Reklama
Kup subskrypcję
Kup subskrypcję
Dołącz do liderów przyszłości i zdobądź przewagę! Sprawdź najnowszą ofertę subskrypcji
Sprawdzam
Komunikacja
Magazyn (Nr 6, wrzesień 2020)

Cyberatak kontrolowany. Jak zapewnić firmie cyfrowe bezpieczeństwo?

1 września 2020 15 min czytania
Zdjęcie Joanna Koprowska - Redaktorka „ICAN Management Review” oraz „MIT Sloan Management Review Polska”
Joanna Koprowska
Zdjęcie Paula Januszkiewicz - CEO CQURE, Polka z dostępem do kodu źródłowego Windows, honorowa dyrektorka regionalna Microsoftu na Europę Środkowo‑Wschodnią.
Paula Januszkiewicz
Odsłuchaj
Pobierz PDF
Cyberatak kontrolowany. Jak zapewnić firmie cyfrowe bezpieczeństwo?

Włamania do banków, telekomów i innych firm to jej codzienność. Na życzenie klientów hakuje ich infrastrukturę informatyczną, by znaleźć słabości systemu zabezpieczeń. Kontrolowane ataki hakerskie nierzadko stanowią zimny prysznic, który mobilizuje organizacje do lepszego przygotowania na cyfrowe zagrożenia.

Paula Januszkiewicz, CEO CQURE, Polka z dostępem do kodu źródłowego Windows, honorowa dyrektorka regionalna Microsoftu na Europę Środkowo‑Wschodnią, opowiada o atakach hakerskich, mitach na temat cyberbezpieczeństwa oraz pracy etycznego hakera. Rozmawia Joanna Koprowska.

PRZECZYTAJ CAŁY ARTYKUŁ W WERSJI PDF

Kilkanaście minut przed naszym spotkaniem otrzymałam SMS od banku z ostrzeżeniem dotyczącym ataków hakerskich. Niestety, przestępcy internetowi nie zapadli w koronawirusowy sen, a wręcz odwrotnie. Do tego, jak wskazuje Global Risk Report opublikowany przez Światowe Forum Ekonomiczne, cyberataki są dziś potencjalnie tak destrukcyjne jak poważne klęski żywiołowe. A jak pani ocenia sytuację?

Generalnie widać wzmożoną liczbę cyberataków, ponieważ hakerzy zyskali nowy pretekst w postaci pandemii. Na porządku dziennym jest phishing (podszywanie się pod inną osobę lub instytucję w celu wyłudzenia poufnych informacji, zainfekowania komputera szkodliwym oprogramowaniem czy też nakłonienia ofiary do określonych działań – przyp. red.). Jednym z przykładów są SMS‑y czy e‑maile nakłaniające do wsparcia walki z koronawirusem. Przestępcy internetowi wykorzystują ludzką chęć pomocy, która jest silniejsza w zaistniałych okolicznościach.

Oczywiście koronawirus to nie jedyny pretekst. Do najpopularniejszych sposobów na wyłudzenie danych lub pieniędzy są maile dotyczące uregulowania niezapłaconych faktur. Pracownik otrzymuje wiadomość z fakturą i ponagleniem, czasami wygląda ona tak autentycznie i profesjonalnie, że wystarczy chwila nieuwagi, by taką fakturę przekazać do realizacji. Hakerzy bywają bardzo kreatywni i często żerują na ludzkiej nieostrożności. Łatwo dać się nabrać, udostępnić wrażliwe dane przestępcom, a potem gorzko tego żałować. Niestety, firmy zbyt często nie przygotowują się na takie sytuacje, działają dopiero wtedy, gdy reakcja jest konieczna, aby zapobiec katastrofie wizerunkowej.

Zaczęłyśmy rozmowę od tych złych hakerów, ale po drugiej stronie są osoby takie jak pani, eksperci od cyberbezpieczeństwa, których często nazywa się etycznymi hakerami. Czym się pani zajmuje na co dzień?

Prowadzę firmę, która przeprowadza kontrolowane ataki hakerskie. Są to tak zwane testy penetracyjne czy – jeszcze krócej – pentesty. Włamujemy się na zlecenie firmy do środka jej systemu, po czym dokumentujemy wiele dróg dojścia do celu oraz rekomendujemy środki bezpieczeństwa.

