Bezpieczny Kod

Programista o bezpieczeństwie

Opublikowano 

 przez 

Bezpieczny Kod

 w ,

Cyberbezpieczeństwo to odpowiedzialność całego zespołu

W tym odcinku podcastu Bartosz Różański, doświadczony programista i specjalista AppSec, przedstawia swoją drogę do świata cyberbezpieczeństwa aplikacji, z naciskiem na kluczową rolę Security Championa w zespołach deweloperskich. Odcinek jest bogaty w praktyczne wskazówki dotyczące budowania efektywnych programów Security Champions, uwzględniając wsparcie menedżerskie i motywację deweloperów do samorozwoju w dziedzinie bezpieczeństwa. Porusza również istotne aspekty wyzwań biznesowych, takich jak retencja talentów w obszarze cyberbezpieczeństwo.

Bartosz Różański opowiada o m.in.:

  • Najczęściej niezrozumiałych praktykach bezpieczeństwa, w tym uwierzytelnianiu, autoryzacji i kryptografii.
  • Roli i budowaniu programów Security Champions w zespołach deweloperskich, w tym o wsparciu menedżerskim i samorozwoju deweloperów.
  • Praktycznym wdrażaniu narzędzi bezpieczeństwa, takich jak SAST i SCA, w procesach CI/CD oraz o odpowiedzialności za bezpieczeństwo kodu w organizacji.

Odcinek dostępny na YouTube, Spotify, Apple Podcasts i innych platformach.

Transkrypcja

Andrzej: Dzień dobry, witamy ponownie z WDI. Tym razem będziemy rozmawiać z Bartoszem Różańskim. Bartosz ma doświadczenie jako programista i z tej ścieżki, czyli z Software Engineera przeszedł do bezpieczeństwa, więc nie tak jak nasz poprzedni gość, który zajmuje się głównie jakością, która też jest częścią wytwarzania w procesu wytwórczego, czyli aplikacji. Tutaj mamy już programistę z krwi i kości, który został bezpiecznikiem. Cześć Bartek.

Krzysztof: Cześć, cześć, cześć Bartek.

Andrzej: Ja od razu zadam pierwsze pytanie, tak trochę z grubej rury. Bartek, ja widziałem na twoim LinkedInie, że ty już siedzisz w tym IT sporo czasu. Tak przed, przed tym jak przyszedłeś to myślałem, Jezus Maria, to ile on ma lat? 50?

Bartosz: No już jest to jakiś czas. Dziesięć lat jako programista, a potem jak troszkę jako architekt, a potem no już osiem lat. Właśnie się ostatnio zdziwiłem, że to już jest prawie dziewiąty rok jako ubezpiecznik, znaczy application security developer.

Andrzej: I ja ciebie kojarzę z Linkedinów. Od samego początku gdzieś mi się przewijałeś i widziałem tym bardziej, że Ty tam masz taki wpisany nie typowy bezpiecznik tylko przynajmniej teraz masz senior security developer, ale dalej masz to developer jako keyword. I raz, że wydaje mi się, że się gdzieś tam przecinaliśmy już kilka lat temu, a dwa też gdzieś mi się tam pojawiasz na wallu. Tym bardziej, że mam swoneczek.

Bartosz: No dokładnie, ten deweloper dlatego, że ja nie jestem na przykład w teamie typowo security, jestem typowo w teamie deweloperskim, jako po prostu osoba w takim scramowym teamie, jako osoba, która odpowiada za bezpieczeństwo tego, co pozostali deweloperzy wytwarzają.

Andrzej: to ja mam pytanie, które pasuje czasowo. Wczoraj albo przedwczoraj wyszedł najnowszy TechRadar z ThoughtWorks i oni tam mają blipa chyba jako trial odnośnie Security Championów. Czyli technicznie można byłoby Ciebie nazwać Security Championem?

Bartosz: Dokładnie. Nawet w naszej firmie mamy coś takiego jak Security Champions. Jest taki program, który desygnuje pewne osoby do tego, żeby były osobami umiejącymi w bezpieczeństwo.

Andrzej: to tutaj dalej pociągnę za język, bo wczoraj o tym rozmawialiśmy właśnie z Krzyśkiem o samym programie Security Champions, o jego plusach, minusach, bo swoje minusy też ma przynajmniej z perspektywy biznesowej. To odbije to pytanie, które mi zadał wczoraj Krzysiek. Czy widziałeś, może teraz aktualnie widzisz, dobrze działający program Security Champions w firmach? Tym bardziej, że kojarzę, że ty chyba też konsultujesz. No pracujesz jako konsultant.

