Mentionsy
Bezpieczny Kod Podcast
Bezpieczny Kod Podcast
21.05.2025 04:00

Cyberbezpieczeństwo w USA vs Polska: Różnice, AI i Rynek Pracy - BK x Maciej Markiewicz

W wyjątkowo gorącym kwietniowym dniu spotkaliśmy się z Maciejem Makriewiczem z Egnyte, aby zanurzyć się w szeroki i głęboki świat cyberbezpieczeństwa i porównać go z perspektywy firm w USA i w Polsce.Maciej podzielił się swoimi przemyśleniami po wystąpieniu na TEDx, mówiąc o niskiej świadomości zagrożeń związanych z rozwojem technologii, w tym AI, oraz o tym, dlaczego obecne metody szkoleń z cyberbezpieczeństwa bywają nieskuteczne. Andrzej natomiast opowiedział o swojej ostatniej, bardzo celowanej kampanii phishingowej, która do niego trafiła.Głębiej przyjrzeliśmy się różnicom w podejściu do cyberbezpieczeństwa w dużych amerykańskich korporacjach i polskich/europejskich firmach. Rozmawialiśmy o tym, czy bezpieczeństwo jest postrzegane jako wartość dodana do biznesu, czy raczej jako koszt, oraz jaką rolę odgrywa compliance (takie jak ISO 27001 czy SOC 2) w napędzaniu działań security, zwłaszcza dla mniejszych firm chcących współpracować z większymi graczami.Nie zabrakło dyskusji o wyzwaniach związanych z brakiem specjalistów ds. cyberbezpieczeństwa na rynku i potencjale wykorzystania AI i automatyzacji do wsparcia zespołów security. Zastanawialiśmy się, w jakich obszarach sztuczna inteligencja może realnie pomóc (np. w optymalizacji procesów, podsumowaniach), a gdzie jej możliwości są obecnie ograniczone (np. w pełnej automatyzacji modelowania zagrożeń). Poruszyliśmy też kwestię tego, jak AI może wpłynąć na działania atakujących.Na koniec odpowiedzieliśmy na pytania słuchaczy dotyczące praktycznych aspektów pracy dla firm z USA z Polski (kwestie prawne, dokumentacja, różnica czasu), znaczenia certyfikatów branżowych w rekrutacji w Polsce i za granicą, a także porównaliśmy zarobki w cyberbezpieczeństwie do wynagrodzeń programistów (Java, JavaScript) i inżynierów DevOps.TL;DR💸 Cyberbezpieczeństwo: USA vs. Polska/Europa (różnice w podejściu, wartość vs. koszt)🤖 Niska świadomość zagrożeń technologicznych (w tym AI) i nieskuteczne szkolenia security✅ Compliance (ISO 27001, SOC 2) jako element napędzający bezpieczeństwo (szczególnie w mniejszych firmach)🎣 Wpływ AI na cyberbezpieczeństwo (pomoc dla obrońców i możliwości dla atakujących: phishing, deepfake)🤔 Debata: Zastosowanie AI w modelowaniu zagrożeń - czy warto?🧐 Wyzwania związane z brakiem specjalistów ds. cyberbezpieczeństwa na rynku🌎 Praktyczne aspekty pracy dla firm z USA z Polski (zatrudnienie, różnica czasu, kwestie prawne)🏆 Znaczenie certyfikatów branżowych (CISSP, CEH) vs. doświadczenie zawodowe💰 Porównanie zarobków w security z innymi rolami w IT (programiści, inżynierowie DevOps)🔄 Krótko o ewolucji roli DevOpsaNie zapomnijcie zasubskrybować kanału!

AI Maciej Makriewicz LLM SAST Macieju Task'a MCP Ignite'a OWASPA Andrzej Warszawa Edward Snowden ETC Enterprise'ów Facebooka Andrzej Makriewicz

Szukaj w treści odcinka

Wyczyść
Znaleziono 32 wyników dla "AI"

Pewnie zauważyliście, że ostatnio jakiś AI wyskakuje tam z każdej lodówki i tak dalej.

Wiadomo, pierwszy element, już pierwsza skucha wysłana z jakiegoś randomowego Gmaila, a podają się za kancelarię prawną, więc ktoś próbował mnie tutaj

Do Gmaila, bo te linki przechodzą do czegoś.

No i był link do tego, żeby zapoznać się z dowodami i znalezieniami w sprawie, tylko że cały mail był wysłany, tak jak powiedziałem, z maila na Gmailu, jeszcze takiego fejkowego, nawet wiecie, nie, imię, kropka, nazwisko Gmail, tylko jakaś nazwa totalnie wyciągnięta z czterech liter, a podawanie się za...

A dwa, i tak można sobie wsadzić takie powiadomienie na mailu, bo takie rzeczy się wysyła poleconym, bo tylko to ma moc prawną, a nie mailem.

Kupić bezpieczeństwo i dostosować, więc one chcą minimalizować koszty, więc dużo łatwiej jest im powiedzieć ok, zróbmy tylko te najbardziej bazowe rzeczy z SOCAS, ISO, zaimplementujmy sobie te procesy i jedziemy, a potem jakoś to będzie, no bo jeżeli chcemy to zrobić tak jak należy, czyli zacząć od budowania...

