Rozmawiamy z Piotrem Koniecznym – ekspertem ds. cyberbezpieczeństwa, założycielem i redaktorem naczelnym serwisu Niebezpiecznik, największego w Polsce serwisu poświęconego bezpieczeństwu IT. Od 19 lat doradza firmom, jak chronić ich sieci przed atakami, szkoli administratorów, programistów i użytkowników, a jego wykłady pomogły już ponad 500 tys. Polaków zwiększyć swoją cyfrową odporność. Regularnie występuje na konferencjach, prowadzi szkolenia i komentuje najnowsze incydenty związane z cyberatakami.
W tym artykule przeczytasz o:
Jak zaczęła się Twoja przygoda z cyberbezpieczeństwem? Co zainspirowało Cię do założenia Niebezpiecznika i skupienia się na tej dziedzinie?
Niebezpiecznik startował w czasach, kiedy o cyberbezpieczeństwie nie mówiło się w mainstreamie. Serwis powstał z pasji, aby szerzyć wiedzę z tego obszaru, ale także, aby wspomagać nasze działania i komunikację z klientami. Już wtedy niewielkim zespołem realizowaliśmy testy penetracyjne dla klientów świadomych zagrożeń w internecie i jeden z problemów, jaki mieliśmy, to konieczność przywoływania w raportach tych samych informacji lub – w przypadku spotkań z zarządami – możliwości „odesłania” w jedno miejsce, które mocniej wprowadzi w temat zagrożeń w sieci. Takim miejscem stał się Niebezpiecznik.
W jakim formacie, na jakich mediach społecznościowych zaczynałeś swoją działalność?
Pierwszy był Usenet, potem IRC, ale nie wiem, czy ktoś nazywał te formy komunikacji mianem medium społecznościowego. Wydaje mi się też, że jestem jednym z pierwszych w Polsce użytkowników Facebooka (ID: 551874182) oraz Twittera (ID: 5976942). Pamiętam, że wtedy, aby założyć konto na Facebooku, trzeba było mieć „uczelniany” e-mail a pierwsze tweety dodawałem przez SMS.
Prowadzenie bloga o tematyce cyberbezpieczeństwa w Polsce to duża odpowiedzialność, zwłaszcza biorąc pod uwagę rosnącą liczbę cyberzagrożeń. Jak radzisz sobie z tak dużym napływem informacji, ale też dezinformacji i utrzymaniem jakości publikowanych treści?
Jak widać, nie radzimy sobie za dobrze, bo ostatnio w serwisie pojawia się mniej artykułów. Więcej (i szybciej) publikujemy za to na X, Facebooku, LinkedIn czy nawet YouTube Community Posts. Powodem jest to, że choć w ekipie Niebezpiecznika jest ponad 40 osób, to redakcją zajmują się 3 osoby, a każda z nich realizuje też inne, z punktu widzenia firmy ważniejsze działania niż publikowanie artykułów. Jednak jeśli te słowa czyta ktoś, kto chciałby zostać u nas zostać redaktorem full time, to zapraszam do kontaktu! Szukamy!
Jakie narzędzia lub technologie pomagają Ci w codziennej pracy twórczej? Czy korzystasz z jakichś nietypowych rozwiązań?
Chyba wszystkich rozczaruję. Jak coś muszę napisać, to piszę w …”Notes”, a jak o czymś muszę pamiętać, to dodaję do aplikacji Todoist. Więc chyba najważniejsza technologia, która pomaga mi „w pracy twórczej” to iPhone i przeglądarka internetowa.
Po latach pracy nad blogiem i szerzeniu wiedzy o bezpieczeństwie w sieci, czujesz, że udało Ci się zrealizować swoje cele? Jak oceniasz wpływ swojej działalności na poprawę świadomości i bezpieczeństwa w polskim internecie?
Ja mam permanentny impostor syndrome. Dlatego robi mi się bardzo miło, jak na konferencji ktoś podchodzi i mówi: gdyby nie Niebezpiecznik, nie poszedłbym na studia z cyberbezpieczeństwa i nie pracowałbym dziś w branży. Mam wrażenie, że udało się tą naszą redakcyjno-edukacyjną działalnością zainspirować kilka osób. A przynajmniej mam taką nadzieję.
