Jakie znaczenie ma dla Ciebie udział w konkursie „Sukces Pisany Szminką” i znalezienie się w gronie finalistek? Jakie wartości niesie ze sobą to wyróżnienie?
To dla mnie ogromne wyróżnienie. Dzięki projektom takim jak “Sukces Pisany Szminką” kobiety w biznesie – zwłaszcza w obszarze cyberbezpieczeństwa czy zakładające startupy technologiczne – są coraz bardziej widzialne i doceniane. Cieszę się, że mogę być częścią tej zmiany i że istnieją inicjatywy, które wspierają kobiety, zwłaszcza w tak mocno zmaskulinizowanych branżach. To bardzo ważne.
Wiele firm „robi security” dopiero po incydencie. Co musiałoby się wydarzyć, żeby prewencja stała się sexy i była traktowana równie poważnie jak marketing growth?
Po prawie dekadzie pracy w tej branży wiem jedno: nic tak nie działa na wyobraźnię, jak osobiste doświadczenie.
Kiedy komuś pokażesz, jak łatwo można zdobyć jego dane, jak proste może być przejęcie kontroli nad systemem, jak banalnie można obejść zabezpieczenia – wtedy z teorii przechodzimy do działania. I dopiero wtedy bezpieczeństwo staje się realne, a nie abstrakcyjne.
Dlatego ogromną wartość widzę w programach typu bug bounty. Dzięki nim niezależni researcherzy wysyłają firmom konkretne raporty bezpieczeństwa: „Tu jest luka. Tak się do was dostaliśmy.” To nie jest hipotetyczne ryzyko. To jest realny, udokumentowany incydent, tyle że opanowany zanim wydarzyła się katastrofa.
Zresztą tak, wraz z moim wspólnikiem Dawidem Moczadło, zaczęliśmy Vidoc Security Lab. Etycznie zhakowaliśmy największe firmy technologiczne na świecie takie jak Paypal, Uber czy Microsoft, które teraz są naszymi potencjalnymi klientami.
Bezpieczeństwo staje się priorytetem dopiero wtedy, gdy jest dotknięte osobiście. I może to właśnie powinniśmy wykorzystywać częściej – nie tylko ucząc, ale pokazując. Nie tylko ostrzegając, ale uświadamiając poprzez doświadczenie.
Jak radzicie sobie z edukacyjnym wyzwaniem – czy to bardziej problem technologiczny, czy mentalny?
Z mojego doświadczenia – szczególnie w pracy z klientami typu enterprise – jednoznacznie widać, że dziś to przede wszystkim problem mentalny. Na najwyższych szczeblach zarządzania dominuje skupienie na stronie biznesowej: wzrost, skalowanie, innowacja. Tymczasem świadomość ryzyk związanych z adaptacją nowych technologii, takich jak AI, wciąż jest zaskakująco niska.
Nie chodzi o brak dobrej woli. Chodzi o to, że świadomość wymaga czasu. Nic tak nie działa na wyobraźnię, jak realne zagrożenie. Przekonanie, że „to może się wydarzyć u nas”.
Dlatego jestem przekonana, że najbliższe dwa lata będą okresem, w którym zobaczymy duży wzrost incydentów bezpieczeństwa związanych z adaptacją AI. Już teraz widzimy symptomy: deweloperzy, którzy „vibe’ują” kod z pomocą modeli językowych, niekoniecznie rozumiejąc jakie konsekwencje zmiany mogą mieć dla bezpieczeństwa całego systemu, czy zespoły wdrażające rozwiązania AI bez przejrzystych zasad kto ma dostęp do jakich danych i dlaczego.
Jako specjalistka w wykrywaniu podatności i błędów w systemach – jaki błąd w myśleniu o cyberbezpieczeństwie popełniają dziś startupy najczęściej?
Startupy nie myślą o bezpieczeństwie w ogóle, albo myślą w kategoriach zgodności z przepisami. I myślę, że to jest podstawowy błąd, bezpieczeństwo to nie to samo co compliance. Są małe rzeczy związane z bezpieczeństwem które możemy wdrażać nawet na bardzo wczesnym etapie budowania firmy, które są niemal bezkosztowe, a wdrożone zbyt późno mogą nieść za sobą wiele negatywnych konsekwencji. Również finansowych.
Warto przeprowadzić podstawową analizę ryzyka i zastanowić się co w przypadku naszej organizacji to tzw. „low hanging fruit” i co można zacząć robić od zaraz, a korzystnie wpłynie na bezpieczeństwo nie tylko firmy, ale przede wszystkim klientów korzystających z naszych rozwiązań.
Branża cybersecurity uchodzi za mocno zmaskulinizowaną. Czy spotkałaś się z sytuacją, kiedy Twoje kompetencje były podważane – tylko dlatego, że jesteś kobietą?
Oczywiście. Choć powiem szczerze, że największe rozczarowanie branżą IT ogólnie, spotkało mnie w pełnej technokratów Dolinie Krzemowej, która uchodzi za merytoryczną. Wiesz, że mniej niż 3% fundingu w Dolinie Krzemowej trafia do startupów prowadzonych przez kobiety? Gdy przeprowadziłam się do San Francisco i zaczęłam proces fundraisingu, starsza koleżanka z Doliny poradziła mi, żebym na rozmowy z inwestorami zawsze zabierała mojego wspólnika płci męskiej, bo nikt nie będzie traktował mnie jako kobiety w cyberbezpieczeństwie poważnie.
Byłam uparta, zignorowałam radę, stwierdziłam, że jeśli na tym etapie inwestor nie będzie w stanie zaufać mi jako liderce tylko ze względu na płeć, to nie ma miejsca na jakąkolwiek współpracę. Miałam kilka nieprzyjemnych rozmów, w niektórych kręgach byłam wręcz ignorowana. Rundę w wysokości 2,4m dolarów i tak zebrałam, od inwestorów dla których liczyły się kompetencje, a nie płeć. Zainwestowała w nas m.in. co-founderka OpenAI, oraz Walter Kortschak, jeden z pierwszych inwestorów w firmy takiej jak Palantir czy Twitter.
