Change language:

Piotr Konieczny — Niebezpiecznik: od programisty Perla do lidera rynku bezpieczeństwa w Polsce

ZASUBSKRYBUJ GREG ALBRECHT PODCAST – WSZYSTKIE TWARZE BIZNESU:
Apple Podcasts
Google Podcasts
YouTube
Spotify

Piotr Konieczny, ekspert ds. bezpieczeństwa, którego od 14 lat polskie i zagraniczne firmy zatrudniają do tego, aby włamał się do ich sieci i wykradł im dane. Wielokrotny zdobywca nagród za najlepsze prelekcje na największych polskich konferencjach poświęconych bezpieczeństwu IT, a także laureat prestiżowej nagrody Digital Shapers 2018 magazynów Forbes i Business Insider. Absolwent Glasgow Caledonian University i założyciel Niebezpiecznik.pl, największego w Polsce serwisu poświęconego tematyce bezpieczeństwa komputerowego. Kiedy nie pisze artykułów, zarządza zespołem wykonującym audyty i testy penetracyjne systemów teleinformatycznych oraz prowadzi silnie techniczne szkolenia dla administratorów i programistów. Autor wykładu „Jak nie dać się zhackować?”, przeznaczonego dla każdego, kto w życiu prywatnym lub zawodowym korzysta z komputerów i internetu.

Opis odcinka – Piotr Konieczny (Niebezpiecznik):

Z rozmowy dowiesz się m.in.:
– jak ktoś może wykraść Twoje dane i ich użyć
– w jaki sposób zapisywać pomysły pod prysznicem
– jak zbudować biznes zasilany przez trzy wzajemnie napędzające się produkty
– co to znaczy “benchmarkować slajdy” i jak to robić (rada dla występujących publicznie)
– czym różniły się studia na AGH od studiów w Szkocji
– jak mierzyć swój biznes

Dołącz do bezpłatnego klubu Greg Albrecht Podcast:
http://www.gregalbrecht.io/klub

Wideo – Piotr Konieczny (Niebezpiecznik):

Transkrypcja – Piotr Konieczny (Niebezpiecznik):

Dziś w Greg Albrecht Podcast Kevin Mitnick 1 polskiego internetu Piotr Konieczny 2 3, Niebezpiecznik 4.

Cześć.

Cześć Piotr. Powiedz mi, czym jest Niebezpiecznik?

Wiesz co, Niebezpiecznik to jest taki ciekawy twór, który ma trzy głowy. Pierwsza głowa to jest redakcja i chyba najbardziej jesteśmy znani z tego, że mamy serwis internetowy 5 cieszący się dość dużą popularnością, nie tylko wśród osób zainteresowanych bezpieczeństwem IT. Staramy się, żeby content związany z security był zjadliwy dla każdego. To jest coś, co w zasadzie w żaden sposób nie przynosi nam biznesu sensu stricte, więc nie zarabiamy na tym serwisie. Bardziej jest to knowledge sharing. Ale mamy też kolejną głowę, którą są szkolenia 6. Czyli na bazie naszego wieloletniego doświadczenia uczymy ludzi, którzy są techniczni – programiści, DevOpsi, testerzy, administratorzy – tego, jak robić to co oni robią, ale robić to bezpiecznie, tak żeby systemy, które zabezpieczają, oprogramowanie, które tworzą, nie dało się nadużyć, takiego słowa używamy w naszej branży. I mamy trzecią głowę, którą jest bardzo dynamiczny, agresywny zespół pentesterów. Testy penetracyjne 7, to jest takie słowo, które u osób spoza branży wywołuje uśmiech na twarzy. W dużym skrócie chodzi o to, że włamujemy się do komputerów, systemów firm, a oni nam za to płacą. To jest najlepsza robota na świecie i jeszcze nie idziemy do więzienia, bo oczywiście jest to wszystko opisane w kontrakcie i mamy zgodę na to, żeby taką firmę dojechać na maksa, pokazać im, gdzie mają słabe strony. Robimy to przede wszystkim po to, żeby uświadomić firmom co mogą zrobić lepiej, gdzie jest ten słaby punkt. I chcemy być tam wcześniej niż prawdziwi przestępcy, których metodami my się tak naprawdę posługujemy, więc różni nas tylko etyka zawodowa. I tutaj bardzo fajna symbioza jest pomiędzy trzema głowami naszego smoka i potwora, dlatego że doświadczenia, które mamy w pentestach, wiedza z pola walki, to jest coś, co przekazujemy na szkoleniach. Ludzie, których spotykamy na szkoleniach, to są ludzie, którzy mówią o tym, gdzie są nowe problemy na rynku, z czym się firmy zmagają. A serwis internetowy jest wielkim uchem, które słucha informacji z całego rynku, z Polski i z zagranicy, przetrawia je i – nie ma co ukrywać – jest po części naszą ulotką reklamową. Więc może trochę skłamałem mówiąc, że na nim nie zarabiamy, bo tak naprawdę dzięki niemu ludzie dowiadują się o tym, co robimy w dwóch pozostałych głowach.

No właśnie, mnie przyciągnął Niebezpiecznik w części redakcyjnej i właśnie zastanawiałem się nad tym, jak to powstało, że są tam treści związane z bezpieczeństwem, zarówno bardzo przystępne, typu wysyłane są SMS-y i to jest ściema, ale też bardziej zaawansowane rzeczy. Jak to jest, że żonglujecie totalnie konsumenckimi, powiedziałbym, informacjami – które myślę, że budują fajne zasięgi – a równocześnie, że macie też element naprawdę turbo ekspercki. Jak to wygląda od zaplecza, ta część redakcyjna, żeby to się jedno z drugim nie gryzło?

To jest szalenie trudne, jeśli nie najtrudniejsze w tym wszystkim, dlatego że, jak dobrze wyczułeś, podanie contentu mega technicznego, który też tworzymy, zniechęca i powoduje, że niektórzy ludzie, tacy normalni, nie będą czytali, może nawet lepiej, żeby nie czytali. Natomiast jak będziemy cały czas ostrzegali o atakach, na które łapie się społeczeństwo, i to jest bardzo ważna część i element naszej misji, ostrzegać, uświadamiać – to ci ludzie, którzy są mega techniczni, oni widzą to 50 raz, oni się nie nabiorą na te rzeczy, a jednak muszą to oglądać. Ale jest też taka część wśród osób technicznych, która mimo wszystko, że nie przyswaja tej wiedzy, no bo już ją ma – jest w stanie o nowym ataku poinformować swoich znajomych, mniej technicznych. Każdy z nas ma takich ludzi, którzy tym IT się nie pasjonują, a którzy mogą być ofiarą współczesnych cyberprzestępców działających w internecie. Tutaj ci nasi core’owi użytkownicy, mocno techniczni, zmieniają się w takich forwarderów i oni te wiadomości przesyłają. Niebezpiecznik zaczynał jako serwis, który pisał bardzo technicznie i naszą grupą docelową były osoby zainteresowane bezpieczeństwem. Nawet nie tylko programiści, administratorzy, tylko stricte ludzie z branży bezpieczeństwa, z security. Dlatego że 10 lat temu nie było takiego serwisu, który pisał o tym regularnie, pisał o tym przede wszystkim rzetelnie, a nie robił tak zwanego copy-paste z zagranicznych informacji prasowych, bez może pełnego zrozumienia tematu. My byliśmy fascynatami, bardzo nas kręciło to, że możemy o tych rzeczach, które dzieją się na Zachodzie, i które do Polski nie docierają żadnym innym kanałem… Jeszcze wtedy popularne były gazety, co też miało swój cykl wydawniczy i wszystkie nowe ataki docierały po miesiącu. Powiedzmy sobie szczerze, jak jesteś w internecie, to po miesiącu jest już za późno, po 5 minutach to może być za późno. Tak że to było skierowane do osób bardzo technicznych i nastawionych na bezpieczeństwo. Ale osiągnęliśmy tę bańkę, czyli doszliśmy do poziomu, gdzie każdy bezpiecznik w Polsce już nas czytał, coś trzeba było robić dalej, żeby się nie zamknąć w tym towarzystwie wzajemnej adoracji. I zaczęliśmy troszeczkę się otwierać, czyli wrzuciliśmy tematy bardziej light’owe związane z tym, co dotyczy normalnego człowieka. Robiliśmy takie check listy na przykład, jak idziesz do domu na święta, to co masz zrobić swoim rodzicom, albo dziadkom na komputerze, żeby ich zabezpieczyć. I tutaj ciekawostka, bo okazało się, że ci ludzie, którzy się zajmują bezpieczeństwem i są genialnymi ekspertami – oni rozkładają złośliwe oprogramowanie, robią rzeczy, których ja nie jestem w stanie zrobić, czy rzeczy, które w ogóle są trudne do zrobienia, unikatowe na skalę światową, większość tych osób pracuje w zagranicznych spółkach i jest bardzo ceniona za swoje zdolności, oni żyją w swoim świecie, tam są ekspertami, ale bezpieczeństwo jest jednak szerszym aspektem, bezpieczeństwo możesz na każdą technologię, na każdy aspekt do IT – nie potrafili się komunikować z tymi nietechnicznymi osobami. I po jakimś czasie zauważyliśmy, że brakuje kleju, który skleja te dwie społeczności, czyli jak sprawić, żeby ludzie, którzy są techniczni, byli w stanie tę wiedzę przekazać osobom nietechnicznym. I ostatnie 3 lata mojego życia to jest zamiana tego, czym się zajmowałem, tych szkoleń technicznych, przekazywania wiedzy dla programistów, dla ekspertów, dla ludzi z branży, na język, który jest zrozumiały dla przysłowiowej przeciętnej pani Halinki czy pana Zbigniewa. I robimy dużo badań w tym momencie, łącznie z tym, że benchmarkujemy na przykład slajdy na takich prezentacjach, które realizujemy dla naszych klientów w firmach.

Co to znaczy benchmarkujemy slajdy?

Od wielu lat – i myślę, że to jest błąd chyba każdego, kto teraz nas słucha i robił takie szkolenia uświadamiające swoich pracowników w firmie na temat bezpieczeństwa – jednym z popularnych problemów są hasła. I pewnie jak pomyślisz o tym, jakie jest bezpieczne hasło, to ci przychodzą na myśl takie rzeczy, które wszyscy powtarzają, że musi być długie, że musi być skomplikowane, mieć znaki specjalne i tak dalej. I tego się robi dużo, musisz to zapamiętać, masz 30-40 serwisów, te hasła powinny być różne, i generalnie użytkownicy i normalny człowiek sobie z tym nie poradzi. I my też popełnialiśmy ten błąd, że mówiliśmy ludziom, jakie te hasła powinny być, żeby one rzeczywiście z technicznego punktu widzenia były najtrudniejsze do złamania. A potem okazało się, że to jest bez sensu. Ludziom nie powinno się mówić takich rzeczy, bo celem tak naprawdę przekazania tej wiedzy jest to, żeby oni mieli różne hasła do różnych serwisów, na wypadek, gdyby twoje hasło wyciekło z jakiegoś serwisu. Żeby atakujący, który je pozna w kontekście tego serwisu, nie był w stanie się dowiedzieć, że ty masz ten sam login, który zazwyczaj jest twoim mailem, w 15 innych serwisach, i spróbuje tego hasła, które już poznał z jednego serwisu w 15 innych serwisach i bach, jak wytrychem otworzę sobie dostęp do tych kont. Więc celem przekazywania tej wiedzy jest to, żeby człowiek miał różne hasła. I mówienie mu o tym, jak to zrobić to jest w ogóle od złej strony podejściem do problemu. Okazuje się, że prościej jest powiedzieć, korzystaj z managera haseł. Możesz nie wiedzieć, co to jest manager haseł, ale na tym slajdzie, który zastępuje ten stary slajd z radami, jaki powinno być hasło, pojawia się prosty filmik, który ci pokazuje narzędzie, bardzo proste w obsłudze, integrujące się z przeglądarką, gdzie podczas rejestracji konta klikasz w jedno miejsce, bach, generuje ci się jakieś hasło, nie musisz go pamiętać, manager haseł je trzyma, i podczas logowania za miesiąc, dwa, rok, czy nawet za 2 minuty, manager haseł sam ci to hasło uzupełnia, czyli rozwiązujesz problem nauką obsługi aplikacji, co jest w zakresie każdego użytkownika dzisiaj. My się śmiejemy czasem, że jak księgowa opanowała Płatnika 8, to bez problemu sobie poradzi z managerem haseł.