Bartosz: No tak, pracuję jako konsultant. Czasami mi się zdarza skonsultować jakiś projekt, skonsultować jakieś wymagania najczęściej. Natomiast jeżeli chodzi o dobrze działający program Security Champions, dobrze zaplanowany widziałem. Szczerze powiedziawszy jestem nawet takim współautorem tego programu, bo jestem pierwszym Security Championem, pierwszą osobą, która pracowała w takim trybie. Stworzyliśmy pewne szkolenia, taki program liderski, który pozwalał na to, żeby parę osób decygnować. Te, które się wyróżniały w jakimś sensie i wyraziły chęć po prostu. Natomiast czy ten program miał jakby sukces? Częściowo tak, ponieważ te osoby mają większe pojęcie o bezpieczeństwie, natomiast część osób niestety zdobywając tę wiedzę pożegnało się z organizacją.

Andrzej: Exactly, dokładnie ten pain point miałem na myśli z punktu widzenia biznesu. Czyli zetknąłeś się z tym, że osoba, która jest designowana na security championa przychodzi tą ścieżkę, no bo musi przejść, bo dobrze zaplanowany program musi uwzględniać edukację, otwiera sobie możliwości rozwoju w innych organizacjach.

Bartosz: Dokładnie, dokładnie. No wtedy pojawia się też taka ścieżka, taki pomysł, żeby, a może zostać takim security architektem, bo takie też stanowiska się pojawiają, a może zacząć, bo to już jest jakby nie taka typowa praca w jakby pojedynczym zespole, ale ogarniamy wtedy wiele zespołów, prawda? I to jest taka naturalna ścieżka rozwoju. Pracujemy rok, pracujemy dwa jako ten security champion i pojawia się taki pstryczek, mówi kurcze, może coś więcej.

Krzysztof: Spodobało mi się.

Bartosz: Tak, spodobało mi się.

Andrzej: Całe security to kurcze nawet jest ciekawe, nie?

Bartosz: Dokładnie.

Krzysztof: A jeszcze w temacie security czempionów Bartek, Twoim zdaniem jedna, dwie najważniejsze rzeczy przy budowie takiego programu?

Bartosz: Przede wszystkim wsparcie menedżerskie, bo ten program musi być lidowany przez kogoś, kto jest w stanie go zasponsorować, ponieważ to związane jest ze szkoleniami, ktoś za te szkolenia musi zapłacić. No i z drugiej strony też chęć tych osób, które chcą to po prostu robić. Szczerze powiedziawszy więcej takich głównych rzeczy nie widzę. Też pewne umiejętności, które taka osoba powinna spełniać. Musi lubić szukać. Musi lubić szukać, ale obecnie widzę troszkę problemów z tym u programistów.

Andrzej: Ja też i to chyba się wiąże z tym, że bo ja też już trochę siedzę w tym IT, trochę mniej niż ty, ale idę web w web i widzę, że szczególnie ludzie, którzy wchodzą od niedawna, czyli tak naprawdę są albo na poziomie juniora, albo jeszcze na poziomie mida, czyli mają powiedzmy poniżej albo koło pięciu lat doświadczenia. Oni już trochę inaczej patrzą na swoją pracę, bardziej patrzą na IT jako przychodzę, robię co mam zrobić i idę do domu i tam mam inne rzeczy do roboty.

Bartosz: Zgadza się, nie chciałbym tutaj negować, robić jakiejś walki pokoleniowej, ale jest taka tendencja, widać to.

Andrzej: Tak i ja tutaj też nie chcę wchodzić w łyńki, bo to ma swoje plusy i minusy, a IT jest tak szerokie, że dla każdego się znajdzie miejsce i pasjonaci mają swoje minusy. Przykładowo jak ja w czasie wolnym dalej robię to co w czasie niewolnym to w zasadzie nie mam czasu wolnego.

Bartosz: Ale jeżeli Ci się to podoba, to to jest właśnie najlepsze.

Andrzej: Dokładnie, mi się to bardzo podoba. Ja mam takie pytanie, trochę niezwiązane z tym wszystkim, bo mi się teraz wpadło do głowy. Bartek, czy ktoś kiedyś wziął Cię za Piotrka Koniecznego?