Jeśli natomiast chodzi o skuteczność przekazywania wiedzy, która pozwala zwykłemu użytkownikowi wykryć lub uchronić się od cyberataku, to tu mam pewność, że nam się udało. Nie ma dnia, żeby ktoś nie podesłał nam przykładu jakiegoś ataku, z dumą dodając, że nie dał się na niego nabrać, bo albo opisaliśmy kiedyś ten schemat, albo był na naszych wykładach pt. „Jak nie dać się zhackować” lub webinarach, gdzie go pokazaliśmy w praktyce.
Sporo osób pisze też do nas, że uratował ich któryś z naszych CyberAlertów, czyli krótkich powiadomień typu push, które wysyłamy do użytkowników naszej darmowej aplikacji CyberAlerty, kiedy obserwujemy nowy rodzaj ataku, w którym ktoś podnosi rękę na dane lub pieniądze Polaków w internecie.
Jak podchodzisz do przygotowywania kursów i szkoleń? Wiele z nich jest znane z prowokacji uczestników do niebezpiecznych zachowań. Jakie zasady kierują Tobą przy tworzeniu takich materiałów i co chciałbyś, aby uczestnicy kursów wynieśli z tych szkoleń?
Przede wszystkim to ma zostać w pamięci. A podobno straszne rzeczy długo się pamięta i niektórych nawet psychoterapia nie pozwoli zapomnieć. A poważniej, bardzo mi zależy, żeby uczyć przez praktykę, dlatego rzeczywiście, w trakcie swoich szkoleń i wykładów, staram się manipulować publicznością i bywa, że kogoś okradnę z danych. Nigdy jednak nie “okradam” go z godności. Moim celem jest pokazać, że nie zawsze zauważymy atak, nawet jeśli zostaliśmy ostrzeżeni, że zaraz będziemy atakowani. Lepiej dać się zhackować mnie, bo ja – w przeciwieństwie do cyberprzestępców – oddam ofierze wszystko, co ukradłem i jeszcze podpowiem, co zrobić, żeby nikt inny nie był w stanie tego powtórzyć. Ponieważ nauka, bądź co bądź, kwestii technicznych wymaga skupienia, często dodaję do moich wystąpień humorystyczne aspekty, to pomaga rozładować atmosferę. Zależy mi, żeby każdy dobrze się bawił. Nawet jeśli w procesie jest okradany z prywatności lub pieniędzy.
Blog Niebezpiecznik.pl cieszy się dużą popularnością, a temat bezpieczeństwa w sieci jest coraz bardziej aktualny. Jakie dokładnie metody monetyzacji stosujesz? Czy są to bardziej reklamy czy produkty własne, współpracę z firmami, a może masz inne źródła dochodów, które pomagają Ci rozwijać projekt?
Wpływy z reklam w formie artykułów sponsorowanych lub bannerów to znikomy procent naszego zysku. Niebezpiecznik to przede wszystkim firma, która ma dwie odnogi: świadczymy usługi testów penetracyjnych i realizujemy szkolenia, zarówno dla pracowników firm w ramach zamkniętych eventów, jak i również w formie otwartych szkoleń, na które zapisać może się każdy. Terminy naszych szkoleń, zarówno tych dla osób technicznych, jak i “zwykłych Kowalskich”, publikujemy na naszej stronie https://niebezpiecznik.pl/szkolenia.
Jak widzisz przyszłość bloga Niebezpiecznik.pl? Jakie masz plany na rozwój tej inicjatywy? Czy planujesz rozszerzyć działalność o nowe formy, takie jak aplikacje, nowe kursy czy innego rodzaju projekty?
Aplikację już mamy, kursy online też. Kto wie, może po 15 latach dorobimy się w końcu odświeżonego wyglądu serwisu?
W jaki aspekt swojej twórczości i biznesu najwięcej inwestujesz (swojego czasu, pieniędzy)?
Inwestuję przede wszystkim w bycie na czasie. Muszę wiedzieć, co dzieje się w branży, a że dzieje się dużo, a ja jestem osobą, która ma wiele zainteresowań, to dużo czytam, słucham i oglądam.
