Cyberatak na Twoją firmę? Webinar ING

J. SANTORSKI: Dzień dobry. Dzień dobry Państwu.

P. KONIECZNY: Cześć.

P. KONIECZNY: Zdecydowanie mogą się pojawić. Na każde spotkanie internetowe może wpaść nieproszony gość. Nie zawsze będzie to tak wyobrażane: nieproszony gość jako potencjalny włamywacz. Ktoś, kto chciałby nam zaszkodzić, ktoś chciałby przecież nasze informacje. Bardzo często będzie to nieproszony gość w postaci kogoś w naszym pokoju, kto po prostu przebiegnie za naszymi plecami. To jest chyba największa specyfika i problem – można powiedzieć – wszystkich spotkań i coś, co odczuwamy od zawsze. A pamiętajmy, że nie zawsze na miejscu jest, kiedy dyskutujemy o sprawach firmowych, żeby osoby postronne – nawet te najbardziej nam bliskie i zaufane – mogły coś usłyszeć. Ponieważ bezlitosne są zapisy w umowach NDA-owych, umowach o poufności, które firma, dla której pracujemy, zawiera ze swoimi kontaktami i kontrahentami. I tutaj może też taka zabawna historia na początek: w jednej z firm zastanawiano się, czy pracownik, który bywa na telekonferencjach, dyskutuje bardzo ważne projekty, przetwarza w trakcie tych dyskusji dane osobowe klientów, ich sekrety, powinien mieć za sobą tę papugę. Jego faktyczną papugę, która raz na jakiś czas powtarza pewne słowa. Tak że widać, że pandemia może prawnikom przysporzyć trochę problemów. Bo kim jest zwierzę, które może nie do końca wszystko rozumie? Ale na drugiej, innej konferencji, telekonferencji, być może z konkurencją, powtórzy nie to słowo, które powinno paść.

J. SANTORSKI: Nietypowe zachowanie na scenie może przyciągać znacznie więcej uwagi niż wszystko, co zaprojektowaliśmy. Wiem z doświadczeń reżyserów teatralnych, że jeżeli zostało jakieś zapomniane krzesełko na scenie i – powiedzmy – mamy finał, a aktor stoi z „Być albo nie być” i w tym momencie inspicjent sięga po to krzesełko, i przyciąga je – 90 proc. kierunku ruchu gałek ocznych i uwagi kieruje się właśnie tam.

J. SANTORSKI: Bardzo dużo. Zresztą od 20 lat rozwijana jest dziedzina wiodących ośrodkach na świecie zwana cyberpsychologią. Tam zakłada się, że profilaktyka i przygotowanie na nie wszystko, co jest możliwe, cała dziedzina cyberhigieny, która jest zaszyta w pewnych postawach i umiejętnościach ludzi, a nie tylko w aspekcie i zapleczu technicznym – to wszystko jest bardzo duże i poważne zagadnienie, i bardzo poważnie rozpoznane przez poważne organizacje i instytucje. Co nie znaczy, że w firmie twojej czy mojej może być równie właściwie adekwatnie rozpoznane. I myślę, że dlatego też dobrze, że dziś o tym rozmawiamy.

P. KONIECZNY: Jest to szalenie trudne, naprawdę bardzo ciężkie. I dotyczy to nie tylko osób zwykłych, którzy z IT czy z bezpieczeństwem nie mają nic wspólnego i nie chcą nawet mieć nic wspólnego. Ale dotyczy to również osób, które zawodowo się tym zajmują. Ja jestem dość dobrym przykładem tego, że wręcz paranoiczne myślę o różnych kwestiach, na które jestem narażony w trakcie, kiedy – chociażby – robimy ten webinar. Być może w dalszej jego części będę chciał się przełączyć na przeglądarkę, będę chciał coś pokazać. I tu już jest pewne ryzyko. Ryzyko związane z tym, że wpisując adres strony, wyskoczy mi na chwilę historia moich przeglądanych stron, w której mogą się znajdować istotne informacje. Albo – co gorsza – pokaże się ekran tej przeglądarki, w której my teraz się wewnętrznie obserwujemy, a na górze, której jest adres prowadzący do naszego spotkania, z moim loginem i też z moim PIN-em dostępowym, co umożliwiłoby komuś, kto nas ogląda, wejście na naszą sesję i podpięcie się. I tylko tak naprawdę refleks kolegów ze studia byłby tutaj w stanie wygasić, zapanować nad tym całym chaosem. Tak że ja chciałbym zwrócić uwagę i podkreślić jedną, bardzo ważną rzecz: trening czyni mistrza. My możemy bardzo wiele wiedzy chłonąć – duże brawa dla ING, że chce edukować swoich klientów. Natomiast my musimy być zawsze czujni. Nie można powiedzieć, że kupimy w bezpieczeństwie 2 kilo takiego bezpieczeństwa czy to na jakimś webinarze, czy z książki, czy z filmu, czy ze szkolenia firmowego, i mamy problem z głowy. Problem załatwiony na 2-3 lata do przodu. Niestety. Bezpieczeństwo, cyberbezpieczeństwo to jest proces. My musimy stale, ciągle aktualizować naszą wiedzę, ciągle się pilnować. Dlatego to jest tak szalenie trudne i dlatego wpadki, problemy, incydenty, naruszenia, wycieki danych, zdarzają się firmom, które mają wielomilionowe, dziesięcio-, pięćdziesięcio-, setmilionowe budżety na cyberbezpieczeństwo. Najwięksi na tym świecie, zatrudniający najlepszych specjalistów, padli ofiarą cyberataku. To nie jest ujma na honorze. Ujmą na honorze może się stać coś, co stanie się po tym incydencie, po tym wycieku danych. Czyli to, jak my podejdziemy do obsłużenia takiego incydentu. Ale o tym chyba więcej powiemy za parę minut.

J. SANTORSKI: To jest bardzo ważna kwestia przywództwa. Tu się sprawdza, właśnie weryfikuje przywództwo, rola lidera w pewnym sensie. To są analogie, chociaż też jest wiele innych specyficznych zjawisk. Przerabialiśmy na początku ubiegłego roku, gdy pojawiły się wirusy realne, biologiczne, aczkolwiek też niewidoczne i dziesiątki zagrożeń, dziesiątki niepewności, dziesiątki niejasnych sytuacji. Większość pracowników świadomie i podkorowo, nieświadomie przygląda się i przysłuchuje temu: czy i jak lider ogarnia sytuację? To jest trochę tak, że jeżeli w samolocie są turbulencje czy zapowiadane są turbulencje, ci wszyscy, którzy mają niepokoje związane z lataniem – a jest ich sporo – wsłuchują się w głos pilota. W jaki sposób… Czy coś nie zdradzi jego niepokoju, czy on spokojnie mówi: „Wchodzimy w strefę turbulencji, proszę zapiąć pasy. To potrwa, a potem was poinformuję”.