Pentesty mają kilka typów. Najprostszy podział jest na pentesty zewnętrzne i wewnętrzne. Można się dostać do systemu z zewnątrz, np. za pośrednictwem aplikacji webowej czy aplikacji mobilnej. Albo można też zrobić testy penetracyjne wewnętrzne, moje ulubione. Wtedy trzeba się znaleźć w danej infrastrukturze i od środka patrzeć, w jaki sposób połączyć różne kropki, by wykraść potrzebną informację albo przejąć kontrolę nad systemem.

Ostatnio współpracowaliśmy z jednym z największych graczy dostarczających produkty do cyberbezpieczeństwa. Włamywaliśmy się na jego zlecenie do jego systemów. Mieliśmy wyznaczone obszary, musieliśmy sprawdzić, czy włamanie jest możliwe, a reprezentanci klienta mieli za zadanie wyłapać nasze wszystkie aktywności. Na koniec każdego dnia spotykaliśmy się, by o tym porozmawiać i zweryfikować, czy system wewnętrznych zabezpieczeń zarejestrował, co i jak zrobiliśmy.

Odnoszę wrażenie, że nie może pani narzekać na nudę.

Sytuacji w infrastrukturze jest bardzo dużo. Mimo że niektóre rzeczy są do siebie podobne, to nie ma znaczenia, bo gdy się ze sobą łączą, dochodzi do wielu nowych, ciekawych konfiguracji. Już są dostępne rozwiązania, które w ogromnym stopniu zabezpieczają przed działaniami hakerów, ale firmy dopiero zaczynają na nie zwracać uwagę. Na przykład rozwiązania anti‑exploitation przeciwdziałają uruchomieniu czegoś w nietypowy sposób w systemie. Są, zawsze były, ale dopiero teraz zwraca się na nie uwagę. Cyberbezpieczeństwo stało się chodliwym tematem. Dobrze podążać za tym trendem, bo jeszcze trochę potrzeba, by nasze infrastruktury były bezpieczne.

Zainteresowanie kwestiami cyberbezpieczeństwa jest podyktowane megatrendem transformacji cyfrowej, którą napędziła pandemia COVID‑19. Firmy z rozwiązań analogowych przechodzą na rozwiązania chmurowe. Coraz większe obszary ulegają cyfryzacji, ale wciąż panuje przekonanie, że do każdego systemu można się włamać. Jaka jest prawda?

Właśnie taka. Można się włamać wszędzie. Jest to tylko kwestia czasu i umiejętności. Bywa tak, że zhakowanie jakiegoś systemu jest zbyt pracochłonne, przez co przedsięwzięcie staje się mniej opłacalne dla przestępców. Wtedy zazwyczaj zostawiają ten system i namierzają coś łatwiejszego. Chyba że mają na celowniku tylko jeden wyznaczony cel, wtedy prędzej czy później dostaną się do systemu i narobią w nim szkód.

W tej całej układance istotny jest również czynnik ludzki. Przed zagrożeniem związanym z niefrasobliwością ludzi można się zabezpieczyć, ale to wymaga holistycznego podejścia do bezpieczeństwa w organizacji. Nie jest to łatwe, ponieważ często w IT poszczególne produkty czy obszary są zarządzane przez różne zespoły. Od niedawna powstaje coraz więcej działów bezpieczeństwa, ale zazwyczaj takie komórki nie mają pełnej wiedzy o produktach wykorzystywanych przez całą firmę.

Często się mówi, że najsłabszym ogniwem w tej całej układance związanej z bezpieczeństwem cyfrowym jest człowiek. Czy pani to potwierdzi?

Zależy od perspektywy. Jeżeli ktoś o to pyta, odpowiadam „nie”. Myśląc holistycznie o zabezpieczeniu infrastruktury, powinniśmy mieć wdrożone takie rozwiązania, żeby człowiek nie był najsłabszym ogniwem. Człowiek nie jest technologią, a wykorzystując technologię, można zamknąć człowiekowi dostęp do czegoś.

Z drugiej strony, jeżeli spojrzymy na zagadnienie z lotu ptaka, ktoś zawsze tę technologię wybiera, wdraża, konfiguruje. A to sprawia, że koniec końców można poprosić tego kogoś, by wszystko wyłączył. Odpowiedź na pani pytanie zależy od głębokości spojrzenia. Patrząc technologicznie, ja się z tym nie zgadzam. Mamy rozwiązania, które sprawiają, że człowiek przestaje być najsłabszym ogniwem.

A czy są jeszcze jakieś mity na temat cyberbezpieczeństwa, które panią denerwują, przekazują fałszywy obraz tego świata?