Bartosz: Tak. To znaczy nieoficjalnie, ale takie głosy do mnie dochodzą. Jest jeszcze jedna osoba, która wygląda bardzo podobnie. Jest takie zdjęcie tej osoby. Nie chcę tutaj już mówić, kto to jest, ale są takie trzy osoby, które są dosyć podobne do siebie, szczególnie jeżeli mamy brodę, jeżeli mamy włosy, okulary. Tak, Piotrek konieczny, ja i jeszcze ta jedna osoba.

Andrzej: Okej, to jest zadanie dla widza, żeby znała z tą trzecią osobę. Ale faktycznie z tą brodą Piotrek ma ciut dłuższą, ale faktycznie podobieństwo jest uderzające.

Krzysztof: Czyli na szkoleniach od Piotrka możesz robić za dublera spokojnie.

Andrzej: Dokładnie. Niebezpiecznik robi szkolenia, to możesz wziąć Bartka i dublować Piotrka. A mówią, że nie da się klonować.

Krzysztof: No da się. Wracając do naszych bezpiecznych tematów. Ja mam takie pytanie do ciebie Bartek. Rozmawialiśmy o Security Championach. Chciałbym też bardziej poruszyć kwestię samego procesu w kontekście CICD. Twoim zdaniem takie quick win’y dla organizacji, które ten proces mają mało dojrzały i bezpieczeństwo tam kuleje albo w ogóle go nie ma. Co można wdrożyć w CI w Twojej opinii w kontekście bezpieczeństwa, co da nam relatywnie szybki zwrot z inwestycji?

Bartosz: Przede wszystkim tak naprawdę to, co można bardzo szybko wdrożyć, to jest statyczna analiza kodu. Już nie chcę tutaj mówić o konkretnych rozwiązaniach, ale po prostu. Sasty, łatwo integrowalne, CI, CD, szybko zwracają odpowiedzi, tylko że jest jednym małym takim gwiazdką. niech to będzie podłączone do PRów, żeby wyniki generowały taski, jeżeli tam jest coś krytycznego, bo bez tego to jest po prostu taki produkt, który raport wychodzi, nic ciekawego nie ma.

Krzysztof: Jeszcze gorzej, jak ten dashboard jest w ogóle postawiony w innym miejscu, a PR dzieje się zupełnie gdzieś indziej i mamy to rozrzucone po kilkunastu lokacjach.

Andrzej: Dokładnie tak. Developer nie będzie się logował do jednego narzędzia, do drugiego, do trzeciego, żeby zobaczyć wyniki. Chce mieć to w pull request, w merge request, tam gdzie się dzieje jego praca.

Bartosz: Mam doświadczenie z takim problemem, który po prostu raporty były zupełnie gdzie indziej i produkt został kupiony, a potem został porzucony. Tylko dlatego, że nie był używany, a właściwie używany był tylko przez security team i tyle.

Andrzej: To ja mam dokładnie te same doświadczenia.

Bartosz: Inną rzeczą, którą jeszcze bym wdrożył. to jest, znaczy to często już jest powiązane z SAST-em, bo zdarza się też, że analiza Śledzenie bibliotek, które używamy, to jest też bardzo łatwo. OWA z dependency check, wdrożenie tego jest po prostu, nie wiem, godzinka, dwie godzinki pracy, czy to z Azure DevOps, czy z jakimkolwiek innym procesem CI, CD. I to też jest szybkie, łatwe i do zrobienia w miarę krótkim czasie.

Krzysztof: Tak, szczególnie w kontekście tego co się dzieje w łańcuchu dostaw. W temacie łańcuchów dostaw to coś co będzie zarządzało jednak tym jakie podatności mamy w naszych bibliotekach i będzie nas o tym informowało jest absolutnie krytyczne.

Andrzej: To ja mam tutaj jedno pytanie. takie można powiedzieć trochę metafizyczne. W takim wypadku jak byś traktował, albo jakie widziałeś podejście do traktowania problemów, które wykrywa wykrywanie narzędzia klasy Software Composition Analysis, właśnie SCA, czyli podatne biblioteki. Czy powinniśmy traktować to faktycznie jako podatności, no bo technicznie to są podatności, ale w nie naszym kodziku. Czy może powinniśmy to traktować jako dług technologiczny i w momencie gdy się nagromadzi odpowiednia ilość tego długu to zacząć go spłacać, ale patrzeć na to jako coś co jest, no po prostu trzeba zaktualizować biblioteki, żebyśmy szybciej wytwarzali.

