Bezpieczny Kod

Nadchodzą regulacje

Opublikowano 

 przez 

Bezpieczny Kod

 w ,

Połączyć regulacje prawne, bezpieczeństwo i programowanie

W tym odcinku podcastu gościmy Piotra Siemieniaka, doktora prawa z doświadczeniem w wytwarzaniu oprogramowania, ochronie danych osobowych i cyberbezpieczeństwie. Piotr opowiada o swojej unikalnej ścieżce kariery, łączącej technologię, regulacje prawne i bezpieczeństwo, oraz o tym, jak te dziedziny wzajemnie się uzupełniają. Dowiemy się, dlaczego prawnik z wykształcenia postanowił zająć się inżynierią oprogramowania i jak jego interdyscyplinarne podejście pomaga w rozwiązywaniu złożonych problemów.

W podcaście mowa o:

  • Unikalnej ścieżce kariery łączącej prawo, technologię i cyberbezpieczeństwo oraz interdyscyplinarnym podejściu do rozwiązywania problemów.
  • Kluczowych kwestiach ochrony danych osobowych, w tym prawie do usunięcia danych w kopiach zapasowych i wyjątkach wynikających z compliance.
  • Bezpieczeństwie jako biznes-enablerze, roli standardów bezpieczeństwa (np. ISO 27001) w przewadze konkurencyjnej i skuteczności compliance prawnego (RODO) we wdrażaniu bezpieczeństwa opartego na ryzyku.

Odcinek dostępny na YouTube, Spotify, Apple Podcasts i innych platformach.

Transkrypcja

Krzysztof: Teraz mamy przyjemność gościć Piotra Siemieniaka. Naprawdę, Piotr, twoje doświadczenie robi wrażenie. Multidyscyplinarność, w której się poruszasz. Myślę, że scrollami nie starczy tutaj w przeglądarce, żeby dojść do samego końca, więc myślę, że najlepiej jak ty pokrótce naszym słuchaczom opowiesz, czym się zajmujesz obecnie i jaki jest twój background.

Piotr: Krótko, mam w sumie to już kilkanaście lat doświadczenia w obszarze wytwarzania oprogramowania. W tym się zawiera również doświadczenie w obszarze ochrony danych osobowych i cyberbezpieczeństwa. I te trzy działki, czyli taka techniczna związana z inżynierią oprogramowania, prawna, no i także techniczna i manażerska związana z cyberbezpieczeństwem. To są takie działki, które przez lata starałem się łączyć ze sobą, co jest dużym wyzwaniem, ale zależało mi na tym, żeby skleić ze sobą te obszary, które są potencjalnie ze sobą sprzeczne, tam gdzie one tak ze sobą nie współgrają najlepiej. Jeszcze gdy zaczynałem, to tym bardziej było trudne, bo nie było wtedy takiej ilości przepisów jak dzisiaj, co sprawiało wiele trudności, żeby to ze sobą dobrze dograć. Czym się zajmuję? Prowadzę działalność gospodarczą firmy Upsecure, a także ruszam właśnie z projektem Digital by Design, który będzie takim projektem edukacyjnym w obszarze ochrony danych, cyberbezpieczeństwa, inżynierii i oprogramowania, żeby ucyfrawiać właśnie biznesy, a także ucyfrawiać takie zwykłe jednostki, które chciałyby być bardziej świadome różnego rodzaju zagrożeń, ale także świadome tego, jak mogą wykorzystać technologie w celu poprawienia jakości życia, znalezienia różnych metod automatyzacji w życiu, co jest bardzo ciekawe według mnie.

Andrzej: Tak, tutaj jeszcze dodam, bo można było nie wyłapać. Piotr jest z wykształcenia, to już można powiedzieć, że jesteś prawnikiem?

Piotr: Tak.

Andrzej: I to nie tylko po magistrze, ale to już nawet obrona doktoratu miała miejsce, więc Piotr jest doktorem prawa.

Piotr: Tak.

Andrzej: Zgadza się. Więc tutaj poszedł nie tylko dość szeroko, ale nawet głęboko w te różne dziedziny. Piotrze, ja mam pierwsze takie lekkie pytanie. Już zadałem przed, ale nie dostałem odpowiedzi. Powiedz mi tak pokrótce, oczywiście to nie jest wiążąca odpowiedź. Czy można skanować porty nie swoich serwerów, czy nie można?

