_________________________________________________________________________
Dziś otwieramy nasz nowy cykl, dot. cyberbezpieczeństwa, we wstępie którego przeprowadziliśmy wywiad z człowiekiem, którego w branży przedstawiać nie trzeba – Kamil Porembiński. Strateg, architekt IT, który o sobie mówi „upierdliwy, ale potrzebny”, od lat punktuje luki tam, gdzie inni widzą szczelne mury. W ramach poniższego wywiadu opowie o m.in. polskiej edukacji w obszarze cyberbezpieczeństwa, przedstawi case study i udowodni, że audyty powinni przeprowadzać wszyscy.
theprotocol.it
Może zacznijmy od początku — czym się zajmujesz i jak w takim dużym uogólnieniu wygląda Twoja praca na co dzień?
Kamil Porembiński: W kontekście cyberbezpieczeństwa tłumaczę język informatyczny na ludzki, uczę ludzi, jak nie dać się okradać w sieci. Łapie cyberprzestępców, prowadzę szkolenia — również z takim przysłowiowym Panem Kowalskim czy Panem Nowakiem, czyli osobami “przeciętnymi”. Szkolę samorządy, uczelnie, instytucje, firmy, korporacje — wszystkich. Ponadto pisze artykuły i książki. A teraz dzieci będę również szkolił z cyberbezpieczeństwa.
theprotocol.it
Dzieci w jakim wieku?
Kamil Porembiński: Od sześciu w górę.
theprotocol.it
To już tak od najmłodszych lat szkolisz przyszłych specjalistów?
Kamil Porembiński: Tak. Będę też uczył rodziców, jak być bezpiecznym w sieci, jak zadbać o swoje dzieci w internecie. Wziąłem sobie taki sektor rynku, który nie jest sexy, bo m.in. tłumaczę wirtualnym asystentkom, że wrzucanie do internetu zdjęć i pewnych rzeczy jest nierozsądne. To jest trudny rynek ludzi nietechnicznych.
theprotocol.it
A skąd taki kierunek rozwoju zawodowego? Z prywatnych zainteresowań? Chociaż wiemy, że prywatnie interesujesz się m.in. nurkowaniem.
Kamil Porembiński: Tak, prowadzę podcast („Spod Wody”) o nurkowaniu właśnie. A skąd pasja do cyberbezpieczeństwa? Ja całe życie siedziałem w IT. Siedząc w IT, trzeba robić systemy bezpieczne, więc bezpieczeństwo trzeba było mieć we krwi. Ale tak, to też wynika z moich pasji — pilotuję samolot, nurkuję i żegluję — te trzy hobby bez bezpieczeństwa kończą się śmiercią. Więc żeby nie kończyło się śmiercią, to musi być bezpiecznie — a w internecie musi to być cyberbezpieczne.
theprotocol.it
Sześć lat to dość młody wiek, żeby uczyć się o cyberbezpieczeństwie. Wiemy też, że nauczyciele coraz częściej podejmują ten temat. Z czego to wynika? Czy rynek pracy kładzie coraz większy nacisk na specjalistów w tej branży?
Kamil Porembiński: Nie, Polska się tym nie interesuje. My mamy gdzieś cyberbezpieczeństwo w naszym kraju. Większość ludzi się odzywa w momencie, jak jest cyberatak — wtedy piszą „Kamil, coś się stało”. Ale wtedy jest już za późno, za późno przypominamy sobie o cyberbezpieczeństwie czy o ubezpieczeniu.
Owszem, ta świadomość powoli rośnie. Natomiast rośnie w tym znaczeniu, że np. ma wyjść dyrektywa, która wymusza na niektórych organizacjach określone działania. Więc oni często nie chcą się tym zająć, ale chcą mieć papier odfajkowany. I tu mamy problem. W zeszłym roku miałem dużo szkoleń z cyberbezpieczeństwa… i ludzie nie chcieli na nie przychodzić. Ale jak już przyszli, to mówili „super, nie mieliśmy świadomości, że to tak wygląda”. To wynika z faktu, że większości ludzi wydaje się, że ich to nie dotyczy, uważają, że nic złego się nie stanie. Mówią: „mnie to nie schakują, bo jestem zwykłym Kowalskim”. A to błąd, wystarczy popatrzeć na te wszystkie próby oszustw na Paczkomaty czy na BLIK. Tego jest bardzo dużo.
