Rozmowa Kontrolowana

Odcinek 94 - Maciej Ogórkiewicz

February 06, 2022 Adam Lange, Adam Haertle Season 1 Episode 94
Rozmowa Kontrolowana
Odcinek 94 - Maciej Ogórkiewicz
Show Notes Transcript

Gościem dziewięćdziesiątego czwartego odcinka podcastu Rozmowa Kontrolowana jest Maciej Ogórkiewicz, dyrektor działu bezpieczeństwa IT w ING Banku Śląskim.

Odwiedź stronę podcastu pod adresem live.zaufanatrzeciastrona.pl, zapisz się do newslettera i otrzymuj powiadomienia o nowych odcinkach Rozmowy Kontrolowanej.

Podcast jest dostępny:

Odcinek w wersji wideo można obejrzeć poniżej:

Wersja audio do odsłuchania jeszcze niżej.… Czytaj dalej

The post Odcinek 94 – CISO ING Bank Śląski, Maciej Ogórkiewicz first appeared on Zaufana Trzecia Strona.

AH: Dzień dobry, dzień dobry. Witamy was w dziewięćdziesiątym czwartym już odcinku Rozmowy Kontrolowanej, a mówią do was Adam Haertle oraz...

AL: Adam Lange, cześć.

AH: I dzisiaj nie będziemy tracić waszego czasu na jakieś ogłoszenia duszpasterskie, bo pewnie macie pieniądze w banku, a jak macie w banku, no to pewnie się zastanawiacie czy one są tak bezpieczne, gdybyście trzymali je pod swoim materacem. No i pomyśleliśmy, że to bardzo dobre pytanie dla osób, które mają pieniądze w banku i postanowiliśmy zaprosić kogoś z banku i przepytać po naszemu. Także dzisiaj naszym gościem jest dyrektor działu bezpieczeństwa banku ING Bank Śląski, Maciek Ogórkiewicz. Zapraszamy Maćka.

AH: Cześć Maćku.

AL: Cześć Maćku.

MO: Witam was bardzo serdecznie i wszystkich, którzy nas oglądają oraz tych, którzy będą nas słuchać, dobry wieczór.

AH: Mamy świadomego gościa, który wie, że nie wszyscy są na żywo, a niektórzy nas słuchają na przykład następnego dnia, biegając. Pozdrawiamy wszystkich biegaczy, którzy mają nas w tej chwili na słuchawkach. Maćku, tradycyjnie zaczynając nasz program, pytamy, jak się przedstawiasz? Jak ktoś się z tobą wita, co mówisz o sobie, czy mówisz dzień dobry, jestem dyrektorem, czy mówisz, ja tutaj jestem z bezpieczeństwa, jak to wygląda najczęściej?

MO: Najczęściej mówię, że pracuję w banku i razem ze swoim zespołem oraz wieloma innymi ludźmi dbamy o to, żeby było bezpiecznie. To znaczy, żeby nikt się nie włamał, żeby nikt nic z tego banku nie ukradł, ponieważ w tym banku są rzeczy, które ktoś nam powierzył. No i my staramy się spowodować swym codziennym działaniem, żeby było zapewnione cyberbezpieczeństwo oraz żeby bank był zgodny z różnymi regulacjami i to zawsze bardzo podkreślam, że to nie jest tylko moja zasługa, bo ja mam tą przyjemność i wielki zaszczyt pełnić rolę Chief Information Security Officera, czyli takiego człowieka, który odpowiada przed zarządem za całą strategię cyberbezpieczeństwa, ale przede wszystkim to jest wielka praca zespołowa i tak jak mówiłem, ludzi od ryzyka cyberbezpieczeństwa, z IT i biznesu z operacji, którzy naprawdę, każdy z nich dokłada jakąś tam cegiełkę do tego, żeby w banku było, mówiąc najprościej bezpiecznie.

AL: Ale zanim zacząłeś budować to całe bezpieczeństwo w banku, doszedłeś tutaj, gdzie jesteś. Musiałeś mieć jakieś swoje pierwsze początki. Pamiętasz, jaki miałeś pierwszy komputer?

MO: Oczywiście, że pamiętam. Co więcej, moja droga w tym miejscu, gdzie jestem i ta cała historia, która mnie tutaj przywiodła, no to ona jest naznaczona bardzo dużą ilością przypadków. Ja w ogóle nabijam się trochę sam z siebie, że jestem człowiekiem z przypadku i nic w życiu nie wyszło tak, jak chciałem. Może zaczynając od początku, będzie trochę kombatanckich opowieści. Moja taka młodość nastoletnia przypada na lata 90 ubiegłego wieku, już strasznie źle brzmi, ale jak sobie tak popatrzymy na to, o czym ja wtedy myślałem i kim chciałem być, no to ja najpierw chciałem być lekarzem, konkretnie chirurgiem, ale pani od biologii była taka ostra. Pani od chemii była taka trochę, nie bardzo dobrze umiała wytłumaczyć, więc ja się na tym profilu w liceum jakoś nie widziałem, ale fascynowała mnie matematyka i miałem dobrą panią od matematyki, więc poszedłem na profil matematyczny, więc to jedna z rzeczy, która mnie ukierunkowana. O informatyce wiedziałem wtedy tylko tyle, że coś takiego jak komputer istnieje, mianowicie pod koniec lat osiemdziesiątych moi koledzy z podstawówki od rodziców, którzy mieli dewizy, dostawali komputery. Zwykle to było Atari 65 lub Commodore 64. No i wtedy nikt to programowanie czy jakimś zastosowaniu informatyki do czegoś innego, jak tak zwane rozrywka, czyli granie,  no to nikt nie słyszał, więc do kolegi chodziło się głównie pograć, więc ja też chodziłem pograć. Nie umiałem grać, no bo oni grali godzinami, a ja tylko od czasu do czasu, więc to jest kolejny element. Natomiast kompletnie nie wiązałem z tym swojego życia. No i potem jak stwierdziłem, że to jednak nie medycyna i nie bycie chirurgiem, to stwierdziłem, że zostanę pilotem wojskowym i gdzieś tam zacząłem, bo bardzo się tym też interesowałem. Stwierdziłem, że pójdę właśnie do Szkoły Orląt w Dęblinie i wszystko robiłem, żeby tam pójść. No ale niestety, na wf-ie się przewróciłem, zwichnąłem staw łokciowy, no i niestety wykluczyło mnie to zupełnie z tej rywalizacji, więc kolejna rzecz mi w życiu nie wyszła. No i tak się zacząłem zastanawiać, co ze sobą w ogóle zrobić. Byłem dobry z matmy, byłem dobry z fizy. W rodzinie było trochę inżynierów, więc stwierdziłem, że pójdę na Politechnikę Śląską, ale też nie za bardzo miałem na to pomysł. Zastanawiałem się, może budownictwo, może coś innego. No ale gdzieś w ręce wpadł mi PC Kurier, była taka gazeta. No i tak otworzyłem ten PC Kurier i zacząłem przeglądać tam takie, jakieś kawałki kodu były, nic z tego kompletnie nie rozumiałem. Trochę otarłem się o taką, powiedzmy, naukę informatyki w liceum. Tam były komputery PC, więc coś tam się robiło w Nortonie Commanderze oraz jako szesnastolatek zaczynałem pracę w katowickiej firmie, która była firmą informatyczną. Być może ktoś pamięta, ale już chyba nie ma, nazywa się 2SI, czy wcześniej ona się podzieliła takiej z firmy Techmex. Ja tam wykonywałem odbitki ksero też takie wielkoformatowe, ale tam byli ludzie, którzy coś robili na jakichś takich maszynach Compaxa, był jakiś Windows 95. No ja zaczynałem tam jako taki młody, szesnastoletni chłopak kręcić koło nich. No i tak te dwie rzeczy, czyli ten zakupiony PC Kurier przez przypadek, bo nie miałem co czytać i ci ludzie z tej firmy spowodowały, że zacząłem myśleć, a może iść na Wydział Automatyki Elektroniki i Informatyki? Jako anegdotę, jak przedstawiał się wtedy marnie mój poziom wiedzy na temat tego, czym informatyka w ogóle jest, mogę przytoczyć taki przykład, że gdzieś tam w tym PC Kurierze wyczytałem, że jest coś takiego jak Assembler i tam była taka wzmianka, czym jest Assembler, że Assembler to jest język niskopoziomowy, wewnętrzny procesora. No i to zapamiętałem, tam mi się gdzieś tam wbiło w korę mózgową. Natomiast na lekcji informatyki przez przypadek przycisnął sobie F3 na pliku exe, czyli podgląd, takie haszcze, karta, taki XXX wyskoczył. Ja wtedy sobie wyobraziłem, jakim to trzeba być przegościem, żeby pisać w takich haszczach, nie, przecież to w ogóle. Nie wiedziałem wtedy, że jest coś takiego jak kompilator, linker i tego typu. No ale słowo rzekło, architektura, informatyka oraz telekomunikacja były w tych czasach jedynymi miejscami, gdzie trzeba było zdać egzaminy, więc przygotowałem się do tych egzaminów, przygotowywałem się bardzo solidnie, no i udało mi się zdać i dostałem się na Wydział AEII, to był wielki sukces. No i było fajnie, były długie wakacje, potem zaczął się pierwszy października, wykład inauguracyjny, który był o kierunku rozwojów mikroprocesorów jednego z docentów. On był bardzo ciekawy, bo to były czasy Pentium. Pentium Pro wtedy weszło i w ogóle było super. Ja już trochę uzupełniłem wiedzę na ten temat, właśnie czytając różnego rodzaju literaturę gazetową, więc troszeczkę bardziej się zorientowałem niż w czasach przyciśnięcia F3. No, a potem były pierwsze zajęcia z programowania i jako chyba jeden z niewielu chłopaków w ogóle po liceum, które z tym nie miało za wiele do czynienia, no przeżyłem szok termiczny, jak pan kazał mi na zajęciach, na ćwiczeniach pierwszych zapisać w pseudo kodzie rozkład trójmianu kwadratowego. Ja nie widziałem w ogóle, co to jest pseudokod. No i zaczęło być wtedy tak mniej przyjemnie, bo dla mnie zaczęła się trochę walka o przetrwanie. Przypominam, że pierwszego semestru powtarzać nie można, więc ja byłem w ogóle paradoksem, dlatego że wszyscy inni mieli problem z analizą matematyczną, z algebrą, fizyką, ja kompletnie nie. Ja nie rozumiałem, co to jest w ogóle Turbo Pascal, jak w tym pisać i o co w tym wszystkim chodziło, więc moja ciocia, u której wtedy mieszkałem, zorganizowała mi takiego swojego znajomego, który usiadł ze mną na jeden wieczór i pokazał mi w ogóle, o co chodzi, jak w ogóle pisać program, jak go skompilować, co trzeba mieć. No i tak się zaczęło. Razem z drugim kolegą, potem po pierwszym kolokwium i po drugim okazało się, że jest nas trochę więcej w tym samym stanie, w którym ja, ale oni się wtedy nie przyznali, ale ja sumiennie chodziłem na konsultacje. To były takie romantyczne czasy, że pisało się programy na kartce, po prostu papieru i to się zanosiło prowadzącego do sprawdzenia. No i tak dojechałem do pierwszego semestru do końca. Dwa pierwsze kolokwium nie poszły zbyt dobrze, trzecie się jakoś udało. Tak się zawziąłem, że z egzaminu już dostałem piątkę, a po przerwie semestralnej, czyli w lutym już programowałem obiektowo, no i tak się zaczęło i potem to wzbudziło we mnie taką chęć nadrobienia tego wszystkiego, tych straconych lat, że wydaje mi się, że trochę robiłem więcej niż inni. Stało się to moją pasją i takim sensem życia. No i tak tutaj jestem trochę z przypadku i trochę dlatego, że mi nie wyszło.