J. SANTORSKI: I też oni uczą się tym zarządzać. I są też świadomi możliwych konsekwencji. Zresztą z lotnictwa, wcześniej z Amerykanki, z morskich doświadczeń Amerykanie, Europejczycy przenoszą doświadczenia tzw. kultury just culture, gdzie się po prostu zakłada, że za bezpieczeństwo, za unikanie błędów, za zagrażające sytuacji zachowania, odpowiadają nie tylko wyodrębnione działy firmy. Nie tylko działy zarządzania ryzykiem, dział interwencji, ryzyk internetowych, cybernetycznej czy innych. Tylko wszyscy pracownicy. Wszyscy są jakoś współodpowiedzialni. Tak jak w nowoczesnej firmie zakładamy, że wszyscy jesteśmy sprzedawcami w pewnym sensie. Natomiast ustawić to, ułożyć kulturę firmy, mogą liderzy wyższego i średniego szczebla. Tak że dla nich jest to bardzo duże wyzwanie.

P. KONIECZNY: Dokładnie tak. To jest właśnie ta sytuacja, w której można nawiązać do tego, co pan Jacek przed chwilą powiedział. Mianowicie, że żeby wypracować, uspokoić w trakcie jakiegoś incydentu, pracowników i też klientów, to wymagany jest pewien przywódca. Ale z mojej perspektywy, czyli osoby, która technicznie ingeruje w takie ataki, stara się je wygasić, stara się pomóc firmom, bardzo ważne są procedury. I to procedury, które zostały wypracowane, przepracowane, stworzone wspólnie na każdym szczeblu, przed incydentem. Nie można, kiedy statek płonie, zastanawiać się, co gasić, w której kolejności i gdzie są najcenniejsze rzeczy. W momencie, kiedy nam się coś przytrafia, my musimy mieć plan, który krok po kroku realnie wykonujemy. M.in. też dlatego, że jest to sytuacja stresowa. Chociażbyśmy ją ćwiczyli 2 czy 5 razy, zawsze będzie pewien stres. Jeśli mamy pewne wskazówki, możemy krok po kroku podążać. Za chwilę, kiedy będziemy rozmawiali o innych rzeczach, ja spróbuję sięgnąć do zdjęcia, które wykonałem, też jadąc właśnie tym nieszczęsnym pendolino Kraków-Warszawa, 6:00 rano, gdzie osoba, która siedzi przede mną, ona nie jest – rząd przede mną – ona nie rozmawia może głośno, pracuje na komputerze. Jeszcze, ponieważ była to pora taka zmierzchowa, nie było jasno na zewnątrz – szyba, która jest w pociągu, stała się lustrem. Można było między rzędami, patrząc w lustrze widzieć odbicie tego, na czym ktoś pracuje. I podobnie jak ty, Jarku, ja mam taką zabawę w momencie, kiedy identyfikuję taką osobę, staram się albo zrobić zdjęcie jej ekranu i ze stopki później wyciągnąć informacje, gdzie ona pracuje – jeśli wysyła maile, a z reguły wysyła maile – a następnie do tej osoby, jeszcze z pociągu, wysłać maila z pozdrowieniami z rzędu, dwóch rzędów dalej. Albo jeśli to jest pracownik firmy, z którą my współpracujemy, dzwonię do kolegów z działu bezpieczeństwa i puszczam im taką fotografię, dając im taki challenge: Chłopaki, do Warszawy Centralnej mamy 30 minut, czy zdążycie namierzyć waszego pracownika, który to i to robi na laptopie, teraz razem ze mną podróżując. Jest czas: start i mniej więcej po 5-10 minutach osobie, która siedzi przede mną, dzwoni telefon. Ta osoba podnosi ten telefon, mówi: „Tak, słucham. No jadę, jadę. Co się dzieje?”. No i w tym momencie jest instruowana przez kolegów z bezpieczeństwa, którzy po fragmencie ekranu, po pewnych identyfikujących cechach, namierzyli tę osobę, tak.

P. KONIECZNY: Jak najbardziej tak. Tylko że ten pracownik powinien dostać szereg instrukcji, co ma robić i kiedy ma robić. W trakcie incydentu jednym z elementów reakcji na incydent jest oczywiście oddanie specjalistom kwestii zabezpieczenia, np. serwerów, zweryfikowanie, kto i jak się włamał, do jakich danych uzyskano dostęp, gdzie należy zgłosić informacje, których klientów należy powiadomić. Ale mamy jeszcze kwestie chociażby prasy czy prawników zawiedzionych klientów, czyli takie kwestie komunikacyjne. I tutaj bardzo ważne jest, żeby firma, która jest „ofiarą” – w cudzysłowie czasem ofiarą takiego incydentu: jest samodzielnie poszkodowana, ale to od niej klienci będą mogli oczekiwać np. jakichś rekompensat – od początku miała spójną komunikację. Nie tylko po to, żeby w tym ferworze walki, kiedy często nam się coś wydaje, a w rzeczywistości tak naprawdę sytuacja wyglądała inaczej, nie powiedzieć czegoś, czego będziemy żałowali. Co później przeciwna strona, np. nasi klienci wykorzystają przeciwko nam. Chociaż my w rzeczywistości nie byliśmy dobrze poinformowani, każdy z pracowników udzielał wywiadów różnym telewizjom czy to na parkingu przed firmą, czy złapany na jakiejś klatce schodowej w budynku – to nie powinno mieć miejsca. Właśnie dlatego należy przygotować pracowników na taką sytuację. Przećwiczyć ją sobie nie tylko pod kątem pewnych technicznych zagadnień, tylko również pod kątem tego, że zaczyna dzwonić telewizja, prasa, dziennikarze się dobijają, pojawiają się prawnicy poszkodowanych klientów… Naprawdę taki kubeł zimnej wody na głowę. Wtedy dopiero w tym stresie my popełnimy na tych ćwiczeniach błędy, ale na tych błędach my się nauczymy. Zobaczymy, gdzie zawęzić tę komunikację, kto powinien być za tę komunikację odpowiedzialny, no i wreszcie: w jaki sposób, w jakiej kolejności reagować technicznie na pewne rzeczy. A później z tego wszystkiego wyjdzie – i to jest taka piękna synergia – wyjdą te braki. Gdzie nie dołożyliśmy, być może, trochę finansów i budżetu czy brakowało nam w kwestii aplikacji, czy w kwestii samych serwerów, systemu, utrzymania, czy być może mieliśmy po prostu za mało pracowników. To też, niestety, jest bardzo duży i poważny problem wielu firm, że jest jedna osoba… Tzw. problem autobusu. Problem autobusu polega na tym, że mamy administratora, który ma hasła i dostępy do różnych systemów, no i jak przejedzie go autobus, to już nie mamy tego administratora – to jest problem autobusu. Powinniśmy mieć co najmniej dwóch administratorów i najlepiej, żeby nie chodzili razem przez przejścia dla pieszych.

P. KONIECZNY: To może zróbmy challenge. Spróbujcie odczytać z moich okularów informacje, które znajdują się teraz na moim ekranie.