Bartosz: Ja mam takie doświadczenie, że jeżeli znajdziemy jakiś problem z jakąś podatnością, w którejś z bibliotek, to zwykle trafia to właśnie do mnie. Trafia to właśnie do mnie, jeżeli w moim kodzie, znaczy w moim kodzie, w kodzie, za który ja odpowiadam, trafimy taką bibliotekę, to wtedy to trafia do mnie i ja to analizuję, czy to jest istotna podatność, która wpływa na nasze oprogramowanie. Czy też nie. Wtedy ja podejmuję tak naprawdę decyzję. Możemy sobie zaczekać chwilkę, jeżeli to jest severity low, niskie. Jeżeli jest to wysokie severity, jak zdarzyło się z Lock4J, to tydzień mieliśmy wyjęty z głowy, bo co chwilę była nowa aktualizacja. Ja myślę, że takie jest po prostu najlepsze podejście. Niech ktoś to przeanalizuje i powie, czekamy, czy idziemy dalej.

Andrzej: W pełni się zgadzam, że po prostu ten triaż, ta analiza musi być. Na pewno nie należy działać tak, że każdy znaleziony problem w bibliotece jest problemem, który musimy rozwiązywać już teraz. Wszystko wycofać.

Bartosz: Dokładnie, bo czasami nawet nie wykorzystujemy tej funkcjonalności, tej biblioteki.

Andrzej: Dokładnie, dokładnie tak. To ja jeszcze przybliżę się do jednej rzeczy, o której powiedziałeś, taki zoom in zrobię. Powiedziałeś o odpowiedzialności. Kto w takim wypadku jest odpowiedzialny za bezpieczeństwo aplikacji? Ale tutaj przybliżę i powiedzmy kodu. Programista, bezpiecznik, czy może i programista i bezpiecznik?

Bartosz: Programista i bezpiecznik. Ja jestem tak naprawdę doradcą, a za implementację na przykład poprawek takiej podatności odpowiedzialny jest deweloper. Ja mogę tylko podpowiedzieć, słuchaj, tu musisz zrobić encodowanie, tu musisz zrobić tak, czy inaczej. Ja mogę ci powiedzieć, w jaki sposób podejść do rozwiązania, wskazać linki w internecie, jakieś strony, nie wiem, kod przykładowy, ale ja tego nie zrobię. Znaczy mogę, ale nie muszę.

Krzysztof: Dajesz wędkę, a nie rybę.

Bartosz: Dokładnie, znaczy i na tym polega moim zdaniem rola security championa, bo dzięki takiemu, że jak ja daję wędkę, to znaczy, że on się uczy. Jeżeli on się uczy to może wkrótce, nie wiem, po roku, po półtora, po dwóch, może on też zostanie Security Championem, przejdzie do innego zespołu i będziemy mieli kolejne zysk dla organizacji.

Krzysztof: Tak, no kolejny zasób, skalujemy sobie ilość tych osób, a bezpieczników niestety z punktu widzenia biznesowego skalować w większej ilości nie będziemy. Zawsze będzie ten przelicznik tego, że tych developerów będzie znacznie, znacznie więcej niż potrzebnych tak naprawdę wakatów na bezpieczeństwo.

Andrzej: I ja tutaj dam jeszcze jedną rzecz, którą trudno jest tak naprawdę mierzyć. No to celem tych wszystkich praktyk proaktywnych jest to, żeby te osoby w końcu nie popełniały tych błędów. Więc jeżeli to ty byś wyprowadził błąd, to niejako ten knowledge zostaje u ciebie. A jeżeli oddamy to w ręce dewelopera, no to deweloper się nauczy i docelowo już nie będzie popełniał tego błędu. w przyszłości, więc tak naprawdę tylko na tym zyskujemy. No oczywiście trzeba brać pod uwagę, że trochę dodajemy pracy, ale tego się nie da uniknąć.