Piotr: To jest ciekawe pytanie. Akurat tym obszarem się nie zajmuję. Czyli ja nie mam, nie testuję innych serwisów, gdzie nie mam umów. Po prostu dla mnie kluczowe jest to, żeby mieć umowę z każdym klientem na przeprowadzenie audytu, testu bezpieczeństwa, gdzie bardzo szczegółowo określamy zakres jaki będzie dopuszczalny w przypadku danych prac. Więc tutaj, jeżeli zakres będzie obejmował testy bezpieczeństwa aplikacji webowych, audyty związane z aplikacjami, wówczas definiujemy, że tego typu działania, może nie aż tak super szczegółowo, jaki rodzaj skanu będzie, ale na odpowiednim stopniu ogólności definiujemy, co będzie przedmiotem pracy.

Andrzej: Czyli lepiej dmuchać na zimne i lepiej nie skanować serwerów.

Piotr: Ja wolę dmuchać na zimne z uwagi na to, że nie do końca mam pewność w jakim kraju znajdują się serwery, pod jaki system prawa podpadnę, ewentualnie co czyha dalej na mnie w związku z tego typu działaniami, więc tego nie robię. Ale co jest przydatne, są takie podmioty, na pewno bardzo dobrze znacie, które skanują za nas i można zweryfikować, czy określonego rodzaju serwery, określonego rodzaju adresy znajdują się wśród tych podmiotów. Więc tutaj jest to jakiś taki element, z którego można swobodniej skorzystać, żeby pomóc sobie w trakcie różnego rodzaju analiz.

Krzysztof: Czyli jak znajdujesz endpoint, który zwraca ID, które jest enumerowalne, to nie próbujesz go inkrementować celem uzyskania dostępu do zasobu, który do ciebie nie należy.

Piotr: Tutaj często to można zapytać klienta o takie ewentualności, czy mają jakąś adresację, czy dany adres wchodzi w jakąś pulę. Jeżeli nie, no to tutaj trzeba już się zastanowić, czy zewnętrzne usługi mogą nam pomóc, jeżeli chodzi o identyfikację tych adresacji, które mogą być interesujące.

Andrzej: Szodan.

Piotr: Dokładnie.

Andrzej: Dobrze, Piotrze, powiedz mi, skąd w ogóle pomysł na połączenie prawa z bezpieczeństwem, plus jeszcze tak naprawdę z wytwarzaniem oprogramowania, już w takiej operacyjnej roli jako programista? Jak to się stało, że tu połączyłeś wszystko?

Piotr: Historia jest taka, że zawsze interesowałem się informatyką, czyli jakieś tam ciągoty do tego miałem. Nawet jak byłem na etapie podstawówki gimnazjum, uczyłem się grafiki trójwymiarowej, bo byłem zainteresowany tworzeniem gier, ale mi się to później nie spodobało. po dwóch latach i to rzuciłem. Ale za to różnego rodzaju osoby trochę mnie inspirowały, a to kolega potrafił jakąś stronę postawić na WordPressie, a to kolega miał jakieś własne forum, a to jeden stworzył stronę w HTML-u. I od tego się zaczynało, że po prostu interesowałem się różnymi rozwiązaniami technologicznymi i byłem inspirowany przez innych. I tak się złożyło, że skupiłem się właśnie na tej dziedzinie prawa, ale w trakcie studiów już pod koniec drugiego roku musiałem podjąć jakieś decyzje, jeżeli chodzi o tematykę mojej pracy magisterskiej. Miałem kilka pomysłów, ale ostatecznie najbardziej mi się to spodobało, żeby pójść w kierunku ochrony danych osobowych, bo stwierdziłem, że to może być najbardziej bliskie moim zainteresowaniom technicznym. I to też wybór tematyki ochrony danych wynika z bardzo ciekawej historii. Jeszcze jak byłem w liceum, był portal Nasza Klasa, bardzo popularny. Zarejestrowałem się na fali popularności i następnie nie korzystałem z tego. No i stwierdziłem, no skoro nie korzystam, to usunę konto. Usunąłem konto, a po jakimś czasie wyczytałem że jednak konta pozostawały w tym serwisie i stwierdziłem, no dobra, no to coś trzeba z tym zrobić. Więc zacząłem szukać przepisów i znalazłem odpowiednie przepisy. i to było liceum, więc jako taki amator udało mi się znaleźć odpowiednie przepisy, które pomogły mi się zwrócić z żądaniem do portalu. żeby usunąć moje dane. Najciekawsze jest to, że administratorem bezpieczeństwa informacji jest jeden z prelegentów, nie wiem czy na tej konferencji, ale często występuje na tych konferencjach. I właśnie rozmawialiśmy kiedyś na ten temat i się okazało, że ja ileś lat temu złożyłem to żądanie i powiedział mi, że musiał się strasznie namęczyć, żeby było możliwe obsługiwanie tego typu żądań. Na dodatek jeszcze procesy związane z wykonywaniem kopii zapasowych też były takie, że nawet ta kopia główna, ostateczna, jak wszystko pójdzie nie tak, znajdowała się na płycie CD czy DVD i problem był taki, że musieli wtedy nagrywać nową płytę, jeżeli takie żądanie było realizowane, bo prawo do usunięcia danych obejmuje nie tylko te dane, które są na serwerach produkcyjnych, ale również dotyczy kopii zapasowych, co było dość złożone.