AH: Jesteś tak naprawdę przez łokieć.

MO: Przez łokieć, tak.

AL: A już wiesz, co to trąbka znaczyła w podglądzie?

MO: Nie, ale po podcaście sprawdzę.

AL: Wszyscy sprawdzają po podcaście, co zobaczył a nasz gość pod F3, patrząc na plik binarny i to była trąbka.

MO: Tam są dwie rzeczy, trąbka i chyba jakaś karta z asem kier, to pamiętam do tej pory. Proszę sprawdzić.

AH: Jeżeli ktoś z głowy jest w stanie napisać kody hex, to prosimy się pochwalić. Nie wątpię, że ktoś z naszych słuchaczy wie. Maćku, właśnie zwróciłeś uwagę na rzecz, którą ja chciałem powiedzieć. Ja miałem dużo kolegów na Politechnice Śląskiej, bo jesteśmy z tej samej okolicy i oni zawsze strasznie stękali o tę matematykę, analizę i tak dalej, i tak pomyślałem sobie, chyba byłeś jednym z tych, którzy nie stękali, a potem zacząłeś mówić o programowaniu i zrozumiałem, że miałeś dokładnie ten sam problem, tylko w innym wymiarze. Musiałeś się nieźle odcinać od reszty towarzystwa, ale zakładam, że jakiś handel wymienny wiedzą też mógł odchodzić, bo zawsze ktoś, kto zna tą matematykę, się przydawał na tych studiach.

MO: Tak, więc jakoś się dzieliliśmy, to znaczy, ja ogarniałem kwestie analizy matematycznej i algebry, czasem fizyki. Natomiast koledzy, niektórzy z nich już po technikach niektórych bardzo reprezentowali wysoki poziom. Był człowiek, który napisał razem z drugim kolegą książkę taką z programowania, byli ludzie, którzy byli uczeni w technikach przez autorów pierwszych książek na przykład o C++ i niektórzy, jak napisali kawałek kodu, no to na mnie to robiło ogromne wrażenie, że można tak pisać. No i to wzbudzało we mnie jeszcze większą chęć do równania do takiego poziomu. No i takiej pracy, którą ja musiałem wykonać, żeby w ogóle zbliżyć się, czy otrzeć się o to, co oni sobą reprezentowali. Natomiast tak, ja miałem inaczej niż, oni mieli z innych przedmiotów, a ja miałem z programowania, powiedzmy, z projektowania urządzeń cyfrowych też, to była dla mnie nowość.

AH: To nas zbliża do kolejnego pytania, bo po pierwsze chciałem powiedzieć do naszych słuchaczy, że Maciek jest żywym dowodem na to, że można zacząć zajmować się tematem zmuszonym na pierwszym semestrze studiów, na które się dostało, bo się znało trochę innych obszarów, więc nie trzeba mieć komputera od dzieciństwa i spędzać przy nim wielu godzin, choć to bez wątpienia pomaga potem, ale pytanie fundamentalne brzmi, bo akurat w twoim wypadku rozumiem, że te studia pozwoliły ci pojąć rzeczy, których nie znałeś, a wielu twoich kolegów ówczesnych już to wszystko wiedziało. Ale czy ta wiedza, którą zdobyłeś na studiach w praktyce, ci się zawodowo przydała, czy tak naprawdę i tak musiałeś się potem wszystkiego sam w życiu zawodowym nauczyć?

MO: W moim przypadku było tak, że studia pozwoliły mi zacząć tą przygodę z informatyką, natomiast szybko okazało się, że z punktu widzenia zawodowego to, co ja dostawałem na studiach, nie wystarczało mi. To polegało na tym, że program był tak skonstruowany, że Wydział Automatyki Elektroniki Informatyki składał się z trzech kierunków, czyli informatyka, automatyka, robotyka i telekomunikacja, i przez trzy lata mniej więcej wszyscy robili to samo, czyli były właśnie dużo elektroniki, dużo różnych takich przedmiotów, które były trudne i wymagające, ale niekoniecznie miały związek z programowaniem, administrowaniem i tak dalej, więc ja mniej więcej po pierwszym semestrze zacząłem szukać pracy, to znaczy studiowałem dziennie, ale też trochę, żeby gdzieś tam sobie pomóc budżetowi. Tak się złożyło, że znajdowałem prace gdzieś tam w okolicach jakichś zajęć informatycznych i tak naprawdę równolegle ze studiami, nie udawało się po prostu nabierać zawodowego doświadczenia. W związku, z czym po latach ja mam taki pogląd na sprawę studiów, że studia warto mieć, bo one się przydają, chociażby, dlatego że w procesach rekrutacji są wymagane, ale moim zdaniem z informatyki, czy z programowania, czy z bezpieczeństwa trzeba uczynić pasję swojego życia i robić po prostu coś obok. Fajnym pomysłem jest rozwój poprzez pracę, bo wtedy, jeżeli jesteśmy w dobrym miejscu, mamy kontakt z innymi ludźmi, którzy są praktykami, ten progres jest bardzo szybki i ja na przykład miałem do czynienia z takim kolegą, który kiedyś brał udział w procesie rekrutacyjnym i był deweloperem, to był chłopak, który świeżo skończył technikum. Natomiast on reprezentował tak wysoki poziom w Javie, po prostu przez swoją pasję taką, którą po prostu uprawiał równolegle, ucząc się w technikum, że on był gotowym deweloperem, który mógł usiąść i mógł po prostu razem z innymi ten kod pisać. Miał bardzo dużą wiedzę i doświadczenie mimo młodego wieku jak dla mnie aż zadziwiającą. Natomiast my go trochę zmobilizowaliśmy do tego, żeby on nie poprzestał tylko na tym wykształceniu średnim, chociaż kompetencje miał i żeby zrobił studia zaoczne wtedy, po prostu, żeby je mieć, dlatego że to otwiera pewnego rodzaju horyzonty. No i też jest inna rzecz, która jest warta wspomnienia, to są też jakie studia, bo generalnie powiedziałem o swoich przemyśleniach na temat szkół wyższych i kształcenia wyższego tutaj na rynku polskim. Natomiast jeżeli mówilibyśmy o takich uczelniach jak na przykład Politechnika w Zurichu, czy MIT, czy Stanford, czy Caltech, to są studia, na które ja bardzo chętnie nawet bym poszedł w obecnym wieku i czegoś się na pewno więcej dowiedział, bo to są takie ikony studiów wyższych.

AL: Jak studiowałeś, to jeszcze nie było czegoś takiego jak cyberbezpieczeństwo, jak dobrze pamiętam te czasy. Pewnie nie było też w ramach przedmiotów, które studiowałeś nawet wzmianki o cyberbezpieczeństwie, bo ten temat dopiero się rodził. W twoim przypadku, kiedy złapałeś tego bakcyla, kiedy poczułeś, że cyberbezpieczeństwo to jest coś, co chciałbyś robić w życiu?

AH: O ile chciałbyś.