P. KONIECZNY: Za chwilkę zrobię zdjęcie, zobaczycie, jak to wygląda z mojej perspektywy i co ja faktycznie mam teraz na ekranie.

P. KONIECZNY: Zdecydowanie tak. Mamy mroczne nastroje, jest ciemno, czarno i ponuro, a dodatkowo przecież moje okulary i moja broda jest sztuczna tylko i wyłącznie po to, żeby systemy rozpoznawania twarzy, które teraz działają na różnych platformach, gdzie to streamujemy, nie były w stanie mnie rozpoznać, jak wyjdę za chwilę po bułki do sklepu.

J. SANTORSKI: Ten lider powinien – po pierwsze – mieć to przynajmniej raz przećwiczone. Mamy z tym duże wyzwanie w Polsce, bo popatrzcie: w krajach azjatyckich, gdzie są wysoko prawdopodobne trzęsienia ziemi, tam odbywają dziesiątki symulacji, treningów, autentyczne i naprawdę. I gdy dochodzi do sytuacji tragicznej, dramatycznej, wszyscy prawie że nawykowo wiedzą, co robić. Jeśli w Polsce próbujemy nawet przeprowadzić jakiekolwiek symulacje, jakiekolwiek próbne alarmy, mamy jakąś taką prawie że cechę narodową, taki niefrasobliwy stosunek do norm, standardów i procedur…

J. SANTORSKI: To jest bardzo ważne. Bo najpierw ten lider z pendolino mógł mieć po prostu problem narcystyczny. Po pierwsze: on chciał, żeby wszyscy słyszeli, jaki deal on właśnie robi. Albo on ma narcystyczne poczucie omnipotencji. Że on może sobie na wszystko pozwolić, bo jemu nic nie zaszkodzi. Ale może też mieć taki rodzaj niefrasobliwości i nieprzytomności, które tutaj jest bardzo groźne. Lider w warunkach trudnych – chociaż na co dzień bywa liderem angażującym, zdemokratyzowanym, proszącym o konsultację – wchodzi w rolę – my to nazywamy – lidera forsującego. Bardzo jednoznacznie komunikuje: kto, gdzie, co, jak. Lecz po części, odwołując się właśnie do procedur i scenariuszy, które już on ma i inni mają. Oni też dlatego wtedy rozumieją, o co tu chodzi. On może momentami być bardzo stanowczy, nawet bardzo autorytatywny. Ja znam lidera wielkich wypraw polarnych, który jest z ludźmi po partnersku i bardzo demokratycznie, ale jeżeli trzeba przekroczyć szczelinę, która po prostu grozi nie śmiercią lub kalectwem, ale śmiercią, to on bywa po prostu bardzo autorytarny i nawet używa słów, za które potem przeprasza. Więc to jest taka sytuacja, kiedy lider musi bardzo jednoznacznie, ale też nie złoszcząc się niepotrzebnie, bardzo stanowczo pokazując, że on panuje nad sobą i sytuacją, regulować to wszystko. Potem się okazuje, że to nie jest kwestia 15 minut, jak w pożarze – czy 20 – tylko jest to kwestia nawet 20 dni. Bo potem są kolejne troski, kolejne procedury właśnie o zabezpieczenie procesów, które jeszcze być może są zagrożone. O zabezpieczenie klientów, zabezpieczenie dostawców. Wtedy dalej potrzebna jest stanowczość lidera. I tu dochodzi dodatkowy czynnik: wyjaśnianie. Aby lider komunikował swoim pracownikom, co się dzieje, co przewiduje, na co mamy wpływ, na co jeszcze nie mamy i co w związku z tym zrobimy. Pracownicy chcą widzieć i czuć, że on ma poczucie wpływu i że jest uczciwy w dzieleniu się tym.

J. SANTORSKI: Tak. Aczkolwiek bardzo ważne jest… To chodzi o to, żeby on był wtedy bardzo autentyczny, bo był na kursie autentycznego przywództwa i żeby powiedział: „Słuchajcie, ja też nie wiem! Ja, tak jak i wy, jestem rozedrgany!”. Ale może powiedzieć: „To już wiemy, to kontrolujemy, tego się dowiemy w najbliższym czasie w taki a taki sposób, i poinformujemy was od razu, gdy będziemy mieli rozwiązanie, które przewiduje wtedy a wtedy”. Czyli on nie musi udawać, że wie wszystko, ale może komunikować to, czego nie wie i jak będzie pozyskiwał informacje. Wtedy zachowuje swoją wiarygodność, a jednocześnie nie wchodzi w żadną skrajność.