Andrzej: To ja tutaj mam jeszcze pytanie takie doszczegółowiające. Czy te przepisy, bo zakładam, że to było już jakiś czas temu, ja też byłem na naszej klasie, ale to już nie pamiętam kiedy. I czy w dalszym ciągu, no bo od tamtego czasu te różne przepisy uległy zmianie, mamy RODO, wtedy chyba jeszcze RODO nie było. Czy w chwili obecnej żądania usuwania danych, również wymagania usunięcia danych osobowych Kopii zapasowych, czy są jakieś wyjątki, jakiś obszar do wiggle room?

Piotr: Powiedzmy w zakresie usuwania danych osobowych, powiedzmy, że mniej więcej nic się nie zmieniło. Nie będę wchodził w szczegóły takie ekstremalne. Natomiast pewne obszary związane z compliance mogą ograniczyć możliwości związane z usuwaniem danych osobowych. Przykładowo, taki najbardziej prosty przykład to jest to, że w prawie pracy odchodzi pracownik rząda. usunięcia danych nie może, bo pracodawca jest zobowiązany do przechowywania danych osobowych przez okres 10 lat od zakończenia zatrudnienia. To jest jeden z takich przypadków i tych przypadków będzie więcej. Trochę mniej w przypadku usług takich społecznościowych, bo Tam to nie będzie aż takie niezbędne do przetwarzania po zakończeniu umowy z takim użytkownikiem.

Andrzej: Rozumiem. To rozjaśniłeś mi pewną kwestię, którą czasami poruszam na swoich szkoleniach. Znaczy ja nie mówię tam o danych osobowych, natomiast o systemach, które przetwarzają takie dane i często pada pytanie, a co z kopiami zapasowymi? A ja wtedy, Panie, ja nie wiem. Teraz już wiem.

Piotr: A bardzo szybko zwróci Ci się to 10 złotych.

Krzysztof: Dajcie mu tą dychę. Piotr, tak jak już wspomniałeś i tak jak w toku tej rozmowy słyszymy i widzimy, łączysz wiele obszarów. Ja tutaj naliczyłem co najmniej trzy. mamy technologię, mamy bezpieczeństwo, mamy compliance. Powiedz, jaka jest największa trudność na styku tych domen, żeby taki zwykły programista na przykład był w stanie przynajmniej w jakimś procencie też gdzieś działać tak interdyscyplinarnie?

Piotr: To jest bardzo fajne pytanie i uważam, że dużą trudnością jest to, że często programiści skupiają się na bardzo wąskim zakresie, w którym siedzą, który jest im narzucony. I cała trudność polega na tym, że trzeba wyjść poza ten obszar i próbować nowych rzeczy cały czas. U mnie to akurat, miałem to szczęście, że miałem możliwość skupić się na programowaniu, jednocześnie studiować i uczyć się tych rzeczy, które są związane z tutaj ochroną danych osobowych. Natomiast, co mi jeszcze bardzo pomogło, to jest to, że często zgłaszałem się do dodatkowych projektów. Byłem zatrudniony w różnych firmach. to podejmowałem się do tego, żeby wspierać procesy związane z ISO 27001, poznać trochę ISO 9001, czyli tutaj obszar jakości. Też miałem możliwość taką, że prowadziłem audyty z obszaru ochrony danych osobowych i później W pewnym momencie ta wiedza bardzo dobrze się łączy i jest wymienna. Mając wiedzę z obszaru ochrony danych wiem jak np. powinny wyglądać pewne procesy w danej organizacji. ale dzięki temu, że znam technologię, wiem teraz, jak na przykład technologia powinna działać, żeby te procesy były bezpieczne. I dzięki temu wiem, jak zadawać dużo lepsze pytania. Dzisiaj to może być nawet prostsze jak to, co było kiedyś, ze względu na wsparcie różnego rodzaju narzędzi AI. Nie mówię, że one są idealne, ale niekiedy one pomogą wam zadawać pytania. A to jest chyba najważniejsze, jeżeli chodzi o dociekanie do sedna problemu. Więc, tak mówiąc krótko, co bym każdemu polecił? Edukacja w różnych obszarach, otwartość na różne obszary, podjęcie działań związanych chociażby z wolontariatem w nowych obszarach dla ciebie, Poszukanie nawet jakiegoś mentora, jeżeli macie taką możliwość, który Was wprowadzi do uczy, czy pokaże, w którym kierunku możecie iść, dzięki czemu będziecie mogli wejść w te nowe, bardziej skomplikowane obszary, jak to, co obecnie macie. Ale nie ukrywam, że niektóre kombinacje będą wymagały np. ukończenia studiów, albo studiów magisterskich, albo studiów podyplomowych, w zależności od tego, w którym kierunku zechcecie pójść.