Jestem nieco znudzona tym, że zdaniem wielu osób z branży tylko jeden system jest najlepszy, a jest nim Linux. Niektórzy twierdzą nawet, że nie można być dobrym z cyberbezpieczeństwa, używając Windowsa, którego osobiście jestem fanką. Jedno to jest kwestia systemu, którego się używa na co dzień, a drugie – jakie systemy się testuje i z jakich systemów ma się wiedzę. Na co dzień pracuję na różnych systemach, ale swoje czynności bazowe wykonuję na Windowsie. Nie znaczy to, że nie mogę mieć 10 dodatkowych wirtualnych maszyn z różnymi systemami, które wspomagają moją pracę. Poza tym uważam, że Windows sam w sobie nie jest prostym systemem operacyjnym.

Porównywanie Linuksa z Windowsami jest jak porównywanie iOS‑a z Androidem. Każdy znajdzie coś dla siebie. Trudno mówić, który wybór jest bezpieczniejszy. Czasy porównywania systemów dawno się skończyły, ponieważ systemy z reguły bezpieczne są.

PRZECZYTAJ TAKŻE: Bijemy na alarm »

Cyberbezpieczeństwo biznesu w 2020 roku – nowe trendy i nowe zagrożenia 

Nowe technologie

|

E-commerce

,

Zarządzanie usługami IT

Tomasz Kulas PL

W zeszłym roku zanotowano rekordowo wysoką liczbę incydentów związanych z zagrożeniem bezpieczeństwa cyfrowego. Pojawiają się również nowe sposoby ataków i wyłudzania danych, niektóre naprawdę wyrafinowane. 

Ale mimo to można się do nich włamać?

Wszystko jest kwestią konfiguracji. Gdyby hakerzy dokonali udanego ataku na bank, który korzysta z Windowsów, od razu pojawiłyby się komentarze, że wszystko jasne i że to wina Windowsa. Tymczasem, żeby atak był możliwy, potrzebna jest interakcja albo podatność. Jeżeli one występują, a dodatkowo nie został zaktualizowany system, to niezależnie od jego nazwy ktoś może się do niego włamać. Nikt nie pozwala sobie na taką sytuację w biznesie, by nie mieć zaktualizowanych systemów operacyjnych. To znaczy, nie powinien sobie pozwalać.

Dlatego, gdy słyszymy informacje na temat zaatakowanego systemu, powinniśmy najpierw zadać pytanie, czy był zaktualizowany?

Aktualizacja to jest dobry mechanizm zapobiegania oczywistym włamaniom. Są też podatności, które nazywamy zero day, czyli takie, które wychodzą na jaw po raz pierwszy, gdy przestępcy wykorzystują jakąś lukę, której nikt nigdy nie znał. Po takim zajściu powstaje aktualizacja. Czasami researcherzy ubiegną hakerów. Moi pracownicy ciągle szukają luk w systemach. Zgodnie z kodeksem etycznym, gdy uda się coś znaleźć, odzywamy się do vendora z rekomendacją aktualizacji. Gdy wyjdzie łatka (aktualizacja), możemy się pochwalić publicznie, że to za naszą sprawą. Mamy na swoim koncie już kilka „zero days”.

Obecnie zarządza pani międzynarodową firmą. Ale jakie były pani początki w branży?

Moja pierwsza praca polegała na administrowaniu siecią, potem pracowałam w różnych miejscach, by ostatecznie trafić do firmy konsultingowej. Wtedy dotarło do mnie, że chciałabym się zajmować stricte cyberbezpieczeństwem. Brałam udział w różnych wdrożeniach jako konsultant bezpieczeństwa IT, podczas gdy chciałam się skupić na pentestach, które nie sprzedawały się tak dobrze. Przełożeni grali w otwarte karty, twierdząc, że z samych pentestów firma się nie utrzyma. Wtedy postanowiłam się usamodzielnić i założyłam CQURE, które działa od 11 lat i utrzymuje się w dużej mierze właśnie z pentestów.

CQURE ma oddziały w Polsce, Szwajcarii, Arabii Saudyjskiej, Stanach Zjednoczonych. Pani od razu miała globalne spojrzenie na prowadzenie firmy, co nie było takie popularne kilkanaście lat temu. Skąd taki rozmach od początku?