Bartosz: Ja tu jeszcze tylko dodam, że to dawanie wędki. to uczenie kogoś, uczyć samego ciebie. Znaczy, uczysz się sam siebie, ponieważ ty musisz opisać ten błąd w zrozumiały sposób. Dla kogoś, kto może nie do końca go rozumie, tak? A musisz to zrobić tak, żeby to zrozumiał. I to jest też nauka dla ciebie, że zaczynasz dla ciebie jako security championa, tak? Ktoś, kto ma pewną wiedzę, a może sam też musi się poduczyć, bo może musi zrobić jakiś test, jakiś payload stworzyć. To też musisz się nauczyć. To też jest dla ciebie nauka. Dlatego… Takie podejście wydaje mi się najlepsze.

Andrzej: Pełna zgoda. Ucząc innych, uczymy samych siebie. I często gęsto my więcej z tego wynosimy wartości niż ta strona odbierająca, bo jeśli podejdziemy do tego rzetelnie, to pogłębiamy swoje zrozumienie. A czy mi się wydaje, czy ty masz doświadczenie takie akademickie jako wykładowca?

Bartosz: Mam, mam. Od 2008 roku chyba, jestem wykładowcą na Wojskowej Akademii Technicznej. Może nie dokładnie z tych przedmiotów, ponieważ zajmuję się optymalizacją, badaniami operacyjnymi, teorią optymalizacji, ale zdarzyło mi się też już prowadzić zajęcia z bezpieczeństwa.

Andrzej: Tak, bo to jeszcze dla słuchaczy, Bartek to nawet ma doktorat.

Bartosz: Nie, nie miał doktoratu, skończyłem tylko studia doktoranckie, niestety.

Andrzej: Tylko skończył studia doktoranckie, faktycznie, tylko.

Bartosz: Nie było czasu, po prostu zająłem się praktyką.

Andrzej: Ja też od razu skoczyłem do praktyki. Natomiast ty kończyłeś też chyba VAT, prawda? Czyli całą tą swoją przygodę masz związaną z VAT-em. No to chyba coś tam o tym bezpieczeństwie pewnie wiesz już z racji samej uczelni. Czy tam nie było za dużo?

Bartosz: Na uczelni jako takiej nie było. Ja bardziej praca w… Jak to nazwać? Dla instytucji rządowych bardziej. Oni mnie skierowali tak naprawdę na ścieżki bezpieczeństwa. Byłem zwykłym deweloperem, ale później tak się okazało, że trafiłem do jednego projektu, w którym gdzieś tam trzeba było troszkę wiedzy pozyskać i tak się spodobało.

Andrzej: Częsta droga. Tym bardziej, że dobrze nam się rozmawiamy. Wydaje mi się, że ty jednak jesteś z tych, co lubią to, co robią. Nie jesteś tutaj z przypadku, masz to curiosity.

Bartosz: Tak, tak. Lubię szukać, dociekać. Czasami żona mówi, że strasznie wnikam w niektóre sprawy, aż za bardzo. Muszę się nauczyć tego przerywać.

Andrzej: Wiesz co, i to jest ciekawy aspekt, dlatego że ja zauważyłem, że bezpiecznicy gdzieś tam poznajomych, ale też po sobie widzę jak się obserwuje, to są osoby, które czasami dłubią i czasami dłubią za mocno, zamiast po prostu coś powiedzieć, dobra już idę, zostawiam to. I to ma swoje plusy na przykład w karierze, no bo potrafimy się czymś zainteresować i dłubać. Ale ma to też swoje jakieś tam minusy, które trzeba zwalczać w takim życiu prywatnym. Bo przynajmniej z moich doświadczenia jest to męczące dla osób, które mnie otaczają. Tak mi się wydaje, że może być męczące. Czasami jak wyłapuję jakieś błędy i nie, to powinno się powiedzieć tak, a nie tam.

Bartosz: kwestia opisywania dokładnie tak jak coś powinno wyglądać po prostu krok po kroczku to no tak to czasami potrafię.

Andrzej: Tak i dla osób z naszych najbliższych kręgów może być to trochę męczące. Dobrze ja się wystrzelałem z pytań. Krzysiek.

Krzysztof: ostatnie pytanie chciałbyś dodać? Tak, które mi krążyło po głowie Bartek. Najbardziej niezrozumiana praktyka przez deweloperów związana z bezpieczeństwem.

Bartosz: uwierzytelnianie i autoryzacja?

Andrzej: To bardzo szeroko poszedłeś.