P. KONIECZNY: Może jak najbardziej, aczkolwiek wielu systemów operacyjnych telefonów na świecie obecnie nie ma, z których ludzie korzystają. Ja zresztą wyznaję taką zasadę, która nazywa się zasadą anty „security by obscurity”. To może tak trochę dziwnie brzmi, ale chodzi przede wszystkim o to, że nie jest metodą bezpieczeństwa czy sposobem na podniesienie bezpieczeństwa używanie czegoś i zatajanie tego, czym to coś jest. Sposobem na bezpieczeństwo jest to, żeby używać danej technologii w sposób dobrze skonfigurowany. Czyli innymi słowy: jeśli ktoś wie, że ja korzystam dokładnie z iPhone’a i z systemu firmy Apple, to dobrze. To może dostosować sobie te ataki do tych konkretnych środowisk, bo one również są podatne na ataki. Natomiast sam fakt ukrywania przeze mnie jednego czy drugiego urządzenia albo aplikacji, z której korzystam, on wcale nie zwiększy mojego poziomu bezpieczeństwa. Zwróćmy też uwagę na to, że atakujący po drugiej stronie jest zmotywowany często finansowo, czasem może z jakichś innych pobudek. Jeśli on chciałby mnie zaatakować, nie wiedząc, z jakiego telefonu ja korzystam, no to prawdopodobnie spróbowałby zrobić wszystkie możliwe ataki na Androida, na producenta HTC, na producenta Samsunga. Później, jeśliby mu to nie wyszło, to próbowałby na Apple. Czyli tak czy inaczej jest pewne portfolio ataków, przez które można przejść. I prędzej czy później trafi się na konfigurację danej osoby. Nie to powinno być elementem bezpieczeństwa. To, w co powinniśmy zainwestować nasze fundusze i wysiłki, to to, żeby doskonale – doskonale, podkreślam – doskonale poznać technologię nawet kosztem przeczytania instrukcji obsługi. Technologię, z której korzystamy. I tę technologię odpowiednio skonfigurować, bo tu tak naprawdę kryją się te smaczki. Natomiast nie łudźmy się – ja też się nie łudzę – jeśli korzystamy z czegokolwiek, to to, że dzisiaj dana technologia, dane rozwiązanie, dane oprogramowanie, dane urządzenie jest bezpieczne, nie są znane ataki, które są łatwe, proste i tanie do przeprowadzenia, to nie oznacza, że jutro tak nie będzie. Stoimy tak naprawdę w przededniu wejścia w życie komputerów kwantowych, które zmienią nasze podejście, jeśli chodzi o kwestie szyfrowania i przechowywania w sposób bezpieczny danych. Umożliwią zdecydowanie prostsze, szybsze ataki na algorytmy, które dzisiaj są niehackowalne, można byłoby powiedzieć. Ale jest ten element kosztu. Koszt polega na tym, że dzisiaj stworzenie komputera kwantowego, utrzymanie go i wykorzystanie do ataku to jest coś, na co pozwolić mogą sobie nieliczni, bardzo duzi gracze. I być może ci duzi gracze już od kilku lat takie ataki wykonują. Natomiast możemy dojść do wniosku, że oni nie będą atakowali Piotra Koniecznego, tylko raczej będą te swoje zasoby kierowali w zupełnie inne, krytyczne z ich punktu widzenia cele. Więc tutaj warto mieć takie wyobrażenie tego, jak ważni jesteśmy, kto może nas zaatakować, kim jest ten atakujący, jaki potencjalnie on ma budżet. Nie jest możliwe – o czym zresztą pan Jacek przed sekundką mówił – przygotowanie się na wszystkie możliwe wydarzenia i bycie alfą i omegą tego, jak reagować w danej sytuacji. Natomiast możemy na podstawie tzw. analizy ryzyka – trudne słowo – spróbować sobie oszacować te bardziej prawdopodobne i mniej prawdopodobne ataki, skupić się oczywiście na tych bardziej prawdopodobnych. Po prostu, żeby nie zwariować i żeby też nie wydać całych naszych oszczędności na bezpieczeństwo, które – przypomnijmy – często nas zabezpiecza przed incydentami, ale bardzo często bezpieczeństwo idzie niestety w parze ze spowolnieniem pewnych procesów, utrudnieniem pewnych procesów i to nie do końca jest po myśli biznesów, które chciałyby szybko rosnąć i szybko się rozwijać. Ten kompromis i wybadanie tej granicy jest kluczowe, ale to nie jest odpowiedź, którą ktokolwiek poza właścicielem danego biznesu może sobie udzielić: co, gdzie zrobić, jak postawić nogę? Czy bardziej na tę granicę bezpieczności, czy bardziej na tę granicę szybkiego wzrostu? To jest decyzja, którą ktoś będzie musiał podjąć i za którą będzie musiał wziąć odpowiedzialność samodzielnie.

J. SANTORSKI: Wskazuje nasz korespondent na bardzo ważne wyzwanie, bardzo ważny problem. Mówimy o tym w naszej Akademii Psychologii Przywództwa, że prawdziwy lider nie zarządza sytuacją kryzysową z bunkra. Właśnie w sytuacji kryzysowej jest podłączony, jest obecny. Normalnie ma „To do list”, a tym razem ma „To be list”. On pyta siebie, kogo może – choćby przy pomocy Zooma, wiedząc, że to jest dostępne i transparentne, ale jednak – odwiedzić w firmie, aby ludzie mieli od niego wyjaśnienia tego, jak firma rozumie, co się dzieje. I jeżeli nie może odpowiedzieć: jak? Bo mogą trwać jakieś sekretne negocjacje z napastnikiem, że firma pracuje nad zarządzeniem tą sytuacją i że sobie radzi. Jest to kwestia takiego pozornego zarządzania sytuacją. Kiedy się milczy, kiedy jest cisza, powstaje miejsce dla mnóstwa projekcji, mnóstwa fantazji, które ludzie mogą generować. Lider, który jest kimś, który jest spójny wewnętrznie, który czuje się przygotowany, właśnie w sytuacjach trudnych jest obecny, jest z ludźmi.

P. KONIECZNY: Nie, nie do końca. Wciąż jeszcze nie jest to rozwiązanie tak idealne, aczkolwiek pandemia – swoją drogą -przyczyniła się do tego, żeby w kontekście rozpoznawania fragmentów twarzy poczynić większe postępy. Weźmy też pod uwagę to, że od lat naukowcy… I to nawet z Krakowa, z Akademii Górniczo-Hutniczej, którą mam tutaj prawie że za oknem – więc już przy okazji zdradzam swoją lokalizację – pracują nad różnego rodzaju algorytmami czy też sposobami wykrywania zagrożeń z kamer obecnych w monitoringu miejskim. Nie tylko po tym, jak ktoś wygląda, tylko raczej po tym, co się dzieje, jak szybko zmienia swoją prędkość, kierunek chodzenia, jakie gesty wykonuje. Tak że nie zawsze ta twarz jest potrzebna do tego, żeby kogoś zidentyfikować. Zresztą gdzieś ostatnio słyszałem nawet o sytuacji, w której osoba, która dokonywała pewnego przestępstwa, dała się nagrać – może nieświadomie – na monitoring wizyjny, była w kapturze, była w maseczce, ale sam pewien charakterystyczny sposób chodzenia zdradził ją i przypisał do osoby, która była w kręgu podejrzanych. Tak że nawet jeśli widzimy plecy, kształt danej osoby, to często to w zupełności wystarczy. Ale miejmy na uwadze to, że te algorytmy są dostosowywane i często można nas sprofilować, poznać lepiej, nie tylko po tym, jak wyglądamy, tylko to jak faktycznie my się poruszamy. Przykładowo: ten kadr, który teraz macie na mnie, czyli widzicie moje ramiona, to jest bardzo ciekawy kadr, który pojawił się w badaniu parę miesięcy temu właśnie dotyczącym telekonferencji, czyli czegoś, co teraz my wszyscy robimy. Ja mam przed sobą klawiaturę. Moich rąk nie widzicie, ale popatrzcie, że ruszam pewnymi ramionami, kiedy teraz próbuje pisać coś na klawiaturze. Te ruchy są nieznaczne, ale po tych dokładnie ruchach badacze jednego z uniwersytetów byli w stanie wywnioskować, jakie potencjalnie, ktoś może wpisywać hasło, podczas bycia na telekonferencji, właśnie na takim kadrze, który teraz widzimy. Czy to jest kosmiczne? Tak, to jest cholernie kosmiczne. To jest coś, co po prostu rozsadza nam głowy. Ale uwaga, uwaga: bardzo często te badania są robione jeszcze wciąż w kontrolowanych warunkach i to nie jest tak, że od razu wszyscy będą wiedzieli, że moje hasło to jest teraz „mójtajnybank2021!”. I wykrzykniki na końcu, ponieważ – drugi konkurs na czacie – niech pierwszy rzuci kamieniem ktoś, kto nie ma żadnego hasła kończącego się na wykrzyknik. Ale tak szczerze: słuchajcie, zobaczymy, ile takich osób jest, bo prawdopodobnie sporo. Dlatego że jest to jedna też z takich reguł, które można po prostu wywnioskować, patrząc na to, jak wygląda całe to portfolio bezpieczeństwa i usług, z których korzystamy.