Czyli zamiast dawać komuś kolejny problem, dajesz mu rozwiązanie. Bo de facto przez powiedzenie komuś, że ma zmieniać hasła i mają być trudne, tylko podnosisz mu poprzeczkę, bo to znowu jakieś wyzwanie, tak? A dając mu software, dajesz mu de facto rozwiązanie, które może łatwo wdrożyć.

Tak, ja myślę, że w naszej branży jest taki problem, że ludzie techniczni są kosmitami. Oni jak mówią, między sobą się rozumieją, natomiast jak komunikują… A na dzisiaj, musimy komunikować kwestie związane z bezpieczeństwem przeciętnym użytkownikom, bo każdy z nas ma jakieś dane w internecie, każdy z nas korzysta ze smartfona, niektórzy mają inteligentne lodówki, nie daj Boże, inteligentne implanty medyczne. Dążymy do tego, żeby być non stop online, ze wszystkim online, co oznacza, że jeśli to nie jest odpowiednio zabezpieczone, odpowiednio się tym sprzętem nie posługujemy, to możemy mieć duży problem. Dzisiaj przez ataki w świecie wirtualnym, w cyberświecie, możemy sobie spokojnie, czy też z przerażeniem to mówię, zniszczyć życie prywatne, realne, tak? Tam ludzie mają swoje pieniądze na kontach internetowych, i tylko tam, nikt nie trzyma tego w skarpecie. Jak do ciebie tutaj szedłem, dosłownie 5 minut temu jeden ze znajomych mi napisał, pomocy, bo ktoś wrzucił do internetu mój adres fizyczny i zaraz zaczną się żarty związane z moją osobą. Są takie różne fora internetowe, gdzie jak zapostuje się adres fizyczny, to jest grupa zapaleńców, która na przykład zamawia zlewy na ten adres, albo robi inne dowcipy.

Tak? Nie wiedziałem.

Ale to nie jest kwestia samego internetu. Normalnie też w świecie rzeczywistym mamy osoby takie jak pseudokibice, a jak są kibice i pseudokibice… Pseudokibice mają trochę inne standardy i potrafią życie komuś zepsuć, tak?

Ciekawe. A propos haseł do banku i managera haseł, to tu akurat dotknąłeś tematu, który mnie osobiście uwierał, dlatego że miałem bardzo burzliwą dyskusję z moją małżonką, dwukrotnie, na ten temat. To znaczy, ja używam managera haseł, zresztą nawet ostatecznie go zmieniłem ostatnio na KeePassa 9, bo przeczytałem u was na serwisie, że jest dobry i jeszcze w miarę lightowy i tak dalej, co prawda nie udało mi się go z przeglądarką zintegrować, ale to oddzielna kwestia. W każdym razie miałem długą debatę z moją żoną, która powiedziała, trzymaj sobie tam wszystkie hasła jakie chcesz, ale hasła do konta bankowego masz tam nie trzymać, bo to na pewno nie jest bezpieczne. Powiedz, czy to jest bezpieczne, czy nie?

Twoja żona, jak każda osoba, która nie wywodzi się z branży IT security, intuicyjnie przekazuje radę, która według niej jest dobra. Czyli ona zrobiła sobie taką gradację, to konto w banku jest dla mnie ważne, tak? Inne rzeczy trzymaj, to tego tam nie trzymaj. Tylko twoja żona prawdopodobnie nie wie, i teraz być może się dowie, że żeby ci te hasła wykraść z managera haseł, gdybyś nawet tam umieścił hasło do bankowości internetowej, to ktoś musi mieć kontrolę nad twoim komputerem. Jak ktoś ma kontrolę nad twoim komputerem, to niezależnie od tego, czy ty hasło do banku masz w managerze haseł, czy masz je w głowie i je wpiszesz na klawiaturze, to koniec, tak? W sensie, że ktoś, kto ma kontrolę nad twoim komputerem i tak pozna to hasło. Ty go nie musisz mieć w managerze haseł, ty będziesz je wpisywał na klawiaturze, a atakujący po prostu uruchomi tak zwanego keyloggera, czyli nagrywanie klawiszy, albo będzie robił zrzuty ekranu, jeśli to hasło gdzieś będzie zapisywane, w jakimś pliku tekstowym. Czyli tak naprawdę nie ma znaczenia, gdzie będziesz mieć to hasło: na kartce papieru w sejfie i będziesz je wyjmował tylko podczas logowania, czy będziesz je mieć w osobnym pliku na komputerze, czy będziesz je mieć w managerze haseł, ono i tak wpadnie w ręce atakującego, jeśli on przejmie kontrolę nad twoim komputerem. A to jest warunek konieczny, żeby wyciągnąć twoje hasła z managera haseł. Czyli widać tutaj, że żeby przeprowadzić ten atak, którego twoja żona się obawia, atakujący ma wyższe uprawnienia niż problem, który twoja żona chce rozwiązać trzymaniem hasła w innym miejscu. Ale plus i tak za to, że wykonała ten krok, co jest dla mnie ważniejsze. Bo bardzo wiele osób zapomina, że w bezpieczeństwie najważniejsza – i w ogóle nie można mówić o mechanizmach ochronnych, o zabezpieczeniach, jeśli się jej nie zrobi – jest tak zwana analizy ryzyka. To brzmi bardzo skomplikowanie, ale polega na prostej rzeczy, co dla ciebie jest ważne. To może być konto w banku, i przed kim chcesz to zabezpieczyć, czy to jest właśnie partner/partnerka, jakiś gość, który nas odwiedza w domu, bo mamy imprezę i być może komputer stoi w ogólnie dostępnym pokoju, czy może jest to bardziej zaawansowany haker. I tutaj, jak spojrzysz na to od strony gościa w domu podczas imprezy, to wystarczającym zabezpieczeniem, żeby on się nie dostał do konta online’owego, czy tego hasła, które jest nawet w managerze haseł, to jest kod blokady ekranu do komputera, albo go schowanie po prostu do sejfu, czy wylogowanie się i zamknięcie, tak? To jest wystarczające na przeciętnych imprezowiczów w większości polskich domów. Natomiast jeśli po drugiej stronie masz osobę, która jest profesjonalistą i ona z jakiegoś powodu cię namierzyła, a może to zrobić, bo jednak jesteś osobą, która jest znana bardziej niż średnia Polaków, możemy domyślać się po tym co robisz, że na koncie jednak masz więcej niż mniej…

Nie. Zaprzeczam.

Dobrze, dezinformacja jest jedną z technik obronnych. Jeśli byłeś w jakiejś spółce, twój PESEL może być osiągalny w internecie, numer twojego telefonu prawdopodobnie też dałoby się poznać, gdzieś numer konta masz, może go podawałeś, on mógł wylecieć, i ktoś, kto pozbiera sobie takie skrawki na twój temat… Zobacz, że to jest jednak jakiś wysiłek, trzeba to popołudnie spędzić, ale mówimy tutaj o wartościowej osobie, która może mieć dużo na koncie, to zebranie takich kawałków wiedzy na twój temat teraz pozwala zrobić atak socjotechniczny, na przykład na twojego operatora. Załóżmy, że ten operator to jest firma xyz, żeby tutaj żadnego operatora nie penalizować, i można do takiego operatora zadzwonić i powiedzieć, chciałbym przekierować rozmowy telefoniczne z mojego numeru telefonu, mam na imię Greg. No i operator powie, żebym ja był pewien, że to Greg do mnie faktycznie dzwoni, to jeszcze musisz podać PESEL. Osoba ten PESEL ma, więc go poda, dla jednego operatora w Polsce, to jest wystarczający sposób uwierzytelnienia, on ci te rozmowy przechodzące na twój numer przekieruje na numer przestępcy. I teraz wyobraź sobie, że przestępca odbiera wszystkie rozmowy, które do ciebie przychodzą. Po co miałby to robić? Powiedzmy, że masz konto w banku, który się nazywa abc, i ten bank ma aplikację mobilną. Jeśli ściągniemy tę aplikację mobilną, żeby ją zainstalować na telefonie i podpiąć się pod twój rachunek, trzeba w tej aplikacji mobilnej podać twój PESEL. O! No to już mamy, tak? I bank jest trochę inteligentniejszy niż operator, mówi nam, PESEL to każdy może znać, więc jeszcze poprosimy o nazwisko panieńskie matki. Jeśli ktoś to nazwisko panieńskie matki, twojej, pozna, bo gdzieś ono się pojawiło. Albo, nie daj Boże, bo od tego się zazwyczaj zaczyna, ktoś ci wejdzie na skrzynkę mailową, gdzie miałeś umowy z prawnikami, kupna-sprzedaży samochodu, lokalu, akt notarialny, tam może się pojawić taka informacja. I ktoś dysponuje tą cząstką wiedzy. To teraz do tej aplikacji poda to nazwisko i bank abc powie, witaj Greg, już jesteś prawie w stanie kontrolować swoje konto za pomocą naszej super aplikacji, ale jeszcze jedna rzecz, żeby nie było tak, że ktoś poznał te dwie dane, przejmuje ci właśnie konto, to my naszym systemem bankowym, zadzwonimy na twój numer telefonu, przedyktujemy ci 4 cyfry, weź je wpisz na kolejnym kroku setupu tej aplikacji. I teraz bank zestawia takie połączenie telefoniczne na twój numer, tylko przypominam, że ten numer jest już przekierowany poprzednim atakiem, na numer przestępcy, on sobie odbiera taką rozmowę, słucha lektora, przepisuje te 4 cyferki, kończy spinanie aplikacji mobilnej z twoim rachunkiem w banku i wykrada ci pieniądze. Ten atak zdarzył się naprawdę, rok temu, po tym ataku i operator troszeczkę zmienił swoje zasady przekierowania numerów, i bank też zmienił sposób podpinania aplikacji mobilnej. I to jest między innymi to, czym my się w Niebezpieczniku zajmujemy, że jak do nas się ktoś zgłosi z taką sytuacją, okradli mnie, co robić, to staramy się zanalizować, jak do tego doszło. I trochę jak detektywi, zbieramy te informacje, a co miałeś, jak miałeś, aha, co o tobie wiedzieć i my jakby odtwarzamy sposób ataku na tę osobę, sami szukamy informacji na jej temat w internecie, i zastanawiamy się, jak można było dojść tu czy tam. Oczywiście będąc prasą możemy się zwrócić do banku czy operatora i spróbować wytłumaczyć, wstawić się za takim użytkownikiem, zweryfikować jak do tego doszło. Bank nie zawsze, powołując się na tajemnicę bankową, będzie chciał z nami na ten temat rozmawiać. Ale możemy poinstruować ofiarę o co zapytać, ona te dane otrzyma i jak nam przekaże, to dla nas stanie się jasne, jak ten przestępca działa, i będziemy mogli wystosować ostrzeżenie dla innych osób. I po lawinie skarg do operatorów czy banku, tak jak było w tym przypadku, wymusić na rynku pewną zmianę, która zabezpieczy inne osoby, na przykład tak znane jak ty, i zostawiające swoje dane w internecie. Zwróć uwagę, że hasło możesz zawsze zmienić, ale nazwiska panieńskiego matki…

