówię, że one były zawsze topowe albo złe. Były ok, ale były wybierane firmy zewnętrzne, które realizowały określone zadania w zakresie cyberbezpieczeństwa. One przygotowywały organizację pod tym kątem w jakimś tam wycinku, który był trudnością dla organizacji i następnie przygotowywała daną wewnętrzną firmę, żeby właśnie już kontynuować pracę i rozwijać długofalowo. Bo czasami chodzi o kwestie… dostępności czasowej też. I tutaj trzeba zarządzać czasem. Kiedy musimy coś wyoutsourcować, a kiedy musimy zrobić coś samodzielnie, a kiedy musimy kupić produkt, który nam to rozwiąże. Przykładowo produktowo bardzo często mi się to zdarza, że się dokładnie analizuje koszt produktu kontra realizację na open source, kontra realizację jeszcze w innych wariantach. I wtedy jest właśnie taki return of investment z danej inwestycji produktowej czy właśnie procesowej. I to jest właśnie taka ścieżka. I myślę, że u nas to będzie szło w tym kierunku z uwagi na rosnącą złożoność oprogramowania, niepewność taką geopolityczną. Plus jeszcze to, że dochodzi masa… kwestii związanych ze sztuczną inteligencją i nawet spadkiem jakości oprogramowania ze względu na nadużywanie sztucznej inteligencji w wielu sytuacjach. I to będzie wpływać na to, że do pewnego momentu będzie dobrze, dopóki nie dojdzie do incydentu większych problemów technicznych z aplikacją. A wtedy już takie osoby od cyberbezpieczeństwa czy seniorzy w zakresie inżynierii oprogramowania będą niezbędni, żeby naprawiać te wszystkie błędy, które powstawały przez lata.

Krzysiek: No właśnie Piotr, bo zahaczyliśmy tutaj o kwestie legislacyjne. Domyślam się jaka będzie Twoja odpowiedź, ale powiedz, które podejście jest Tobie bliższe? Nomen omen amerykańska, wolna amerykanka, w której te regulacje nie są aż tak sztywne? Czy to co teraz obserwujemy w państwach Unii Europejskiej, gdzie szereg regulacji stara się objąć m.in. sztuczną inteligencję?

Piotr: Fajne pytanie. Mam tutaj doświadczenie i z rynkiem europejskim i amerykańskim. Dla mnie trudnością, ale czasami plusem rynku amerykańskiego jest to, że tam częściej się idzie w certyfikację, czyli normy ISO, SOC 2, Type 1, Type 2. To jest nacisk, który idzie i to jest często kryterium decyzyjne o zakupie rozwiązań danej firmy. To też mocno przyspiesza te procesy. Natomiast z perspektywy takiej legislacyjnej myślę, że to idzie trochę w podobnym kierunku, jednak. Dlaczego? Prawo Unii Europejskiej, szczególnie tutaj mam na myśli RODO, obowiązuje nie tylko na terenie Unii Europejskiej, ale również dotyczy obywateli, których dane są przetwarzane poza Unią Europejską. Co oznacza, że firmy ze Stanów Zjednoczonych muszą dostosować swoje wymagania do RODO przykładowo. Natomiast, jeżeli chodzi o prawo amerykańskie, dla mnie, z moich doświadczeń, trudnością jest to, że jednak uwzględniając ile jest stanów i co stan, są inne regulacje, to dochodzi do jeszcze większego skomplikowania tych regulacji. I może często się spotykam, że jeżeli firma dobrze ma zorganizowane kwestie wynikające z RODO, to wtedy firmy są bardziej skłonne też współpracować pod tym kątem. Na co jeszcze chciałem zwrócić uwagę, to jest to, że właśnie amerykańskie regulacje również wymagają mnóstwa zapisów w kontraktach, w umowach i to wymaga oczywiście dużych zespołów prawniczych, żeby to wszystko uporządkować i uregulować.

Krzysiek: Czyli, Andrzej, że można powiedzieć, że wcale nie jest to taka wolna amerykanka, jak powszechnie się wydaje, prawda?

Piotr: Dokładnie. Właśnie z tej perspektywy tutaj nie ma takiej pełnej swobody. Oczywiście w zakresie marketingu tutaj jest dość dużo wolnej Amerykanki i dochodzi do masowego web scrapingu danych, chociażby z LinkedIna czy z innych systemów typu Facebook. Natomiast prawa Europejczyków są chronione. Testować takie sytuacje, gdzie właśnie był obywatel unijny, jego dane zostały zeskrapowane przez amerykańskie systemy, zostało przygotowane i wysłane takie żądanie usunięcia i rzeczywiście to skutkowało pozytywnym efektem, więc dane zostały usunięte. Więc jeżeli chodzi o te aspekty, to respektowanie prawa istnieje. Oczywiście są też firmy, które tego nie robią i zamierzają nic nie robić z tym i też musimy brać to pod uwagę.