P. KONIECZNY: Tak. I tutaj – widzisz właśnie – jest możliwość i praca dla różnego rodzaju badaczy, którzy po tych ruchach i niskim kontraście okiem nie naszym, ludzkim, które ma pewną dynamikę, ale specjalnymi algorytmami, są w stanie podbić jasność, podbić kontrast i wyczytać różne rzeczy czy różne kształty, różne ruchy, których normalnie nie widać.

P. KONIECZNY: Tak. I to jest być może największa wartość naszego dzisiejszego spotkania. Bo jak kogoś złapię po naszym spotkaniu, że jego hasło kończy się na wykrzyknik, no to naprawdę bardzo źle. A złapię. Dlaczego złapię? Dlatego że wasze hasła – miejcie tego świadomość – regularnie wyciekają. Nie tylko ze względu na to, że wy macie pewne ludzkie słabości, łapiecie się na phishing, wprowadzacie te hasła w złych miejscach. Ale również dlatego, że twórcy różnych usług, z których korzystacie, firm, gdzie podajecie, zakładacie konta, podajecie swoje dane, oni te wasze dane tracą. Nie dlatego, że chcą wam zaszkodzić. Nie dlatego, że mają pewne błędy, że się nie znają na tym, co robią. Tylko dlatego, że właśnie zdarza się incydent, często nie bezpośrednio u nich, a u osób, firm, którym oddają wasze dane. Chociażby np. pewnym serwerowniom czy zewnętrznym usługodawcom. Po prostu my musimy dzisiaj myśleć o tym, że nasze dane prędzej czy później – te, które wprowadzamy na klawiaturze, zwłaszcza komputera czy urządzenia podpiętego do internetu – one kiedyś wyciekną. Ktoś będzie mógł je przejrzeć. W tym, jak już dzisiaj jest to możliwe, będzie mógł przeglądać nasze hasła. Więc te wykrzykniki na końcu będzie widać. Często, żeby znaleźć was w tym zbiorze, wystarczy numer telefonu, wystarczy fragment adresu, który podaliście czy wystarczy adres e-mail – to są rzeczy, po których można przeszukiwać te oceany wyciekniętych danych i korelować sobie fragmenty na wasz temat. Jeden wyciek z serwisu sportowego pokaże mi wasz numer buta i adres zamieszkania, bo tam zrobiliście dostarczenie przesyłki kupowanej przez internet. Drugi wyciek, który dotyczył aplikacji zakupowej, powie mi dokładnie, czy wy lubicie parówki, czy lubicie np. Coca-Colę bez cukru. To są takie sytuacje, które pozwalają nie tylko na bazie tych wycieków dowiedzieć się czegoś na wasz temat, czyli pozyskać wasze dane osobowe, które po części zostawialiście w różnych źródłach, zebrać je w jeden pełny obraz osoby, ale również określić pewne preferencje i informacje na wasz temat. To jest przerażające. O tym powinniśmy myśleć i w miarę możliwości powinniśmy stosować… Nie chcę tego wprost powiedzieć „fałszywe”, „kłamliwe” tożsamości, ale jednak takie pewne aliasy czy pewne podejście, które może nie do końca zdradza przy jednorazowym zakupie, kim my jesteśmy. Bo pamiętajcie, że nawet jeśli jednej firmie nie przekażecie pełnego kompletu na temat waszej osoby, pełnego kompletu danych, to niestety w momencie, kiedy te dane wyciekną – a prędzej czy później wyciekną – ktoś sobie te puzzelki złoży. Dzisiaj ludzie to robią i wykorzystują do ataków czy też właśnie szantażu.

P. KONIECZNY: Jestem zdecydowanie za. Pytasz zapewne o menedżery haseł. To jest typ aplikacji, są takie aplikacje darmowe, można je mieć na swoim smartfonie, komputerze. I to są aplikacje, które – po pierwsze – generują hasła. Te hasła są wtedy długie, losowe, nie do zapamiętania przez człowieka i dobrze, bo my jesteśmy beznadziejni w pamiętaniu haseł. Ja pamiętam tylko dwa swoje hasła. Jedno do mojego urządzenia, a drugie właśnie do menedżera haseł. I kiedy rano podłączam mój komputer, no to loguję się do menadżera haseł, a później on już te swoje dziwne hasła… Zabijcie mnie, torturujcie mnie, ja nie wiem, jakie mam hasło do Facebooka. On wprowadza za mnie hasło do Facebooka, hasło do różnego rodzaju innych serwisów, do których się loguję. Ja nie myślę o tych hasłach i o to dokładnie chodzi. Bo gdybym ja miał myśleć o hasłach, wymyślać różne algorytmy generowania bezpiecznych haseł – to jest bzdura – to ja nie byłbym w stanie tego zrobić tak dobrze, jak losowa, pseudolosowa maszyna, która te ciągi danych generuje i bezpiecznie przechowuje. Dzisiejsze menedżery haseł, darmowe, mogą zsynchronizować swoje bazy haseł ze smartfonem z jednym, drugim naszym urządzeniem, komputerem, laptopem, więc zawsze te hasła mamy przy sobie. Musimy pamiętać tylko właśnie dwa hasła. Jeśli ktoś z was – a na pewno będą takie osoby – dojdzie do wniosku: Chwila, chwila, Piotrek, ja przecież mam genialny algorytm na wymyślanie długiego, silnego hasła ze znakami specjalnymi, tak jak wszyscy uczą w podręcznikach. I mój algorytm brzmi mniej więcej tak: „mojetajnedługieiskomplikowanehasłodobanku123!”, no to to jest rzeczywiście dobre hasło, tylko że zwrócić uwagę: jak ono wycieknie, to przestępca, który to zobaczy, on zauważy: „Aha, ma takie hasło do banku, to ciekawe, jakie będzie mieć do Allegro, do Gmaila, albo do innych serwisów”. Przestępcy nie są idiotami. Oni będą wiedzieli, jaki algorytm korzystacie, podmienią odpowiednie części, popróbują i na podstawie jednego hasła tworzonego takim algorytmem domyślą się pozostałych. Więc naprawdę: generujcie hasła za pomocą menedżerów haseł. To już ten czas, kiedy powinniśmy oddać zarządzanie naszymi hasłami do zewnętrznych aplikacji, one są bezpieczne. I wiem, że część osób powie: Chwila, chwila, ale to wszystkie moje hasła będą w jednej aplikacji? No to przecież jak ktoś mi ją wykradnie, to koniec. I to jest prawda. Przykro mi, to jest prawda. Jak ktoś wykradnie waszego menedżera haseł, to jest koniec. Ale żeby ktoś wykradł waszego managera haseł, to musi się wcześniej włamać na wasze urządzenie. A zwróćcie uwagę, że jak ktoś włamie się na wasze urządzenie, to to już i tak jest koniec. Nie ma znaczenia, czy byście na tym urządzeniu, przejętym wtedy przez kogoś, wpisali hasła z menedżera haseł, czy wpisali hasła z kartki notatnika, po prostu je przepisując na klawiaturze. Ktoś, kto kontroluje wasz sprzęt, kontroluje wszystko, on ma dostęp do wszystkiego. Widzi, słyszy to, co ten sprzęt, patrzy na to, co wprowadzacie, nie ma wtedy znaczenia… Może inaczej: małym problemem jest to, jak przechowujecie hasła, są większe problemy. To już jest generalnie game over, jeśli chodzi o bezpieczeństwo.