Raczej nie. To prawda. W tej sytuacji przychodzi mi do głowy jeszcze taka rozmowa, inna znowu. Niedawno rozmawiałem z moim klientem, który powiedzmy, pracuje w firmie, która też ma departament bezpieczeństwa i mieliśmy interesującą debatę o różnych spółkach jego i innych, i tak dalej, i tak dalej, i na końcu powiedział, słuchaj, na końcu to jest i tak wyścig zbrojeń. I my robimy sobie analizę ryzyka, czy bardziej nam się opłaca więcej zainwestować w technologie zabezpieczające, czy zapłacić karę, czyli pokryć koszty ewentualnych strat związanych z tym błędem bezpieczeństwa. I to mnie tak zainspirowało, rzeczywiście, że nie ma bezpieczeństwa absolutnego, że zawsze, jak ktoś jest naprawdę mocny, to wszędzie się włamie, to jest tylko kwestia determinacji. Jak w tej sytuacji, w praktyce, ty to postrzegasz z perspektywy firmy, która też świadczy usługi, które właśnie takie ataki wykonują i gdzie jest ta granica, jak wyczuć tę granicę, na ile trzeba się zabezpieczyć, jak zmierzyć to prawdopodobieństwo.

To co powiedziałeś jest smutne, ale prawdziwe. Bezpieczeństwo jest procesem, to nie jest produkt, nie da się kupić 2 kilo bezpieczeństwa i mieć spokój na 2 czy 3 lata. A więc każdy, kto myśli, że zainwestuje n-tysięcy złotych i będzie mieć problem rozwiązany, jest w wielkim błędzie. Bezpieczeństwo to jest coś, co trzeba monitorować i reagować. I tutaj twój znajomy ma stuprocentową rację, wiele firm – i my firmom też doradzamy dokładnie taki sam kierunek – musi sobie zrobić analizę ryzyka, co mają najważniejszego, kto ich będzie atakował, ile oni na każdym ataku stracą, na jakie zabezpieczenia ich stać i którą część klientów może bardziej ochronić, a których spisać na straty. To jest smutne, ale może niektórzy nasi słuchacze, którzy zostaną ofiarami internetowych scumów, są w tej części „spisać na straty”. W sensie, bank może PR-owo zrekompensować im tę kwotę, a może tego nie robić, może się z nimi sądzić. Jest to po prostu skalkulowane i wpisane w pewną strategię działania. I to jest kwestia dbania o procenty. I jeśli atak robi się coraz bardziej popularny, coraz bardziej dostępny, bo pojawiają się dowody kolekcjonerskie 10, które są świetnie podrobione i idealnie nadają się do tego, żeby pójść do operatora i powiedzieć, ja jestem Greg, to jest mój dowód. Tak, PESEL się zgadza, imię, nazwisko się zgadza, numer i seria się zgadza, bo też z jakiejś umowy została wzięta, a operator patrzy, wpisuje w system. No tak, zdjęcia tam nie ma, natomiast na tym dowodzie kolekcjonerskim jest moje zdjęcie, bo ja się pod ciebie podszywam, ktoś porówna to zdjęcie, to się wszystko zgadza, to ja dostanę duplikat twojej karty SIM, tak. A ponieważ przez SMS-y uwierzytelniamy się bankach czy w innych instytucjach – na przykład jeśli masz konto na gmailu – to kod uwierzytelnienia, dwuetapowe uwierzytelnienie, jeśli to włączyłeś, może ci przychodzić SMS-em na telefon komórkowy. W tym momencie przestępca, który poznał twoje hasło, ale nie mógł się do twojego gmaila dostać, bo nie kontrolował twojego telefonu, teraz już go kontroluje, może nie tyle telefon, co samą kartę SIM, czyli tego SMS-a odbierze.

To co w tej sytuacji? Dwuetapowe jest gorsze, jeżeli ktoś skopiował moją kartę SIM? To powinienem zostawić sam…

Jest lepsze, bo popatrz na to pod kątem prawdopodobieństwa zagrożenia. Jest bardziej prawdopodobne, i to się dzieje na codzień, że twoje dane wyleciały z jakiegoś serwisu, i ktoś już ma twoje hasło i będzie próbował do twojego powiedzmy gmaila. Ale jest mniej prawdopodobne, że…

Że będzie miał i to, i to.

…będzie w stanie zainwestować nawet 250 złotych za dowód kolekcjonerski, że odważy się pójść do jednego z operatorów, gdzie przecież są kamery i te nagrania są przechowywane, i duplikat karty SIM uzyska. On to zrobi, jeśli uzna cię za coś takiego, co my nazywamy HVT, high value target, czyli osobę, którą warto zaatakować mocniej, dlatego że może mieć właśnie przysłowiowe więcej na koncie. I wracając jeszcze do kwestii twojego znajomego. Bezpieczeństwo jest procesem i jest kluczowe, żeby zrozumieć, że nie możemy jednym ruchem rozwiązać wszystkich problemów bezpieczeństwa. Ba, są nawet zabezpieczenia, które nam zaszkodzą. Niektórzy, my to widzimy…Mamy nawet slajd na niektórych naszych szkoleniach „nie bądź faszystą bezpieczeństwa”. Bo to co nam z ankiet wyszło po szkoleniach, które realizujemy z programistami czy administratorami, to że jak im pokażemy, co można zrobić, żeby dobezpieczyć… To naturalne, powiedzmy tak jak twoja żona: to zróbmy to, to, to, i to, i to, i jeszcze zabezpieczmy, będzie lepiej, tak? Bo skoro więcej bezpieczeństwa, to mniejsze ryzyko. I to jest dobre myślenie, ale jeśli wdrażamy zabezpieczenia, to często te zabezpieczenia powodują duży problem po stronie użytkownika, on ma kolejną warstwę do przejścia, może nie zrozumie, co to jest dwuetapowe uwierzytelnienie i wdrożenie.

Okej, czyli chodzi o to, że useability po prostu zabija efekt.

Dokładnie tak. Cashflow się zmniejsza, bo ktoś odpadnie na CAPTCHA 11, bo nie zrozumie co to jest, nie rozwiąże jej. Na urządzeniu mobilnym CAPTCHA jest jeszcze trudniejsza do rozwiązania, bo robi literówki. I efekt jest taki, że ktoś pójdzie do konkurencji, która jest gorzej zabezpieczona, a nie do ciebie – firmy, która dba o bezpieczeństwo. Dobrym podejściem jest pomyślenie o tym, że rozwiązaniem na przykład problemu masowego zakładania kont i postowania lewych komentarzy o produktach na naszym serwisie jest CAPTCHA, ona rozwiązuje problem. Ale nie wdrożymy jej na produkcję. Już ją zakodowaliśmy, mamy gotową, natomiast dopiero jak biuro obsługi klienta wykryje, że liczba komentarzy w czasie ponadnormalnie wzrasta, czy mamy anomalię – bo monitorujemy bezpieczeństwo, proces cały czas monitorujemy – to wtedy osoba z biura obsługi klienta, zupełnie nietechniczna, ona mówi, ops, tutaj mi się świeci na czerwono, że jest ponadnormalna liczba komentarzy w jednostce czasu w ostatnich 10-15 minutach, naciska czerwony przycisk i CAPTCHA teraz automatycznie deploy’uje się, wdraża się na tę produkcję i się pojawia. Stopuje atak, ale znowu, po godzinie automatycznie spada. Biuro obsługi klienta ma kolejne zadanie, czy wskaźnik jest dalej na czerwono, czy będzie już na zielono. Czyli reagujemy na zagrożenia wtedy, kiedy one istnieją, właśnie po to, żeby useability, czy odpływ klientów zminimalizować i cashflow sobie zapewnić. To jest rozsądne podejście do bezpieczeństwa. A nie to, co właśnie u wielu osób, które się tym bezpieczeństwem zachwyci… Bo wiesz, to jest sexy: ci hakerzy, co możemy zrobić, żeby było bezpieczniej. To jak oni zaczynają to wszystko robić, to robi się z tego taka…, jak ubieranie na cebulę, jedna, druga, trzecia, czwarta warstwa – no i nie możesz się za bardzo ruszać. Jesteś super bezpieczny przed różnego rodzaju gradem, deszczem, nawet ugryzieniem psa policyjnego, no ale nie musisz być zabezpieczony przed ugryzieniem przez psa policyjnego cały czas, tak? Więc to jest kwestia, kiedy założyć ten pancerz.

To jest ciekawe. A skąd w twojej głowie zaświtał pomysł, żeby się tym tematem zająć? Co się wydarzyło 10 lat temu, bo powiedziałeś, że 10 lat ma Niebezpiecznik już?

Tak. Niebezpiecznik ma 10 lat, natomiast ja tematem, chyba, jeśli dobrze liczę, to już tak koło 15-16 lat się zajmuję. To były studia. Studia i osoby, które na tych studiach się pojawiały jako goście na wykładach niezwiązanych z programem nauczania, tylko na wykładach, które były organizowane przez koło naukowe. I jednym z takich gości był doktor Świątek 12 pracujący wtedy w Motoroli, który jako absolwent AGH opowiadał o tym, jak on robi karierę właśnie w bezpieczeństwie. I pamiętam, że Wojtek miał genialny sposób prowadzenia tego wykładu, bo on zadawał pytania. No i ja, siedząc wśród publiczności, która nie była zbyt liczna, 20 osób, na te pytania sobie w głowie odpowiadałem, i kiedy on prezentował odpowiedzi, to było 100% strzału. Mówię, kurczę, myślę podobnie jak ten skillset, który tutaj jest potrzebny. Ale to mogło być związane też z tym, że jeszcze wcześniej, zanim poszedłem na studia, miałem komputer, który uzyskał dostęp do internetu i w internecie w tamtych czasach to zupełnie inny świat. Społeczeństwo oparte na wiedzy, grupy Usenet’owe, to było serce internetu. Zanim fora internetowe powstały to siedziało się przecież na Usenet’cie, nie wiem ilu naszych słuchaczy będzie pamiętało Usenet 13, teraz ostatnie serwery już niestety są wyłączone, ale na Usenecie była taka grupa osób, które były zainteresowane hackingiem. Mnie też ten hacking interesował, głównie po filmach czy literaturze, natomiast życie okazało się zupełnie inne. To znaczy, ci ludzie byli całkiem normalni, mieli całkiem zdrowe podejście do bezpieczeństwa, nie byli to przestępcy, byli to ludzie, którzy byli zainteresowani nadużywaniem technologii w taki sposób, do którego ona nie została stworzona i to mi się bardzo spodobało. Jak na przykład zadzwonić z budki telefonicznej omijając potrzebę włożenia karty z kredytami. I nie dlatego, żeby kogoś okraść, ale dla samego faktu: tak to działa. Więc to były początki, początki związane z atakowaniem Urmetów 14 TP S.A., mam nadzieję, że TP S.A. mi wybaczy…

Może to już się przeterminowało.