AL: Czy to też był przypadek? Właśnie, czy to też był przypadek?

MO: To też był przypadek. Mianowicie, to były czasy, pewnie od dzisiaj mamy taki początek, bardzo dużo kombatanckich opowieści, jak widać, ale to są takie miłe początki moje, więc fajnie będzie do nich wrócić. To były czasy, kiedy ludzie z nieco bardziej zaawansowaną wartością w numeru PESEL pamiętają, żeby dostać się do internetu, to trzeba było skorzystać z takiego numeru 0202122, tam był taki charczący modem, no i z zawrotną prędkością 33 kilo, czasem może nawet 56 czy 7, można było coś zobaczyć w internecie. Pod warunkiem, że mama w tym czasie, ktoś nie odebrali telefonu. No i było takie miejsce, do którego wszyscy studenci Politechniki chcieli się dostać, a mianowicie to był akademik i nie dlatego, że niedaleko mieszkali i nie dlatego, że mieli trudny dojazd tylko, dlatego że tam był internat 100 megabitów, więc to powodowało, że dostać się do akademika, no to było marzenie każdego i wszyscy robili przeróżne sztuczki, żeby po prostu tam zamieszkać. Nieważne było jak, nieważny był komfort, ważny był ten kabelek, który wystawał ze ściany i możliwość podłączenia swojego peceta. No, a że tam była też sieć, było też kilku kolegów, którzy byli a - trochę starsi i trochę więcej wiedzieli i b - było tam duże nagromadzenie ludzi, którzy zajmowali się technologią IT i nie tylko na metr kwadratowy było dość spore, więc oni mieli świadomość istnienia pewnych luk w Windowsie 95, 98 w protokole NetBIOS, którym robili różnego rodzaju żarty. No najprostsze i chamskie to było wywalenie komuś komputera z bluescreenem, ale w moim przypadku zaczęli sobie robić takie żarty, typu odpalali mi co, ja nie wiedziałem w ogóle, co się dzieje, ja myślałem, że komputer mi się zepsuł i tak dalej. Trochę mi zabrało czasu, żeby zrozumieć, co jest w ogóle grane, ale to spowodowało, że nie spodobało mi się to, że ktoś chodzi mi tutaj po moim komputerze i zacząłem się tym interesować, znowu trochę przez przypadek. No to jest jeden aspekt, drugi aspekt był taki, że tak, jak powiedziałem, zacząłem gdzieś tam się kręcić koło jakichś różnych zajęć informatycznych, więc zacząłem coś tam pisać, czymś niewielkim administrować.  No i zaczęło mnie interesować to, jak to właśnie zabezpieczyć, jak spowodować, żeby się nie dało dostać się na serwer, który ja zarządzam, jak spróbować zabezpieczyć kod, który napisałem. To spowodowało, że gdzieś tam trafiłem na listę bug track na przykład. No, a potem to już zacząłem patrzeć takimi maślanymi oczami w kierunku panów po nazwiskach jak Michał Zalewski czy Przemysław Frasunek. Ja też chciałem być jak Michał Zalewski, jak i lub Przemysław Frasunek, ale mi się nie udało. Natomiast to spowodowało, że poczułem, że ta dziedzina to jest coś bardzo, bardzo atrakcyjnego. Raz, że jest ona niezwykle wymagająca moim zdaniem intelektualnie, dlatego, żeby znaleźć lukę, napisać shellcoda to trzeba w tym czasie, nie było takiej dostępności materiałów. To znaczy, to trzeba było, jakby mówiąc językiem młodzieżowym, rozkminić samodzielnie, no i nauczyć się tego i umieć się tym posłużyć. Zatem to była taka raz - wiedza trochę tajemna, coś, co mnie osobiście dawało bardzo dużo satysfakcji. No i taka kolejna pasja czy taki obszar, który ja chciałem zgłębić. No i dalej już poszło w tym kierunku. Od tej pory te dziedziny, bo kiedy ktoś popatrzy na to, jak moja kariera się kształtowała, no to byłem takim człowiekiem z IT, ale gdzieś tam zawsze ten pierwiastek bezpieczeństwa miał miejsce.

AL: Muszę się dopytać, bo wspomniałeś o venglinie, którego pozdrawiamy i lcamtufa również, może kiedyś nas odwiedzą. Każdy w akademikach w tamtych czasach IRC-ował, IRC-owałeś?

MO: Tak, ale ja nie byłem takim IRC-ownikiem, mówiąc wprost, zapamiętałem, bo miałem takich paru kolegów, którzy przez granie i IRC-a musieli powtarzać rok, więc u mnie nie rozwinęło się to w tą stronę. Aczkolwiek tak, siedziało się na IRC-u i nawiasem mówiąc, jakieś tam znajomości człowiek wtedy mógł bardziej wirtualne nawiązać, ale to był dla mnie właśnie taki świat bardzo nowy, tajemny. Nie było tym książek, trzeba do wszystkiego dojść samemu. No i taki okres naukowo, mocno romantyczny (XXX), rzekłbym, więc fajna sprawa.

AH: Maćku, nie będziemy szli przez całą swoją historię zawodową, bo nie mamy aż tyle czasu w naszym programie, a tych stanowisk po drodze zajmowałeś sporo. Zaczynały się od administratora, pracowałeś u integratora, w końcu wylądowałeś w banku, w którym przeszedłeś też w zasadzie chyba całą możliwą ścieżkę, nad tobą to już tylko prezes. Jak tak popatrzysz wstecz na te swoje doświadczenia wszystkie stanowiska i rzeczy, które na nich robiłeś, jak myślisz, co tak najbardziej zadecydowało o tym, że dzisiaj możesz powiedzieć, dzień dobry jestem CISO, co dało największy wkład w to, co najbardziej ci pomagało w dojściu do dzisiejszej pozycji?

MO: Według mnie dwa takie okresy w życiu. Pierwszy okres to jest praca kilkuletnia w takiej krakowskiej firmie, która była integratorem głównie systemów sieciowych. Firma nazywa się Solidex, już w tej chwili niestety w likwidacji z tego, co słyszałem, ale tam tak naprawdę praca tam ukształtowała mnie, jeżeli chodzi o moje kompetencje technologiczne. Kontakt z takim prawdziwym IT, byciem po stronie dostawcy różnego rodzaju usług. Przede wszystkim tam miałem okazję spotkać ludzi, którzy dużo wiedzieli i to bardzo dało mi taki mocny boost do tego, żeby po prostu się dużo uczyć i zdobywać doświadczenie. A druga rzecz, która też odcisnęła takie głębokie piętno na moim życiu zawodowym i w zasadzie też pchnęła mnie bardzo mocno do przodu, to jest już okres pracy w ING. Bezpośrednio przed pracą jako CISO Banku Śląskiego. To jest praca w takiej firmie, która nazywała się ING Services Polska. W tej chwili to jest ING Business Shared Services i tam miałem okazję budować w zasadzie zera, wspólnie z moimi koleżankami i kolegami globalne centrum usług bezpieczeństwa dla Grupy ING. Zaczynaliśmy, ja byłem piąty w zespole. Nie wiedzieliśmy o tym za wiele, jak takie rzeczy się robi. Kiedy wychodziłem stamtąd w 2017 roku, było nas takich ludzi od cyber około 350, więc przez te lata udało się zbudować bardzo duży serwis monitoringu bezpieczeństwa, skanowania podatności, serwisy pentestingu i wiele, wiele innych rzeczy i dostarczaliśmy to dla no w zasadzie wszystkich krajów, czyli jak ktoś popatrzy na mapę zasięgu grupy ING, to zobaczy, że jesteśmy od Australii, przez Azję, aż na obu Amerykach kończąc, więc to było takie zawodowo coś chyba największego, gdzie miałem okazję współpracować. Natomiast dużo takiego doświadczenia z bankowości, bo ta wspomniana spółka ING to było coś, co było schowane za frontem banków, ponieważ my wykonywaliśmy dla nich różnego rodzaju serwisy, między innymi dla Banku Śląskiego. Natomiast taki moment, który otworzył mi oczy i też spowodował, że bardzo dużo się nauczyłem i dowiedziałem, zupełnie od innej strony, od strony biznesowej, no to już praca w Banku Śląskim, gdzie jest prawdziwy klient. Ten klient wolumenowo jest duży, bo mówimy o milionach klientów, jeżeli mówimy o klientach detalicznych, setki tysięcy klientów korporacyjnych. Duży wolumen, prawdziwi cyberprzestępcy, regulacje i ogromny biznes, ale też skomplikowane systemy IT, które trzeba zabezpieczyć.

AL: Maćku, porozmawiamy o ING, teraz przejdziemy do tego tematu. Powiedz nam, o  czym musi myśleć CISO w banku ING. Jak się buduje bezpieczeństwo w banku, czy takie budowanie bezpieczeństwa banku jest inne niż budowanie bezpieczeństwa w innych instytucjach, jeżeli tak to dlaczego jest inne, co jest takiego fajnego w budowaniu bezpieczeństwa banku?

