Piotr Konieczny – Cyberbezpieczeństwo to nie tylko modne słowo
Dlaczego, kiedy korzystamy z sieci jesteśmy tak naiwni?
Piotr Konieczny uważa, że ludzie nie są z gruntu łatwowierni, ale jeśli po drugiej stronie jest osoba, która potrafi sprawić, że będziemy naiwni, to wtedy wpadamy w pułapkę. Ta technika manipulacji to socjotechnika. Istnieją pewne triki, które umożliwiają wywołanie u drugiej osoby pożądanego zachowania. Do ataków aplikowane są metody marketingowe, np. testy A-B. Np. ataki mailowe mają nakłonić ofiarę do kliknięcia w daną wiadomość. Wcześniej przygotowuje się kilka szablonów takiej wiadomości.
Jeśli w danej spółce mamy do zaatakowania 5000 pracowników, to na początek bierzemy 1000, i dzielimy ich na pół. Wysyłamy szablon A maila do jednej grupy, a szablon B do drugiej grupy. Kiedy spływają nam statystyki po otwarciu maila, widzimy, który szablon lepiej „żre”. Wtedy do pozostałych 4000 osób wysyła się ten mail, który lepiej perforomował.
Nieoczywiste zagrożenia
– Uczestniczymy w pewnym ekosystemie aplikacji, za którym stoją korporacje, które zarabiają na naszych danych. Nie ma darmowych aplikacji. Za każdą usługę, która jest darmowa płacimy swoimi danymi. Wiele osób nie zdaje sobie sprawy ze skali tego zjawiska. Informacje, które zostawiasz jednej firmie, mogą trafić do drugiej i zostać skorelowane z danymi z trzeciej firmy i zbudować bardzo precyzyjny obraz konkretnej osoby – mówi Piotr Konieczny.
Na tym etapie jest to wykorzystywane do tego, by więcej ci sprzedać i by reklamodawcy – prawdziwi klienci korporacji – (np. dla Facebooka klientami są inne marki, które wykupują na tym portalu reklamy) mogli im dostarczyć pożywkę, czyli nas, ludzi. Żeby być dobrą pożywką, trzeba być odartym z prywatności, na co sami się godzimy.
– Największym kłamstwem jest zaaprobowanie klauzuli „Zaakceptowałem politykę prywatności” – tego nikt nie czyta, a jeśli czyta, to na pewno nie ze zrozumieniem – dodaje nasz rozmówca.
Jak sprawdza się bezpieczeństwo w firmach?
– Kiedy wchodzimy fizycznie do siedziby spółki, przebieramy się np. za dostawcę elektryczności i wnikamy do firmy. Naszym celem jest zostawić implant, czyli pewne urządzenie wielkości pudełka zapałek, które podpinamy np.do gniazdka sieciowego w sali konferencyjnej, albo pomiędzy drukarkę a gniazdko sieciowe, by zdalnie się później do niego dostać, wykradać informacje i atakować tę infrastrukturę od wewnątrz – tłumaczy Piotr Konieczny.
Można podejrzewać, że jak ktoś coś takiego zobaczy, to odepnie obcy sprzęt, bo to nie jest infrastruktura firmowa. Aby nikt tego nie odpinał, przykleja się na to urządzenie żółtą karteczkę z napisem „nie odpinać”. Takie działanie ma największą skuteczność, nikt tego nie rusza, bo ludzie najczęściej są nietechniczni i nie zdają sobie sprawy, co to może być.
Cyberbezpieczeństwa jako kompetencja
– Firmy są po to, żeby robić biznes, a bezpieczeństwo jest po to, żeby biznes zabezpieczać. Zabezpieczenie oznacza spowolnienie, które generuje mniej pieniędzy, co przekłada się na nieszczęśliwych inwestorów, którzy mają nadzieję, że jakoś uda się przerwać bez zabezpieczeń, aż w końcu dochodzi do ataku i wszyscy zastanawiają się, czemu wcześniej się nie ochronili – mówi założyciel Niebezpiecznik.pl – Zazwyczaj firmy włączają zabezpieczenia już po fakcie, kiedy jest za późno. Bezpieczeństwo kosztuje, jest procesem, na który trzeba łożyć, doglądać, analizować, ulepszać i poprawiać cały czas.
Partnerem naszych rozmów jest PKO Bank Polski.
Konferencja Infoshare 2021 zgromadziła ponad 4500 tysiąca uczestników, ponad 300 technologicznych startupów, korporacje oraz blisko 150 ekspertów z całego świata, którzy dzielili się wiedzą na 5 scenach Infoshare. Ta największa technologiczna konferencja w CEE odbyła się w październiku 2021 w Gdańsku.
Kolejne wywiady będą pojawiały się w najbliższych dniach na naszej stronie! Znajdziesz je tutaj: Człowiek w świecie wielkich technologii. Startujemy z nowym cyklem wideo wywiadów