Tak, jutro jadę do Orange’a właśnie, więc poproszę ich o wybaczenie. Ale tak, od tego się zaczęło i takie nieszablonowe myślenie to, wydaje mi się, jest coś, co jest kluczowe żeby w tej branży działać, żeby zauważać, jak można wykorzystać jeden przedmiot do czegoś zupełnie innego. I nie ukrywam, że też gry w tym pomagają. Dawniej były tak zwane MUDy 15, czyli konsolowe gry, gdzie mówiło się, idź w prawo trzy razy, widzisz rycerza, co robisz, wybierz opcję. Nie było grafiki, trzeba sobie było zwizualizować pewne rzeczy, poznać scenariusz, rozłożyć, rozrysować ewentualnie na kartce. To były takie problemy… Zresztą też pewnie kojarzysz, technologia wtedy nie była super wydajna, miało się bardzo mało zasobów, trzeba było bardzo rozsądnie tymi zasobami administrować i wykorzystywać je w taki sposób, żeby cokolwiek zrobić. Teraz jak mówimy o sprzęcie, mocy obliczeniowej i tym, że byle grafika wrzucona na Facebooka waży 20 mega, to już jest zupełnie inny świat, nie musimy się tym przejmować. Wtedy te ograniczenia, paradoksalnie one powodowały wzrost kreatywności w podejściu do różnych rzeczy i wydaje mi się, że to był też motor napędowy niektórych osób ze środowiska usenet’owego.

Piotrze, jakie to były studia, na których się znalazłeś? Powiedz.

Studiowałem informatykę, ale można powiedzieć, że dwuetapowo. Zacząłem studia na AGH-u i to jest świetna uczelnia, która świetnie pokazuje czego nie robić, jeśli chodzi o to, jak działać w IT i jak się tego nie uczyć. Jak idziesz na studia na AGH, to uczysz się na pierwszych 2 latach wszystkiego tylko nie informatyki. I to było coś, co mnie bardzo rozczarowało. Byłem mega zajawiony na to, żeby pozyskać informacje, a musiałem się uczyć fizyki, a musiałem się uczyć tak zwanych drutów, czyli elektroniki. No okej, to było ciekawe, nie miałem z tym może jakichś dużych problemów, ale miałem poczucie bardzo zmarnowanego czasu, w sensie, po co mi to? I z ręką na sercu, nie wiem, może z dwie całki policzyłem od czasu studiów, więc wydaje mi się, że można byłoby to zoptymalizować. Jak pojawiła się okazja – bo już byliśmy w Unii Europejskiej, świeżo – na wyjazd na studia za granicę, dokładnie do Szkocji, to z tej szansy skorzystałem. Nawet ta szansa trochę mi przemknęła przed oczami, bo o spotkaniu z takim, można powiedzieć, ambasadorem zagranicznego uniwersytetu na AGH-u nie wiedziałem, nie byłem na nim. Ale mój kolega z innego uniwersytetu powiedział mi, że jest taka szansa u nich, gościu mówił, że u was też jest, albo będzie. Zorientowałem się, okazało się, że już był, ale go namierzyłem mailowo, pingnąłem go mailowo, on powiedział, stary, jak się interesujesz – to tak, podsyłaj papiery i próbujemy. Okazało się, że się udało. Więc poleciałem do Szkocji i tam przeżyłem szok. Po pierwsze, dlatego że myślałem, że znam język angielski. Nie znałem języka angielskiego w wykonaniu Szkotów. Pierwsza osoba, którą spotkałem na lotnisku i taksówkarz, to myślałem, że to jest w ogóle Niemiec. To nie był Niemiec, to był Szkot, tak że to już była lekcja pokory. A drugi szok to była uczelnia, która na dzień dobry powiedziała, tu masz listę przedmiotów, wybierz sobie, które chcesz. I wyobraź sobie jak ja wtedy wyglądałem: patrzę, a tam są i bazy danych, i bezpieczeństwo, i kursy, które u nas w Polsce kosztowały grube tysiące złotych. U pewnego producenta sprzętu sieciowego, nie będziemy mu robili reklamy, za które się po prostu płaciło, żeby mieć. A tam w ramach studiów to jest osiągalne dla ciebie. No więc jak ten głupi Polak pozaznaczałem tych przedmiotów z 6 czy 7, tak żeby wypełnić całe 5 dni studiów, cały weekday, a zostałem wezwany do dyrektora. I myślę, kurczę, coś tu jest chyba nie tak, może trzeba będzie więcej dopłacić za to, że te przedmioty powybierałem. A dyrektor powiedział, rozumiemy żarty, ale bez żartów proszę, bo my możemy tylko 4 przedmioty w trakcie semestru. I to dla mnie, studenta AGH, było szokiem. Okazało się, że na studiach za granicą, co dla mnie było nowością, wybiera się 4 przedmioty, bo studiuje się 2,5 dnia, a resztę czasu masz po to, żeby zarobić na te studia – większość osób musiała pracować gdzieś, żeby opłacić te studia, tam studia są płatne – i żeby przygotować się z home projectami, które są zadawane. Wybłagałem, prawie że na kolanach, żeby mi dał jeszcze jeden ekstra przedmiot, bo osoba, która na AGH-u przeżyła pierwszy rok, to naprawdę byłaby w stanie jeszcze dwa razy tyle wziąć na klatę. I rzeczywiście, podejście do przekazywania wiedzy, które tam było, oparte o praktykę, o ludzi, którzy prowadzili firmy, byli zapraszani z zewnątrz przez uczelnię, żeby pokazali jak to wygląda, to było dla mnie bardzo dużą inspiracją i bardzo dużym zastrzykiem praktycznej wiedzy. Świeżej wiedzy, a nie podręczników Rzeźnika i Halliday’a 16, jak to mówiliśmy na studiach, czyli znanego podręcznika do fizyki, który był pisany w latach 70. Okej, fizyka może się tak bardzo nie zmienia, ale informatyka, czy też programowanie, podejście do różnych rzeczy, zwłaszcza bezpieczeństwo, zmienia się praktycznie z miesiąca na miesiąc. Tam wiedza była świeża, nauczyłem się informacji na temat telefonii komórkowej, no przepiękne czasy.

I jak z tych studiów dostałeś się do świata przedsiębiorczości, czyli skąd się wziął Niebezpiecznik?

To też jest zabawna historia, bo będąc na studiach zostawiłem przyjaciół. Całe życie mam olbrzymie szczęście do grupy przyjaciół, bo i w liceum, i w podstawówce, i na studiach, miałem bardzo, może niewielką, ale zżytą grupę osób, które są świetnymi ludźmi, których jak zostawiasz, to jest ci smutno i chcesz utrzymywać z nimi kontakt. Tak że jak przyjeżdżałem do Polski, spotykałem się z tymi osobami. Znajomi, których tutaj zostawiłem z mojego kierunku na AGH-u, robili różne rzeczy, między innymi jeden ze znajomych przejął koło naukowe i to koło naukowe prowadził. Więc pojawiła się prośba, żeby zrobić jakiś wykład na temat bezpieczeństwa. Nie ma problemu, tak, ja lubię nowe tematy, mnie fascynowała wtedy kryptografia, kryptologia, więc postanowiłem zrobić wykład, i ten wykład na AGH-u dałem. I tak się zdarzyło, że musiałem wrócić na studia do Szkocji, ponieważ – o czym ci nie powiedziałem – jak skończyłem ten rok, to był trzeci rok, dostajesz BSc 17. Możesz zrobić dodatkowy rok, albo już nic nie robisz i zaczynasz pracę. Tam była kolejka pracodawców, którzy wręczali zaproszenia do pracy w Nortelu, w Cisco, w innych firmach. No ale ja, jeszcze żyjąc tym polskim umysłem, bo przecież magisterskie trzeba zrobić… Tam na magisterskie idą tylko osoby, które chcą rzeczywiście związać się z uniwersytetem i mieć karierę naukową. Żeby na te studia magisterskie pójść, to jeszcze musisz zrobić rok dodatkowej pracy. Wybłagałem na drugim uniwersytecie, żeby mnie dopuścili do egzaminu, bo uważałem, że to zaplecze 2 lat z AGH-u daje mi jednak silny background. I moja wiedza prywatna, którą w wolnym czasie 2,5 dnia, kiedy nic się nie robiło na uniwersytecie, sam zdobywałem, też pozwalała mi podejść do tego egzaminu, tak mi się wydawało. I dobrze mi się wydawało, ponieważ ten egzamin napisałem w taki sposób, że zakwalifikowali mnie. Czyli rok przeskoczyłem i miałem robić studia magisterskie; i robiłem je zagranicą. W tym czasie się odezwała propozycja pracy z polskiej firmy, która była dość interesująca jak na tamte czasy, bo to było uczenie ludzi związane z bezpieczeństwem, czyli coś, co mnie mega fascynowało. W tamtym czasie miałem też propozycję, i pracowałem zresztą, za granicą w Szkocji w jednej z korporacji, ale korporacja to nie są moje klimaty, jak się szybko okazało. Więc doszedłem do wniosku, że, kurczę, skoro płacą prawie tak dobrze jak w Szkocji, a jest to jednak Polska i tutaj mam swoich znajomych, i będę robić to co lubię, mam dużą dowolność, to może jednak wrócić do Polski. Więc wróciłem do Polski i przez rok, 2 lata, pracowałem w polskiej firmie tworząc szkolenia, przekazując tę wiedzę, będąc na bieżąco z zagrożeniami. Okazało się, że nasza wizja, czyli moja wizja i wizja mojego pracodawcy co do tego, jak mówić o bezpieczeństwie, a przede wszystkim jak je sprzedawać, jest troszeczkę inna. W tym czasie równolegle wystartował serwis Niebezpiecznik, który mnie służył za taki notatnik, gdzie rzeczy, których się uczę, rzeczy, które uważam za ciekawe, można przekazać wszystkim, tam publikowałem. Doszliśmy do wniosku z moim pracodawcą, że może zrobimy zaproszenie na szkolenia, które prowadzę w obrębie firmy, na Niebezpieczniku. No i jak to się pojawiło na Niebezpieczniku, to zapełniliśmy 50 miejsc szkoleniowych w ciągu 2 czy 3 dni. Żebyś miał skalę: szkolenie, na które rekrutowaliśmy przez Niebezpiecznika i zdobyliśmy 50 miejsc w ciągu 2 dni, to na to szkolenie dział sprzedaży kilku, jeśli nie kilkunastoosobowy, pracodawcy, żeby 50 osób zebrać, pracował 1,5 roku. Więc to był dość duży dysonans poznawczy, że raz, może oni nie zachęcają do tych szkoleń w taki sposób, w jaki powinni, albo nie do końca te grupy społeczne, które powinni, a dwa, że jest dość duży potencjał w samym Niebezpieczniku. Więc tutaj próbowaliśmy zmienić podejście do tego, jak w ogóle sprzedawać takie szkolenia, ale nie uzyskaliśmy kompromisu, dlatego podziękowałem za współpracę i skupiłem się na rozwoju tego, co mnie wtedy bardziej interesowało, czyli stricte bezpieczeństwa, na moich zasadach i moich warunkach.