Andrzej: Dobrze, zostawię ten wątek i przerzucę się do pytania, które już dzisiaj padło do innego naszego gościa. Piotrze, trzy największe incydenty bezpieczeństwa w Twojej ocenie. Niech nie będą w tym roku, niech będą z ostatniego roku. Czyli od kwietnia 2024 do kwietnia 2025.

Piotr: Oho, historia. Akurat z historii nigdy nie jestem jakiś wybitny, ale jeżeli chodzi o incydenty, o których czytałem, interesowałem się, no to szczególnie należy zwrócić na incydenty odnoszące się chociażby do danych medycznych. Więc tutaj dochodzi do sytuacji, gdzie procesowo, czyli chodzi o firmę chyba z Wrocławia, jeżeli dobrze pamiętam, z południa Polski.

Andrzej: Tak, chyba tak.

Piotr: Więc chodzi o procesy odnoszące się do tego, że nie zawsze odpowiednio się zarządza albo aplikacjami webowymi, albo serwerami, czy zespoły informatyczne niekiedy zbyt szybko czy zbyt swobodnie podejmują decyzje o pewnych rozwiązaniach w tych procesach. To samo dotyczyło jednej firmy carsharingowej. Też był taki incydent, który był dość zauważalny. I znowu miało miejsce to, że… to dostawca usług w dużej części, jeżeli dobrze pamiętam, tam popełnił błędy związane z przenoszeniem danych. Nie pamiętam każdego szczegółu. Zawsze musiałbym się odnieść już do konkretów, wiadomo, bo to już jakiś czas temu było. Ale to są takie typowe problemy, gdzie jest czynnik ludzki problemem, więc zawodzą pewne procesy. Ludzie, którzy podejmują niekiedy zbyt pochopnie decyzje lub samodzielnie lub nie mają tego wsparcia w zakresie cyberbezpieczeństwa. I jak to w historii cyberbezpieczeństwa bywa, zespoły od cyberbezpieczeństwa mają budżety dopiero po wystąpieniu incydentów i one są bardzo wysokie. Wcześniej jest problem właśnie z takimi budżetami i to też chciałem zaznaczyć. Więc to są takie dwa, które… teraz na szybko mi przychodzą do głowy. W innych obszarach już mamy do czynienia z kwestią vulnerability management. Nie odniosę się może do jednego konkretnego przypadku, tylko mi chodzi o odniesienie się do tego, że wiele organizacji niedokładnie rozumie swój stos technologiczny. I tutaj dochodzi do sytuacji, w których są niepoprawne konfiguracje oprogramowania, dochodzi do sytuacji, w których oprogramowanie jest mocno nieaktualne i później z tego wynikają takie najcięższe incydenty. Sam wśród klientów z przeszłości miałem okazję obsługiwać sytuacje, gdzie były zero-daye, gdzie były właśnie sytuacje, w których… po wdrożeniu różnych systemów związanych z zarządzaniem podatnościami udało się wykryć te projekty, które były nieaktualizowane przez lata. Dochodziło do tego, że systemy raportowały po kilkaset krytycznych podatności w stacku technologicznym, kilka tysięcy klasyfikowanych jako wysokie i to wymagało bardzo konkretnych napraw, co oznaczało, że dług technologiczny musiał rosnąć przez wiele, wiele lat, zanim to udało się odkryć. A bez właśnie technologii, analityki to jest bardzo trudne. I to jest właśnie bardziej ogólny problem, z którym się zderzam w obszarze cyberbezpieczeństwa.

Krzysiek: No i właśnie, ja nawiążę do wczorajszego posta Andrzeja, vulnerability management w kontekście aplikacji, Piotr. Proste pytanie, sprawa łatwa czy nie?

Piotr: Nie jest to łatwa sprawa. Chodzi tutaj o, z mojej perspektywy i z moich doświadczeń, częstym problemem jest kwestia pogodzenia właśnie vulnerability z tego katalogu, który jest identyfikowany, kontra wymagania biznesowe i kontra dostępność zespołu. I to są trzy takie obszary, które się zderzają ze sobą i bardzo ważne jest to, żeby określić rzeczywiste ryzyko danej podatności. Jeżeli ich jest bardzo dużo, to wymaga znowu już procesu, gdzie jesteśmy w stanie przeanalizować poszczególne podatności w kontekście projektu, w kontekście wykorzystywanych funkcji z danych bibliotek, co oznacza, że jest to w mojej ocenie bardzo trudny proces.