Prowadzenie bloga, konsultacje, edukacja – Twoja praca wymaga zarządzania dużą ilością informacji i projektów. Jak organizujesz swój dzień i jak dbasz o równowagę między pracą a życiem prywatnym?
Jestem jedną z tych osób, które zarabiają na swojej pasji. Więc nie do końca mam takie klasyczne poczucie, że jestem „w pracy”. Po prostu cały dzień robię to, co lubię. Staram się jednak nie „ogarniać biznesu” po 16:00 i w drugiej połowie dnia czas poświęcać na pozostałe tematy, które mnie szalenie interesują, a z cyberbezpieczeństwem nie mają nic wspólnego. Czasem też pośpię sobie do 10. Bo mogę!
Jednym z Twoich głównych celów jest edukowanie Polaków w zakresie bezpieczeństwa w Internecie. Jak oceniasz stan edukacji o cyberbezpieczeństwie w Polsce? Jakie zmiany chciałbyś widzieć w tym zakresie, zarówno na poziomie szkoły, jak i w społeczeństwie, a może po stronie rządu i administracji?
Działania rządu, a raczej rządów, w tym obszarze oceniam bardzo źle. Brak jest szerokich, społecznych kampanii edukacyjnych, a co gorsza, jeśli czasem któryś z polityków zaczyna mówić o cyberbezpieczeństwie, zdarza się, że przekazuje kompletnie złe rady. O stanie wiedzy z zakresu cyberbezpieczeństwa w szkołach to chyba nawet nie ma sensu rozmawiać. Ten temat w polskiej edukacji szkolnej nie istnieje. Odnoszę wrażenie, że niestety Ministerstwo Edukacji całkowicie ten temat ignoruje. Zresztą, powinniśmy wiedzę o bezpieczeństwie dzieci w sieci wpajać nie tylko dzieciom, ale i rodzicom.
Chociaż może nie powinienem narzekać a cieszyć się z takiej luki w wiedzy? Gdyby rząd lub szkoła edukowały w tym zakresie, to nikt nie korzystałby z naszego niebezpiecznikowego szkolenia on-line „Cyberbezpieczeństwo dla rodziców”. Mam jednak nadzieję, że – choć na tym stracimy – to akurat ten obszar zostanie szybko zaopiekowany przez rządzących. Na razie rodzice są zdani na instytucje prywatne lub szukanie wiedzy na własną rękę, a problem z tym drugim jest taki, że w internecie poza przydatną wiedzą jest też coraz więcej bzdur czy – jak w tym przypadku – bardzo groźnych rad albo nic nie znaczącej papki generowanej LLM-ami.
Jak oceniasz rolę mediów w informowaniu o zagrożeniach cyberbezpieczeństwa?
Jest coraz lepiej i nieskromnie dodam, że po części jest to zasługa Niebezpiecznika. Przez lata nawiązaliśmy relacje z czołowymi mediami, programami i dziennikarzami, dzięki temu prawie codziennie oficjalnie komentujemy wydarzenia dotyczące cyberbezpieczeństwa w mainstreamie albo prywatnie udzielamy rad i wyjaśnień, na podstawie których dziennikarze tworzą potem swoje publikacje. Bardzo mnie to cieszy.
Jakie są najczęstsze błędy, które popełniają użytkownicy Internetu w kwestii bezpieczeństwa? Czy zauważasz jakieś konkretne nawyki, które szczególnie narażają na zagrożenia?
Internauci przede wszystkim nie sprawdzają, czy dane logowania wprowadzają na tej stronie, na której powinni i wprowadzają swoje hasła ręcznie, zamiast korzystać z managerów haseł, czyli narzędzi, z których część ma nie tylko szansę ostrzec nas przed najpopularniejszym atakiem – phishingiem, ale przede wszystkim chroni pozostałe nasze konta, jeśli skądś wycieknie hasło do jednego z nich.
Czy sam dałeś się kiedykolwiek nabrać oszustom w świecie online lub fizycznym?