Jasne. Czyli był taki moment, w którym zacząłeś pisać sobie dla zabawy, po prostu bloga, w cudzysłowie, dzisiaj to jest serwis, to jest w ogóle inna historia, na początku zacząłeś sobie pisać bloga, gdzie miałeś swoje notatki dotyczące różnych rzeczy związanych z bezpieczeństwem i to się po prostu organicznie rozniosło wtedy? Jak to się wydarzyło, że pojawiło się tam już tyle ruchu, żeby 50 osób chciało w tym wziąć udział?

Tak, dokładnie tak było. Ja jeszcze zanim pojawił się Niebezpiecznik miałem takiego prywatnego bloga, to nie był blog, to był Jogger 18 19, to była taka platforma, w której pisało się bloga przez Jabbera, a Jabber to był taki protokół komunikacji, może niektórzy też kojarzą, i na tym Joggerze poruszałem tematy, które mnie interesują, czy życie w Szkocji, czy kwestie spraw światopoglądowych, no i trochę bezpieczeństwa, bo to był bardzo duży kawałek mojego życia. Ale poczułem, że właśnie ta działka bezpieczeństwa, ona zasługuje na osobny serwis, dedykowany serwis. I wtedy też z grupą znajomych, już bazując na tej wiedzy, którą mieliśmy, chociaż rynek był zupełnie inny, świadczyliśmy usługi nieformalnych testów bezpieczeństwa, czyli bez jeszcze silnego sprofesjonalizowania osobnego bytu gospodarczego, podpisywaliśmy kontrakty z firmami, pokazywaliśmy im, gdzie mają błędy, i zarabialiśmy na tym. Niebezpiecznik początkowo był w zamkniętej wersji i służył jako, można powiedzieć, notatnik, ale dla nas, wewnętrznie. Jak się pojawiały problemy popularne w firmach i trzeba było je wytłumaczyć już piątemu czy szóstemu klientowi z kolei, to woleliśmy to raz napisać i dać im dostęp do platformy. Potem okazało się, że ta platforma ma opisy, można powiedzieć, tak dobre, że doszliśmy do wniosku, w sumie dlaczego tego nie otworzyć i nie publikować szerzej, może coś ciekawego z tego będzie. I to zrobiliśmy. Przez pierwsze 2 lata prowadzenia Niebezpiecznika nie pojawiła się tam żadna oferta, usługa komercyjna – nam zależało na tym, żeby zbudować społeczność. Dlatego też, być może, jak wskoczyło to pierwsze zaproszenie na szkolenie, to efekt wow, gdzie jest duża grupa osób zainteresowana tematem, był miażdżący, który przerósł nasze najśmielsze oczekiwania i rzeczywiście może zaskakiwać. Potem się obawiałem, że już na kolejne terminy możemy nie zebrać pełnej grupy, ale to od tamtej pory się nie zdarzyło. Czyli za każdym razem jednak ci ludzie się znajdują, i ten lejek sprzedaży, który jest pewnie bliższy tobie czy mnie, zaczął jakoś magicznie działać i on się napełnia, kolejne osoby przekazują informacje kolejnym osobom, do jednych trafiają artykuły związane z motoryzacją, bo to jest ich branża, do innych artykuły związane z inteligentnymi lodówkami, i tak dalej, i tak dalej, więc pomału gryziemy różne sektory. Można powiedzieć, że zarzucamy wędkę i łowimy kolejne osoby, które są bezpieczeństwem zainteresowane, a mają potrzebę korzystania z tych usług komercyjnie, czyli nie boją się zapłacić za coś, albo widzą potrzebę zweryfikowania bezpieczeństwa w kontekście swojej firmy.

Jaka jest dziś skala tego – nie wiem, czy to się nazywa blog – serwisu, tak, jakie są najciekawsze kanały, z których pozyskujecie ruch? Bo dla mnie Niebezpiecznik – oczywiście zawsze każdy patrzy na świat ze swojej perspektywy, co może nie mieć nic wspólnego z większością – to jest głównie Facebook 20, jakoś przez Facebooka trafiłem i to jest kanał, przez który konsumuję te treści. Ale ciekaw jestem, jak wygląda spread kanałów i jak to wygląda?

Czyli nie widzisz w ogóle części wpisów, dlatego że algorytmy Facebooka je wycinają. Aczkolwiek nie mam powodów do narzekań, bo jak czasem czytam różne analizy moich znajomych, którzy w świecie marketingu, sprzedaży czy tworzenia własnych firm publikują u siebie informacje, jaki mają ruch z Facebooka, jak im tną zasięgi, to my tego nie obserwujemy. Być może dlatego, że ten content, który my mamy, to jest content, który jest ciekawy, niektórzy używają nawet słowa sexy. To jest coś, co się dobrze klika.

No, szczególnie te memy czasem, które robicie.

Tak.

Tematyczne fajne.

My robimy rzeczy, na które, wydaje mi się, część firm by sobie w ogóle nie mogła pozwolić, czyli wrzucimy czasem coś, co jest bardzo – można powiedzieć – kontrowersyjne. Ale tacy byliśmy od początku i w ten sposób tę markę budujemy, że ona ma być z przymrużeniem oka, z silną dawką poczucia humoru, ona nie ma być sztywna,

ale ma jednak tę wiedzę w sposób bardzo ustrukturyzowany przekazywać. I Facebook niewątpliwie dla nas jest dużym kanałem dotarcia do społeczności, mechanizmy share’owania na Facebooku, one robią robotę. Czyli jak jest ostrzeżenie o ataku, to ja nie zdążę – po publikowaniu informacji na Facebooku na temat tego ataku – oderwać palca od klawisza w myszce, a tam jest już 20-30 share’ów i to, wiesz, narasta. Ludzie chcą ostrzegać, chcą się przyłożyć do tego, żeby inni byli bezpieczniejsi. I to jest super, to nam pomaga w kwestiach zasięgowych, być może Facebook też to w swoich inteligentnych algorytmach zlicza jako fanpage…

Wartościowy content.

Tak, wartościowy content. Zresztą staramy się niewartościowego contentu nie publikować na Facebooku, bo mamy też LinkBlog 21, gdzie trafiają mniej widowiskowe tematy, ale jednak ważne z punktu widzenia branży i one nie są na Facebooku promowane, żeby nie zalewać go treściami co kilkanaście minut. Drugim kanałem, który ściąga bardzo wielu czytelników, to jest sam serwis i RSS-y 22, coś, co jest wymierającą technologią. Tutaj widać jak mamy rozwarstwioną grupę czytelników, czyli są ci techniczni, którzy z reguły czytają nas właśnie po tych RSS-ach, starej technologii, może tu są jakieś czytniki typu nie wiem, LinkedIn, czy telefony, czy przeglądarki, gdziekolwiek teraz te RSS-y ludzie czytają, bo ja, szczerze mówiąc, już nie korzystam. Ale Facebook buduje tę, można powiedzieć, kulę śnieżną, która cały czas się rozpędza. I LinkedIn 23 powiem ci, jest bardzo ciekawym serwisem, który skupia zupełnie inną grupę docelową. Jak popatrzymy na demografię, to na Facebooku mamy osoby 22 do 35 i tam jest młodzież zainteresowana tą tematyką, i później jest jeszcze górka w okolicach 50-tki, czyli starsze osoby, które mają Facebooka, którym pewnie te treści są share’owane, w których oni znajdują wartościowe dla siebie informacje. Natomiast na LinkedInie mamy zupełnie inną grupę odbiorców, którzy już są…

Demograficznie to się tak różnią?

Dokładnie tak. Tam jest okolica 32 i w górę. Osoby, które postrzegają realność biznesową, jak się domyślam, w tym, co tam jest publikowane, więc bezpieczeństwo nazwałbym obszarem, który trafi do każdej demografii i każdej grupy docelowej. Tylko musisz znaleźć, gdzie ta grupa przesiaduje i pokazać im bezpieczeństwo ich językiem.

A co z młodszymi osobami? Powiedziałeś, że 20-parę to młode. Z perspektywy sprzedawania usług biznesowych tak, ale z perspektywy zmian demograficznych i zmiany konsumpcji w ogóle – mediów społecznościowych i mediów w ogóle – to to jest trudna grupa. To są ci konsumenci, którzy są przed 22-5 rokiem życia, a jest jakaś nowa kategoria, która też rośnie, czy eksplorujecie takie media szybkie i…

Mieliśmy Snapchata. Powiem szczerze, że zgodnie z grafiką, która pokazuje 30-latka, który ogląda Snapchata i głowa mu eksploduje, to ja się totalnie wpisuję w tego mema, nie rozumiem tego narzędzia i raczej nie chciałbym z niego korzystać. Dla mnie on nie ma takiej wartości, jaką być może ma dla młodszych czytelników. Ale Instagram 24 to jest kanał, który teraz tę grupę wiekową bardziej naszą pomału ściąga i gdzie zauważam naprawdę z dnia na dzień, jak mocno musimy popracować nad tym, żeby tam być, bo rzeczywiście coraz więcej osób na Instagramie przesiaduje. Dzisiaj nawet, mając prelekcję dla 500-600 osób na sali… Jak zazwyczaj w trakcie prelekcji wrzucane są wrzutki, ludzie w social media publikują informacje i tagują, to 2 ostatnie lata to był raczej Twitter i Facebook. Ostatni rok to jest Instagram, on wychodzi na prowadzenie, tak że widać jak to się zmienia, jak ludzie, którzy są w różnych grupach wiekowych zaczynają z tego Instagrama korzystać. Ale mamy też takie sporadyczne, można powiedzieć, interakcje z młodymi. Kanał na YouTube TV Gry, który notabene też jest z Krakowa, kiedyś zaprosił mnie gościnnie do takiego występu. To była raczej ta niższa grupa wiekowa, ale okazuje się, że jak im powiesz, jak korzystać z zabezpieczeń w grach, to też się bezpieczeństwem zainteresują, zobaczą potrzebę. Oni nie chronią pieniędzy w banku, bo może nawet niektórzy nie mają kont w banku, ale chronią swoją zbroję w grze komputerowej, a mechanizmy zabezpieczeń konta w grze i konta w banku są bardzo podobne do siebie. I im szybciej zastosują je na grze, tym będzie im łatwiej zastosować całą technologię zabezpieczeń na koncie w banku, koncie mailowym, czy w innych serwisach, z którymi być może niebawem dopiero będą mieli do czynienia. A paradoksalnie: może nawet lepiej, że ich ktoś złupi w grze komputerowej i stracą tę zbroję, nawet jeśli ona na serwisach aukcyjnych jest warta 200 czy 300 złotych, gdyby ją wystawić na sprzedaż, niż gdyby mieli stracić wszystkie swoje pieniądze z konta w banku. A jeśli spojrzysz na swoich rodziców, moich rodziców, którzy nie dorastali z komputerami tak jak my, nie mają o tym zbyt dużego pojęcia… Ja swoich staram się uświadamiać, może nawet atakować. Ale dalej ktoś będzie w stanie ich w odpowiedni sposób podejść. Oni są zmuszeni ekonomicznie i przez świat, który ich otacza, do posiadania konta w banku, do trzymania tam oszczędności całego swojego życia. I jedno złe kliknięcie powoduje, że puf, tych oszczędności nie ma. Więc zwłaszcza te osoby powinny mocno zwrócić uwagę na te aspekty bezpieczeństwa, bo u nich pomyłka to nie jest strata zbroi za 300-400 złotych, jak u tego 12- czy 11-latka, który chwilę popłacze może, będzie mu smutno, ale później przejdzie nad tym do porządku dziennego i podniesie swoje bezpieczeństwo, bo boleśnie się sparzył, przekonał. Teraz zrobi to lepiej, nauczył się na błędzie. A o osobch, które mają oszczędności całego życia i je stracą, ciężko powiedzieć, że się nauczą na błędzie, bo to jest dla nich trochę koniec świata.