MO: Dla mnie to, co urzeka mnie w byciu w banku, to jest to, że przede wszystkim mamy do czynienia z biznesem o bardzo dużej skali, realnym klientem i wyzwaniami związanymi z obsługą tego klienta, ale również z wyzwaniami samych poszczególnych klientów, którzy np. weszli w jakieś kłopoty. Kolejna rzecz jest taka, że systemy są duże, skomplikowane, powiązane często z innymi podsystemami, jest dużo dostawców, więc jest tam naprawdę sporo do roboty i trzeba pamiętać jeszcze o jednej rzeczy, że bankowość jest chyba obok rynku energetycznego i telekomunikacyjnego najbardziej regulowanym, również w kontekście cyberbezpieczeństwa rynkiem w naszym kraju i trzeba spełnić naprawdę mnóstwo wymagań regulacyjnych, prawnych, żeby móc działać i posiadać licencję bankową. Teraz to budowanie bezpieczeństwa polega na tym, że my musimy starać się wymyśleć, bazując na najlepszej wiedzy tego, co nam podpowiada taka nasza bezpiecznikowa intuicja, musimy wymyśleć sytuacje, które mogą się zdarzyć. To jest bardzo trudne, no bo my nie wiemy co nam ktoś, mówiąc kolokwialnie, wykręci i budowanie tak systemu zabezpieczeń w sposób, który spowoduje, że my będziemy w stanie albo się obronić przed różnego rodzaju atakami, albo przynajmniej zwiększyć szanse tego, że ich zauważymy lub jeżeli coś się złego stanie, to będziemy w stanie zawęzić te skutki lub zasięg tego ataku do niezbędnego minimum, dlatego że IT powstawało przez wiele lat w sposób taki, że najpierw wszyscy myśleli o tym, żeby to zadziałało, a dopiero potem, jak już to zadziałało, to zostało zrobione, to przyszedł ktoś i powiedział, że w sumie trzeba byłoby to zabezpieczyć. No i potem dochodzi do takich różnego rodzaju zgniłych kompromisów w różnego rodzaju protokołach, na przykład, które są stosowane w internecie. No i na bazie tego, co jest, trzeba to jakoś zabezpieczyć, no więc wtedy wchodzą różnego rodzaju ludzie, którzy mają wiedzę i doświadczenie, i wiedzą trochę, jak działają nasi przeciwnicy i co złego może się przytrafić. No i wspólnie staramy się to zabezpieczyć. Ja często, jeżęli jestem pytany o to, jak się budujesz, jak powinno się budować bezpieczeństwo takiej dużej firmy, to używam takiego porównania, że buduje się tak, jak byśmy się ubierali w zimę, to znaczy na cebulkę. To znaczy, lepiej jest wsadzić dwadzieścia ciepłych podkoszulków z długim rękawem niż jeden bardzo długi kożuch. W przypadku tego pierwszego jest szansa, że nie zmarzniemy aż tak mocno, w przypadku nawet grubego kożucha będą tam zbyt duże i obszerne rękawy, przez które będzie nas zimne powietrze dotykało, więc trzeba po prostu budować warstwowo, czyli jedna warstwa chroni drugą warstwę. Jedna warstwa odpowiada za to, że my jesteśmy w stanie, nawet jeżeli nie jesteśmy w stanie ograniczyć, to przynajmniej zauważymy atak. Dużo różnego rodzaju rozwiązań nawet może nie stuprocentowo skutecznych, ale nawzajem się w miarę uzupełniających.

MO: Natomiast mówimy o narzędziach, czy powiedzmy o architekturze. Natomiast kluczem do budowania bezpieczeństwa są świadomi ludzie w organizacji, którzy mają po prostu umiejętności. To jest rzecz, która jest nieoceniona. Nie da się zrobić, nawet jeżeli będziemy mieli super wielki budżet i super narzędzia, to bez ludzi, którzy będą utrzymywać, którzy będą nadążać za trendami, którzy będą dbali o to wszystko i nadal codziennie będą próbowali wymyślać sytuacje, które mogą się nam przytrafić, to nie ma sensu i to jest jedna rzecz, czyli ludzie od bezpieczeństwa. Ale weźmy pod uwagę, że bardzo dużo też osób odpowiada czy to za budowę, za development, czy za utrzymanie systemów informatycznych. Są ludzie z biznesu i te osoby też muszą wiedzieć. Ja zacząłem nasze spotkania od tego, że powiedziałem, że wspólnie z innymi budujemy bezpieczeństwo, dlatego że to nie jest gra pojedyncza, to jest gra zespołowa i o tym trzeba bardzo pamiętać, to zawsze podkreślam i podkreślał będę, że bez kompetencji, bez wiedzy, bez takiej trochę pasji w działaniu no nie będzie dobrych rezultatów.

AH: Maćku, mówiłeś teraz o tej stronie technologiczno-ludzkiej, ale mechanizmów bezpieczeństwa, które budujecie po stronie banku, natomiast odpowiadasz też za tą stronę bezpieczeństwa środków klientów, za ten obszar nadużyć finansowych popełnianych przeciwko waszym klientom i tutaj mam takie pytanie ze swojej perspektywy, bo jeszcze dwa lata temu jakby mnie ktoś zapytał, to bym mówił, no coraz bardziej zaawansowane technologicznie te ataki na klientów banków, coraz lepsze te podrobione strony, coraz lepsze te mechanizmy automatyzujące wręcz te ataki, a tu znienacka w zeszłym roku okazuje się, że jednak przestępcy przestali iść w stronę rozwoju technologii i idą bardziej w stronę socjotechnik i trywialnymi stronami, formularzami w HTML-u napisanymi przez sześciolatki, są w stanie wyłudzać dane do kart płatniczych i SMS-ów, są w stanie nakłaniać ludzi do fałszywych inwestycji, po prostu dzwoniąc do nich i mówiąc im, proszę nam zainstalować AnyDeska, a potem kradną i pół miliona z konta, po prostu mówiąc do nich. Nie mamy tutaj tych aspektów technologicznych tak zaawansowanych, mamy niesamowicie zaawansowane aspekty socjotechniczne, czego nie mieliśmy wcześniej na taką skalę. Czy z punktu widzenia osoby, która stara się zatrzymać jakoś te pieniądze klientów jednak w banku i na ich kontach, czy masz tutaj jakiś pomysł, czy w ogóle da się to jakoś powstrzymać, czy jest tu jakieś pole do działania dla banków, nie wiem, poza edukacją, czy wy jesteście w stanie uratować czasem klientów przed nimi samymi? Bo to czasem do tego dochodzi, że klient bardzo chce wysłać pieniądze przestępcy, a wy jednak nie chcecie, żeby te pieniądze do przestępców trafiały. Co robić?

MO: No tutaj dotknąłeś Adamie takiego miejsca, które wydaje mi się, na nim będziemy musieli trochę dłużej skupić. Zacznijmy od tego, dlaczego ten trend się zmienił? To znaczy według mnie cyberprzestępcy, to są osoby, czy organizacje, które są nastawione na duży zysk, dużą monetyzację, ale stosunkowo małym kosztem. To znaczy, dalsze cyzelowanie technologii w momencie, kiedy po drugiej stronie ma się dość dużego przeciwnika, czyli banki, które właśnie raz, że od lat wielu inwestują w bezpieczeństwo, mają ku temu budżety, mają ludzi i jakieś strategie, i pomysły na działania, zaczęło być dla nich, moim zdaniem, trochę trudne. To znaczy, znajdowanie poszczególnych luk, jakichś prostych myków, które spowodują, że ta monetyzacja będzie dla nich zadowalająca. Moim zdaniem tutaj to przystało grać, przestało się zazębiać. Zatem według mnie cyberprzestępcy i takie organizacje poszły bardziej w kierunku wykorzystania możliwości tam, gdzie jest łatwiej, czyli łatwiej jest wzbudzić w ludziach atmosferę strachu, obawy, wykorzystać ich naiwność i zacząć używać lepiej dopracowanych metod socjotechnicznych. Po pierwsze, dlatego że to jest łatwiejsze, tańsze i daje, jak widać bardzo duże rezultaty. Kiedy popatrzymy na cały sektor, ilość tych przestępstw rzeczywiście wzrasta i mnie się wydaje osobiście, to jest mój pogląd, że banki, już jako banki jako sektor nie są w stanie skutecznie temu przeciwdziałać już w pojedynkę.