Krzysiek: Czyli nie zrobimy tego just fix it bro, nie update.

Piotr: Nie, nie, nie. Wygodnie by było, gdyby tak się zawsze dało, ale niestety przy podnoszeniu różnego rodzaju wersji w paczkach, w oprogramowaniu dochodzi do tego, że jest masa niezgodności, niekompatybilności z tym, co jest dzisiaj w systemie, który mamy. I to jest bardzo duży problem, bo zespół programistyczny robiąc aktualizację jednej czy dwóch paczek niekiedy musi poświęcić kilkanaście, kilkadziesiąt godzin, żeby podnieść projekt do obsługiwania danej wersji paczki. I to jest bardzo duży problem, ale niestety on też wynika z zaniedbań, które powstają przez lata. To jest właśnie coś, z czym można się częściej spotkać.

Andrzej: Czyli w cyberbezpieczeństwie jeszcze przez jakiś czas będziemy mieć co robić?

Piotr: Ja uważam, że będziemy mieli jeszcze więcej pracy ze względów właśnie takich, jak wcześniej się odnosiłem. Będą powstawać całe rozwiązania oparte na, stworzone powiedzmy przez sztuczną inteligencję, a później ktoś będzie musiał powiedzieć, ale to… to nie jest dobre, to ma tyle i tyle błędów i one będą na tyle subtelne lub ciekawe, że wiele osób samodzielnie nie będzie w stanie sobie poradzić. Więc to jest bardzo poważny problem. Ale też duża korzyść dla obszaru cyber.

Krzysiek: Słuchajcie, dobijając do brzegu, w takim razie Piotrze, czy sztuczna inteligencja pomoże nam ujarzmić sztuczną inteligencję?

Piotr: Dobre pytanie. Uważam, że w pewnych sytuacjach tak, bo jednak będziemy w stanie stworzyć pewien katalog automatyzacji czy narzędzi, które będą musiały nam pomagać, bo jednak ta skala problemów, błędów będzie bardzo duża, a natomiast inne narzędzia będą pomagały nam z detekcją tego typu problemów. Agenci AI-owi mieli wspierać podejmowanie decyzji, czy nie wydać jakiejś paczki jakiegoś rozwiązania. Jeżeli występowałyby błędy w kodzie określonego rodzaju w pull requestach, które byłyby zrobione, to rekomendacja by była negatywna, jeżeli chodzi o wydanie danej paczki, danego rozwiązania. I jest w tym potencjał. Myślę, że jest ogromny potencjał w tym, ale to trzeba jak zwykle korzystać z głową z tego typu rozwiązań.

Andrzej: Czyli nie rozwiążemy problemów z AI-em. Piotrze, jesteśmy na Warszawskich Dniach Informatyki. Większość audiencji to studenci, ludzie, którzy dopiero będą wchodzić na rynek pracy. Niektórzy szybciej, niektórzy wolniej, zależy od roku i od szybkości przechodzenia różnych lat. Zostanę przy trójkach. Powiedz mi, jakie według ciebie na ten moment, jakie trzy rzeczy rekomendowałbyś ścieżki? Może nie tyle całe ścieżki, ale jakieś trzy rzeczy do zrobienia dla osoby, która chciałaby wchodzić w cyberbezpieczeństwo. Ja jestem studentem, powiedzmy, jestem studentem kierunku technicznego, nieważne jakiego. Interesuje się IT i cyberbezpieczeństwo do mnie jakoś przemawia. Wydaje mi się interesujące. Co mógłbym zrobić, żeby w nie wskoczyć?