Jesteśmy w TOP 3 najczęściej hakowanych krajów w Europie. Mamy świetnie rozwinięty internet bankowy. Mamy internet mobilny, BLIK-i, w wielu aspektach jesteśmy pionierami. Ale nikt nas nigdy nie nauczył bezpieczeństwa w sieci. Przeszliśmy szybko transformację cyfrową, ale się tego nie uczyliśmy. Wyobraź sobie, że każdy z nas dostał super szybki samochód albo broń, ale nikt nam nie powiedział, jak jej bezpiecznie używać. My się po prostu rozbijamy. Dla przykładu — Klub FC Barcelona, czyli piłkarze, są lepiej wykształceni z cyberbezpieczeństwa niż przeciętna, polska firma. No wiesz, piłkarz, który musi mieć dwie nogi i umieć kopać, żeby trafić. On wie więcej o cyberbezpieczeństwie niż przedsiębiorca prowadzący startup AI-owy. To jest pierwsza rzecz. Druga rzecz, np. Finlandia, która jest ewenementem, bo tam dzieci są uczone krytycznego myślenia. To jest coś niesamowitego, że uczą dzieci walki z fake newsem, rozpoznawania dezinformacji, korelacji faktów. Tam są takie przedmioty! I to działa świetnie.
A u nas jest tragedia. Nawet patrząc po konferencjach — wszystkie konferencje branżowe są o AI, sprzedaży, marketingu, SEO, copywritingu. A cyberbezpieczeństwo jest tylko wtedy, gdy ja się wcisnę.

theprotocol.it
Myślisz, że to się zmieni na przestrzeni przyszłych lat, czy nie widzisz światełka w tunelu?
Kamil Porembiński: Nie widzę. Zwłaszcza jeżeli nie będzie masowej, cyfrowej edukacji od zera, jeżeli my nie wyuczymy naszych dzieci. Trzeba mówić: dzieciaki, jak gracie w Minecrafta, jak ktoś wam oferuje super pudełko, to to jest oszustwo. Musimy uczyć dzieci krytycznego myślenia. Młode pokolenie czerpie wiedzę z Tik Toka, zamiast uczyć się tego, co jest najważniejsze. W szkole prędzej się uczymy PKB Zimbabwe, jaka jest najdłuższa rzeka w Azji mniejszej, ale nikt nie uczy deep fakeów, bezinformacji, krytycznego myślenia, szukania, odpowiedzialności cyfrowej, cyfrowego BHP. Wystarczy wyjść na pierwszą, lepszą stronę szkoły internetowej — wszędzie zdjęcia dzieciaków. Są influencerki, które chcą zarabiać na sharentingu. Więc nie, nie mamy dobrych wzorców. Chciałbym, aby było inaczej.
theprotocol.it
Ale dużo mówi się o próbach wyłudzenia, np. na BLIKa. Cyberbezpieczeństwo głównie występuje w takim kontekście.
Kamil Porembiński: Bo inny kontekst nie jest sexy. Na BLIKa, to już naprawdę trzeba się postarać, aby się na to złapać.
theprotocol.it
Zwłaszcza gdy tak głośno i dużo się o tym mówi.
Kamil Porembiński: Ja Cię poproszę: Hej, daj mi Blika, bo potrzebuję 50 zł. Po czym na Twoim telefonie wyskakuje informacja o 800 zł i… Ty się zgadzasz. Kłania się umiejętność czytania ze zrozumieniem.
theprotocol.it
Szczególnie jak pisze do nas ktoś znajomy, usypia naszą czujność.
Kamil Porembiński: Tak, ale nadal czytajmy ze zrozumieniem. Są też konkretne ustawienia Messengera, które pomagają tego uniknąć. Od tego właśnie są szkolenia.
theprotocol.it
Przyznamy szczerze, że niewiele słyszeliśmy o takich opcjach i ustawieniach.
Kamil Porembiński: No widzisz, to zapraszam na szkolenie. Bo my mamy narzędzia, ale z nich nie korzystamy. To tak, jakbyś weszła do samochodu, ale nigdy nie włączyła ABS-a, mimo, że za niego zapłaciłaś. WhatsApp jest bezpieczny, należy włączyć odpowiednie opcje. Mercedes jest bezpieczny, jak zapniesz pasy. Tylko my tego nie robimy. Bo się nie uczymy. Więc nie wymagajmy od np. dziewczyn z HRu, żeby wiedziały coś o cyberbezpieczeństwie. Akurat rekrutując na theprotocol.it możesz skrzystać ze Strefy Pracuj, czy https://erecruiter.pl/ i te aplikacje przyjmują na siebie wzięcie CV. A przecież w CV może być wirus — trojan, cokolwiek. Rzadko to się zdarza, ale jednak. W tym przypadku apka bierze to na siebie, jest świetna. Ale gdzie indziej, specjalista HR, który nie wie o cyberbezpieczeństwie, np. otworzy cudzy plik na swoim dysku, a nie przez Google Drive'a, który nas chroni. To jest cyfrowe BHP i wystarczy o tym powiedzieć rekruterom.
theprotocol.it
Skoro już o tym rozmawiamy — wiemy, że zajmujesz się też audytami bezpieczeństwa. Mógłbyś pokrótce powiedzieć, jak taki audyt wygląda, albo kto powinien go koniecznie zrobić? Jakie firmy?
