Na przeczytanie potrzebujesz 6 minut(y).
Bezpiecznik - potoczne określenie osoby, która zawodowo zajmuje się bezpieczeństwem IT. W pierwszym odcinku porozmawiamy z Michałem Lipińskim, który dba o bezpieczeństwo startupu wysyłającego mikrosatelity w kosmos.
Formuła wywiadu:
- wstęp (kim jest Michał oraz czym obecnie się zajmuje)
- ścieżka edukacji
- dotychczasowa kariera
- obserwacje i spostrzeżenia
- porady dla osób rozpoczynających przygodę z bezpieczeństwem
Michał, czy mógłbyś krótko opowiedzieć o sobie? W jakie firmie pracujesz, czym się zajmujesz, jaki jest zakres Twoich obowiązków i skala odpowiedzialności?
Od niemal roku pracuję, jako IT Security Lead w firmie budującej i wysyłającej satelity w kosmos. Są to mikrosatelity wysyłane na orbitę ziemską, które wykonują zdjęcia naszej planety wykorzystując fale radiowe.
W firmie dbam o bezpieczeństwo IT oraz bezpieczeństwo fizyczne. Jestem odpowiedzialny za przygotowanie budżetu oraz strategii rozwoju bezpieczeństwa IT. Moje obowiązki można porównać z obowiązkami CISO (Chief Information Security Officer).
Ile satelit udało się już wystrzelić?
Za mojej kadencji - jedną, choć kolejne czekają już w kolejce.
Czy firma, w której pracujesz to startup?
To zależy od definicji słowa startup. Satelita to nie software, który można napisać przy stosunkowo niskim, w porównaniu do budowy satelity, nakładzie pracy. Jeżeli chodzi o branżę kosmiczną lub bardziej konkretnie „new space”, firma na pewno może być postrzegana, jako startup. Jej ciągły i dynamiczny rozwój powoduje, że zachodzą naturalne zmiany, ale wciąż pozostaje startupem.
Ok, to jak to jest zajmować się bezpieczeństwem w startupie?
Zdecydowanie jest to wyzwanie. Z mojego doświadczenia wynika, że pracownicy korporacji przyzwyczajeni są do pewnych reguł i ograniczeń panujących w organizacji, w przeciwieństwie do startupu, gdzie ludzie spodziewają się efektywnego wykonywania pracy i oczekują braku jakichkolwiek ograniczeń. Liczą na to, że komputer służbowy będzie działał tak samo, jak ich komputer prywatny. Warto nadmienić, że znaczna część pracowników to osoby tuż po studiach lub z krótkim stażem pracy, które nie są w pełni świadome ryzyka wynikającego np. z korzystania z urządzeń mobilnych w nieodpowiedni sposób.
Jak zaczęła się Twoja przygoda, Twoje zainteresowanie tematyką IT security?
Szczerze? Nie pamiętam. Wydaje mi się, że obejrzałem jakiś film o hakerach i pomyślałem, że to musi być super mieć takie umiejętności. Pierwszy komputer dostałem w wieku 8 lat. Jak większość moich kolegów, byłem wtedy bardziej zainteresowany graniem, niż próbą zrozumienia zasad, na jakich działa komputer. Kilka razy zdarzyło mi się popsuć komputer, z czego rodzice nie byli specjalnie zadowoleni. Aby uniknąć nieprzyjemności, zacząłem zwracać większą uwagę na to, co i jak robię, dzięki czemu byłem też w stanie rozwiązywać problemy, które się pojawiały. W ten sposób zostałem ochrzczony mianem ”informatyka”, bo w tamtym okresie tylko tak określało się osoby, które potrafiły zainstalować drukarkę, czy podłączyć głośniki do komputera.