P. KONIECZNY: KeePassXC.

P. KONIECZNY: Mamy duży problem. Nie zapominajmy hasła do menedżera haseł. Wydrukujemy je sobie na karteczce, schowajmy pod piątym kwiatkiem, zakopmy w lesie czy w innym miejscu, gdzie przestępcy internetowi z Chin, z Północnej Korei, Rosji, Izraela czy Stanów Zjednoczonych, kogokolwiek się obawiamy, nie będą w stanie dojść.

J. SANTORSKI: Mówiliśmy wcześniej, że jest kwestia procedur, standardów techniki, a także zasad. Ja opieram swoją pracę na doświadczeniu z lat poprzednich, zajmowałem się przez lata psychoterapią i psychologią kliniczną, a w tej chwili mówię do was ze Szkoły Biznesu Politechniki Warszawskiej, gdzie niemniej prowadzimy program, który jest oparty na bardzo osobistym kontakcie z liderami, którzy w małych, kameralnych grupach pracują nas swoimi ważnymi sprawami. Mam kilka zasad przeniesionych z psychoterapii, np. taką, że nie robię notatek, nie robiłem notatek o pacjentach. Myśmy się nawet bronili przed taką procedurą tworzenia epikryz pacjentom. A jeżeli robiliśmy epikryzy, to takie, gdzie tylko wpisywało się numery statystyczne jakichś schorzeń czy zaburzeń, które wychodzą w grę, ale bez detali. Żeby większość delikatnych danych na temat moich klientów – właścicieli zarządzających, prezesów, ale także wszystkich z ich rodzin w firmach rodzinnych – ode mnie wydobyć, trzeba byłoby sprawdzić moją podatność na tortury, działanie pod wpływem narkotyków, bo hipnozie bym się pewnie nie dał. Po prostu tych danych nigdzie nie ma, poza moim sercem i umysłem, i paru osób, z którymi współpracuję. Zazwyczaj – może paranoicznie – ale gdy rozmawiam o sprawach personalnych, zwłaszcza gdzie w grę wchodzą osoby, które mogą być przedmiotem troski lub zainteresowania jakichś służb czy organizacji, no to po prostu żaden telefon, żaden aparat telefoniczny włączony lub podłączony nie jest obecny. Większość ważnych spotkań z klientami, z partnerami, z osobami, z którymi pracuję, odbywam na spacerach i to nie na tej samej trasie.

P. KONIECZNY: To jest bardzo doskonałe pytanie, ponieważ nie wszyscy są w stanie wyobrazić sobie zagrożenia wynikające chociażby ze źle przeprowadzonej tej komunikacji. Tutaj pan Jacek wskazał na to, że myśli o tym, co może się zdarzyć, podejmuje pewne kroki, które mają obniżyć ryzyko. Pytanie: czy jest to wynik jego świetnego przewidywania, myślenie o tym i odpowiedzialności o tym, co robi, czy kwestia też pewnego incydentu, który mógł się zdarzyć w przeszłości? Bo najczęściej osoby, z którymi ja rozmawiam, zaczynają myśleć o bezpieczeństwie, kiedy do tego incydentu dojdzie. Zresztą w naszej branży jest takie powiedzenie, że ludzi dzieli się na dwie grupy. Tych, którzy mają kopie bezpieczeństwa danych i tych, którzy będą mieli kopie bezpieczeństwa danych. Ci drudzy to są właśnie ci, którzy kiedyś stracą pewne informacje i dojdą do wniosku: Ach, jaki byłem głupi, że nie robiłem kopii bezpieczeństwa. Podobnie jest z tą komunikacją. Często nie ma to dla nas większego znaczenia, dopóki nie dojdzie do jakiegoś incydentu. Wtedy zaczynamy myśleć: Co ja źle zrobiłem? Jejku, jakie to są konsekwencje. To może ja zacznę działać w trochę inny sposób? I trafiamy na ten mur, który właśnie się pojawił w tym pytaniu, czyli osoby, z którymi chcemy rozmawiać już na tym wyższym poziomie bezpieczeństwa, zarazić ich tym bezpieczeństwem, pokazać im, że można to robić lepiej, Oni mówią: Ale po co? Przecież ja od zawsze tak robiłem i nic mi się nie stało, to pewnie nikomu innemu też nic się nie dzieje. Nie, to nie jest prawda. Więc moja rada byłaby następująca: znajdźmy artykuły dotyczące incydentów związanych z wyciekiem danych, z tej konkretnej branży, z której jest nasz rozmówca. Podeszliśmy mu je, i licząc na jego pewną inteligencję i wyciąganie wniosków, niech on zobaczy, że innych z jego branży to już spotkało, więc jeśli nie chce być kolejnym przypadkiem ofiary z danego sektora, niech może jednak zainwestuje odrobinę w bezpieczeństwo. Dzisiaj mamy dużo darmowych aplikacji, prostych w obsłudze, które pomagają nam się bezpiecznie komunikować. I nie są one ciężkie do wdrożenia w takim procesie biznesowym od strony klienta czy od strony nawet pracowników w firmie. Nie wymaga to wielkiego wysiłku, więc spróbujmy się skonsultować z kimś, kto doradza nam pod kątem IT, wdróżmy takie rozwiązanie, nawet w oparciu o obecną u każdego przeglądarkę internetową. Po to, żeby nasi klienci, kontrahenci mogli w sposób bezpieczny za pomocą tego udostępnionego przez nas rozwiązania komunikować się z nami.