MO: To, co jest potrzebne, to przede wszystkim dalsze budowanie systemu cyberbezpieczeństwa, ale nie odporności, powiedzmy, na włamania, czy na incydenty względem tych powiedzmy instytucji, które są uczestnikami tego systemu, ale zbudowanie takiego narodowego systemu antyfraudowego, na który składałoby się przede wszystkim ze współpracy firm i różnych sektorów, ponieważ tak, jak teraz widzimy, gros przestępstw polega na voice phishingu, czy vishingu, tak że wykorzystaniu słabości sieci telekomunikacyjnych i podmianie parametru caller ID, który powoduje, że ludziom na telefonach wyświetlają się numery z banku, chociaż bank do nich nie dzwoni, to jest jedna rzecz. Kolejna rzecz, czyli zabezpieczanie takiego od początku do końca, ale wciągnięcie do zabawy również przedstawicieli innych sektorów gospodarki, to jest jedna rzecz. Druga rzecz to jest stworzenie takich ram prawnych, które umożliwiłyby pod pewnymi warunkami szybką i sprawną wymianę informacji prawnie chronionych. Banki są zobligowane do zachowania bezwzględnego zachowania tajemnicy bankowej i my nie możemy na przykład udzielać pewnych informacji, bez odpowiednich ram prawnych współpracując z innymi podmiotami, na przykład spoza bankowości, żeby tym przestępstwom przeciwdziałać i trzecia rzecz, moim zdaniem bardzo ważna, która chyba jest tym miejscem, gdzie mamy podstawowy problem, to jest świadomość i wiedza użytkowników. To znaczy, banki nawet robiąc świetne kampanie awarenessowe w telewizji, nie są w stanie napełnić ludziom głów tym, co może im się przytrafić. Tu potrzeba jest takiej narodowej kampanii, trochę ja tutaj często wykorzystuje takich analogii ze światem zdrowia. To znaczy, są programy prozdrowotne programy, które mówią ludziom, nie pal, nie pij, nie skacz do wody, jak nie wiesz, jakie jest dno. Dokładnie taki sam program trzeba stworzyć dla ludzi w różnym wieku, bo i dla ludzi starszych ludzi i ludzi, którzy są w sile wieku, ale również wykorzystać fakt, że mamy młodzież, która spędza bardzo dużo czasu przed komputerem, jest chłonna i można ich pewnych rzeczy nauczyć, więc awareness i wiedza, i tak wyczulenie, że nie wszystko, co jest w internecie, jest fajne. Nikt nie oferuje nam iPhona za tysiąc złotych i to nie jest okazja oraz kryptowaluty i wysyłanie oszczędności życia Bóg wie komu, to prawdopodobnie źle się skończy. Teraz banki często, jedną poruszyłeś istotną kwestię, mianowicie banki często widzą, co się za chwilę stanie, czyli klient wysyła środki na konto, które my wiemy z wcześniejszych incydentów, że jest kontem oszukańczym. To znaczy, środki na inwestycje w kryptowaluty czy jakikolwiek inny pomysł cyberprzestępców, który tam się właśnie realizuje, przepadną. My wstrzymujemy tą transakcję, dzwonimy do klienta, klienci potwierdzają te przelewy. Często uwaga, potrafią zjawić się w oddziale i ten przelew zautoryzować. My działając zgodnie z literą prawa, nie możemy im zabronić, chociaż wiemy, że klient gra trochę w rosyjską ruletkę i my wiemy, że tam wszystkie komory nabojowe są załadowane i tutaj tej gry nie będzie, a przynajmniej nie będzie fajna, więc pracując w miejscu, w którym jestem, często widziałem treści reklamacji i często dramatyczne, często takie, które u mnie powodują bardzo złe samopoczucie. No bo pomimo całej swojej potęgi, wielkości sektora i tak dalej przed takimi sytuacjami nie jesteśmy w stanie bronić ludzi, kiedy oni sami pchają się w kłopoty. Weźmy też pod uwagę, że można technologicznie dołożyć kolejnego SMS-a, dołożyć dwa pushe, trzy pushe i tak dalej, czyli zrobić coś od strony technologicznej. Natomiast nie tutaj leży problem, dlatego że ludzie nie czytają informacji, które przychodzą z banku, przekazują dane do logowania, będąc w jakiejś sytuacji, którą wytworzyli cyberprzestępcy, czy oszuści. W związku, z czym jeżeli popatrzymy, w Polsce obowiązuje regulacja PSD2, która dla transakcji wymaga mocnego uwierzytelniania klienta i mocnego uwierzytelniania transakcji, a mimo tego fraudy się zdarzają. To znaczy, że nie tutaj leży problem. Problem nie jest w tym odwiecznym, co się słyszy, włamali mu się do banku. Włamali mu się do głowy i trzeba to naprawić. Natomiast tak jak mówię, banki mogą i robią dużo, ale potrzeba działania większości sektorów, działania państwa po to, żeby ten poziom wiedzy i takiego wyczulenia zwiększyć, to jest bardzo ważny temat.

AL: Wspomniałeś o tych świadomych użytkownikach, którzy wiedzą, że strzelą sobie za chwilę w głowę tym naładowanym pistoletem i wręcz namawiają bank do tego, żeby im na to pozwolił. Chyba o tym samym wspominał Przemek z Oranga, że też takie sytuacje zdarzają się w telekomach, gdzie strony fałszywe są blokowane, a klient zgłasza reklamację, że jakim prawem w ogóle blokują strony phishingowe. Ta sama sytuacja. To nie są wszyscy klienci, są też tacy, którzy po prostu nie mają tej wiedzy. Klienci bankowi są różni i przyjmijmy sytuację, gdzie klient, który nie ma tej wiedzy o bezpieczeństwie, nie ogląda telewizji i w ogóle się tym nie zajmuje, traci pieniądze. Przyjmijmy, że to jest phishing, sprzedał akurat taki klient dane karty kredytowej i wy widzicie taką transakcję. Czy bank nie powinien jednak zareagować, po której stronie jest tu wina? W sensie, jeżeli te środki wyjdą z banku, czy bank przyjmuje na siebie tę winę, czy to jest tylko i wyłącznie wina klienta? Bo to jest takie trochę kontrowersyjne.

MO: Musielibyśmy zejść do konkretnego przypadku. To znaczy, jeżeli ten incydent zdarzył się dlatego, że bank czegoś nie dopatrzył, załóżmy. No to wtedy w sytuacji, kiedy klient, jeżeli my sami wykryjemy lub klient by zgłosił się do nas, no to u nas jest wtedy analiza i zresztą tak działają wszystkie banki. No i jest decyzja o tym, że to należy poprawić, klientowi wraca się środki i dbamy o to, żeby już to się nigdy nie powtórzyło. Natomiast takich sytuacji jest bardzo, bardzo, bardzo, bardzo niewiele. Są to jakieś jednostkowe przypadki. Zwykle jest tak, że klient niestety i ja nie lubię tego takiego trochę prawniczego stwierdzenia, ale nie dołożył należytej staranności, czyli pomimo tego, że my wysłaliśmy, załóżmy, informację o tym, że coś robi, na przykład dodaje urządzenie, ma iPhone, ale dodaje urządzenie Huawei do zaufanych i to nie wzbudza w nim żadnego protestu, czy zastanowienia. No to tutaj już bank nie może ponosić odpowiedzialności, to jest jedna rzecz. Natomiast warto też powiedzieć o tym, że banki mają bardzo dużą, dość, moim zdaniem, sprawnie działającą infrastrukturę taką autyfraudową. Są tam systemy, które oceniają ryzyko danej transakcji, są analitycy. W związku, z czym ten monitoring antyfraudowy buduje się w taki sposób trochę inny niż taki monitoring cyber, ponieważ tam są szukane dwa czynniki, takie dwie grupy warunków. Po pierwsze symptomów ewidentnego fraudu, czyli na przykład przelew na konto, które wiemy, że ono jest w jakimś tam banku za granicą, wiemy, do czego to konto służy. Druga rzecz jest taka, że my staramy się na bazie różnego rodzaju warunków logiki rozmytej, próbować ustalić niezwykłe, niepasujące do schematu działanie klienta, czyli jeżeli ktoś na przykład, takim bardzo prostym przykładem, którym może to uzmysłowić, jest, załóżmy sytuację, w której ja kartą kredytową wykonuję zakupy w osiedlowej Biedronce w Katowicach, a pół godziny później ta sama karta jest użyta na przykład w terminalu gdzieś w Stanach Zjednoczonych. W tej sytuacji system antyfraudowy zostanie zburzony, ta transakcja będzie odrzucona, ponieważ w przypadku transakcji kartami kredytowymi nie da się ich zatrzymać. Karta będzie zablokowana i analityk skontaktuje się z klientem, żeby potwierdzić i to jest  jedna rzecz. W sytuacji transakcji e-bankingowych czy mobilnych można taką transakcję wstrzymać do wyjaśnienia i też często następują jakieś akcje typu blokada, załóżmy, loginu, blokada dostępu, jeżeli my widzimy, że on potencjalnie mógł być skradziony, jeżeli coś się stało, że my mamy naprawdę taki symptom, że wiemy, że za chwilę będzie problem, następuje kontakt, czy prośba o kontakt ze strony klienta, żeby tą sytuację wyjaśnić, rozwiązać. Nie wiem, zmienić hasło, wygenerować nowy login, więc tam w backendzie, za systemami jest dość spora logika i całkiem spore, wykształcone zasoby ludzkie, które stoją 24 godziny na straży i po prostu próbują takie anomalie wyłapywać. Natomiast najtrudniej, właśnie już tak, jeżeli opowiedziałem o tym, to możemy wrócić trochę do tej wcześniejszej odpowiedzi o działanie klienta. Najtrudniej łapie się takie przestępstwa czy oszustwa, które są wykonywane z potwierdzeniem działań klienta i to kilkukrotnym, na urządzeniu klienta, jeżeli jest to, które my znamy, które jest naszym zaufanym, więc wtedy, jeżeli nic nam się nie wzbudzi, nie wzbudzi nam się żadna reguła, no to może dojść do sytuacji, której byśmy nie chcieli. Wtedy klient może stracić pieniądze, bo jest przeświadczony, że jeżeli dzwoni do niego ktoś z banku na przykład.

AH: Maćku, tak jak wspomniałeś, jest mnóstwo różnych scenariuszy i mnóstwo pomysłów złodziei, jak okradać klientów. Czasem bardzo trudno jest wykryć, że to złodziej, a nie klient. Czy patrząc z perspektywy swojego doświadczenia, doświadczenia całego twojego zespołu i tych historii, których się naczytałeś pewnie niemało, gdybyś miał naszym słuchaczom powiedzieć, idźcie i powiedzcie swoim rodzicom. No bo nasi słuchacze pewnie trudniej dadzą się oszukać, nie mówię, że to się nie zdarzy, ale raczej będzie złodziejowi trudniej ich okraść, ale ich rodzice już niekoniecznie. Powiedzcie swoim rodzicom trzy rzeczy, co mają robić, żeby ich konta w banku nie tylko twoim, ale w jakimkolwiek innym banku online były bezpieczniejsze, ich środki były bezpieczniejsze, takie najbardziej kluczowe, patrząc na to, co dzisiaj grozi tym klientom bankowości w Polsce?

