Mentionsy
Bezpieczny Kod Podcast
Bezpieczny Kod Podcast
21.05.2025 04:00

Cyberbezpieczeństwo w USA vs Polska: Różnice, AI i Rynek Pracy - BK x Maciej Markiewicz

W wyjątkowo gorącym kwietniowym dniu spotkaliśmy się z Maciejem Makriewiczem z Egnyte, aby zanurzyć się w szeroki i głęboki świat cyberbezpieczeństwa i porównać go z perspektywy firm w USA i w Polsce.Maciej podzielił się swoimi przemyśleniami po wystąpieniu na TEDx, mówiąc o niskiej świadomości zagrożeń związanych z rozwojem technologii, w tym AI, oraz o tym, dlaczego obecne metody szkoleń z cyberbezpieczeństwa bywają nieskuteczne. Andrzej natomiast opowiedział o swojej ostatniej, bardzo celowanej kampanii phishingowej, która do niego trafiła.Głębiej przyjrzeliśmy się różnicom w podejściu do cyberbezpieczeństwa w dużych amerykańskich korporacjach i polskich/europejskich firmach. Rozmawialiśmy o tym, czy bezpieczeństwo jest postrzegane jako wartość dodana do biznesu, czy raczej jako koszt, oraz jaką rolę odgrywa compliance (takie jak ISO 27001 czy SOC 2) w napędzaniu działań security, zwłaszcza dla mniejszych firm chcących współpracować z większymi graczami.Nie zabrakło dyskusji o wyzwaniach związanych z brakiem specjalistów ds. cyberbezpieczeństwa na rynku i potencjale wykorzystania AI i automatyzacji do wsparcia zespołów security. Zastanawialiśmy się, w jakich obszarach sztuczna inteligencja może realnie pomóc (np. w optymalizacji procesów, podsumowaniach), a gdzie jej możliwości są obecnie ograniczone (np. w pełnej automatyzacji modelowania zagrożeń). Poruszyliśmy też kwestię tego, jak AI może wpłynąć na działania atakujących.Na koniec odpowiedzieliśmy na pytania słuchaczy dotyczące praktycznych aspektów pracy dla firm z USA z Polski (kwestie prawne, dokumentacja, różnica czasu), znaczenia certyfikatów branżowych w rekrutacji w Polsce i za granicą, a także porównaliśmy zarobki w cyberbezpieczeństwie do wynagrodzeń programistów (Java, JavaScript) i inżynierów DevOps.TL;DR💸 Cyberbezpieczeństwo: USA vs. Polska/Europa (różnice w podejściu, wartość vs. koszt)🤖 Niska świadomość zagrożeń technologicznych (w tym AI) i nieskuteczne szkolenia security✅ Compliance (ISO 27001, SOC 2) jako element napędzający bezpieczeństwo (szczególnie w mniejszych firmach)🎣 Wpływ AI na cyberbezpieczeństwo (pomoc dla obrońców i możliwości dla atakujących: phishing, deepfake)🤔 Debata: Zastosowanie AI w modelowaniu zagrożeń - czy warto?🧐 Wyzwania związane z brakiem specjalistów ds. cyberbezpieczeństwa na rynku🌎 Praktyczne aspekty pracy dla firm z USA z Polski (zatrudnienie, różnica czasu, kwestie prawne)🏆 Znaczenie certyfikatów branżowych (CISSP, CEH) vs. doświadczenie zawodowe💰 Porównanie zarobków w security z innymi rolami w IT (programiści, inżynierowie DevOps)🔄 Krótko o ewolucji roli DevOpsaNie zapomnijcie zasubskrybować kanału!

AI Maciej Makriewicz LLM SAST Macieju Task'a MCP Ignite'a OWASPA Andrzej Warszawa Edward Snowden ETC Enterprise'ów Facebooka Andrzej Makriewicz

Szukaj w treści odcinka

Wyczyść
Znaleziono 12 wyników dla "LLM"

Tak to nie zadziała, ale to co zadziała i można spróbować robić to, to wydzielać trudne, czasochłonne części procesów, automatyzować to w sposób taki nazwijmy to tradycyjny, bez użycia LLM-ów, a tam gdzie, nie wiem, możesz przeprowadzić jakąś analizę i wygenerować jakieś podsumowanie,

Tam LLM całkiem dobrze się sprawdzi.

Czy w taki klasyczny, czy w wydaniu LLMO.

Ja postrzegam narzędzia z LLM i GenAI wszelkiego rodzaju jako narzędzie, które daje wsparcie do produktywności i w tym się całkiem dobrze realizują.

To tutaj świetnie, że zahaczasz o modelowanie zagrożeń, bo dla mnie to jest... Ludzie, którzy tutaj proponują używanie LLM-ów do modelowania zagrożeń, nie rozumieją fundamentalnie celu tego procesu.

Ten człowiek ma do dyspozycji LLM-a i on nie wie, od czego zacząć.

Znowu, w tym kontekście, nawet jeżeli LLM wygeneruje kontakt, który jest słabej jakości, to dalej jest to już do niego wartość dodana, bo startuje z zupełnie innego punktu i do innego punktu zmierza.

Do wniosku, że w zasadzie to ja mogę wykorzystać LLM-y do zbudowania modeli zagrożeń, więc w zasadzie to ja jestem w stanie zautomatyzować cały proces, więc w zasadzie to ja jestem w stanie w ogóle pominąć sesję modelowania zagrożeń, bo ja sobie je wygeneruję LLM-ami.

Jak najbardziej można używać LLM-ów,

Będzie to wymagało oczywiście mierzenia tego i jak każdy proces powinien być audytowalny, więc musi on być zaimplementowany w taki sposób, żeby był audytowalny, więc jeżeli zrobimy to w taki sposób, ok, LLM generuje komuś jakiś trend model i nic więcej się z tym nie dzieje,

Albo wprost sprawdzasz to, co wygenerowały LLMy i testujesz na końcu procesu developmentu, czy rekomendacje, które wygenerował LLM, były zaimplementowane.

Oczywiście to wymaga pracy i to nie jest tak, że wrzucisz LLM-a i on rozwiązuje proces modelowania zagrożeń.

Ostatnie odcinki