Mentionsy

Notatkę, linki i transkrypcję znajdziesz na PorozmawiajmyoIT.pl łamane na 307.

Spotkania jest porozmawianie o tym, jakie są zagrożenia obecnie związane właśnie z tą strefą cyber i jak możemy sobie z tym radzić, jak również jak wygląda praca osób, które na co dzień właśnie z tą branżą cybersecurity są związane.

To jest drugi motywator.

Trzecim motywatorem, jeśli chodzi o cyberzagrożenia, to jest ciągły wzrost znaczenia technologii w naszym codziennym życiu.

Wspomniałeś tutaj astronomiczną kwotę, można powiedzieć wycenę całej tej, w cudzysłowie, branży.

Takie najbardziej podstawowe, czy też najczęściej obecnie spotykane zagrożenia dla firm, które mogą faktycznie wpłynąć na ich działalność.

I jeśli chodzi o później zastraszenie czy ten szantaż, no to z jednej strony mówimy o odszyfrowaniu infrastruktury, a z drugiej strony bardzo często będziemy mówić o szantażu w ujawnieniu danych i potencjalnych ryzyka związanych albo z reputacją, albo z działaniami już regulatorów.

Jak powiem, potencjalnie możliwość dostania się na urządzenie ofiary.

Rozwojem, nazwijmy to automatyzacji, czy wykorzystaniem jakiś algorytmów opartych o sztuczną inteligencję jest automatyczne wykrywanie podatności w urządzeniach, systemach, które są bezpośrednio dostępne z sieci internet, czyli wystawione na potencjalne ataki i wykorzystywanie tego albo słabej konfiguracji, albo po prostu niezałatanych podatności.

Jakieś zagrożeń, też atakujących podmiotów, które są w stanie później dostać się do firmy, bądź też na jakieś osobiste komputery i pewnych szkód po prostu dokonać.

Ja wiele lat, prawie 12 lat pracowałem w branży lotniczej i tam też często się mówi o tej wielowarstwowej obronie, która każda z tych warstw, to jest tak zwany model Risona, tak jak trochę elementy zbudowane z sera, który ma dziury, każda warstwa ma dziury i dopiero kiedy mamy tych warstw odpowiednio dużo, to jesteśmy w stanie

Nie da się tym interfejsem białkowym, administratorem przysłowiowym, który będzie siedział i gapił się w logi, czy przeglądał raz na jakiś czas logi, wykryć potencjalnych zagrożeń.

Sprawdzenie, czy to jest false positive, false negative, czy rzeczywiście potencjalny incydent.

Czy na produkcji, czy w fabrykach, czy na przykład w lotnictwie.

Czyli technologie, które jednak odbiegają od klasycznego IT, mają inne interfejsy, inne protokoły połączeń, aczkolwiek powoli te światy zaczynają się zbliżać, natomiast nadal one są jednak od siebie odległe.

Wspomniałeś tutaj o tym, że kiedy faktycznie jest taka potrzeba, kiedy zachodzi sytuacja jakiegoś zagrożenia, to wszystkie ręce na pokład i wtedy trzeba działać sprawnie, trzeba działać szybko.

To nie są przyjemne sytuacje, no bo wtedy najpierw, wiadomo, walczymy z tym, żeby ograniczyć straty, je potencjalnie

Wielu przypadków, poza tym, gdzieś mamy z tyłu głowy, co się będzie potencjalnie działo po.

Szczególnie dla może niezwykłych pracowników bezpieczeństwa, natomiast już dla tych menadżerów, dyrektorów bezpieczeństwa, to mogą być skutki związane z potencjalnym utratą pracy, bo też szczególnie w takich głośnych wyciekach

Na pewno nie jest komfortowa, bo gdzieś z tyłu głowy trzeba mieć to, że nawet jeżeli wykonamy naszą robotę w 100% tak poprawnie dołożyliśmy tej należytej staranności, to nie da się zabezpieczyć wszystkiego i nawet nie da się nieraz mieć pełnej wiedzy o lukach, które posiadamy.

