Prelekcje

Wyższa Szkoła Administracji i Biznesu im. E. Kwiatkowskiego, Gdynia 2019
Wykład otwarty pt. „Anatomia ataku socjotechnicznego w aspekcie cybernetyczno-komunikacyjnym”

Miałem przyjemność przeprowadzić wykład otwarty w Wyższej Szkole Administracji i Biznesu im. E. Kwiatkowskiego (WSAiB), w Gdyni, który poświęciłem anatomii ataku socjotechnicznego w aspekcie cybernetyczno-komunikacyjnym. Na bardzo wysoką skuteczność i rosnącą poplularność tego typu ataków zwraca uwagę m.in. raport Europolu „Internet Organised Crime Threat Assessment 2018” (IOCTA 2018). Wówczas mocno analizowałem zjawisko oddziaływania cybernetycznego w odniesieniu do ataków socjotechnicznych. Warto zauważyć, że skróconą wersję wykładu przedstawiłem już wcześniej podczas prelekcji na konferencji branżowej Banking Tech & Security. Nowoczesne technologie i bezpieczeństwo w bankowości (2019) –
jej opis znajduje się poniżej. Korzystając z okazji, że w przypadku WSAiB audytorium zgromadzone podczas wykładu było skoncentrowane przede wszystkim na kwestiach cyberprzestępczości i bezpieczeństwa cybernetycznego, a nie bankowości, mogłem temat znacząco rozszerzyć.

Podczas wykładu postarałem się omówić podstawowe pojęcia, takie jak cyberprzestrzeń (przestrzeń wzajemnego oddziaływania międzysystemowego zawierająca komponent techniczny i ludzki), cybernetyka, sterowanie, socjotechnika, manipulacja, poruszyłem problematykę etyczną (czy socjotechnika jest zła?), a wreszcie dokładnie omówiłem autorski model ataku socjotechnicznego jako procesu komunikacyjnego (sterowanie mające na celu ograniczenie autonomii i zmuszenie ofiary do działania w interesie sprawcy). Po przedstawieniu wymaganego tła teoretycznego, skupiłem się na analizie metod oddziaływania w poszczególnych rodzajach ataków socjotechnicznych, przywołałem konkretne przykłady, a także wskazałem metody obrony przed atakami socjotechnicznymi.

 

 

Docelową grupą odbiorczą wykładu byli studenci kierunków Bezpieczeństwo Wewnętrzne, Administracja i Zarządzanie oraz – oczywiście – wszystkie osoby zainteresowane tematem. Swoją obecnością zaszczycili mnie także wybrani przedstawiciele władz i wykładowcy Wyższej Szkoły Administracji i Biznesu. Moderatorami wykładu: prof. dr hab. Mariusz Gizowski i dr Józef Pruchniak.

To było bardzo miłe i satysfakcjonujące przeżycie. Mam wrażenie, że wykład przypadł do gustu słuchaczom.

 


IT w Bankowości. Gigacon 2019, Warszawa 2019
Prelekcja pt. „Architektura IT w obliczu transformacji cyfrowej banków. Ludzie, procesy, technologia”

Kolejna prelekcja poświęcona bezpieczeństwu bankowości i transformacji cyfrowej banków. Zjawisko cyfryzacji otaczającej nas rzeczywistości ma wymiar całkowity i zachodzi w trzech głównych obszarach: ludzi, procesów i technologii. Proces ten stawia przed nami szereg wyzwań, wiąże się z ryzykiem, sprawia, że musimy rozpatrywać nowe zagrożenia, ale w naturalny sposób otwiera nowe możliwości, które musimy wykorzystać w bankowości.

 

 

Podczas wystąpienia postarałem się podkreślić fakt, iż dla banku najważniejszym celem jest: zdobycie i utrzymanie zaufania klientów. Z tego powodu należy nie tylko dostosować się do oczekiwań różnych grup docelowych, ale także utrzymać wysoki poziom bezpieczeństwa bez względu na preferowany kanał komunikacji klientów z bankiem. Gra toczy się o najwyższą stawkę – o być, albo nie być instytucji bankowych.

Wierzę, że architektura IT jest tutaj podstawowym partnerem biznesu wewnątrz organizacji i to na niej spoczywa szczególna odpowiedzialność za sukces transformacji cyfrowej.