J. SANTORSKI: Tu się może może przydać gotowość i skłonność do samorefleksji. Bo psychologia zarządzania ryzykiem pokazuje, że my, ludzie, różnimy się między sobą swoimi stylami i sposobami pojmowania i odbierania ryzyk. Od takich, które są nadmiernie wrażliwe, nadmiernie podejrzliwe, obsesyjnie się chronią, zamykają, po takie, które miej lub bardziej niefrasobliwie postępują, zakładając – a to jest zjawisko, które dotyczy większości ludzi – tzw. nadmierny optymizm. Że może to nawet innych spotka, ale dlaczego mnie? Kto jedzie 150-160 km/h, nawet drogą szybkiego ruchu czy autostradą, wyobraża sobie, co się za chwilę stanie, kiedy jakieś zwierze wybiegnie na drogę, jak narazi siebie i innych, prawda? To dotyczy wszystkich, nie mnie. My dzisiaj rozmawiamy od odporności cyfrowej i bardzo dobrze, ale mamy też rok doświadczeń związanych z odpornością pandemiczną. Są osoby, które po prostu się może nadmiarowo i obsesyjnie kryją, a zaczynały od robienia niepotrzebnych zapasów. Ale są osoby, które albo zupełnie niefrasobliwie podchodzą do jednak potrzebnych standardów i wymagań, albo zaprzeczają temu w ogóle, że problem istnieje. Warto zobaczyć siebie na takim kontinuum, wziąć więcej odpowiedzialności. Ja myślę, że są pewne analogie… Zresztą jestem bardzo ciekaw, jak mój rozmówca, który widzę, że ma niebywale szeroką perspektywę, jakby pan rozpatrzył przeniesienie takich trzech podstawowych standardów higieny i bezpieczeństwa epidemiologicznego. To znaczy: unikać zagrażających kontaktów, często się odkażać i mieć właściwe maseczki. Co jest tą właściwą maseczką dla mojego komputera, dla mojej rozmowy telefonicznej? Czym jest to właściwe odkażanie, to mycie rąk co jakiś czas? I czym jest to utrzymywanie realnego – nie obsesyjnego – bezpiecznego dystansu? Myślę, że możemy pracować w pewnym sensie na taką swoją właśnie higieną cyfrową, tak jak pracujemy nad swoją higieną zdrowotną.

P. KONIECZNY: Tak, zdecydowanie jest to jest to dobre porównanie, tylko zwróciłbym uwagę na jedną kwestię. Mianowicie my z problemem pandemii i tego, jak podchodzić do ochrony naszego życia i zdrowia, spotykamy się no w takiej skali po raz pierwszy. Uczymy się, wycofujemy się różnych decyzji – np. zamknięcia lasów, mija rok od tej decyzji – widzimy, co działa, co nie działa, są te zmiany. I możemy to obserwować od A do Z, co też pewnie trochę podburza zaufanie do niektórych decyzji, kiedy szybko z tych decyzji liderzy czy narzucający nam pewne rozwiązania się wycofują. Natomiast w kontekście bezpieczeństwa cyfrowego: tutaj sprawa jest odrobinę inna. Mianowicie my te zagrożenia znamy już od lat. My wiemy, co działa, co nie działa. One wbrew pozorom dramatycznie się z roku na rok nie zmieniają. Nie ma nowych klas ataków, są te same klasy ataków, są inne preteksty, na podstawie których łowione są ofiary. Przykładowo: kiedy pojawiła się pandemia i wszyscy byliśmy wygnani do domów, siedzący na telefonach, siedzący na internecie, na komputerach, robiący wszystko, pojawiały się takie dramatyczne wizje, że teraz hackerzy to będą nas atakowali, bo przecież wszystko jest online. Będą jakieś nowe, zaawansowane ataki. Bzdura. Nic takiego się nie stało. Były te same SMS-y, tylko teraz nie od Kuriera, który ma nam dostarczyć paczkę i ona jest za ciężka, więc zapłać złotówkę, tylko od Kuriera, który ma nam dostarczyć paczkę, ale ona powinna być zdezynfekowana, więc zapłać złotówkę. Zmieniły się takie drobne puzzelki, natomiast cała mechanika jest dokładnie taka sama. Jeśli chodzi o tę maseczkę dla naszego komputera, to w tym przypadku niestety chyba skierowałbym się do tego, że maseczką dla naszego komputera najlepszą będzie to, żeby go regularnie aktualizować właśnie o te nowe łatki bezpieczeństwa dla oprogramowania, które na naszym urządzeniu się znajdują. Dlatego że każde oprogramowanie – o czym już mówiliśmy – ma pewne błędy albo będzie je miało i one będą przez atakujących bezwzględnie wykorzystywane do wejścia w nasz system, do prób tego typu. Natomiast wgranie aktualizacji te furtki, te dziury zamyka, sprawia, że jest trudniej nas zaatakować. Tylko to trzeba robić regularnie. I znowu nawiązanie: tak samo regularnie jak myjemy ręce, powinniśmy regularnie aktualizować nasze urządzenie. Jeśli chodzi o drugą stronę tej maseczki, czyli ochronę przed zagrożeniami, różnego rodzaju atakami, to tutaj mamy portfolio różnych rozwiązań, które mogą sprawić czy podnieść nasze bezpieczeństwo. Mamy firewalle, mamy antywirusy – często już domyślnie wbudowane w nasze systemy – czy inne mechanizmy bezpieczeństwa, w które musielibyśmy głębiej wniknąć, żeby je naszym słuchaczom wytłumaczyć. Natomiast warto to mieć, oczywiście. Natomiast warto sobie zdawać sprawę, podobnie jak w przypadku maseczek, że stuprocentowe bezpieczeństwo nie istnieje. Pewne ataki, pewne nowe klasy zagrożeń, one mogą się prześlizgnąć. Więc najwięcej powinniśmy mieć – jak pan Jacek wspomniał – tutaj, w głowie. My powinniśmy być świadomi tego, gdzie właśnie na tej skali się znajdujemy, że nie jesteśmy niezniszczalni i być wyczuleni na pewne ryzyka, dziwne zachowania i wiedzieć – w przypadku IT, jeśli to nie są nasze kompetencje – do kogo zwrócić się o pomoc, kiedy wyskoczy nam jakiś komunikat, kiedy komputer trochę inaczej się zachowuje. Nie udawajmy, że jesteśmy ekspertami od wszystkiego. Ja nie jestem ekspertem od samochodów. Ja samochód traktuję jako narzędzie, które przewiezie mnie z punktu A do punktu B. I nie interesuje mnie to, czym się różni olej 5W30 od 5W40. Nie interesuje mnie to, że mechanik na mnie patrzy w taki sposób, mówiąc: „Panie Piotrze, co pan tu wlał?”. No sorry, nie znam się na tym, oddaję opiekę nad moim samochodem ekspertowi. Podobnie, niestety, musimy myśleć o pewnych krytycznych – z punktu widzenia np. naszego biznesu – systemach. Miejcie ludzi, inwestujcie w ludzi od bezpieczeństwa, waszych informatyków, i niech oni się zajmą tym tematem od A do Z, wiedzy im nie będzie brakowało, ona leży w internecie za darmo.

P. KONIECZNY: Signal. Ale WhatsApp bazuje na Signalu, więc jeśli ktoś woli WhatsAppa, bo wszyscy jego znajomi korzystają z WhatsAppa, niech korzysta z WhatsAppa. Uwaga, jedyny minus WhatsAppa w stosunku do Signala jest taki, że za WhatsAppem stoi Facebook, czyli Facebook wie z kim rozmawiamy, kiedy rozmawiamy, ile razy rozmawiamy. Nie wie, o czym rozmawiamy. Natomiast czy musi wiedzieć, o czym rozmawiamy? Często samo połączenie pomiędzy osobami dla Facebooka jest istotniejsze i regularność, nieregularność kontaktu też wiele może mu powiedzieć. Były bardzo ciekawe badania na ten temat, kiedy Facebook wiedział na podstawie tego, jak często i intensywnie się z kimś komunikujemy, jakiej płci są te osoby, czy będzie tutaj jakiś związek między tymi osobami, czy nie. W zależności od godzin i właśnie intensywności kontaktu. I on to wiedział, potrafił przewidzieć z pewnym prawdopodobieństwem, zanim te osoby wiedziały, że między nimi będzie związek.