Jeszcze 15 lat temu cyberbezpieczeństwo nie było tak popularne. Zauważyłam też, że polscy klienci mieli wtedy specyficzne podejście, że jak za coś płacili, lubili to mieć w formie materialnej. A bezpieczeństwo jest wirtualną usługą. Gdy płaci się za pentest, otrzymuje się raport, a z niego zazwyczaj wynika, co jest jeszcze do zrobienia. Kilkanaście lat temu polskie firmy były na innym etapie, miały inne priorytety, musiały jeszcze inwestować w infrastrukturę. Dlatego myślałam od razu o rozszerzeniu działalności.

Gdy zaczęłam robić projekty międzynarodowe, okazało się, że firmy z obszaru GCC premiują lokalnych dostawców. Ominęło mnie kilka ciekawych zleceń tylko dlatego, że reprezentowałam firmę z Polski. Wtedy uruchomiłam oddział w Dubaju. Kolejne otwierałam na podobnej zasadzie. Obecnie pracownicy są porozrzucani po świecie, większość prac wykonują zdalnie, tak naprawdę mogliby mieszkać gdziekolwiek. W tym roku mieliśmy jeszcze otworzyć biuro w Singapurze, ale na razie się wstrzymujemy z powodu pandemii.

Przez ten czas podejście polskich firm do kwestii bezpieczeństwa cyfrowego zmieniło się na lepsze?

Jesteśmy bardzo świadomi zagrożeń cyberświata, ale za tą świadomością nie idą działania. Wynika to z niskich budżetów na zabezpieczenia. Jest coraz lepiej, ale to nadal kropla w morzu potrzeb. Czasami znane i poważane firmy mają duże niedociągnięcia w obszarze zabezpieczeń cyfrowych. Zdarza się, że mniej rozpoznawalne, niepozorne marki wypadają o wiele lepiej na tle gigantów. Czasami takie zaniedbania wręcz szokują.

Zdarzają się pracownicy, którzy nie mają pokory, a ona w tej branży jest niezwykle istotna. W cyberbezpieczeństwie trzeba mieć absolutny szacunek do niewiedzy. Po pierwsze, można w ogóle czegoś nie wiedzieć, po drugie, wiele rzeczy bardzo szybko się zmienia. To wymaga elastyczności i wyzbycia się wszelkich założeń. Konieczne staje się otwarcie umysłu na rzeczy, których jeszcze nie znamy. Nazywam to hiperaktywnością. Trzeba chcieć wiedzieć, a nie oceniać czy prezentować silny, jedyny słuszny, pogląd na sprawę. To, że ktoś zainwestuje w superzespół, wcale nie oznacza, że będzie mieć superpoziom cyberbezpieczeństwa. Wszystko zależy od kontekstu i podejścia.

Środowisko profesjonalistów zajmujących się bezpieczeństwem firm często odwołuje się do zasady stay in the shadow (pozostań w cieniu). Z kolei pani chętnie dzieli się wiedzą, występuje na konferencjach, takich jak RSA USA, RSA Pacific Asia & Japan czy Black Hat Europe, gdzie błyszczy na scenie. Skąd takie podejście?

Bezpieczeństwo firmy to szerokie zagadnienie, gdzie jednym z obszarów jest cyberbezpieczeństwo. Mamy wiele specjalizacji, są fachowcy zamknięci w serwerowniach, są etyczni hakerzy działający zdalnie, są osoby dzielące się wiedzą i przyciągające nowe osoby do branży. Trudno zapewnić adeptom cyberbezpieczeństwa zadania, które pozwolą im rozwinąć skrzydła na tym początkowym etapie kariery, ale dobrym punktem wyjścia jest inspiracja.

Pani stara się jej dostarczać?

Lubię dzielić się wiedzą i robię to już od 12 lat. W zasadzie szkolenie innych pochłania 40% mojego czasu. W Polsce dialog jest przepełniony kontekstami, ogląda się te same seriale, śmieje z tych samych reklam, posługuje tymi samymi sloganami. Od zawsze szukałam pracy, która polega na wykorzystaniu wiedzy. Nie ma tu tak wielkiego znaczenia sympatia, czynnik lokalny czy flow w komunikacji. Choć lubię ludzi, z natury jestem introwertyczna. Jestem z IT.

Przydzielono pani dostęp do kodu źródłowego Windows. To spore wyróżnienie, biorąc pod uwagę, jak niewiele osób na świecie ma ten przywilej. Ale czy pani często do tego kodu zagląda?

Dobre pytanie. Nie zaglądam często. Ten dostęp pomaga odpowiedzieć na trudne pytania, których pojawia się coraz mniej. Myślę, że na świecie jest około tysiąca osób, którym umożliwiono taką weryfikację u źródeł.