Prawdziwa przygoda z bezpieczeństwem zaczęła się, w momencie, w którym dostałem książkę „Hakerzy w Windows 2000”. Podane w niej były przykłady skutecznych ataków, wraz z przedstawieniem potrzebnych narzędzi i krótkim opisem, jak krok po kroku taki atak przeprowadzić. Z czasem zainteresowałem się sieciami Wi-Fi, które dopiero stawały się popularne. Pamiętam, że moja pierwsza karta Wi-Fi to był moduł do płyty głównej komputera stacjonarnego. W pewnym (niechlubnym już) magazynie publikowane były materiały z zakresu bezpieczeństwa. Jeden z numerów skupiał się właśnie na bezpieczeństwie sieci Wi-Fi (a dokładniej: standard 802.11b).
Pamiętam też historię z liceum, gdzie dzięki sztuczkom opisanym w książce, moja ocena z informatyki została podniesiona na dostateczną, bo wiedziałem jak „zhackować” komputery w pracowni informatycznej, tj. jak złamać hasło lokalnego administratora. Coś czego nie wiedziała moja nauczycielka, która wcześniej dziwiła się jak udało nam się zainstalować gry na komputerach, na których instalowanie oprogramowania bez uprawnień administratora było zablokowane.
Jakie studia czy kursy przygotowały Cię do pracy w IT security?
Studiowałem na tak zwanej „Elce”, czyli Wydziale Elektroniki i Technik Informacyjnych Politechniki Warszawskiej, na kierunku telekomunikacja, bo na informatykę się nie dostałem. Z perspektywy czasu nawet się z tego cieszę. Studia to była dla mnie prawdziwa szkoła życia. Na telekomunikację dostawałem się łącznie trzy razy, ponieważ pierwsze dwa zakończyłem przedwcześnie. Dopiero za trzecim razem udało mi się skończyć studia w terminie. Łącznie zdobycie tytułu inżyniera zajęło mi “jedynie” 6 lat. Na bazie zebranego doświadczenia postanowiłem zakończyć edukację z tytułem inżyniera. Uznałem, że studia nie są dla mnie. Do dzisiaj lepiej odnajduję się przyswajając wiedzę w formule ukierunkowanych szkoleń tematycznych poświęconych jednemu zagadnieniu.
Nie pożegnałeś się jednak z Politechniką...
To prawda. Przez 5,5 roku współprowadziłem laboratoria na przedmiocie Ochrona Informacji w Sieciach (telekomunikacyjnych) w skrócie OINS, prowadzonych przez dr hab. Wojciecha Mazurczyka. Współprowadziłem, ponieważ byłem ich autorem, a dokładniej moją pracą inżynierską był program 4 laboratoriów z bezpieczeństwa komputerowego, tzw. „hackowania”. Zdecydowałem się na taki temat, ponieważ bardzo brakowało mi zagadnień tego typu, w programie nauczania na moim kierunku.
Jak potoczyła się Twoja dotychczasowa kariera?
Na czwartym roku studiów, w 2012 roku, rozpocząłem pracę jako inżynier ds. bezpieczeństwa w małej, w tamtym okresie, firmie Prevenity. Tam zdobyłem pierwsze doświadczenia w pracy z klientami oraz przeprowadzałem pierwsze prawdziwe testy bezpieczeństwa (testy penetracyjne infrastruktury oraz analizy konfiguracji).
Po 1,5 roku wziąłem udział w konkursie organizowanym przez firmę EY (wtedy Ernst & Young), który polegał na przeprowadzeniu w ciągu 2 godzin testów penetracyjnych aplikacji mobilnej. Nagrodą były płatne praktyki w firmie. W ten sposób rozpocząłem moją karierę w konsultingu, gdzie spędziłem 3,5 roku. EY był prawdziwą szkołą życia – w kontekście odpowiedzialności, zadań i obowiązków. Tam rozwijałem swoje umiejętności w testach aplikacji webowych, które wtedy postrzegałem, jako mało interesujące w porównaniu np. do testów infrastruktury IT. Oprócz wspomnianych testów penetracyjnych infrastruktury IT do moich ulubionych zadań zaliczał się zyskujący ówcześnie na popularności red teaming, czyli zamówione, symulowane testy prawdziwego włamania komputerowego (test z kategorii „wszystkie chwyty dozwolone”). Brałem też m.in. udział w audytach bezpieczeństwa, czasami połączonych ze wsparciem klienta w projektach związanych z bezpieczeństwem architektury IT. Jeden z najbardziej skomplikowanych projektów, w których brałem udział, to fuzja banków. W ramach projektu audytowaliśmy m.in. możliwości systemów typu mainframe, czyli głównych systemów banku odpowiedzialnych za krytyczne operacje finansowe. Sprawdzaliśmy, czy systemy większego banku będą w stanie odebrać, a następnie przetworzyć dane generowane przez mniejszego banku. Nadzorowaliśmy również bezpieczne trwałe usunięcie danych przez mniejszy bank, przekazanie, oraz odebranie dostępów administracyjnych (pracowników mniejszego banku).