Piotr: To jest akurat, tutaj odpowiem trochę w sposób stronniczy, więc numer jeden, myślę, że warto skupić się na umiejętności programowania. Ja akurat preferuję język Python, to jest moja specjalizacja i też bym zalecał pójść nawet w tym kierunku z uwagi na to, że zdobył on w ostatnich latach ogromną popularność w zakresie właśnie systemów ML-owych, systemów AI-owych, również w aplikacjach webowych, więc tutaj myślę, że to by był dobry strzał, żeby poznać aplikacje, programowanie w języku Python, jak się buduje aplikacje webowe czy różnego rodzaju aplikacje. To jest numer jeden. Jeżeli już pojmujemy aspekt programowania, to dalej mamy właśnie kilka ścieżek. Czy nas interesuje bardziej webówka, czy serwer, czy właśnie automatyzacja CI/CD? Tutaj z perspektywy doświadczeń programistycznych powinniśmy wybrać te kierunki, które nas interesują, gdzie jesteśmy tacy zaciekawieni. Przykładowo automatyzacje w obszarze infrastruktury, myślę, że to będą też ciekawe kierunki w połączeniu z wiedzą deweloperską, będą miały spory potencjał na przyszłość. Trzecia rzecz, połączenie sztucznej inteligencji wraz z zarządzaniem podatnościami, z zarządzaniem… bezpieczeństwa też będzie na pewno mocno rozwijane i wiele firm dużo w to zainwestuje. Więc na pewno z mojej perspektywy to może być duży potencjał dla studentów.

Andrzej: Czyli robiąc taki większy wrap-up, wszystkie te trzy punkty zahaczają o umiejętności techniczne, które niekoniecznie są… ściśle związane z samym cyberbezpieczeństwem, ale powinno być potraktowane jako pewien fundament w dalszej ścieżce, w dalszej drodze osoby, która chce wejść w cyberbezpieczeństwo. Czyli nie wskakujemy najpierw w cyber jako cyber, tylko wskakujemy w cyber, ale od jakiejś innej strony, gdzie najpierw budujemy fundament. Zgadza się?

Piotr: Jasne. Więc co na przykład w moim przypadku było ciekawe, no to jest łączenie różnych dziedzin. Bo tylko dzięki temu, że uczyłem się Pythona, później skupiłem się na ochronie danych i połączyłem to z cyberbezpieczeństwem.

Andrzej: I w międzyczasie jeszcze zrobiłeś doktorat z prawa, taki mały sneak peek, Piotr.

Piotr: To tak, to się zgadza. I uważam, że właśnie połączenie różnych dziedzin ze sobą to jest bardzo ważne, bo to jest właśnie pewien katalog kompetencji. Już w tej wypowiedzi pominąłem kwestię kompetencji miękkich, bo to też trzeba zdobyć, bo jednak cyber to nie jest tylko tak, że mówimy naprawcie to, zróbcie to, ale wymaga to jeszcze trochę podejścia biznesowego, żeby zrozumieć jak działa dana instytucja czy dana organizacja, żeby w ogóle być w stanie lepiej doradzić, bardziej precyzyjnie, w przeliczeniu najlepiej na złotówki, dolary, euro, co może nam grozić, jeżeli coś pójdzie nie tak i coś nie będzie zrobione. I to jest bardzo ważne i klienci często pytają, ok, tu jest błąd bezpieczeństwa, który został zgłoszony, co nam grozi? To jest powszechny problem i dlatego też radzę łączyć te aspekty biznesowe, poznawać biznes właśnie z tymi obszarami umiejętności wokół cyber i wtedy można się skupić na cyberbezpieczeństwie.

Andrzej: Pełna zgoda.

Krzysiek: Czyli najpierw fundamenty i nie wskakujemy od razu do GPT.

Piotr: Nie, nie.

Andrzej: Zburzyłeś moje marzenia. Dobrze, Piotrze, ja bardzo dziękuję za wywiad. Kolejny raz po roku. Zabrakło chyba jednego dnia, bo to szóstego było rok temu. Piotrze, gdzie możemy Cię znaleźć w internetach?

Piotr: Możecie mnie znaleźć na LinkedInie na przykład, więc to jest bardzo proste. Mam też swoją stronę internetową appsecure.com. Też można jak najbardziej skorzystać i napisać do mnie. Gdzieś jeszcze? Możecie skontaktować się z Andrzejem, Krzyśkiem i też myślę, że będą w stanie pokierować do mnie.

Krzysiek: Otagujemy Cię wszędzie, gdzie trzeba i do AppSecure też podlinkujemy na 100%. Będą linki.

Piotr: Pewnie. Dziękuję.

Andrzej: Dzięki wielkie. Dzięki.

Sprawdź pozostałe odcinki →

Obszary

Tagi

Assessment Podcast

Zobacz naszą ofertę

Zaciekawiła Cię tematyka tego artykułu? Oferujemy szkolenia i specjalistyczne usługi doradcze w zakresie cyberbezpieczeństwa. Zobacz, jak możemy pomóc Tobie i Twojemu zespołowi rozwinąć te umiejętności w praktyce!

Zobacz ofertę →