To ścisłe grono zaufanych ekspertów. A przecież na jednej z konferencji powiedziała pani, że „zaufać to niezbyt popularne słowo w cyberbezpieczeństwie”. Może pani wyjaśnić, co miała na myśli?

Posłużę się przykładem certyfikatów dostarczanych przez firmy. Jeżeli cenimy jakiegoś dostawcę certyfikatów i ufamy niemalże w ciemno wszystkim sugestiom z jego strony, wierzymy, że wykonał odpowiednia procedurę, by zweryfikować dany podmiot. Automatycznie ufamy. Czy to jest dobre? Z pewnością to wiele ułatwia. Ale z punktu widzenia cyberbezpieczeństwa nie jest to najrozsądniejsze podejście. Trzeba zawsze pamiętać, że istnieje minimalne prawdopodobieństwo, że zawiodą jakieś procedury. Że np. ktoś nie dopełni obowiązku sprawdzenia, czy ostateczny produkt faktycznie jest finalną wersją, lub czy to, co trafia na rynek, jest tym, co powinno wyjść. Zaufanie jest bardzo wygodne, ale raczej nie jest dobre.

Czy spotyka pani wielu sfrustrowanych nadmiarem obowiązków i brakiem czasu administratorów IT?

Zdarza się, że administrator to jedyne stanowisko w firmie, nie ma bezpośrednio oddelegowanych osób do bezpieczeństwa. Spotykam administratorów przepracowanych i przeciążonych. Zdarza się, że nim opowiem im o wykrytych mankamentach systemu, oni sami je wymieniają, kwitując, że zdają sobie z tego sprawę, ale na razie mają inne priorytety. To dość odważne podejście, bo do bazy tej firmy mógłby się włamać każdy. Nie ma tutaj usprawiedliwienia, że brakuje czasu na załatanie dziur w systemie zabezpieczeń. Z tym należy coś zrobić natychmiast. Zdarzało się, że administrator wykonywał źle działania. Nie tylko wykrywaliśmy błąd, ale też sprawdzaliśmy, do jakich komponentów infrastruktury ma on dostęp, czyli de facto gdzie może zaszkodzić.

W takim razie w co powinny inwestować firmy, chcące zabezpieczyć się przed atakami? Jaki zaproponowałaby pani szybki pakiet bezpieczeństwa?

Bardzo upraszając, proponowałabym trzy rzeczy. Po pierwsze, należy zrobić podstawowy pentest, by zweryfikować tzw. cybersecurity posture, czyli nasz zewnętrzny obraz bezpieczeństwa. Po drugie, warto się dowiedzieć, jakiego rodzaju rozwiązania z zakresu bezpieczeństwa domyślne oferuje platforma, której używamy. Ta wiedza pozwoli nam znaleźć ewentualne luki w systemie bezpieczeństwa. A po trzecie, powinniśmy zwracać uwagę przede wszystkim na aktualizowanie systemów.

Co panią ostatnio bardzo zdziwiło? Na jakie zaniedbania natrafiła pani podczas pentestów?

Moja praca jest źródłem nieustannych zdziwień. Niemal zawsze zdarza się coś interesującego. Niedawno w znanej firmie z głównego urzędu certyfikacji wyeksportowano plik pfx, który znajdował się na serwerach. Hasłem dostępu była litera „A”. Czasami ręce opadają, ale zazwyczaj w takich sytuacjach uśmiecham się pod nosem i przechodzę do dalszych poszukiwań. Szukam, dopóki nie natknę się na nowe znalezisko.

PRZECZYTAJ TAKŻE: Jak tworzyć dobrą przyszłość »

W kwestii technologii bądź realistą, żądaj niemożliwego 

Nowe technologie

Rafał Pikuła PL

W dobie kryzysu prawdziwi inwestorzy zwykli mawiać: „rozsiądź się wygodnie i rozkoszuj kryzysem”. Wiemy już, że pandemia przyspieszyła cyfrową rewolucję, ale czy związany z nią kryzys będzie szansą na demokratyczny dostęp do technologii i innowacji?

O autorach
Zdjęcie Joanna Koprowska - Redaktorka „ICAN Management Review” oraz „MIT Sloan Management Review Polska”
Joanna Koprowska

Redaktorka „ICAN Management Review” oraz „MIT Sloan Management Review Polska”

Zdjęcie Paula Januszkiewicz - CEO CQURE, Polka z dostępem do kodu źródłowego Windows, honorowa dyrektorka regionalna Microsoftu na Europę Środkowo‑Wschodnią.
Paula Januszkiewicz

CEO CQURE, Polka z dostępem do kodu źródłowego Windows, honorowa dyrektorka regionalna Microsoftu na Europę Środkowo‑Wschodnią.