Krzysztof: I znowu nam się to bardzo fajnie. wszystko spina z tą ciekawością, która jest motorem napędowym tego i to, że wychodzimy ze swojej strefy komfortu, a potem łączymy te domeny, bo tak jak powiedziałeś, to jest po prostu na samym końcu wymienialne.

Andrzej: Trochę coachingowo, wyjdę ze swojej strefy komfortu, ale taka jest prawda i mi się to też podoba, To też można wyłuskać z tego, co powiedziałeś i też nam się przewijało już w poprzednich rozmowach, proaktywność. Czyli nie siedzenie i czekanie aż samo się zrobi i narzekanie na to, że jest jak jest, tylko wykazać się proaktywnością, wyjściu właśnie trochę z tej sfery komfortu i zwykłą ciekawością robieniu nowych rzeczy. Nie banie się, bo tak naprawdę ryzyko jest, w zasadzie go nie ma.

Piotr: Dokładnie. Co możecie stracić? Trochę czasu? Albo ktoś wam powie nie. No to jak jedna osoba wam powie nie, to musicie pójść do drugiej, która wam powie tak. Ta proaktywność właśnie jest takim kluczowym elementem, ale też ważne jest to, żeby mieć świadomość, że trzeba poświęcić trochę czasu po godzinach pracy. To nie jest tylko w ramach godzin pracy, bo wszystko co u siebie udało mi się dokonać, to jest masa czasu, który poświęciłem po godzinach pracy, a także w weekendy, więc to wymaga naprawdę dużych poświęceń.

Andrzej: No tak, w życiu nie ma nic za darmo. My na przykład dzisiaj tą wiedzę mamy za dychę. Więc tanio, a wyjątkowo dobrze. Dokładnie. Dobrze, ja się wystrzelałem z pytań.

Krzysztof: A ja mam jeszcze jedno, które uporczywie zadaję w trakcie ostatni nabój.

Andrzej: Ja już wiem, już wiem.

Krzysztof: Nie, to nie będzie to. Piotr, z racji Twojego naprawdę ogromnego doświadczenia, chciałem się Cię zapytać. Bezpieczeństwo w Twojej opinii jest widziane jako smutny obowiązek, czy coś, co może stać się takim biznes-enablerem?

Piotr: zależy z kim współpracuje. Tak, tak naprawdę niektóre organizacje bardziej szukają bezpieczeństwa, żeby to zamknąć i żeby był spokój, ale to tak nie działa niestety. Ale coraz większa jest świadomość w mojej ocenie wśród różnego rodzaju małych, średnich, dużych firm w zakresie tego, że bezpieczeństwo jest naprawdę ważne i bezpieczeństwo pomaga sprzedawać. Nieraz miałem okazję wspierać procesy sprzedażowe z uwagi na to, że klient tego podmiotu dopytywał się o różne zagadnienia związane z bezpieczeństwem. Miałem to szczęście, że bezpieczeństwo było bardzo dobrze poukładane. były przeprowadzone audyty, podmiot był zgodny z różnymi mechanizmami certyfikacyjnymi. Byliśmy również w tej sytuacji, że infrastruktura również była zaawansowana, byliśmy w stanie wyjaśnić każdy krok, element bezpieczeństwa, rozwiązanie stosujemy, dzięki czemu klient przekonał się, że ten konkretny mój klient będzie odpowiedni, żeby nabyć jego produkt. A to był bardzo dobry deal, bo nie ma co ukrywać, że już Umowy przekraczające kilkaset tysięcy dolarów rocznie to są raczej dobre deale. Więc tutaj ten element bezpieczeństwa, który był bardzo dobrze zrobiony, po prostu przekonał klienta.