MO: Rzecz pierwsza, czytajcie, proszę, ze zrozumieniem komunikaty, które przychodzą z banku. One zawierają informacje, co aktualnie się dzieje i co za chwilę się stanie, czyli wykonanie przelewu, dodanie urządzenia, zmiana ustawień i proszę, nie potwierdzajcie tego tak beznamiętnie. Druga rzecz, jeżeli ktoś dzwoni z banku i o coś was prosi do zrobienia tu i teraz, a tym bardziej mówi, że padliście ofiarą przestępstwa, rozłączcie się i wy zadzwońcie do banku na znany numer. Potwierdźcie tą informację, bank na pewno, jeżeli chciał się z wami skontaktować, no to na pewno to gdzieś będzie zapisane i w ten sposób będziecie w stanie to potwierdzić. Nie wykonujcie się akcji, które ktoś rzekomo z banku was prosi, czyli bank nie poprosi was o dane do logowania, o instalację jakiegoś oprogramowania tu i teraz w trakcie rozmowy, nie będzie takiej presji wywierał. To powinno być bardzo alarmujące. Kolejna rzecz stara jak świat. Nie klikamy w linki, które przyszły w SMS-ie, w wiadomości z Whatsappa, nawet jeżeli z kimś na przykład handlujemy na OLX-ie i tam rzekomo ktoś nam wystawia linka do tego, żeby przez niego zapłacić. To też powinno wzbudzić w nas podejrzenie. No i kolejna rzecz, to jest, nie ufajmy. To znaczy, nie zakładamy, że internet to jest przyjazne wszystkim miejsce i tam siedzą zupełnie fajni ludzie i są fajne rzeczy, i same okazje. Tak nie jest. Trzeba być zawsze sceptycznym i zakładać, że może ktoś być, kto będzie nam chciał zrobić krzywdę.

AL: To złe miejsce jest ten internet.

MO: To złe miejsce jest, tak. Tam sami źli ludzie są.

AL: Nie polecamy.

MO: Nie polecamy. Natomiast mogę wam powiedzieć, że wcale nie jest tak, że najczęściej ofiarami padają osoby starsze. Często się zdarza, że osoby, użytkownicy internetu, tacy często z dość dużym zasobem, nazwijmy to, takiej kultury technicznej dają się oszukiwać, po prostu, więc tutaj często starsi ludzie, po których zwyczajowo oczekiwałoby się gdzieś tam, czy jest taka obiegowo opinia, że oni są mniej zaawansowani technologicznie, mają niższą kulturę techniczną, często wykazują się dużo większą przezornością, niż tacy właśnie z surferzy po różnego rodzaju social mediach i tak dalej. Nie ma reguły, to często też ludzie młodzi po prostu.

AH: Nawiązując do tego, co powiedziałeś. Jedno z pytań, które przewijało się cały czas i w komentarzach na stronie, i teraz na czacie od samego początku naszego spotkania. Czemu banki nie wdrażają kluczy U2F - sprzętowego uwierzytelniania? Logujemy się do poczty kluczem, logujemy się do Facebooka kluczem, logujemy się Dropboxa kluczem, chcemy podpisywać nasze przelewy kluczem sprzętowym, pozwólcie nam. Ja Nawet publicznie zadeklarowałem, że przeniosę wszystkie swoje środki do banku, który to jako pierwszy wdroży. Podtrzymuję tą deklarację i myślę, że zebrałbym takich deklaracji ze środowiska przynajmniej security, a podobno ci ludzie dobrze zarabiają, jak nie kilkadziesiąt, to może i kilkaset. Czemu, czemu nie dajecie nam tych kluczy?

MO: To nie to, że nie dajemy. Oczywiście u nas już wiele lat temu, kiedy w zasadzie FIDO Alliance się zawiązała, w ogóle ING jest członkiem FIDO Alliance, w związku, z czym tym tematem FA jest nam mocno bliski, tylko musimy zrozumieć to, że my mamy do czynienia z różnymi klientami, z różnymi grupami klientów i są ludzie, którzy wiedzą, co to jest U2F. Są ludzie, którzy preferowaliby chodzenie z kluczem i właśnie używali go do wielu rzeczy, na przykład do poczty czy do Facebooka. Natomiast są osoby, które korzystają tylko i wyłącznie z telefonu komórkowego, i tam najłatwiej jest zrobić uwierzytelnianie wielofaktorowe poprzez na przykład wysłanie pusha, czy kiedyś wcześniej SMS-a, dlatego że zwyczajowo człowiek w obecnych czasach raczej ma ze sobą telefon niż klucz U2F, więc ja rozumiem te rozterki świata security. Też byłoby fajnie, żeby wszyscy nosili te klucze ze sobą. Natomiast wydaje mi się, że to nie jest ten moment i łatwiej jest skorzystać, wykonać mniej więcej podobny poziom, jeżeli chodzi o zabezpieczenia z wykorzystaniem po prostu urządzenia czy mechanizmu, który klient ze sobą posiada. A miejmy w głowie to, że mamy klientów, którzy mają telefony smart. Są tacy, którzy jeszcze korzystają z telefonów, które nie są smart i mówimy o masie w przypadku banku ING, klientów detalicznych ponad cztery miliony, cztery miliony trzysta, o ile sobie dokładnie przypominam ostatni odczyt. No i tam mamy spektrum po prostu wszystkich możliwych urządzeń i tak dalej. W związku, z czym to jest najprostsze. Kolejna rzecz jest taka, że user experience też jest najwygodniejszy, bo weźmy pod uwagę, że ktoś chce wykonać jakąś transakcję i zapomniał klucza, ale nie ma ze sobą telefonu, no to jest problem. Natomiast jest wielka szansa, że ten telefon jest, dlatego zostało to wybrane przez banki jako ta metoda, która jest najskuteczniejsza, najwygodniejsza dla klienta, najlepsza. Natomiast, czy ona jakoś specjalnie różni się klucza U2F? Kryptograficznie tak, natomiast równie dobrze można uwierzytelnić transakcję pushem, który pochodzi z aplikacji. Ja tutaj osobiście mówiąc o takim masowym kliencie, nie widzę tego, żeby masowe użycie kluczy U2F poprawiło znacząco sytuację, dlatego że ludzie oszukani będą używać kluczy UF2, które będą posiadali i dalej będą robili to samo, co robią, czyli będą umożliwiali działanie cyberprzestępców, dlatego że znowu, to nie w technologii moim zdaniem już obecnym czasie jest problem. Gdyby problemem była technologia, uwierzcie mi, banki już dawno by coś zrobiły, żeby się nie dało tego zrobić.

AL: Ale z tymi kluczami U2F to tylko jest, ja to obserwuję od jakiegoś czasu, to jest tylko widzimisię bezpieczników i ludzi, którzy znają się na bezpieczeństwie. To jest promil tak naprawdę klientów.

AH: Przyznajmy, że za drogie to jest, za drogie do wdrożenia. Za mało nas jest.

AL: No właśnie, to jest też za drogie.

AH: Więcej deklaracji poprosimy, zrobimy jakąś listę poparcia w internecie dla tego pomysłu. Może któryś bank się po nas schyli.

MO: To zróbmy tak, po tym podcastcie jutro skontaktuje się z naszym raz jeszcze, bo tak jak powiedziałem, my w banku okresowo mamy takie dyskusje. Skontaktuje się raz jeszcze i ten pomysł przemyślimy. Według mnie rezultat będzie dokładnie taki, jak powiedziałem, ale podejmuje się dyskusji, biorąc ten głos bezpieczników z tego podcastu, zaniosę go raz jeszcze i zobaczymy.

AH: Ja skorzystam z okazji jako twój klient, powiem jeszcze. Taka opcja dla świadomych klientów, żeby wyłączyć hasło maskowane. Nic mnie tak u was nie denerwuje, jak hasło maskowane. Ja chcę opcje, ja nie mówię, żebyście to zrobili wszystkim, ja chcę taki guziczek. Załatwić prywatę przy okazji też można. Korzystam z aplikacji, żeby nie musieć korzystać z hasła maskowanego. Może w ten sposób też to miało sens, żeby namówić mnie do częstszego używania aplikacji.

MO: Ja uważam, każda sroka swój ogonek chwali. Ja uważam, że to hasło ma sens albo przynajmniej jakiś czas temu miało sens, bo u ludzi to trochę tak wzbudzało czasem myślenie, jak widzieli, powiedzmy, tą ramkę bez hasła maskowanego i czasem się zwracali do nas, że coś jest nie tak, bo tutaj jest niemaskowane. A zauważyłem, że cyberprzestępcy już se z tym poradzili, mianowicie robią to maskowane, ale odmaskowują, jak się wpisze pierwszy znak, na przykład taka jest zabawa. Raczej nie wiem, czy będziemy z tego rezygnować, według mnie nie, ale oczywiście też po tym podcastcie, mogę taki głos klienta zanieść.

AH: Mówimy o opcji. Ja rozumiem, że to kosztuje, ale myślę, że część klientów byłaby zadowolona.