Tematy
Analityka i Business Intelligence BIZNES I TECHNOLOGIE Cyberbezpieczeństwo Digitalizacja Transformacja organizacyjna Zarządzanie i przywództwo IT
Spis treści
  1. Kilkanaście minut przed naszym spotkaniem otrzymałam SMS od banku z ostrzeżeniem dotyczącym ataków hakerskich. Niestety, przestępcy internetowi nie zapadli w koronawirusowy sen, a wręcz odwrotnie. Do tego, jak wskazuje Global Risk Report opublikowany przez Światowe Forum Ekonomiczne, cyberataki są dziś potencjalnie tak destrukcyjne jak poważne klęski żywiołowe. A jak pani ocenia sytuację?
  2. Zaczęłyśmy rozmowę od tych złych hakerów, ale po drugiej stronie są osoby takie jak pani, eksperci od cyberbezpieczeństwa, których często nazywa się etycznymi hakerami. Czym się pani zajmuje na co dzień?
  3. Odnoszę wrażenie, że nie może pani narzekać na nudę.
  4. Zainteresowanie kwestiami cyberbezpieczeństwa jest podyktowane megatrendem transformacji cyfrowej, którą napędziła pandemia COVID‑19. Firmy z rozwiązań analogowych przechodzą na rozwiązania chmurowe. Coraz większe obszary ulegają cyfryzacji, ale wciąż panuje przekonanie, że do każdego systemu można się włamać. Jaka jest prawda?
  5. Często się mówi, że najsłabszym ogniwem w tej całej układance związanej z bezpieczeństwem cyfrowym jest człowiek. Czy pani to potwierdzi?
  6. A czy są jeszcze jakieś mity na temat cyberbezpieczeństwa, które panią denerwują, przekazują fałszywy obraz tego świata?
  7. Cyberbezpieczeństwo biznesu w 2020 roku – nowe trendy i nowe zagrożenia 
  8. Ale mimo to można się do nich włamać?
  9. Dlatego, gdy słyszymy informacje na temat zaatakowanego systemu, powinniśmy najpierw zadać pytanie, czy był zaktualizowany?
  10. Obecnie zarządza pani międzynarodową firmą. Ale jakie były pani początki w branży?
  11. CQURE ma oddziały w Polsce, Szwajcarii, Arabii Saudyjskiej, Stanach Zjednoczonych. Pani od razu miała globalne spojrzenie na prowadzenie firmy, co nie było takie popularne kilkanaście lat temu. Skąd taki rozmach od początku?
  12. Przez ten czas podejście polskich firm do kwestii bezpieczeństwa cyfrowego zmieniło się na lepsze?
  13. Środowisko profesjonalistów zajmujących się bezpieczeństwem firm często odwołuje się do zasady stay in the shadow (pozostań w cieniu). Z kolei pani chętnie dzieli się wiedzą, występuje na konferencjach, takich jak RSA USA, RSA Pacific Asia & Japan czy Black Hat Europe, gdzie błyszczy na scenie. Skąd takie podejście?
  14. Pani stara się jej dostarczać?
  15. Przydzielono pani dostęp do kodu źródłowego Windows. To spore wyróżnienie, biorąc pod uwagę, jak niewiele osób na świecie ma ten przywilej. Ale czy pani często do tego kodu zagląda?
  16. To ścisłe grono zaufanych ekspertów. A przecież na jednej z konferencji powiedziała pani, że „zaufać to niezbyt popularne słowo w cyberbezpieczeństwie”. Może pani wyjaśnić, co miała na myśli?
  17. Czy spotyka pani wielu sfrustrowanych nadmiarem obowiązków i brakiem czasu administratorów IT?
  18. W takim razie w co powinny inwestować firmy, chcące zabezpieczyć się przed atakami? Jaki zaproponowałaby pani szybki pakiet bezpieczeństwa?
  19. Co panią ostatnio bardzo zdziwiło? Na jakie zaniedbania natrafiła pani podczas pentestów?
  20. W kwestii technologii bądź realistą, żądaj niemożliwego 

Może Cię zainteresować

SZTUCZNA INTELIGENCJA
Polacy chcą AI w pracy – ale na własnych zasadach. Co zaufanie do wirtualnych agentów mówi o przyszłości przywództwa?