Prawie! Szukałem kiedyś bardzo specyficznego połączenia lotniczego. W jednym z miejsc była informacja, że lot się odbędzie. W innym, że nie. Spędziłem sporo czasu na infolinii, aby ustalić, jak jest naprawdę i czy kupić bilet. Koniec końców, zapewniono mnie, że połączenie jest realizowane, więc bilet kupiłem. Chwilę potem odebrałem e-maila o temacie „Twój lot został anulowany”. Strasznie mnie to wkurzyło, bo zmarnowałem dwie godziny na coś, co i tak nie dojdzie do skutku. E-mail na szczęście miał przycisk „Dokonaj zwrotu biletu” i już prawnie na niego kliknąłem, kiedy zdałem sobie sprawę, że to nie jest e-mail od linii lotniczej, którą lecę, a oszustwo. Normalnie nie zwróciłbym na takiego e-maila uwagi, ale to, że dostałem go kilka minut po „kłopotliwej” rezerwacji, na chwilę wyłączyło mi logiczne myślenie. Mózg założył, że wiadomość dotyczy niedawnych wydarzeń i prawie posłałbym swoje dane i pieniądze w ręce oszustów. Dlatego całkowicie nie dziwię się, że wciąż są osoby, które nabierają się na SMS-y o treści „Jest problem z Twoją paczką, uzupełnij brakujące informacje o adresie”.
Wraz z rozwojem technologii, takich jak sztuczna inteligencja, Internet Rzeczy czy blockchain, pojawiają się nowe wyzwania związane z bezpieczeństwem. Jakie zmiany w technologii uważasz za największe wyzwania dla specjalistów ds. cyberbezpieczeństwa w najbliższej przyszłości?
Wyzwaniem będzie walka z deepfake’ami, jeśli ktoś zacznie je wykorzystywać nie tylko, jak teraz, do generowania fałszywych reklam z celebrytami, ale do prowadzenia rozmów w czasie rzeczywistym, przez internet. To wręcz idealny scenariusz na oszustwo pt. „Szef na video callu prosił mnie, żeby puścić ten przelew, to był on, brzmiał jak on”! Na razie, wbrew różnym artykułom w nietechnicznych mediach, do takich ataków, w których ktoś prowadzi interaktywną rozmowę z deepfakem nie dochodzi. I to pomimo tego, że technologia klonowania obrazu czy dźwięku jest już dostępna. Przestępcy wciąż korzystają ze starych technik, bo te wciąż działają i są zdecydowanie tańsze i szybsze w użyciu.
Na jakie zagrożenia powinni być czujni szczególnie twórczynie i twórcy internetowi? Czy możesz im coś poradzić?
Jednym z najpopularniejszych i najdotkliwszych ataków wymierzonych w popularnych twórców jest numer na „recenzję” lub „wywiad”. Oszuści udają znaną firmę lub ekipę realizującą znany podcast i zapraszają do współpracy. Ci, którzy się na to zgodzą, będą musieli albo zainstalować jakiś program (bo ma on być przedmiotem recenzji) albo wskoczyć na video calla, podczas którego ekipa pomoże skonfigurować połączenie i live. W obu przypadkach dojdzie do udostępnienia naszych mediów społecznościowych oszustom; w pierwszym na skutek infekcji złośliwym oprogramowaniem, w drugim na skutek socjotechniki. Dlatego warto nauczyć się, jak poprawnie zweryfikować swoich kontrahentów i warto też odpowiednio zabezpieczyć swoje konta, nie tylko w mediach społecznościowych. Niestety, informacji jak zrobić to poprawnie i kompletnie na próżno szukać w internecie. Nawet oficjalne zasoby pomocy danego serwisu nie wskazują wszystkich kroków, które należy wykonać. Po części wynika to z tego, że takie działania muszą być dopasowane do danej osoby – nie u każdego sprawdzą się te same porady. Dlatego tym, którzy do tematu chcą podejść profesjonalnie polecam jednak udanie się na konsultacje, w ramach których można dowiedzieć się, co jest kluczowe dla ich biznesu. Odpowiednio pokieruje, które z dostępnych zabezpieczeń i jak należy skonfigurować, aby faktycznie skutecznie nas chroniły, a nie przeszkadzały, irytowały lub dawały fałszywe poczucie bezpieczeństwa.