Kamil Porembiński: Wszyscy powinni zrobić, nie tylko firmy. Wszyscy. Nawet Ty, prywatnie. Jeżeli mamy cokolwiek wspólnego z internetem, zróbmy sobie audyt. Tak samo, jak wszyscy powinni robić przegląd samochodu, a nie tylko firmy. Prosty przykład: jeśli macie fanpage'a firmowego na Facebooku, który obsługujecie z prywatnych kont facebookowych, to firma nie zrobi audytu Twojego prywatnego konta, bo nie ma do tego prawa. A przecież można przejąć firmowego fanpage'a, gdy przejmie się prywatne konto właściciela. Albo juniora.
Co więcej, 99% podwójnych uwierzytelnień jest źle wdrożone. A pasy bezpieczeństwa trzeba umieć zapinać. Zimą to widać, gdy ludzie w samochodzie jeżdżą w kurtkach. Pas bezpieczeństwa nie zadziała, kiedy masz kurtkę, bo powinien przylegać do bioder. A jeżeli jest kurtka, to przecież ona odstaje. Co się dzieje w razie wypadku? Lecisz do przodu, wybucha poduszka powietrzna, a pas bezpieczeństwa, zamiast cię trzymać, ściska kurtkę. Wniosek? Siadając do samochodu, zdejmij kurtkę, zapnij pas. My nawet tego się nie uczymy. Dlatego to, że sobie włączyliśmy guzik dwuskładnikowego uwierzytelniania SMS, przed niczym nas nie chroni.
Jest dużo elementów, które trzeba zrobić, żeby ochrona zadziałała poprawnie, a dwuskładnikowe zabezpieczenie nie chroni całkowicie. To jest tylko jeden z elementów zabezpieczenia. Tak, jak ABS nie uchroni się przed uderzeniem bocznym. To jest skomplikowane, dlatego są szkolenia, którymi nikt przez lata się nie zainteresował. Dlatego to w cyberbezpieczeństwie mówi się “jedna dana, druga dana i prywatność wyjeb***.”
theprotocol.it
Przerażające, jak łatwo jest popełnić błąd i naruszyć swoje bezpieczeństwo, zupełnie nieświadomie.
Kamil Porembiński: Życie. Antywirus przed wieloma rzeczami też nie ochroni. Przykładowo: mamy naszą rozmowę. O ile robimy to w przestrzeni Google Workspace, to te dane są jakoś tam chronione i trzymane. A teraz wyobraźmy sobie, że nie mamy płatnego narzędzia AI. Robisz transkrypcję naszego wywiadu, wrzucasz ją w pierwszy-lepszy, darmowy produkt. Transkrypcja się zrobi, bo chcesz wykazać swoją produktywność. I tak robią pracownicy. W firmie nie ma wdrożonego AI, bo to “niebezpieczne”, więc pracownik na prywatnych kontach wrzuca zasoby firmowe, żeby wykazać swoją produktywność. Robią tak np. osoby z HR, które wrzucają CV do darmowego ChataGPT, prosząc o wybranie najlepszego kandydata. A to błąd. Firma mówi nie wolno, bo to niebezpieczne, ale często specjaliści wykorzystują i tak te narzędzia, na prywatnych kontach. Wynoszą pliki poza bezpieczną strefę. Dużo jest takich niuansów.
Ostatnio cały kraj żył Heweliuszem. I tym, co się wydarzyło. Ja, jako nurek, znam sprawę Heweliusza od dawna. Znam ludzi, którzy tam płynęli. Znam nurków, którzy tam nurkowali. To jest jak w Smoleńsku — tam milion rzeczy zawiodło. Mieliśmy podejście, że jakoś to będzie, zawsze tak robiliśmy, nigdy nie mocowaliśmy ładunku, nigdy nie robiliśmy audytów. W firmach też nie zmieniają haseł, bo jakoś to będzie. Zawsze lądowaliśmy, jakoś to będzie. To jest nasza mentalność.