Bartosz: Ja wiem. Może to ja jestem troszkę w takiej bańce, bo zajmuję się dosyć mocno uwierzytelnianiem i autoryzacją w organizacji, w której pracuję teraz. Po prostu na każdym kroku widzę ten problem. Niezrozumienie… Już nie chodzi o czystą różnicę, co to jest uwierzytelnianie, co to jest autoryzacja itd., ale bardziej chodzi o to, co to jest tożsamość. tego rodzaju rzeczy, tak, co po prostu widać, że tutaj musi przyjść specjalista i po prostu pokazać co i jak. Bo szczerze takie rzeczy jak, nie wiem, enkodowanie, walidacja wejścia i tak dalej, to są rzeczy, które tak naprawdę można wbić do głowy, masz zrobić tak i tak. Ale jeżeli ktoś, jeżeli próbujemy na przykład zaimplementować single sign-on gdzieś, To jest problem, bo to trzeba zrobić dobrze. Nawet mając dobre biblioteki, nawet mając certyfikowane biblioteki, można to skopać. I to dostaje zawsze specjalista, tu nie ma przebaczy za implementację tego.

Andrzej: Musi być ta osoba, która to drajwuje i która ma doświadczenie właśnie Właśnie w tym. wydaje mi się, że chyba nawet w OAST-opten jest jedno i drugie, czyli Broken Access. I to od lat, od lat, nie bez powodu.

Bartosz: I coraz wyżej.

Andrzej: I coraz wyżej na liście.

Bartosz: Inną to jest kryptografia. Ale to jest już tak techniczne, specyficzne, że to już naprawdę trzeba wiedzieć. Dokładnie.

Krzysztof: Kto implementował cokolwiek z kryptografii na własną rękę, Doskonale wie jak to się może skończyć.

Andrzej: Tutaj dla słuchaczy krypto się nie implementuje samemu, używa się już zaimplementowanych algorytmów, to na własne ryzyko. Co więcej, jest taka mini historyjka Michał Trojnara, autor S. Tunela, dość znany gość, mega ogarnięty. i długo siedzący w kryptografii. Parę lat temu pisał specyfikację swojego algorytmu, który miał zastąpić tam inne szyfrowanie. Nie pamiętam szczegółów takich organizacyjnych, natomiast nawet osoba, to jest bezpiecznik z krwi i kości, naprawdę gość jest mega mocny technicznie. Nawet taka osoba może popełnić błędy implementacyjne, gdzie przyszedł inny ogarnięty gość, chyba z Dragon Sektora i pokazał mu kilka błędów dzięki którym był w stanie złamać sam algorytm.

Bartosz: Widziałem prelekcje.

Andrzej: Ta prelekcja była chyba na kilku wydarzeniach. Wiem, że była nawet na takich mniejszych typu meetupy, ale to pokazuje, że nawet osoby z latami doświadczenia i jako programista i jako bezpiecznik naprawdę robiące ciekawe rzeczy, może się pomylić, bo to nie jest łatwe. Łatwo to tam jest o błąd, pierwszy lepszy. I o to jest bardzo łatwe, a żeby to zrobić bezbłędnie, to jest trudno. I jeszcze samemu bez zewnętrznej pomocy osób, które aktywnie próbują nam to złamać i pokazać, że się da.

Krzysztof: Co, chyba dobijamy do brzegu powoli?

Andrzej: Tak, dobiliśmy już nawet. Już jesteśmy na brzegu.

Bartosz: Dzięki wielkie za rozmowę, było bardzo miło.

Andrzej: Bartek, przyjemność po naszej stronie. Anytime, any day. Na kolejny odcinek. Możemy porozmawiać dłużej. Jak będziesz chciał, piszemy sobie konkretne tematy i robimy to.

Bartosz: Jasne, oczywiście.

Krzysztof: Autoryzacja i uwierzytelnienie.

Andrzej: Cały odcinek wokół tego tematu. Spokojnie, znajdziemy tyle rzeczy tam do omówienia, że będzie spokojnie godzinka gadania.

Bartosz: Super, czekam.

Andrzej: Dzięki. Trzymaj się.

Sprawdź pozostałe odcinki →

Obszary

Tagi

Assessment Podcast

Zobacz naszą ofertę

Zaciekawiła Cię tematyka tego artykułu? Oferujemy szkolenia i specjalistyczne usługi doradcze w zakresie cyberbezpieczeństwa. Zobacz, jak możemy pomóc Tobie i Twojemu zespołowi rozwinąć te umiejętności w praktyce!

Zobacz ofertę →