AL: Słuchajcie, jeżeli ING włączy U2F klucze, to będzie to nasza zasługa, pamiętajcie o tym. Okej, to rozmawialiśmy dużo o klientach, o bezpieczeństwie klientów. Porozmawiajmy teraz o bezpieczeństwie samych banków, bo o tym bardzo rzadko słyszymy i ludzie bardzo rzadko słyszą. Mieliśmy jakiś czas temu, już dobrych parę lat temu incydent związane z Koreą Północną i KNF-em, i grupą Lazarus, który się dosyć dużym echem medialnym też odbił się. Czy teraz banki też mają takie problemy, w sensie problemy, wyzwania, może nazwijmy to w ten sposób, czy zdarzają się ataki na same banki?

MO: Ja nie słyszałem. Znaczy, wiadomo, że tego typu jakiś incydent mógłby nie dostać się do jakiejś szerokiej wiadomości z wiadomych przyczyn, dlatego ja nie słyszałem o tym, żeby coś stało się u nas ostatnio jakoś specjalnie na rynku, tutaj polskim. Było też spore włamanie do jednego z banków szerokoopisywane, zrobione przez wesołych kolegów z pewnego cyberprzestępczego forum. No to natomiast od tej pory takich wyzwań, jak wtedy nie było. Weźmy pod uwagę, że to był, o ile sobie przypominam chyba 2015 rok i od tej pory w zasadzie minęło kilka epok geologicznych, jeżeli chodzi o cyberbezpieczeństwo. Przede wszystkim w samym KNF-ie jest departament cyberbezpieczeństwa, jest CSIRT KNF-owy, który współpracuje w ramach krajowego systemu cyberbezpieczeństwa, jest ustawa o krajowym systemie cyberbezpieczeństwa. Po wydarzeniach w Stanach Zjednoczonych z końca 2020 już w zasadzie w wielu innych sektorach gospodarki się zmienia myślenie o cyberbezpieczeństwie, więc wyzwań takich jest, może inaczej, są innego typu. To znaczy, to co widzimy ostatnio, to przede wszystkim mniej więcej od września wzrost aktywności, jeżeli chodzi o ataki DDoS i to nie tylko na sektor, ale też na dostawców dużych serwisów, na przykład cyfrowych. O tyle jest to nietypowe, bo zwykle te ataki nas jako kraj omijały może, dlatego że nie byliśmy odpowiednio duzi i nie byliśmy odpowiednio atrakcyjni jako jedyny kraj Europy Środkowej, ale to się dzieje i co więcej, to chyba nie robią grupy przestępcze mające na celu monetyzację, czyli wymuszenia z użyciem ataków DDoS, dlatego że za tymi atakami nie idą żadne żądania. One się dzieją, one są czasem wolumenowo nawet całkiem spore, ale nic się nie dzieje, więc ja bardziej odnosiłbym to do takich realiów raczej konfliktu, który się dzieje, polityczno-zbrojnego niż działalności cyberprzestępcy. Być może jest to sądowanie, ile jest w stanie nasza infrastruktura wytrzymać. Nie wiadomo, bo ciężko jest tutaj znaleźć jakiś pomysł. Przez lata infrastrukturę banków, ale też innych firm mocno się utwardziły, natomiast pandemia trochę spowodowała, przynajmniej ja widzę, że w ostatnich kilka lat to jest wzrost takich zaawansowanych ataków, na przykład z użyciem luk typu 0day. W związku z epidemią to są często ataki na przykład koncentratory VPN-owe, przez które wiadomo, może wejść najłatwiej i myślę, że to, co się też teraz dzieje to jest potencjalne, są potencjalne ryzyka wniknięcia do infrastruktur banków, czy to innych firm z sieci, nie poprzez atak z sieci samej, czy systemu instytucji, tylko poprzez różnego rodzaju dostawców, dlatego że, ja mogę mówić o sektorze bankowym, ale dokładnie ten sam trend jest w innych sektorach gospodarki. Mamy do czynienia z coraz większym otwieraniem się systemów, kiedyś obrona, czy jeszcze parę lat temu właśnie w takim 2015 była prostsza, dlatego że wszyscy byli takim bastionem, znaczy, był styk z internetem, tam było nawyrzucanych różnego rodzaju zabawek i generalnie te systemy miały charakter zamknięty. W tej chwili, żeby móc prowadzić biznes, no to korzysta się z usług innych dostawców, integracji poprzez API, szyny danych, są połączenia, wchodzi Public Cloud, wchodzą kontenery. To jest zupełnie inna charakterystyka zagrożeń, które trzeba wziąć pod uwagę, więc ja myślę, że to, co się zawsze może przytrafić i to, co o czym zawsze trzeba pamiętać, to jest taki scenariusz, który miał miejsce w Stanach Zjednoczonych, czyli taki case Solarwindu, który po prostu powoduje, że nawet dobrze zabezpieczona instytucja i instytucja, która naprawdę przeznacza spory budżet na bezpieczeństwo, ma ludzi i tak dalej, padnie ofiarą ataku od strony trzeciej albo dlatego że dostanie jakiś trefny produkt i nie będzie tego świadoma, albo dlatego że coś nie będzie dobrze zrobione na styku dostawca i tak dalej, więc mnie jest bardzo bliska taka idea zero trust. To znaczy, ja nie zakładam, że to, co jest w środku, to jest bezpieczne, a to, co jest na zewnątrz, to jest niebezpieczne, już dawno nie. To trzeba się spodziewać z każdej strony i tak trzeba budować system, żeby ta cebula, o której wspomniałem na początku, też była odporna od środka.

AL: Atak przyjdzie z Zaufanej Trzeciej Strony.

AH: Nie, nie, nigdy. To się nie wydarzy. No dobrze Maćku, powoli kończymy te wątki zawodowe, ale gdybyśmy cię zapytali, jaki masz najmniej oczywisty wątek w swojej historii zatrudnienia, taki najlepiej jeszcze, najbardziej odstający od twojej aktualnej roli, którego nie wymieniłeś w swoim publicznie dostępnym CV. Masz coś, do czego chciałbyś się przyznać, że robiłeś w życiu?

MO: Tak i jestem z tego dumny. Co prawda ciężko powiedzieć, że nie miało to związku z IT, ale byłem chyba jedynym w tym kraju, znanym mi sprzątaczem i administratorem baz danych w jednym.

AH: Przepraszam, byłeś garbage collectorem?

AL: Czy myłeś serwery?

MO: Nie, myłem podłogi i sprzedałem biura, i w tym samym miejscu napisałem taką aplikację w Perlu, która była interfejsem pomiędzy systemem bibliotecznym a tym internetem i utrzymywałem ją. W związku, z czym w tym samym miejscu. Zatem byłem konserwatorem aplikacji i powierzchni płaskich, przez co uważam, że bardzo dobrze myje podłogę, lepiej niż moja małżonka, pozdrawiam. Bo po prostu tam się tego nauczyłem, więc to jest zupełnie nieoczywisty epizod. No i wspomniałem o tym, nie wiem, czy moje początki w ogóle, jako szesnastolatek robiłem po prostu ksero. To też jest nieoczywiste.

AL: Przejdźmy teraz do jednego z takich holistycznych pytań. Wyobraź sobie, że podchodzisz się do bankomatu, wkładasz swoją kartę bankomatową i z bankomatu wyskakuje cyber Aladyn i ten cyber Aladyn może spełnić swoje trzy życzenia, ale muszą one dotyczyć albo IT, albo cybersecurity, zostawia to tobie. Jakie byłyby to życzenia?

MO: To trzy. To ja bym chciał się cofnąć do lat sześćdziesiątych, jak wymyślano pierwsze protokoły, na których teraz opieramy działanie całych systemów informatycznych i tak dalej, i poprosiłbym o to, żeby zatrudnili kogoś, kto może przyjść z przyszłości i kto im powie, jakich błędów należy unikać, to jest pierwsza rzecz. Chciałbym, żeby security by design zagościło w tych podstawach, z którymi przychodzi nam się teraz mierzyć, to myślę, jest jedna rzecz. O drugą rzecz bym poprosił, żeby Aladyn spowodował, że klienci czy w ogóle ludzie, którzy są niezwiązani z IT, mieli dużo wyższy poziom bezpieczeństwa, takiego bezpieczeństwa własnego i świadomości cyberbezpieczeństwa, czyli nawiązanie do wcześniejszych wątków, jak przeciwdziałać atakom na klientów i też, żeby ludzie z IT brali tą wiedzę, która jest dostępna i odnosili się z troską w momencie, kiedy tworzą różnego rodzaju systemy, czy je developują, bo wtedy bugów będzie mniej i trzecia rzecz to, żeby ktoś w końcu znalazł to Yeti, które chodzi po świecie IT i wszyscy wiedzą, że istnieje, ale nikt nie widział, to jest security by design, czyli żeby te różne systemy i aplikacje powstawały z troską od momentu, kiedy piszemy pierwszą linijkę kodu albo kiedy uruchomimy coś do prądu, żeby ktoś od razu myślał o tym, jak to zabezpieczyć. To są takie trzy rzeczy, które chciałbym, żeby się spełniły. No ja wtedy mógłbym zacząć robić inne rzeczy, bo moja rola już nie byłaby potrzebna.