Andrzej: Czyli był takim właśnie enablerem, pomógł w sprzedaży dalej.

Piotr: I to jest właśnie szczególnie ważne u coraz większych podmiotów, bo one są w takiej sytuacji, że jest tyle wymagań prawnych, że w pewnym sensie są zmuszone, a przepisy są tak skonstruowane, że oni muszą wymagać od innych odpowiedniego poziomu bezpieczeństwa, zgodności, transparentności. i wtedy Jedno wpływa na drugie.

Andrzej: To ja mam tu jeszcze jedno pytanie, bo nasz poprzedni gość też o tym wspominał. Ty na pewno zdajesz sobie sprawę z nadchodzących regulacji jak DORA czy CERA, czy też różnego rodzaju Executives Orders od Prezydenta Stanów Zjednoczonych. Moje pytanie zahacze o to i brzmi, czy uważasz, że compliance taki prawny jest tutaj odpowiednią, skuteczną drogą do wdrażania tego bezpieczeństwa? Jaką masz na to wizję?

Piotr: To znaczy i tak, i nie. Dlaczego tak? Mam po prostu porównanie, jak wyglądało to przed 2018 rokiem, czyli przed rozpoczęciem stosowania RODO, a także po 2018 roku. gdzie RODO rozpoczęło swoje stosowanie. I uwzględniając jak wtedy były mocno ograniczone te przepisy, bezpieczeństwo wiązało się z tym kiedyś, że wymagane były ośmioznakowe hasła, musiały mieć cyfry, znaki specjalne, wielkie małolitary. To były wymagania prawne w polskim rozporządzeniu z 2004 roku. A poza tym trzeba było mieć politykę bezpieczeństwa, czyli tylko dokument. No i jeden jeszcze dokument, który opisywał charakterystykę w zasadzie bazy danych, całego zbioru danych, co u niektórych firm wiązało się z drukowaniem kilkuset stron, nic nieznaczących informacji. Natomiast dzisiaj sytuacja jest inna, bo podmioty różnego rodzaju są zobowiązywane do tak zwanego risk based approach, czyli podejścia opartego na ryzyku. I tutaj to podejście wymaga zupełnie innej strategii, czyli musicie ocenić ryzyko, następnie dla zidentyfikowanego ryzyka i zagrożeń musicie po prostu podjąć takie działania, czyli wdrożyć takie środki techniczne, organizacyjne, żeby po prostu rozwiązać różnego rodzaju problemy wynikające z zagrożeń. Więc to, że zostało wprowadzone RODO, to już bardzo dużo zmieniło. A kolejne grupy regulacji będą tylko dokładać do różnych obszarów wymagania w obszarze infrastruktury krytycznej, bankowości, ubezpieczeń itd. co wpływa na to, że ten poziom bezpieczeństwa będzie tak by default czy by design musiał być wyższy. Co wiąże się oczywiście z innymi problemami, bo niektóre podmioty, nie mówię, że wszystkie, mogą się zdarzyć takie, które będą poszukiwały po prostu rozwiązań prostszych, tańszych z uwagi, że bezpieczeństwo też kosztuje. i nie ma co tego ukrywać. Druga trudność jest taka, że podmioty, które będą startować później, będą miały bardzo wysoki próg wejścia w pewnym momencie, że być może to będzie prowadziło pośrednio do budowania różnego rodzaju monopolii. No bo trudno jest jednak sobie wyobrazić, że startujący podmiot nawet z pewnym kapitałem będzie w stanie z dużą łatwością wszystkie regulacje po kolei dobrze zaimplementować.

Andrzej: Takiej odpowiedzi nie oczekiwałem, ale takiej potrzebowałem.

Krzysztof: Wracam do hotelu i siadam do RODO.

Andrzej: Piotrze, z mojej strony to wszystko. Ja serdecznie dziękuję.

Krzysztof: Ja również dziękuję, to była naprawdę przyjemność wysłuchać ciebie.

Andrzej: Tak, Mądrego to miło posłuchać.

Piotr: Również bardzo dziękuję za zaproszenie.

Sprawdź pozostałe odcinki →

Obszary

Tagi

Assessment Podcast

Zobacz naszą ofertę

Zaciekawiła Cię tematyka tego artykułu? Oferujemy szkolenia i specjalistyczne usługi doradcze w zakresie cyberbezpieczeństwa. Zobacz, jak możemy pomóc Tobie i Twojemu zespołowi rozwinąć te umiejętności w praktyce!

Zobacz ofertę →