Po okresie intensywnej pracy w konsultingu przeszedłem do Alior Banku, gdzie spotkałem najfajniejszy zespół, w którym przyszło mi pracować. W banku odpowiedzialny byłem m.in. za łączenie wymagań bezpieczeństwa z wymaganiami biznesu, dbanie o bezpieczeństwo systemów transakcyjnych oraz tworzenie mechanizmów bezpieczeństwa, które pozwalałyby chronić środki klienta, nawet jeśli jego urządzenie zostało przejęte przez przestępców. Do moich obowiązków należało również przeprowadzenie testów penetracyjnych oraz dbanie o bezpieczeństwo systemów oraz infrastruktury wewnętrznej. Po niespełna 1,5 roku dostałem ciekawą propozycję pracy w startupie, który wysyła satelity w kosmos. Nie mogłem przecież nie spróbować.
Pracowałeś w firmie konsultingowej z tzw. „wielkiej czwórki ”, w banku, a teraz w startupie. Jakie, według Ciebie, są różnice i podobieństwa między nimi?
Praca w konsultingu i praca w banku (czyli w dużych firmach zatrudniających ponad 1000 osób) jest na pewno bardziej ustrukturyzowana. Świadomość ludzi w zakresie bezpieczeństwa jest większa. Pod tym względem praca w startupie jest „wyzwaniem”. Natomiast w obecnej firmie – w startupie - na plus mogę zaliczyć posiadanie większego wpływu na kreowanie podejścia w obszarze bezpieczeństwa (kształtowanie zmian oraz kierunku rozwoju firmy). Dodatkowo mniejszy narzut polityk oraz procesów przekłada się pozytywnie na efektywność wdrażania zmian w organizacji.
Czy, pracując w firmie wysyłającej satelity w kosmos, masz dylematy natury moralnej? Pracując w banku dbałeś o bezpieczeństwo klientów, teraz przyczyniasz się do wysłania w kosmos elektroniki, która może (lecz wcale nie musi) być wykorzystana do szpiegowania i podglądania działań obywateli różnych państw.
Technologie szpiegowskie na orbicie ziemi istnieją od kilkudziesięciu lat, ale dostępne są wyłącznie dla rządów niektórych państw. To co jeszcze nie istnieje, a dzięki firmom z sektora „new space” może zaistnieć, to możliwość wykorzystywania tego typu technologii przez szersze grono ludzi – do zastosowań innych niż szpiegowskie, czy militarne. Dobrym przykładem jest szacowanie strat spowodowanych przez powódź, czy śledzenie kierunków rozprzestrzeniania się pożarów, w celu efektywniejszej walki z żywiołem i ochrony obszarów zamieszkałych.
Technologie umożliwiająca szpiegowanie, ale też mające inne zastosowanie, nazywane są dual-use. Są jak nóż, który wprawdzie może być narzędziem, którym można zrobić krzywdę, ale jednak przez większość wykorzystywany jest wyłącznie w kuchni do przyrządzania posiłków. Technologia radiowa, która wykorzystywana jest w mojej obecnej firmie, nie pozwala na szpiegowania osób, gdyż ludzkie ciało jest niewidoczne w tym spektrum fal.