Coraz więcej firm wdraża wirtualnych asystentów i analityków opartych na sztucznej inteligencji, chcąc zyskać na efektywności i innowacyjności. Ale co na to pracownicy? Najnowsze badanie przeprowadzone przez ASM na zlecenie Salesforce ujawnia jednoznacznie: Polacy są otwarci na AI w miejscu pracy, ale tylko pod warunkiem zachowania kontroli i zrozumienia jej działania.

Gabriela Targońska 19 czerwca 2025
KULTURA ORGANIZACYJNA
Gorące serca i brutalna rzeczywistość, czyli o budowaniu empatii w organizacji

Empatia liderów to za mało, gdy systemy, procesy i decyzje organizacji świadczą o braku troski. Oto cztery strategie, które skutecznie adresują to wyzwanie.  W świecie biznesu często słyszymy o „wyścigu szczurów” i bezwzględnym pięciu się po korporacyjnej drabinie „po trupach”. Taki scenariusz często przywodzi na myśl „Władcę Much”, gdzie prym wiodą najsilniejsi, a słabsi muszą ustąpić. Wielu uważa, że aby przetrwać i odnieść sukces, po prostu „trzeba być twardym”. Ale czy to jedyna droga?

Melissa Swift 19 czerwca 2025
Konferencja „Odpowiedzialny biznes w praktyce – zrównoważony rozwój jako klucz do przyszłości”

Podsumowanie

Konferencja „Odpowiedzialny biznes w praktyce – zrównoważony rozwój jako klucz do przyszłości” odbyła się 15 kwietnia 2025 roku z inicjatywy ICAN Institute oraz Partnerów. Wydarzenie było poświęcone tematyce zrównoważonego rozwoju, ESG oraz społecznej odpowiedzialności biznesu.

Obecność licznych przedstawicieli biznesu oraz ich aktywne uczestnictwo w dyskusjach miały istotny wpływ na wysoki poziom merytoryczny konferencji. Wymiana wiedzy, doświadczeń i dobrych praktyk w zakresie ESG stanowiła ważny element wydarzenia, przyczyniając się do kształtowania odpowiedzialnych postaw w środowisku biznesowym oraz wspierania długofalowych, wartościowych inicjatyw.

Redakcja MIT SMRP 18 czerwca 2025
PRZYWÓDZTWO
Pięć lekcji przywództwa dla „twardych” prezesów

Choć może się wydawać, że styl przywództwa oparty na kontroli i wydawaniu poleceń wraca do łask, rzeczywistość pokazuje coś zupełnie innego — to liderzy o wysokiej inteligencji emocjonalnej osiągają lepsze rezultaty

Brian Elliott, Sophie Wade 18 czerwca 2025
SZTUCZNA INTELIGENCJA
Jak fundusz Apollo wdraża AI w spółkach portfelowych

Apollo Global Management uczyniło ze sztucznej inteligencji priorytet: intensywnie pracuje nad rozwojem zdolności AI w swoich spółkach portfelowych, by uczynić je bardziej konkurencyjnymi i wartościowymi. Firma szczegółowo analizuje, jaki wpływ może mieć wdrożenie AI na projekty w tych spółkach oraz jak ewoluuje wykorzystanie AI w ich branżach. Sukcesy Apollo z ostatnich pięciu lat stanowią dowód, że AI może już dziś tworzyć realną wartość biznesową.

Thomas H. Davenport, Randy Bean 18 czerwca 2025
Spójrz na swoją firmę z zewnątrz, aby ocenić jej atuty
Kompetencje przywódcze
Chcesz przestać popełniać te same błędy? Spójrz na swoją organizację z zewnątrz!

Liderzy muszą nauczyć się patrzeć na własną organizację oczami innych. Kluczowe znaczenie ma tu umiejętność zdystansowania się wobec osobistych emocji i spojrzenie z zewnątrz, na przykład oczami potencjalnego inwestora. Istotne jest również nawiązanie dialogu z pracownikami lub kontrahentami. Pozwala to dostrzec nowe możliwości oraz ukryte zagrożenia.