Pada decyzja, OK, musimy zoptymalizować koszty, bo te trzy feature'y teraz AI'a muszą przejść na wyższy priorytet.

Jak słyszałem, że AI tam pracę odbiera, to chyba... No to dobra, no to ile masz serwerów MCP zainstalowanych?

To ci ludzie mają zainstalowany MCP.

I trochę tu zażartowałem z tym AI-em, żeby zastąpił nam pracę, ale w sytuacji, w której faktycznie

I osobiście uważam, że do tego celu AI całkiem dobrze się nada, jeżeli chodzi o to, jak zoptymalizować procesy, które zjadają czas, a może niekoniecznie generują wartość.

Może niech AI ci przeczyta te dokumenty i zrobi podsumowanie.

To automatyzacja i wykorzystanie takich narzędzi jak AI, nawet biorąc pod uwagę to, że one nie są

Bo to nie chodzi o to, że masz wstawić AI i powiedzieć dobra, teraz zrób pentest, wyplujmy raport i wygeneruj tikety, bo to się nie wydarzy.

Ja postrzegam narzędzia z LLM i GenAI wszelkiego rodzaju jako narzędzie, które daje wsparcie do produktywności i w tym się całkiem dobrze realizują.

Ja do tego, co Maciej powiedziałeś, dodam od siebie, że rozumiem i nie rozumiem całą masę ludzi, która teraz wyszła i próbuje troszeczkę na siłę zaprzęgnąć AI w bezpieczeństwie tam, gdzie jeszcze chyba sobie nie radzi całkiem dobrze.

Te modele będą się działy, ale jeśli organizacja nie może zainwestować w zaimplementowanie tego procesu tak, jak powinien wyglądać i to samo się aplikuje do analizy statycznej, to realnie ten proces nie będzie działał, no bo trudno oczekiwać od osoby, która nie ma

Będzie to wymagało oczywiście mierzenia tego i jak każdy proces powinien być audytowalny, więc musi on być zaimplementowany w taki sposób, żeby był audytowalny, więc jeżeli zrobimy to w taki sposób, ok, LLM generuje komuś jakiś trend model i nic więcej się z tym nie dzieje,

Natomiast przechodząc do tego, o czym wspomniałeś, to jest jakby, otwieramy tutaj kolejną drzwi, no bo musimy jakoś mierzyć tą efektywność, więc znów, musisz, jeżeli będziesz projektował taki przykładowy proces modelowania zagrożeń w oparciu o elementy bazując na skali, to musisz mierzyć na wyjściu z procesu developmentu, czy te rzeczy zostały zaimplementowane.

Albo wprost sprawdzasz to, co wygenerowały LLMy i testujesz na końcu procesu developmentu, czy rekomendacje, które wygenerował LLM, były zaimplementowane.

Przy użyciu AI będzie widział powtarzające się patterny, bo one się tam dzieją, one się wydarzają.

AI będzie podsuwał te patterny, ucząc się na wcześniejszych przykładach i możemy przyjąć, że na podstawie tego, jeżeli...

I analogicznie w tym przykładzie, gdzie mamy dużą korporację i w skali wdrażamy takie modelowanie zagrożeń w oparciu o AI, będziesz miał tą sytuację z tym jednym QA inżynierem, zmultiplikowaną ileś razy i oni dalej będą uczyć się tego, że powtarzają się jakieś wzorce i być może kiedyś to oni będą mogli poprawiać ten proces albo powiedzieć,

Ten AI generuje bzdury, wyłączcie mi to, ja to będę robił sam, dostosuję się do tego, co tam było.

Powiedz mi, bo rozmawialiśmy teraz na temat tego, jak AI może nas wspomóc w pracy jako bezpieczeństwo, firmy w budowaniu bezpieczeństwa.

A jaka jest Twoja wizja na to, jak AI zmieni rynek atakujących?

Będą chciały oddać w ręce AI jakiś bardzo, nazwijmy to, sophisticated atak, żeby im to spieprzył, wiecie, godzinę, lata pracy, nie?

Oni mają AI.

Oni już nie dość, że mają komputery, to jeszcze mają AI.

Czyli... Z jednej strony mamy tą burzę, o, AI zabiera nam pracę, bo tutaj już zwalniają ludzi, bo zastępują AI.

Oczywiście, że to zmieni, jakby użycie samo AI i sam rozwój tej technologii dokłada nam nowe wektory ataków i nowe problemy, tylko że tak jak i z zastosowaniami tych AI, których jeszcze nie odkryliśmy, takich cudownych, jak byśmy chcieli, bo nie wiem, czy się ze mną zgodzicie, ale ja mam przeświadczenie, że dalej nie doszliśmy do tego, w czym to AI jest super dobre, to tak samo nie jesteśmy, nie odkryliśmy jeszcze pewnie tych zagrożeń, które gdzieś tam się będą pojawiać, nie?

Czy nam pomogło AI?

Ostatnie odcinki