Ale ja zawsze mówię: najważniejsze to jest przeszkolić się z tego, zrozumieć to cyberbezpieczeństwo i włączyć krytyczne myślenie. Ktoś mówi: włącz dwuskładnikowe uwierzytelnienie. No to ktoś włącza i myśli, że jest bezpieczny. A ja to porównuję zawsze do założenia kasku na rowerze, który nie ochroni przed wypadkiem na autostradzie. Właśnie na tym to polega cyberbezpieczeństwo — włączenie dwuskładnikowego uwierzytelniania nie jest magicznym guzikiem. Dlatego Polska nie jest gotowa na AI. Finlandia jest, bo ma krytyczne myślenie. Jak Fin zobaczy dziwne, przerobione zdjęcie, to poszuka źródła. A Polak nie.
theprotocol.it
Są nawet ewidentne przeróbki AI, zabawne filmy, które gołym okiem widać, że nie są prawdziwe, a mimo to, ludzie w nie wierzą.
Kamil Porembiński: Tak jest. No i właśnie to jest ten problem, więc my nie jesteśmy gotowi. Polska na pewno nie jest. Są narzędzia, np. jak robisz zdjęcie aparatem, to może on zrobić podpis cyfrowy do zdjęcia. Czyli możesz specyficznymi certyfikatami podpisać cyfrowo zdjęcie. Sęk w tym, że nikt nie wie, jak z tego skorzystać. Dla przeciętnego Kowalskiego nawet taki cyfrowy dowód nie jest cyfrowym dowodem, bo on tego nie rozumie. Więc, mimo że są narzędzia weryfikacji np. czy zdjęcie powstało wygenerowane, czy zostało zrobione aparatem prawdziwym, to nikt nie umie tego sprawdzić, bo nie rozumie technologii, bo się technologii nie uczymy. Do dzisiaj mówi się, że nie wolno podłączać się do publicznego Wi-Fi. Ale wiesz, że to od 2015 roku jest mit?
theprotocol.it
Słyszeliśmy, że ma wejść ustawa, która nakazywałaby wszystkim twórcom internetowym, korzystającym z pomocy AI, oznaczać, że post powstał z wykorzystaniem sztucznej inteligencji. I teraz pytanie, co o tym myślisz? Czy to pomoże w jakikolwiek sposób?
Kamil Porembiński: To jest martwy przepis. Tak samo, jak należy oznaczać współpracę.
theprotocol.it
Bo przechodzimy ze skrajności w skrajność? Albo wierzymy we wszystko, albo podważamy wszystko? Pomijając fakt, że ludzie nie czytają takich rzeczy i nie sprawdzają hashtagów.
Kamil Porembiński: Tak. Ale to jest też druga para kaloszy mojej roboty. Bo robię taki audyt, staram się pokazać w trakcie szkolenia na żywym organizmie, co firma ma nie tak. A potem ktoś twierdzi, że wydał dużo pieniędzy, ma dział IT i… nie potrzebuje jednak szkolenia. Mam ciekawy case firmy z dużego miasta. Szkoliłem tam z 500 osób.
Miało to być zaawansowane szkolenie dla programistów, więc zacząłem od czegoś zaawansowanego, ale widziałem po minach tych programistów, że lepiej zacząć od podstaw. I tam była rozmowa na temat dwuskładnikowego uwierzytelnienia. Prezes mówi, że trzeba to włączyć. Kierowniczka stwierdza, że już to jest włączone i działa. Po czym okazało się, że pracownicy mieli to wyłączone, bo ich denerwowały kody wysłane przez SMSy. Więc IT wymyśliło i wdrożyło, kazano zrobić, po czym ludzie to powyłączali.
theprotocol.it
Bo nie zdawali sobie sprawy, jaki to ma cel i dlaczego to w ogóle funkcjonuje w firmie.
Kamil Porembiński: Dlatego wykształcona kadra jest podstawą. Inny, kolejny i ciekawy case. Na terenie dużego przedsiębiorstwa jest biuro. Szansa, że przestępca tam wejdzie jest zerowa — są kamery, monitoring, ochrona. Proste pytanie: jesteś nietechniczna, a musisz przesłać duży plik i poczta na to nie pozwala. Co robisz? Pendrive! Jest to tylko troszeczkę niebezpieczne, bo pendrive'a można zgubić… ale zgubić na terenie zakładu pracy, do którego prawie nikt nie wchodzi. No, ale IT wymyśliło, że pendrive'y są złe. Okej, są złe, ale szansa, że są tak złe, jak to, że Cię piorun walnie. Wydali więc grube pieniądze na fizyczne poblokowanie portów USB w komputerach — zalutowanie USB i zrobienie zaślepek — około 80 tysięcy złotych na modernizację sprzętu. Jak więc teraz przesłać duży plik? No założymy sobie Google Gmaila i będziemy sobie publicznym Gmailem przenosić pliki. Albo WeTransferem. I pliki, które do tej pory nie opuszczały fizycznie nawet biura, latają po prywatnych Gmailach. Za 80 tysięcy złotych. Właśnie na tym to polega cyberbezpieczeństwo.