AH: Chciałem właśnie zauważyć, że to takie altruistyczne, bo w zasadzie i zakładając, że zmiany w przeszłości wpływają na teraźniejszość, to niniejszym sięgnąłbyś do portfela i tam by już nie było twojej wizytówki, bo twoja rola by już nie funkcjonowała w organizacji. Security by design byłoby na tak niskim poziomie, że nikt nawet by tego nie musiał pilnować.

MO: No, to ja pewnie znając ten przypadek i to, że większość rzeczy w życiu mi się nie udało, niż udało, to pewnie znalazłbym sobie coś innego.

AH: No i właśnie, to jest nasze kolejne pytanie. Co byś robił, gdybyś nie robił tego, co robisz dzisiaj. Jakie masz hobby niezwiązane z klawiaturą i monitorem?

MO: Moje hobby to, jestem pilotem.

AL: Możemy się za to napić.

MO: Zdrowie.

AH: Czyli ten łokieć jednak ostatecznie nie przeszkadzał.

MO: Do lotnictwa wojskowego przeszkadzał, ale teraz nie przeszkadza.

AH: Czyli nie musisz tak wąsko zakrętów robić, takich dużych sił odśrodkowych nie ma i łokieć wytrzymuje?

MO: Tak, radzę sobie. Jakoś tam tak, to jest moja wielka pasja. Po latach ją zrealizowałem, robiąc licencję pilota turystycznego. Mam uprawnienia do samolotów jednosilnikowych, uprawnienia do lotów nocnych i pasjonuje mnie takie latanie po dużych lotniskach, jak duże samoloty robią, czyli nie takie skakanie po mniejszych, trawiastych lotniskach i podziwianie widoków, tylko podchodzenie na ILS-ie według procedur dla dużych samolotów, z kontrolą lotu i w strefach kontrolowanych. Bardzo to lubię i dla mnie największa przyjemność, to na przykład wylądować na jakimś lotnisku, przekołować na płytę, zatrzymać się, poprosić o clereance, następnie przekołować, ustawić się na przykład za jakimś Boeingiem 737. Ja wtedy w moim małym, śmigłowym samolocie czuje się naprawdę wielki, tylko muszę stać od niego odpowiednio dalej, bo jak on doda gazu...

AL: Żeby cię nie zdmuchnął.

MO: To mnie zdmuchnął, więc wszystkie zdjęcia mam, ale z oddalenia, bo nie mogę się do niego zbytnio zbliżyć.

AL: Słuchaj, jesteś drugim pilotem.

AH: Bardzo trafne pytanie. Czy bank ma jakieś ryzyka zarejestrowane w rejestrze ryzyk na twoje hobby?

MO: Chyba nie, ale staramy się zapewnić redundancję, to znaczy, są ludzie, którzy są w stanie mnie zastąpić.

AH: Już myślałem, że chodzi o to, że robisz licencję na wielosilnikowe teraz.

MO: Jest taki pomysł, natomiast latanie wielosilnikowcami ma sens, jeżeli ktoś taki samolot posiada lub robi licencję pilota zawodowego, bo tam zwykle wszystko ma dwa silniki albo znacząca większość.

AH: Może, może security by design tak się rozwinie, że za 20 lat lecąc na emeryturę na Majorkę, usłyszymy, że wita was pilot Maciej Ogórkiewicz.

MO: Serdecznie zapraszam.

AL: Albo Łukasz Jachowicz.

AH: To drugi nasz lotnik histeryczny.

AL: Jesteś drugim pilotem u nas. Pozdrawiamy Łukasza.

AH: Przynajmniej drugi, który się przyznał.

AL: Więc mamy już dwóch pilotów w Rozmowie Kontrolowanej. No dobra, na jakim systemie pracujesz na co dzień?

MO: Na Windowsie dziesiątce dokładnie. Z dwóch przyczyn, raz, że taki standard jest u nas w banku i po prostu system działa, jest wygodniej, co na nim mogę uruchomić. Druga rzecz, dlatego że mam dwóch chłopaków w domu, z którymi grywam namiętnie, a najlepsze gry chodzą głównie na tym. Tak, ale serce moje jest przy systemie, który przez wiele lat przyszło mi pielęgnować. To jest Linux i gdzieś tam, jak bawię się na jakimś HackTheBoxie, to używam Kaliego lub Parrota, a namiętnie dawniej w przeszłości używałem Debiana. To są systemy, które lubię.

AL: Wspomniałeś, że jesteś graczem. W flight Simulatora grasz?

MO: Gram.

AH: Masz cały setup w osobnym pokoju?

MO: Nie, dlatego, znaczy, jest taka historia, że mój syn ma dużo mocniejszą kartę graficzną, niż ja. W związku, z czym, jak on idzie spać, to ja tam mam taki, dostałem w prezencie joystick i manetkę, ale będę rozwijał, bo kupię sobie również XXX. No i dzisiaj, przyznaje się, poszedłem spać o trzeciej nad ranem, ponieważ lądowałem na Okęciu, tak autopilocie i podchodziłem na ILS-ie i było naprawdę fajnie. Także latam na Microsoft Flight Simulatorze, drugi symulator, który mogę polecić, to jest X Plane, także też jest dobry. Może mniej graficzny, ale fajne.

AL: Może się kiedyś spotkamy na Flight Simulatorze, bo też czasem latam.

MO: To fajna zabawa.

AH: Poznasz po tym, że nie ma pojęcia, co robi i będzie się łapał za głowę.

AL: I będzie gdzieś ogień, będzie gdzieś płonął samolot na pasie gdzieś, to ja właśnie będę.

AH: No dobra, zostały nam ostatnie pytanie, Commodore czy Atari? O ile chcesz się po jakiejś stronie opowiedzieć.

MO: Atari. A tylko i wyłącznie, dlatego że to mieli moi koledzy 65 XP, chyba pamiętam. Do tej pory pamiętam sekwencję klawiszy, którą trzeba było wcisnąć. Oni tak mówili bez akcentu - start, option, return i to ruszało, i wtedy można było pograć w River Raid albo coś takiego, więc te szare takie komputerki. Commodore się zdarzało, ale rzadziej. Nie wiem w sumie dlaczego, ale tak chyba ktoś kupił jako pierwszy i potem to już poszło tak viralowo.

AH: Może po prostu tak na Śląsku więcej Atari było.

MO: Może.

AL: Wiemy dlaczego, wiemy dlaczego.

MO: Tak, więc tak, no to Atari, chociaż ja gdzieś tam, jak wiecie, ten etap ominąłem.

AH: Maćku, dziękujemy ci bardzo za poświęcony nam czas. Dziękujemy ci za troskę o pieniądze nasze i naszych znajomych, mających konta w twoim banku i dziękujemy ci za te życzenia dla dżina Aladyna, oby to się spełniło. Mało realne, ale raczej będziemy mieć zatrudnienie do końca życia, ale też chcemy, żeby wszędzie było bezpieczniej i ludzie myśleli o bezpieczeństwie, pisząc te programy i projektując te rozwiązania. Dziękujemy ci bardzo i trzymamy kciuki za ciąg dalszy tego twojego wysiłku dla bezpieczeństwa polskiej sceny bankowości.

MO: Ja dziękuję za zaproszenie, było mi bardzo miło. No i bądźcie zdrowi, i nie dajcie się zhakować.

AL: Maćku, a jak się mówi, jeżeli chodzi o język lotnictwa, w trasie się mówi szerokości a w lotnictwie w wysokości?

MO: Nie mówi się. Nie mówi się...

AH: Nie ma w protokole.

MO: Dlatego że się nie pozdrawia, nie mówi się na przykład na radio tam do kontrolera, powiedz mi, gdzie stoją tam krokodylki, czy coś takiego. Raczej nie ten poziom.

AL: Rozumiem.

AL: W każdym razie wysokości i do zobaczenia na Flight Simulatorze.

AH: Nie, mówi się chyba tyle samo startów, co lądowań.

MO: Tyle samo startów co lądowań. Natomiast taka anegdota chodzi tam, takie stwierdzenie jednej z matek, które były troskliwie wobec swoich synów pilotów i mówi im, synku pamiętaj, tylko lataj nisko i powoli. Rzeczywistość jest właśnie wręcz odwrotna, że trzeba latać wysoko i szybko, bo wtedy jest większa szansa na przeżycie.

AH: Tego się trzymajmy. Dzięki bardzo i do zobaczenia.

AL: Dzięki, do zobaczenia.

MO: Cześć.

AH: Słuchajcie, ponieważ nie było ogłoszeń duszpasterskich, to nie ma i ogłoszeń duszpasterskich na koniec. Jest Stefan, jest Stefan. Adam baw gości, ja idę po Stefana.

AL: Tak więc to może ja zaśpiewam piosenkę.

AH: To już, to już. Jak usłyszał, że Adam będzie śpiewał, to przybiegł, aż mu się uszy trzęsły, więc uratowaliśmy was przed tym incydentem. Co prawda nie bezpieczeństwa, ale jednak i pozdrawiamy was, przepraszam, bardzo serdecznie ze Stefanem. Smogiem mi zawiało, o Jezus, Maryja. Do zobaczenia.

AL: Co ty, jesteś w Krakowie?

AH: W Warszawie też palą czymś dziwnym dzisiaj, unosi się w powietrzu.

AL: Słuchajcie, do zobaczenia w dziewięćdziesiątym piątym odcinku Rozmowy Kontrolowanej już za tydzień w niedzielę o dwudziestej pierwszej. Trzymajcie się.