A skąd w tobie to paliwo do ekscytacji związanej z bezpieczeństwem i szczególnie ciekawi mnie, że to jest temat, który cały czas, widzę, bardzo cię pochłania, a lata mijają. Jak czujesz, co było początkiem dla ciebie, czy inspiracją, i co sprawia, że przez tyle lat to bezpieczeństwo jest dla ciebie konikiem, że jak o tym opowiadasz, to nie ma wątpliwości, że to jest twoja pasja.

Cieszę się, że to zauważyłeś. Rzeczywiście, na początku tym bezpieczeństwem się bardzo techniczne zajmowałem. Fascynowało mnie to, jak zmieniając linijkę w kodzie można zrobić bardzo brzydkie rzeczy z tym programem, mówiąc obrazowo, a jak zmieniając drugą linijkę w kodzie można go całkowicie zabezpieczyć przed tymi brzydkimi rzeczami. To była fascynacja na warstwie technologicznej. Później mi trochę przeszło, bo z czasem, kiedy właśnie trzeba było się zająć nie tylko już kwestiami technicznymi, tylko również tworzeniem firmy, to czas się trochę kurczy, jest hackowanie w Excelu zamiast hackowania na systemach klientów. Ludzie, którzy ze mną pracują, to są eksperci zdecydowanie lepsi w poszczególnych działkach niż ja. Więc patrząc na to co oni robią i jak robią, mówisz wow, bo jesteś po prostu stary, czujesz się staro, widzisz, że nie nadążasz za technologią. Również dlatego, że nie ma po prostu kierunku bezpieczeństwo, nie ma obszaru bezpieczeństwo, to bezpieczeństwo nakładasz na wiele różnych rzeczy. Na administrację serwerami, system operacyjny taki, śmaki i owaki, na tworzenie kodu w języku programowania takim, śmakim i owakim. Odkąd zaczęliśmy rozmawiać, nie wiem, pół godziny temu, pewnie już powstały dwa nowe frameworki Java scriptowe, które już być może niektórzy wykorzystują do budowania serwisów, już trzeba się ich nauczyć. To jest potężna skala, więc ta warstwa bezpieczeństwa, ona jest bardzo płynna. I to paradoksalnie jest bardzo dobre, dlatego że jeśli nudzi cię patrzenie w ten kod, to możesz sobie przeskoczyć, przepłynąć na tej warstwie bezpieczeństwa w obszar na przykład zabezpieczeń fizycznych. Ja odczuwałem też fascynację wejściami fizycznymi do budynku, czyli jak ominąć ochronę, przeskoczyć bramki.

To dobrze, że o Mitnick’u na początku powiedziałem.

Tak, dokładnie. Więc aspekty socjotechniczne to też była moja fascynacja: jak atakowaliśmy firmy mailami, podszywaliśmy się pod pracowników, wyłudzaliśmy dane. Teraz właśnie, te ostatnie 3 lata – robię się już stary – to jest mój silny focus na to, jak to coś, co wypracowaliśmy, tę wiedzę, którą mamy, przemielić, przełożyć tak, żeby ona była strawna dla osób bardzo nietechnicznych. Żeby właśnie tych moich i twoich rodziców uratować, przekazać im informacje, które być może uratują ich w sytuacji, kiedy zetkną się z jakimś zagrożeniem. Bo oni się zetkną z zagrożeniem, albo już się stykają z zagrożeniem, dlatego że ataki, z punktu widzenia atakującego, to jest numer telefonu, na który wysyłają fałszywą wiadomość, albo adres email, na który wysyłają fałszywego maila. Oni nie wiedzą, czy tam jest 60-latek, 70-latek, 12-latek czy 30-latek, więc walą szeroko po wszystkim, i to dotrze do osób nietechnicznych również. Więc moja misja teraz to jest przekazać tę wiedzę bardzo szeroko, tak żeby rzeczywiście ludzi zabezpieczyć, nawet tych nietechnicznych, którym się wydaje, że bezpieczeństwo to w ogóle nie jest ich bajka.

A twój team i twoja firma, jak to wygląda? Ile to jest osób, w jaki sposób pracujecie, ile tych projektów jest? Chciałbym poczuć tę drugą stronę, czyli to jest i strona redakcyjna, i strona edukacyjna, i strona włamów, tak, czyli tych ataków. To jak wygląda, jak jest zorganizowana firma, skład?

My mamy siedzibę główną w Krakowie. Rozrastamy się z roku na rok, właśnie jesteśmy na etapie przeprowadzki do większego biura, co swoją drogą powoduje dodatkowe skurczenie się czasu i wyzwania, z którymi się do tej pory nie spotkaliśmy. Ale wydaje mi się, że na przestrzeni ostatnich lat udało się zbudować zespół, zarówno back office’owy, jak i ekspercki, który już teraz pozwala mi zupełnie zniknąć i sprawić, żeby wszystkie kompetencje, które ja do firmy wkładałem, były w 100% zastępowalne przez inne osoby. Może nie przez jedną osobę, ale poszczególne fragmenty tego, czym się zajmuję, ktoś inny może robić i robi to dobrze. I to był mój cel na poprzedni rok. Na ten rok mam taki cel, żeby pojechać na długie wakacje i w ogóle nawet maila nie czytać i nie zaglądać i żeby firma samodzielnie już funkcjonowała, żeby nie było pytania o podjęcie decyzji w jakimś stopniu kierowanych do mnie. Natomiast odpowiadając na twoje pytanie ilu nas jest, jak dużo nas jest. To jest bardzo ciężkie do odpowiedzi pytanie, ja nawet chyba bym nie był w stanie podać tej liczby, dlatego że to zależy jak patrzeć. W ogóle „to zależy”, to jest ulubiona odpowiedź osób, które zajmują się bezpieczeństwem. Ale jeśli spojrzymy na część redakcyjną, to bardzo ważną osobą jest Marcin Maj 25, który jest redaktorem prowadzącym i on tak naprawdę mocno, jeśli nie całkowicie, odciążył mnie od kwestii związanych z redakcją. Czasem mamy gościnne wpisy innych redaktorów, ciągle szukamy innych osób, które chciałyby pisać, więc jeśli ktoś jest zainteresowany, może tutaj zdobyć wiedzę, może się uczyć czegoś i jeszcze mu za to zapłacimy, o ile wyprodukuje content, który opublikujemy. Mamy szkoleniowców i pentesterów. I tutaj jest ciekawostka, bo nasi niektórzy z pentesterów są szkoleniowcami. Dbamy po prostu o to, żeby ludzie, którzy przekazują wiedzę, przekazywali ją z praktyki i doświadczenia, a nie byli tak zwanymi przysłowiowymi garniturami, które przychodzą na prezentację i tylko przełączają slajdy w PowerPoincie, bo wyczytali coś z książek. Tak że tutaj rzeczywiście z naszymi trenerami można porozmawiać o problemach, które w ramach swoich szkoleń tematycznych poruszają. Nie mamy osób aż tak wielu na stałej współpracy, często te rzeczy związane z security są bardzo wąskie. Czyli jest na przykład specjalista od Oracle’a, i to jest osoba, której potrzebujesz do kilku projektów w skali roku. Nie za bardzo opłaca się taką osobę utrzymywać, bo to jest wysokiej klasy ekspert, który dużo kosztuje, to raz, a dwa, to jest osoba, która też ma swoje biznesy. To jest paradoks, że dobrzy ludzie w tej branży z reguły sami mają swoje firmy czy konsultują coś i jest trochę kanibalizacja rynku, ale staramy się z nimi wejść w kontrakty per projekt. Jak bym miał spojrzeć na to, ile mamy skrzynek pocztowych założonych na aliasy i konta pracownicze, to to byłoby w okolicach 40-kilku. Więc z tyloma osobami…

To dużo.

…mniej lub bardziej regularnie współpracujemy. Myślę, że w core’owym zespole jest 12-13 osób, które bardzo regularnie coś robią ze sobą razem, czy to są szkolenia, pentesty, czy też dzielą się wiedzą z redakcją, albo jest to po prostu bardzo cenny back office, który utrzymuje kontakt z klientami i dba o to, żebyśmy mieli rozliczone wszystkie rzeczy wtedy, kiedy mamy je mieć rozliczone.

Powiem ci Piotrze jedną rzecz: nie jesteś typowym reprezentantem tak zwanych – uwaga, ulubione słowo osób nietechnicznych – informatyków, ani programistów, i twój interfejs komunikacyjny również nie jest…

Międzymordzie.

…tak zwane międzymordzie, twój interfejs komunikacyjny nie jest też klasycznym interfejsem. Mówisz o swoim biznesie w sposób raczej biznesowy, a nie techniczny. Jakie są źródła tego? Jak przebiegała twoja ewolucja od potencjalnego programisty, studiującego informatykę, do managera biznesu, poniekąd związanego z bezpieczeństwem w szerokim tego słowa znaczeniu.