Osiągnięcie, z którego jesteś najbardziej dumny?
Przejęcie (w ramach zamówionych testów) infrastruktury jednego z banków na cały region krajów bałtyckich. Klient był przerażony skutecznością testów i ewentualnych konsekwencji, ale także bardzo wdzięczny, bo pokazaliśmy jak zabezpieczyć się przed tego typu atakami.
Jeżeli nie zajmowałbyś się bezpieczeństwem, to co byś dziś robił?
Zawsze zastanawiałem się, jak to byłoby być instruktorem skoków ze spadochronem, czy instruktorem jazdy na nartach.
Co jest Twoją odskocznią, która pozwala Ci nie zwariować w świecie, w którym 24/7 bombardowany jesteś informacjami o nowych wyciekach haseł i włamaniach?
Spędzanie czasu ze znajomymi, jazda na longboardzie, rowerze, majsterkowanie, czasami gry komputerowe i planszowe. Mówiąc szczerze, naprawdę lubię to, co robię, mimo że czasami mam dość…
Skąd czerpiesz wiedzę o obszarze security?
W obecnej chwili głównie Twitter, rzadziej Reddit – to z bieżących informacji. Oczywiście książki i portale branżowe. Polecam szczególnie opracowania Sekuraka – robią super robotę i udostępniają całość za darmo!
Wcześniej, polskie odpowiedniki Twittera, czyli Blip oraz Flacker, blogi. Przed erą szeroko pojętego Internetu głównym źródłem wiedzy były dla mnie książki i magazyny branżowe.
Jakie cechy charakteru powinien według Ciebie mieć „bezpiecznik”?
Skrupulatność, kreatywność oraz wrodzona nieufność. Atakujący wykorzystają pierwszą napotkaną słabość, dlatego nie można zostawiać miejsca na błędy i należy budować bezpieczeństwo w oparciu o warstwy i mechanizmy spowalniające działania atakujących, aż do momentu ich wykrycia.
Bezpiecznik powinien dbać o to, aby stosowane rozwiązania były future-proof (odporne na starzenie się) oraz myśleć nieszablonowo (tzw. thinking outside the box), aby znajdować rozwiązania, kiedy na pierwszy rzut oka ich brak. Poddawanie w wątpliwość wszystkiego, co się słyszy także jest pomocne i często pozwala na uniknięcie problemów w przyszłości.
Co byś poradził młodym osobom, które dopiero rozpoczynają przygodę w dziedzinie IT security i zastanawiają się, czy w bezpieczeństwie jest dla nich miejsce?
W bezpieczeństwie jest dużo miejsca i z każdym rokiem miejsca przybywa – szybciej niż osób, które mogą je zagospodarować. Jeśli miałbym dać jedną radę to powiedziałbym: rozwijacie swoje zainteresowania. Obojętnie czy będziecie czytać czy czytać i od razu testować/działać, wszystkie drogi są dobre, jeśli prowadzą do celu.
Gdybym teraz zaczynał swoją przygodę z bezpieczeństwem to zacząłbym od przeczytania Sekuraka Offline oraz polecanych przez nich książek - np. serii „The Hacker Playbook”. Zaufana Trzecia Strona oraz Niebezpiecznik także są bardzo dobrymi punktami startu. Z zagranicznych źródeł poleciłbym śledzić Reddit - r/asknetsec oraz r/netsec. Po zdobyciu podstaw próbowałbym swoich sił w konkursach CTF (Capture the Flag), czyli konkursach, w których drużyny rozwiązują zadania powiązane z security. Najważniejsze to być konsekwentnym i się nie poddawać.
Z Michałem przy kawie i szarlotce rozmawiał Wiktor Szymański.
Jesteś bezpiecznikiem? Chciałbyś opowiedzieć nam o sobie i swojej pracy? Zapraszamy do kontaktu!
Z zawodu bezpiecznik, szukający dziury w całym. Sympatyk dzielenia się wiedzą, maniak planszówek, miłośnik książek i filmów szpiegowskich. Prywatnie mąż i tata.