P. KONIECZNY: Telegram też będzie OK, też korzysta z szyfrowanej komunikacji. Tylko przy Telegramie należy mieć świadomość, że w domyślnej konfiguracji nie wszystkie rozmowy są w pełni szyfrowane i ten algorytm szyfrowania został autorsko opracowany. „Autorsko opracowany” to jest zwrot, którego my w bezpieczeństwie nie lubimy, dlatego że kryptografia powinna bazować na otwartych, wypracowanych standardach, którym przyjrzało się naprawdę bardzo dużo osób, bo to jest skomplikowane i warto to robić dobrze.

P. KONIECZNY: Tak.

P. KONIECZNY: Tak.

P. KONIECZNY: Za każdym razem podaję inny zestaw numer telefonu i adres e-mail, dlatego że właśnie w momencie, kiedy te dane wyciekną – a wiem, że wyciekną – nie chciałbym, żeby ktoś poznał czy skorelował to, gdzie, kiedy kupiłem jakie rzeczy. Niestety wszystko dzisiaj w zasadzie kupuję online, więc jest to dla mnie duże ryzyko. Jest to dla mnie też praca, ale po tym, jak my działamy, atakując naszych klientów i przygotowując się do tego ataku i zdobywając informacje na temat pracowników, po prostu widzę, jak szalenie skuteczna jest ta metoda, żeby na temat człowieka dowiedzieć się wszystkiego, czego on nie chce powiedzieć, często czego nie wiedzą o nim jego znajomi. Więc jak najbardziej, tak.

P. KONIECZNY: Wiesz co? Nie liczę tego, dlatego że w menedżerze haseł wszystkie te konta sobie zapisuję, także w momencie, kiedy chcę wrócić do jakichś zakupów, to wtedy dopiero mogę tam zajrzeć. Ale zazwyczaj, jak w danym sklepie, np. z elektroniką, robię drugie zakupy, to też zakładam drugą tożsamość po to, żeby nawet tych dwóch zakupów ktoś nie skorelował. Natomiast to już taka przesada. Myślę, że nie każdemu będzie to potrzebne.

P. KONIECZNY: Tak, zgadzam się z tym stwierdzeniem. Natomiast zamieniłbym „twardziela” na „osoby wyjątkowo nierozsądne”, bo chyba mogą nas teraz słuchać dzieci, więc wolałbym nie użyć innego bardziej dosadnego słowa.

P. KONIECZNY: Jak najbardziej tak. Tylko zasięg tych słuchawek bluetoothowych jest dość ograniczony, bo to jest mniej więcej 5 m, a ja tutaj zaraz mam fosę, 3 psy i 2 strażników, więc myślę, że ktoś, kto chciałby podejść i podsłuchać tutaj bezprzewodowo moją transmisję, miałby pewien problem. Oczywiście żartuję, ja nie jestem paranoikiem. Być może część z tych rzeczy, o których mówię, może niektórych ludzi wpędzić w paranoję, natomiast zachęcam do takiego zdroworozsądkowego podejścia do tych tematów i odpowiedzenia sobie na dwa ważne pytania: co dla mnie jest najważniejsze? I przed kim chciałbym to coś zabezpieczyć? Czyli jak realne jest to, że rzeczywiście ktoś za waszymi drzwiami może stać i podsłuchiwać wasze słuchawki bluetoothowe. Jeśli ktoś uważa, że to jest realne, jeśli ktoś ma sąsiada, którego nie lubi, a mieszka w jakimś apartamentowcu, no to może niech nie korzysta ze słuchawek bluetoothowych. Natomiast ja nie mam aż takiej paranoi. A tym bardziej rzeczy, o których tutaj mówimy – mi zależy na tym, żeby do jak najszerszego grona dotarły, a nie były tylko pomiędzy naszą trójką i słuchaczami naszym internetowymi teraz zamknięte. Uczmy się tych materiałów i tej wiedzy, która z tego webinara wpłynie.

J. SANTORSKI: Ja, odkąd umówiliśmy się na spotkanie, to już pana Piotra chłonąłem, tak, żeby wejść do tego procesu. Wiem więcej, uspokoiłem się w paru sprawach, że parę instrumentów i narzędzi, które stosuję, które wybierałem, że są mniej niebezpieczne niż inne. A z drugiej strony: mam takie dodatkowe potwierdzenie, jak ważne jest… I tak nawet w polemice do pana Piotra, tak trochę przekornie. Bo pan powiedział, jak ważne w tej cyberhigienie są aspekty techniczne, aspekty programów, procedur, technologii. Z drugiej strony: człowiek taki jak pan, jest konieczny. Będziemy mieli wielkie…

J. SANTORSKI: …wielkie obszary ze sztucznej inteligencji, robotów, ale gdzieś potrzebni są pasterze i właściciele tych robotów. Dobrze, żeby każdy przedsiębiorca, nawet kameralny, miał swojego partnera, doradcę, który mógłby intymnie porozmawiać, tak jak teraz rozmawiamy z panem.

P. KONIECZNY: To dokładnie jest kadr, który ja mam przed oczami. Widzicie fragment mikrofonu i to, co jest cały czas u mnie na ekranie. Tak, to, co zauważyłeś, jako osoba z wieloletnim doświadczeniem w mediach, to jest prompter. Ja nie korzystam z niego po to, żeby czytać odpowiedzi na pytania, które przygotowałeś, tylko po to, żeby sobie po prostu obraz waszych twarzy, moich rozmówców, rzucić w taki sposób, żeby mieć go na obiektywie i patrzeć wam prosto w oczy, a jednocześnie prosto w obiektyw. Więc jeśli ktoś, kto nas teraz słucha, szukał takiego rozwiązania na telekonferencję – polecam. Nie są to drogie rzeczy, a bardzo ułatwiają kontakt taki wzrokowy i – nawiązując do tego, o czym pan Jacek przed chwilą wspomniał – element ludzki. Element ludzki jest ważny, nie tylko właśnie w telekonferencjach – dlatego robię ten numer z prompterem – ale również w technologii. Ja bym dopowiedział na sam koniec tylko jedną rzecz: musimy wyważyć element naszej ludzkości, obecności i myślenia o różnych zagrożeniach z tym jednak czynnikiem technicznym. Nie bagatelizowałbym tego. To są pewne fundamenty i pewna synergia pomiędzy nimi musi następować.

J. SANTORSKI: Dzięki.

P. KONIECZNY: Dzięki.