No, nie mogła być normalna, zwłaszcza, że byłem programistą Pearla 26. To jest taki wewnętrzny żart, bo język Pearl jest taki, że jak patrzysz, to nie wiesz co tam jest napisane, jest bardzo enigmatyczny, można powiedzieć. I taka też była ta ścieżka, bo jak popatrzysz na bezpieczeństwo, to tak naprawdę, jeśli chodzi o rynek w Polsce, rozwijało się, można powiedzieć, równocześnie ze mną. Jak ja dorastałem nie było książek, nie było fachowej wiedzy, to wszystko na bieżąco się zdobywało czytając różne grupy właśnie Usenet’owe, czy prace naukowe, wymieniając się wiedzą na różnych spotkaniach fascynatów. Tak że to była ciężka droga, trochę samouk bezpieczeństwa, pod kątem technicznym. I pod kątem firmowym, czy biznesowym, również, bo ja nie kończyłem żadnego zarządzania, nawet nie wiem jak się nazywają studia, które są związane z prowadzeniem firmy, byciem dyrektorem, prezesem, czy jakkolwiek to się nazywa. I trochę tego żałuję, bo widzę teraz na tym etapie, kiedy doszliśmy do poziomu, gdzie ja personalnie pomału już nie daję rady, żeby wszystkie sprawy ogarniać i – nie ma co ukrywać – mnie to nie sprawia żadnej frajdy… Na początku, rozkręcanie firmy bardzo mi sprawiało frajdę, dlatego że to jest kolejne wyzwanie, można to pohackować, a co jak zrobimy tu, tam, siam. Mam podejście bardzo, można powiedzieć, numeryczne, zbieżne z tym, co pracownicy Google preferują. Mierz wszystko, podejmuj decyzje bazując na danych, zobacz co się sprawdza, co się nie sprawdza. Starałem się w ten sposób podejmować decyzje, bardzo zachowawczo i spokojnie, kalkulując wszystko, weryfikując, gdzie są większe, mniejsze szanse, używając może trochę rachunku prawdopodobieństwa, poruszać się do przodu, stabilnie. Jak bym to odniósł do gier strategicznych, w które się grało, Settlersów czy cokolwiek innego, Simsów, to ja zawsze na początku budowałem swoje poletko, gromadziłem zasoby i dopiero dzida na przeciwników, tak? Podobną strategię miałem przy budowaniu firmy. Natomiast na tym etapie… I zrobiliśmy coś, z czego jestem bardzo dumny i z czego, wydaje mi się, niektórzy mogliby wyciągnąć wnioski, gdybyśmy się chcieli z tym otworzyć i tego uczyć. Ja w ogóle bym to robił, gdybym miał więcej czasu. My pewnego razu, 2 lata temu, siedliśmy i pomierzyliśmy wszystko w naszej firmie. Spróbowaliśmy zrobić taki… No bo przelewa się, tak? Mamy kasę, jest super, tak? Tylko czy my wiemy, na czym tak naprawdę najwięcej zarabiamy? Które z naszych szkoleń przynosi najwięcej dochodu, jakie grupy klientów, jakie branże, które miasta tych klientów są dla nas najbardziej wartościowe, brakowało nam tej analityki. Bo jak jest dobrze, to się na to nie patrzy. Jak jest źle – nie jest źle, ale może być źle, pesymistyczne myślenie – to warto mieć te dane i z reguły jest za późno, żeby do nich sięgnąć. Więc my postanowiliśmy wszystko zmierzyć i bardzo dużo pracy wykonała moja koleżanka i kolega z zespołu, patrząc na nasze archiwalne dane, na nasz CRM – który na szczęście był tak zaprojektowany, żeby wiele rzeczy mierzyć, nawet jak ich nie potrzebowaliśmy. Teraz wystarczyło do tego sięgnąć i to przerobić. I wyszło nam z tych liczb, że idziemy w dobrym kierunku. Było kilka zaskoczeń: że więcej zarabiamy na tych produktach a nie innych, kiedy nam się wydawało, że jest odwrotnie. I mądrzejsi o tę wiedzę postanowiliśmy podejść bardzo matematycznie, czyli skalkulować budżety, być może to się jakoś fachowo nazywa, mnie tej wiedzy brakuje. My to wszystko robiliśmy w Excelu, nazywaliśmy te parametry swoim językiem, bo potrzebowaliśmy jakiejś nazwy, a one prawdopodobnie w fachowej literaturze mają ustandaryzowaną nazwę, ale mniejsza z tym. I powiem ci, że jak pomierzyliśmy to wszystko i zrobiliśmy projekcje… Jeden z parametrów: wysyłamy trenerów na szkolenia do różnych miast, a przy ofertowaniu trzeba wiedzieć, ile mniej więcej będzie kosztował przejazd i nocleg trenera. Bazując na danych z poprzednich 5 lat uśredniliśmy tę wartość i po roku – bo teraz minął pierwszy rok, odkąd robiliśmy rozliczenie finansowe całego roku – patrzyliśmy na to, czy w poszczególnych działach kwestie związane z noclegiem trenera się pokryły w związku z tym, co zakładaliśmy jako ryczałt na przyszłość. Pokryły się co do 2 złotych różnicy. Więc to było tak dobrze wykalkulowane, że jestem bardzo dumny z naszego zespołu, że byliśmy w stanie na tych danych, które mamy, to zrobić. Zajęło nam to 2 miesiące, może trochę przegięliśmy, bo to było bardzo skrupulatne, mamy podzielone naprawdę wszystko, łącznie z tym, że jeśli jest osoba, która u nas w firmie odbiera telefon, to musimy zabudżetować ją jako klienta wewnętrznego, czy ona telefon odebrała dla na przykład działu szkoleń, czy działu pentestów, czy jeszcze działu handlowego, bo taki mini dział handlowy mamy. I teraz procentowo jak się rozkłada jej wynagrodzenie, które wrzucimy w koszty do poszczególnych działów. Takimi rzeczami się też zajmowaliśmy, i one na początku też mi sprawiają frajdę, żeby zrozumieć jak to wygląda. Aczkolwiek mamy koleżankę, której to większą frajdę sprawia i ona jest w tym ekspertką.

I używacie do tego Excela?

Wiesz co, używamy do tego Excela, bo tam sobie wrzucamy dane z naszego CRM-a, w którym mamy rozpisane…

Czy czas rejestrujecie też w tym? W jaki sposób jest rejestrowany czas? Trochę interesują mnie technikalia, jak do tego doprowadzacie.

Czas pracy mamy etatowy, czyli 8 godzin, czyli staramy się wynagrodzenie podzielić na godziny, jeśli to jest podzielne na godziny, bo może czasem to będą dni, i zweryfikować po prostu, jaka cząstka…

I osoby raportują co dokładnie zrobił danego dnia i w ten sposób to jest dzielone?

Tak. Znaczy, my wprowadziliśmy raportowanie miesięcznie, więc można powiedzieć, że głowy poszczególnych działów dbają o to, żeby zdać mi raport miesięczny, jak to wyglądało, co się dzieje u nich w działach i jak wskaźniki, które sobie wyznaczyliśmy do monitorowania, wyglądają, czy one spadają, czy wzrastają i z czego to wynika. My patrzymy – mając dane z 5 lat wstecz – troszeczkę łatwiej na to, bo na rynku, zwłaszcza szkoleniowym, są takie huśtawki, że w wakacje to nie, IV kwartał to o Jezu, bo wszyscy wydają rezerwy budżetowe. Więc my porównujemy się rok do roku, kwartał do kwartału, miesiąc do miesiąca. Możemy sobie zejść nawet głębiej, do poszczególnych branż i zobaczyć, która branża rozkwita i dlaczego, czy z jakich powodów klienci odrzucali nasze oferty. Mamy tam 17 różnych powodów, po których klasyfikujemy tak zwanego dropa, którego mamy po stronie klienta, żeby wiedzieć, czy na przykład jesteśmy może za drodzy, a może terminowo się nie skalujemy, bo jest akurat potrzeba na konkretny event w konkretnym dniu, a może to nie jest to miasto, a może coś innego, tak? Staramy się tutaj naprawdę zrobić analitykę i z tej analityki chcemy w przyszłych miesiącach, kwartałach wyciągać wnioski i być może coś testować, ulepszać, weryfikować. Tak że widzisz, że tu jest też hacking może trochę takich procesów, ale to jest coś, co po prostu jest matematyką. Myślę, że to są liczby, jeśli ktoś rozumie co za tymi liczbami stoi, to jest w stanie przewidzieć albo krach, bo wskaźniki lecą w dół, to nie zdarza się z dnia na dzień, albo zobaczyć, gdzie jakiś potencjał wzrasta, i być może wykorzystać tę szansę, zanim ktoś inny zauważy, że ona jest do wykorzystania.

Super. A powiedziałeś, że to zaczyna cię nudzić w tej chwili. Czy jakieś wyzwania, uważasz, największe widzisz ogólnie w biznesie ze swojej perspektywy? Nuda, czy…

Wiesz co, nudy nie ma, może nudzić to jest źle użyte słowo. Bardziej chciałbym się skupić na innych rzeczach, które lubię robić. Jak teraz znajdę chwilę czasu….czytaj, Pendolino, gdzie nie ma dostępu do internetu i mogę sobie spokojnie pomyśleć. Albo prysznic jest też: ciekawostka, jestem odcięty od telefonu, stoję, woda po mnie spływa i zaczynają ci, wiesz, myśli się kłębić.. Ten notatnik dla nurków jest świetną sprawą, żeby trzymać pod prysznicem i zapisywać, bo później te myśli uciekają. Ale to jest coś, co pokazuje, że czasem warto złapać oddech, wychillować się i zastanowić się w jakim kierunku chcesz pójść, co możesz zmienić. Bo jak wejdziesz w proces, który stworzyłeś i on jest dobrze zrobiony i dalej wskaźniki pompuje do góry, zgodnie z projekcją wzrostu, którą sobie założyłeś, to nagle okazuje się, że wszystko dobrze robisz, ale brakuje innowacji. Jesteś świetny w tym co opracowałeś, że masz robić, ale przydałby się jeszcze element pójścia naprzód. Wiesz, że w naszej branży, jeśli ktoś nie idzie naprzód, to tak naprawdę się cofa. I mnie brakuje tego, żeby się trochę zdystansować. Tylko potrzebuję się odciążyć, bo jednak pewne rzeczy muszą być robione, to już pomału się udaje. Myślę, że kolejnym krokiem dla mnie to będzie leżak, gdzie będę mógł w końcu zająć się nadawaniem kierunku dla statku Niebezpiecznik i może testowaniem, benchmarkowaniem różnych pomysłów. Bo z drugiej strony, jeśli masz kurę, która znosi złote jaja, to się jej nie morduje, ale na pewnym etapie kura, która cały czas znosi złote jaja, staje się, właśnie, nudna i szukasz sobie dodatkowych atrakcji. Ja szukam koguta, albo drugiej kury, bo uważam, że można jej do pary kogoś dać i to będzie fajnie funkcjonowało razem. Tak że taka kwestia inspiracji jest super. Jak ostatnio miałem szansę napisać artykuł, to mi się przypomniało, jak kiedyś więcej tego robiłem. To jest fajne, ja to lubię wciąż robić, chciałbym do tego wrócić. Teraz niestety muszę podejmować decyzje. Albo rozwiążemy jakiś problem, spotkanie z klientem, projekt pójdzie do przodu, albo ja sobie napisze artykuł, który tak naprawdę, umówmy się, patrząc też po wskaźnikach, które mamy, za wiele nie wnosi do znoszenia złotych jaj. Bo ze wskaźników wygląda, że czy ten artykuł się pojawi czy nie, czy ich będzie 20 czy 10 w miesiącu, to nie ma wielkiego znaczenia, przełożenia na biznes. Niekoniecznie na moje wewnętrzne zadowolenie.

A co robisz, kiedy nie pracujesz? Masz jakieś hobby? Robisz cokolwiek poza tym?