„Ślepe punkty” przywództwa

Samoewaluacja  to wyjątkowo trudne zadanie. Tymczasem liderzy stojący na czele organizacji powinni dokonywać jej cyklicznie. I to nie tylko w kontekście oceny samego siebie, ale też całej działalności. Szukając odpowiedzi na strategiczne dylematy, osoby zarządzające często angażują się w prowadzenie coraz to większej liczby badań i analiz. W wielu sytuacjach jednak może się wydawać, że wynikają z nich wciąż te same wnioski i rozwiązania, a cały proces myślowy kołem się toczy. Jak wskazuje ekspertyza McKinsey & Company takie sytuacje mogą pojawiać się wtedy, kiedy pomija się tak zwane ślepe punkty przywództwa. Są to obszary, w których łatwo nie zauważyć istotnych kwestii. To zjawisko może nasilać się ze względu na utarte przekonania, ograniczenia poznawcze lub brak różnorodności perspektyw. Przywódcy są często tak mocno zaangażowani w losy firmy, że nie zauważają swojego zbytniego przywiązania do znanych rozwiązań. Ponadto wielostopniowa struktura hierarchiczna oraz zawiły sposób raportowania może zakrzywiać informacje docierające na szczyt.

Magdalena Desperak-Kołek 17 czerwca 2025
GEOPOLITYKA
Cieśnina Ormuz: ceny ropy i łańcuchy dostaw pod presją

Kiedy wojna wybucha w sercu globalnego szlaku paliwowego, konsekwencje są natychmiastowe: rosną ceny paliw, spadają indeksy, narasta niepewność. Cieśnina Ormuz – wąskie gardło, przez które przepływa jedna trzecia światowej ropy raz jeszcze przypomina, jak bardzo biznes jest uzależniony od geopolityki. Czy Europa i Polska są gotowe na kolejne uderzenie w gospodarkę?

Paweł Kubisiak 17 czerwca 2025
Multimedia
Zarządzanie sobą
Ukryty rynek pracy menedżerów: nowa rzeczywistość rekrutacyjna

Rynek pracy, szczególnie dla kadry menedżerskiej i C-level, dynamicznie się zmienia. W ostatnich latach obserwowana jest ograniczona liczba publikowanych ofert pracy, a procesy rekrutacyjne wydłużają się, osiągając nawet kilkanaście etapów. Agnieszka Myśliwczyk, IT headhunterka i ekspertka rynku, podkreśla, że nie jest to tyle kryzys, co „wyzwanie”, z którym mierzą się liderzy. Ważne jest także odważne sięganie po nowe, z ciekawością i satysfakcją, bez „dziadowania” czy poczucia zmęczenia życiem. Mimo wyzwań, takich jak ageizm czy podwójna dyskryminacja kobiet 50+, optymizm i proaktywne podejście są kluczowe.

Paulina Chmiel-Antoniuk, Agnieszka Myśliwczyk 16 czerwca 2025
Ilustracja ukazująca nowoczesną przestrzeń podzieloną na trzy symboliczne strefy. Po lewej stronie – ciepłe, pomarańczowe światło i zaokrąglone formy przypominające radość. Po prawej – chłodne, niebieskie światło i geometryczne cienie w kolumnach symbolizujące osiągnięcia. Pośrodku – neutralna, jasna przestrzeń ze schodami i świetlnym promieniem na podłodze, wyznaczającym punkt równowagi. Całość tworzy wyrafinowaną metaforę świadomego wyboru i wartościowania czasu.
KULTURA ORGANIZACYJNA
Dobrze wykorzystany czas: Nowy sposób wartościowania czasu może zmienić Twoje życie
Subiektywna wartość czasu to koncepcja, która pozwala dostrzec drobne zmiany w tygodniowym harmonogramie, mogące znacząco zwiększyć satysfakcję z życia i dobrostan. Godzina po godzinie, sposób, w jaki spędzamy czas, składa się na sposób, w jaki spędzamy życie.Dla wielu z nas ta suma bywa jednak rozczarowująca. Kulturowe przekonania, zakorzenione w powiedzeniach typu „czas to pieniądz”, każą […]
Leslie Perlow, Salvatore Affinito 16 czerwca 2025
Multimedia
INNOWACJE
Jak zaplanować swoją karierę w nieprzewidywalnych czasach

Każda kariera jest drogą indywidualną i nikt nie zna uniwersalnego przepisu na sukces. Nie można skopiować czyjejś kariery i nałożyć na własne życie. Ale jedno jest pewne: większe szanse na sukces mają te osoby, które przemyślą i dobrze zaplanują swoją drogę zawodową.

Paweł Kubisiak, Sergiusz Trzeciak 15 czerwca 2025
Materiał dostępny tylko dla subskrybentów

Jeszcze nie masz subskrypcji? Dołącz do grona subskrybentów i korzystaj bez ograniczeń!

Subskrybuj

Newsletter

Otrzymuj najważniejsze artykuły biznesowe — zapisz się do newslettera!