To może być komponent chmurowy, może być komponent OT, może być właśnie ten produktowy.

Tam jest największa rotacja, nieraz nawet dochodząca do kilkudziesięciu procent w skali roku.

Specjaliści od OT.

Tam, gdzie widzimy, przynajmniej ja widzę, możliwość zaadresowania czegoś, co będzie automatyzowało pracę, no to potencjalnie waga tych ról, czy ilość osób w ramach tych ról, nie będzie aż tak krytyczna w ramach organizacji.

Ryzyko, które trzeba brać pod uwagę, gdzie ta automatyzacja potencjalnie może ograniczyć potrzeby rynku.

W ramach każdej nowej technologii, każdej nowej specjalizacji będzie potrzeba ludzi do pracy na rynku.

Jeżeli zaczynamy, czy jesteśmy tym juniorem, to tak czy siak myślę, że w okolicach 10 tysięcy to są już te pensje, które potencjalnie możemy w większych firmach, znaczy mamy jakieś kompetencje, znamy się na czymś, to możemy sobie w tych obszarach rzeczywiście zażądać.

Więc pewnie planując swoją karierę warto właśnie uwzględnić tą specjalizację, skoro jest zapotrzebowanie, skoro jest potrzeba.

Nie chcę się źle wypowiadać o prawnikach, natomiast jeżeli spotykałem dziś na swojej drodze osoby,

Tutaj tak naprawdę, nie wiem, rok to już jest dużo, jeśli chodzi o potencjalne zmiany.

A jakie najczęstsze ścieżki wejścia właśnie na tej branży ty spotykasz wśród osób z twojego otoczenia?

w Stanach Zjednoczonych czy w Izraelu było już wiele lat temu realizowane, nawet jako takie kierunki rozszerzające czy przedmioty rozszerzające klasyczne kierunki technologiczne.

Rozumienie sieci, rozumienie protokołów, usług, rozumienie tworzenia, znowu przechodząc z sieci na np.

tworzenie kodu, to rozumienie jak wygląda proces tworzenia kodu, jak wygląda proces komitowania, jak wyglądają pipeline'y, gdzie mamy te gate'y potencjalnie poustawiamy.

Ale to będzie gdzieś tam mniej potrzebne.

Mówiłem trochę o tej ciekawości, no bo tutaj to stałe uczenie jest też tą kompetencją, czy tą umiejętnością, która... Ja jakbym zatrudniał, bym zwracał uwagę, tak, no bo bez tego tutaj ten brak rozwoju tej osoby w jakiś sposób będzie ograniczał potencjał zespołu i też będzie ograniczał, tak naprawdę zwiększał ryzyko, no bo jeżeli nie śledzimy i chcemy zastosować rozwiązania, które

Certyfikacje AIEC 62333, gdzie mamy różnych specjalistów do spraw bezpieczeństwa OT.

Mamy certyfikaty, które dotyczą pentesterów, czyli mamy klasyczne certyfikaty, nie wiem, CEH czy ofensywny haker, więc znowu branża jest dość mocno tutaj poszatkowana.

Nawet możemy popatrzeć na rozwój motoryzacji, tak jak kiedyś 20 lat temu każdy mógł sobie rozebrać samochód i spróbować go...

I rozwiązania smart, poza tym, że potrzebują komunikacji 5G czy 6G, czyli wysokiej sprawności sieci, to mamy też tę komunikację między sobą.

IoT.

Myślę sobie, że niezależnie od tego czy ktoś tutaj ze słuchaczy chce pracować w cybersecurity czy też nie, no warto tą branżę obserwować, ponieważ poniekąd dotyka ona każdego z nas, więc przynajmniej jakaś tam świadomość tych rzeczy, które się w tej branży dzieją jest myślę istotna.

Sebastian, bardzo Ci dziękuję za spotkanie i za tę rozmowę.

To link do Twojego profilu na LinkedIn będzie w notatce tego odcinka.

Jeszcze raz dzięki za to spotkanie.