theprotocol.it
Ale skąd to wynika? To brak wiedzy? Lenistwo?
Kamil Porembiński: Brak wiedzy. Bo my się tego nie uczymy. Zobacz - czego się uczyliśmy w szkole na informatyce? Ja się uczyłem Excela. Zero szkolenia z bezpieczeństwa w szkole, z deep fake'ów. Nie ma tego. Właśnie o to chodzi. Pojawia się to w podstawie programowej Ministerstwa Edukacji, super, ale kto uczy informatyki w szkołach? Historyk, WFista… a co on wie na temat cyberbezpieczeństwa?
To jest odpowiedź na Twoje pytanie — nic się nie zmieni, jeżeli my nie zaczniemy od zera edukować dzieci naszych i wszystkich siebie dot. cyberbezpieczeństwa. Bo świat się coraz bardziej technologicznie rozwija. Te wszystkie błędy wynikają głównie z braku wiedzy i niezrozumienia tematu, bo się tym nie interesujemy. Widzisz, w nurkowaniu czy w lotnictwie my to nazywamy standaryzacją dewiacji. Przykładowo wiem, że nie mogę jechać więcej niż 50/h. Jadę 60/h i nic się nie stało. Nurkuję, powinienem skończyć nurkowanie przy 50 barach — mam 48, wynurzyłem się, żyję. Dewiację przyjmuję jako standard. Tak samo jest z karteczką z hasłem, którą przypinamy przy monitorze. Ile mam karteczek i nigdy się nie włamali? A na wyciek danych składa się wiele elementów, jeśli pracownik tego nie rozumie, to trzeba mu to wyjaśnić. Tak samo było, gdy w Grecji panowały wielkie pożary. Kupił ktoś wtedy do domu gaśnicę, która kosztuje 30-40 zł? Nie. Mówimy bardzo często o odległych rzeczach, jak ten pożar w Grecji, więc nie kupujemy do domu gaśnicy. A ja powiem: kup sobie gaśnicę do mieszkania.
theprotocol.it
Ale teraz o tym rozmawiamy. To jest trochę optymistyczne — może z opóźnieniem, ale jednak.
Kamil Porembiński: A wiesz dlaczego? Bo temat się stał modny.
theprotocol.it
Powstały chociażby seriale netflixowe odnośnie stalkingu i cyberbezpieczeństwa.
Kamil Porembiński: Dokładnie. Ja też widzę coraz więcej artykułów.
theprotocol.it
Czyli, kończąc optymistyczną puentą, są możliwości, dużo zależy od nas i od naszych decyzji. Możemy, chociażby zdecydować się albo na szkolenie, albo na audyt.
Kamil Porembiński: Tak, z pozytywnych rzeczy, jako kraj, prowadzimy dużo rzeczy związanych z cyberbezpieczeństwem. Tylko my się tego nie uczymy. Jak sobie odpalisz nawet aplikację mObywatel, zakładka usługi, to pierwsza rzecz, jaką widzimy, to bezpieczeństwo w sieci. Na samej topce mamy coś takiego jak baza wiedzy — darmowa wiedza z cyberbezpieczeństwa. Ale nikt tam nie zagląda.
Właśnie na tym to tym polega. I tak samo mówię: zrobię wam szkolenie. Na co słyszę: nie, panie Kamilu, pan nam poleci i wdroży antywirusa. Szkolenie nie jest potrzebne. Chcemy mieć dobrego antywirusa.
theprotocol.it
Bo to są szybkie rozwiązania. Szkolenie wymaga zaangażowania i czasu. A ludzie raczej potrzebują szybkich, natychmiastowych rozwiązań.
Kamil Porembiński: Oczywiście, ale tak się nie da. Wiesz, cyberbezpieczeństwo to nie jest seksi temat, chętniej się mówi o np. zwiększeniu sprzedaży za pomocą AI. Cyberbezpieczeństwo wraca, gdy coś się już wydarzy, ale wtedy często jest już za późno.