Wiesz co, bardzo chciałbym mieć hobby, mam masę książek, które chciałbym przeczytać, z różnych dziedzin, ale muszę się przyznać, wstydliwie, że bezpieczeństwo jest takim szerokim zagadnieniem, że jak mam wolną chwilę, to scrolluję Twittera, gdzie ten stream informacji jest cały czas nowy, cały czas są nowe pomysłu i tutaj to co robią inni badacze też po części mnie fascynuje. Mam na Pocket’cie chyba najdłuższą listę wśród wszystkich użytkowników, dlatego że nawet twórca Pocket’a się do mnie odezwał i zapytał jak i do czego wykorzystujesz nasze narzędzie? Pewnie mu na wskaźniku monitoringu wyszło, że to jest gościu, który wrzuca czasem 200-300 artykułów dziennie, ma swój sposób tagowania tego i co on do cholery robi, tak? Więc ja rzeczywiście sporo tej wiedzy przerabiam, brakuje mi czasu na to, żeby może zrobić z tego syntezę, więc to jest takie wożenie taczek z punktu A do B, a zapominasz o tym, żeby…

Ładujesz cały czas.

Tak.

Tak jak to mówią, inspiration i perspiration.

Dokładnie.

Że nie masz czasu się z tego wyciągać czasem?

Ale powiem ci, że lubię też sobie na przykład przescrollować zwykłego Facebooka, ludzie mówią, że tam są bzdury, zdjęcia dzieci i kotów. Ja mam tak dobranych znajomych, czy ten stream, że widzę świetne wpisy Pawła Tkaczyka 27, który jest człowiekiem w ogóle niesamowicie mnie inspirującym, dlatego że Paweł mówi o zupełnie innych kwestiach, niezwiązanych z bezpieczeństwem, ale tam u niego jest grywalizacja, jest to hackowanie umysłu, coś, co ja mogę przełożyć na biznes. Jest Sadek, który publikuje fajne success story związane z tym, jak oni rozwiązują pewne problemy. Wreszcie w ogóle są osoby, z którymi stworzyliśmy w Krakowie kółko biznesowe, gdzie spotykamy się raz na jakiś czas. To są ludzie, którzy są C-levels’ami w różnych firmach, stworzyli własne start-up’y albo prowadzą własne firmy, są wysoko postawieni. To ludzie, można powiedzieć, z podobnego biznesu, z podobnym doświadczeniem, też po części ludzie, którzy sami doszli do tego, co zrealizowali. Mamy spotkania typu, jak oceniać pracowników, albo jak rozbudować brand awareness w firmie, czy jak premiować pracowników. Z pozoru błahe kwestie, być może takie, o których książki napisano, nie wiem, nie czytałem takich. Natomiast jak się spotykam z tymi ludźmi, to oni mówią, my to robimy tak, my to robimy tak, u nas się sprawdziło to, u nas się sprawdziło tamto. Nie ma złotych rozwiązań, które wszędzie będą świetnie się spisywały, ale masz inspirację, możesz zweryfikować. No to pójdźmy tym krokiem, albo tym krokiem, skoro im się sprawdziło, może u nas się sprawdzi, mamy podobną grupę pracowników. Więc to jest coś, można powiedzieć, właśnie ten bakcyl biznesowy, czy marketingowo-biznesowy, który w wolnym czasie też mega mnie interesuje. Jak mogę, to sobie właśnie webcasty Pawła Tkaczyka na różne tematy pooglądam, czy zobaczę co na YouTube Sadek opublikował, jeśli chodzi o narzędzia, które on przegląda, to też jest fajna sprawa. A ostatnio się trochę zainteresowałem tematyką fotografii i sprzętu audio. Nie żeby być psychoaudiofilem… To też zresztą ma swoje źródło w fuckup’ie, jaki mieliśmy podczas jednego z wykładów, jaki prowadziłem, gdzie siadło nagłośnienie. No i patrzysz na mikser i widzisz różne pokrętła, niby jesteś osobą techniczną, ale weź to zrozum, o co tutaj chodzi z częstotliwościami. Więc postawiłem sobie taki cel, nie, ja muszę się dowiedzieć i silnie odrobiłem pracę domową przeglądając chyba całego YouTube na temat edukacji związanej z audio. I widzisz, jest problem, bo pewnie są studia, na które można byłoby pójść, ale ja nie mam czasu, żeby 4 lata na studiach audio spędzić. A nie ma nigdzie takiej wiedzy na zasadzie, zapisz się, 2 godziny – ja nawet chciałem zapłacić – powiedzcie mi, czym się różni mikrofon dynamiczny od kondensacyjnego i tak dalej, czy kondensatorowego. A to jest coś, co oglądając YouTube przyswajasz, ale marnujesz dużo czasu, wiedza jest mega, mega rozwodniona. Więc w wolnej chwili, można powiedzieć, że to jest YouTube, ale nakierowany nie na rozrywkę, tylko raczej na rozwój. Rozwój, czy coś, co mnie zainspiruje, być może co przełożę do swojego biznesu, patrząc na to, jak Tkaczyk doradza innym firmom, czy co Sadek wspomina o tym, co oni zrobili, a przecież są software house’m, teoretycznie, czy firmą od monitoringu, niekoniecznie firmą związaną z security, ale problemy z ludźmi, motywowaniem czy oceną, wszyscy mamy takie same w branży.

A powiedz, czego życzyć ci w rozwoju twojego biznesu i czego tobie życzyć? Masz jakiś magiczny punkt, do którego dążysz? Czy gdzie jest ta meta?

Wiesz co, pewnie dobrym życzeniem byłoby, żeby było jak najwięcej ataków i dziur, bo wtedy jest na czym pracować, ale ja nie mam takiego życzenia. Ja bym, paradoksalnie, chciał, żeby wszyscy byli bezpieczni, więc jak mi pożyczysz tego, żebyśmy wypracowali jeden złoty slajd, trzy złote rady – które będą dla wszystkich zrozumiałe w taki sposób, że one się wirusowo rozniosą po polskim internecie i każda babcia, dziadek, Halina, Zenon i ludzie młodzi, gimnazjaliści, którzy grają w Minecrafta, te rady zastosują – to ja naprawdę będę szczęśliwym człowiekiem wewnętrznie. A myślę, że pracy i tak nam nie będzie brakowało, patrząc na to, jaka jest kolejka osób, które stukają i proszą o to, żeby ich shackować w sposób kontrolowany.

Słuchaj, to tego ci życzę. Jeżeli miałbyś jeszcze jakąś myśl, którą chciałbyś się podzielić, może coś, co na przykład jest związane z biznesem, co nie jest prawdą, a wszyscy to powtarzają, albo odwrotnie, jest prawdą a nikt o tym jeszcze nie wie, i to jest ważne dla ciebie, to też masz chwilę, żeby o tym opowiedzieć.

Okej. Ja myślę, że to co chciałbym przekazać… Bo mnie brakowało, brakuje cały czas mentora, osoby, która przeszła przez to co ja i powiedziałaby mi, stary, zmagasz się z tym, ja to miałem, zróbmy to tak, albo tu są 2 czy 3 książki dobre. Dlatego mega cenię na przykład takie osoby jak ty, zwłaszcza jak masz odcinek z Zającem 28, który mówi, jakie książki były mięsiste i gdzie nie ma lania wody. Więc myślę, że to co jest super ważne, że nawet jak nie masz doświadczenia, ale jesteś osobą, która jest zmotywowana, zajawiona tematem i chcesz to realizować, to będzie ci po drodze, mniej lub bardziej, z tym tematem. Będą jakieś przeszkody, one zawsze są, ale nie należy się zniechęcać. I na pewno nie należy się przerażać tym, że nie ma się konkretnej wiedzy. Ja wyleczyłem się z tego, że nie mam background’u biznesowego, nie mam background’u negocjowania kontraktów, a mimo wszystko jak siadamy do stołu, to będąc zwykłym człowiekiem, wychowanym normalnie, grając w otwarte karty, będąc szczerym i zwyczajnym, jesteś w stanie konsensus, który cię zadowoli, osiągnąć. A jak nie, to jeśli jesteś przedsiębiorcą i coś ci nie pasuje, zawsze możesz powiedzieć do widzenia i z danego deala się wycofać. O ile masz tę kurę, która znosi złote jajka, rozumiem, że nie każdy na początkowym etapie może sobie na to pozwolić. Mnie najbardziej cieszy to, że na etapie, na którym już jestem, nie muszę robić wszystkiego. Mogę wybierać to, co chcę robić i życzę wszystkim, żeby do takiego etapu dojrzeli ze swoimi biznesami, a jak uważają, że nie są na tym etapie, żeby policzyli wszystko to co robią, bo być może oni są na tym etapie, tylko nie wiedzą, i mogą nie brać kolejnego deal’a, żyć spokojniej, stanąć sobie pod prysznicem i zastanowić się, co zmienić w swoim życiu, jeśli chodzi o rozwój swoich produktów.

Super. Bardzo ci dziękuję. Piotr Konieczny, mistrz i twórca Niebezpiecznika, wielkie dzięki za rozmowę.

Dzięki.

Odnośniki zewnętrzne – Piotr Konieczny (Niebezpiecznik):

  1. https://pl.wikipedia.org/wiki/Kevin_Mitnick
  2. https://pl.linkedin.com/in/piotrkonieczny
  3. https://www.facebook.com/piotrkonieczny
  4. https://niebezpiecznik.pl/
  5. https://pl.wikipedia.org/wiki/Niebezpiecznik.pl
  6. https://niebezpiecznik.pl/szkolenia/
  7. https://pl.wikipedia.org/wiki/Test_penetracyjny
  8. https://pl.wikipedia.org/wiki/P%C5%82atnik_(program)
  9. https://keepass.info/
  10. https://dokumencik.com.pl/
  11. https://pl.wikipedia.org/wiki/CAPTCHA
  12. http://2007.confidence.org.pl/wojciech-swiatek?lp_lang_view=pl
  13. https://pl.wikipedia.org/wiki/Usenet
  14. https://pl.wikipedia.org/wiki/Automat_telefoniczny
  15. https://pl.wikipedia.org/wiki/MUD_(RPG)
  16. Nowe wydanie: Podstawy fizyki – D. Halliday, R. Resnick, J. Walker; Tłumacz: Mirosław Łukaszewski; Wydawca: Wydawnictwo Naukowe PWN 2015 https://ksiegarnia.pwn.pl/Podstawy-fizyki-Tom-1,84907634,p.html
  17. https://pl.wikipedia.org/wiki/Bachelor_of_Science
  18. http://jogger.pl/
  19. https://pl.wikipedia.org/wiki/JoggerPL
  20. https://www.facebook.com/niebezpiecznik/
  21. https://niebezpiecznik.pl/category/linkblog/
  22. https://sprawnymarketing.pl/czym-jest-rss-feed/
  23. https://pl.linkedin.com/company/niebezpiecznik
  24. https://www.instagram.com/niebezpiecznik/
  25. https://pl.linkedin.com/in/marcin-maj-b1364057
  26. https://pl.wikipedia.org/wiki/Perl
  27. https://www.facebook.com/PawelTkaczykEN
  28. https://albrechtpartners.com/podcast/janzajac/
Udostępnij:
Podcast

Poznaj wiodący podcast dla przedsiębiorców i zarządzających biznesem. Posłuchaj przedsiębiorców, którzy zbudowali biznes od zera. Znajdź odpowiedzi na wyzwania, które trapią liderów – niezależnie od branży.

Newsletter

Zainwestuj 5 minut w tygodniu, by osiągać więcej.

Dołącz bezpłatnie do tysięcy przedsiębiorców i zarządzających biznesem w społeczności Business Unlimited.

Zobacz także