 


Banking Tech & Security. Nowoczesne technologie i bezpieczeństwo w bankowości, Warszawa 2019
Prelekcja pt. „Anatomia ataku socjotechnicznego. W perspektywie cybernetycznej i komunikacyjnej”

Socjotechnika przepełnia nasze życie i jest powszechnie używana w działaniach mieszczących się w ramach obowiązującego prawa, choć często znajdujących się na granicy etyki. Jako skuteczna metoda wywierania wpływu w naturalny sposób stanowi też podstawę wielu różnych działań przestępczych. Mając świadomość, że ataki socjotechniczne polegają na celowym oddziaływaniu i ograniczaniu autonomii ofiar, czyli wpływają na ich decyzyjność i swobodę działania we własnym interesie, przy użyciu różnych kanałów komunikacyjnych i technik manipulacji, zjawisko to można rozpatrywać z perspektywy cybernetyki i teorii komunikacji. Atak socjotechniczny jest bowiem procesem komunikacyjnym, w którym napastnik steruje ofiarą w określonym celu, generując oczekiwane reakcje i sprzężenia zwrotne.

 

 

Przedmiotowa prelekcja stanowiła próbę analizy ataku socjotechnicznego i przybliżała tematykę oddziaływania i sterowania przestępczego celem zwiększenia świadomości i podniesienia możliwości obronnych potencjalnych ofiar. Prezentowany materiał został tutaj zawężony do kwestii związanych z bezpieczeństwem bankowości.

 


IT Future Congress 2018, Warszawa 2018
Prelekcja pt. „Transformacja cyfrowa banków. Perspektywa architektury IT”

Żyjemy w czasach transformacji cyfrowej. Cyfryzacji ulegają wszystkie aspekty ludzkiej działalności. Wzrasta tempo obiegu informacji, wzrasta konkurencyjność, pojawiają się nowe wyzwania technologiczne. Ta zmiana dotyczy także bankowości, która, aby dostosować się do oczekiwań klientów, musi stać się bankowością cyfrową. Bank to już nie kolejki przy okienkach, wielkie skarbce i ciężkie sejfy. Transformacja cyfrowa banków oznacza jednocześnie zmierzch tradycyjnej bankowości. Sercem bankowości są obecnie nowoczesne technologie IT, w tym: analiza wielkich zbiorów danych (ang. Big Data), algorytmy sztucznej inteligencji, rozsądne wykorzystanie zasobów chmurowych (ang. Cloud Computing) i rozwiązania mobilne. Z tego powodu większość banków inwestuje w wymianę podstawowych, informatycznych systemów bankowych, które muszą być bardziej otwarte i elastyczne. Należy także mieć świadomość, że transformacja cyfrowa banków ma wymiar całkowity i odbywa się w trzech głównych obszarach: ludzi, procesów i technologii. W rezultacie, choć otwierają się tutaj wielkie możliwości dla biznesu, to pojawiają się także całkowicie nowe zagrożenia. Pytanie – na ile w IT musimy, a na ile możemy im sprostać?

Zgodnie z powyższym opisem, była to kolejna prelekcja poświęcona transformacji cyfrowej banków. Tym razem jednak na zjawisko to postanowiłem spojrzeć z perspektywy architektury IT, która nie może zamknąć się wyłącznie w sferze technologii teleinformatycznych, ale musi funkcjonować holistycznie, uwzględniając sprzężenia między kluczowymi obszarami cyfryzacji: ludźmi, procesami i technologiami. Gra toczy się tutaj o najwyższą stawkę: zaufanie klientów, bez którego nie może istnieć realna przewaga konkurencyjna.

 


Banking Tech & Security. Nowoczesne technologie i bezpieczeństwo w bankowości, Warszawa 2018
Prelekcja pt. „Architektura IT jako podstawa cyberodporności i cyberbezpieczeństwa. Wyzwania w dobie transformacji cyfrowej banków”

Prelekcja miała na celu przybliżenie pojęcia cyberodporności i cyberbezpieczeństwa w odniesieniu do rozwiązań teleinformatycznych funkcjonujących w obszarze bankowości cyfrowej. Skupiłem się w niej na zagadnieniach związanych z transformacją cyfrową banków przy szczególnym uwzględnieniu zagrożeń i wyzwań, które proces ten stawiają przed obszarem architektury IT.

 

 

Ludzie, procesy i technologie – to kluczowe filary ewolucji prowadzącej od bankowości klasycznej przez bankowość elektroniczną do bankowości cyfrowej. Każdy z tych kroków ewolucyjnych oznacza nowe możliwości dla biznesu, ale także ściśle wiąże się z określonymi zagrożeniami bezpieczeństwa. Kryterium sukcesu transformacji cyfrowej nie jest więc wyłącznie nowoczesność, ale przede wszystkim konkurencyjność i zaufanie. Okoliczności te stawiają przed architekturą IT całkowicie nowe wyzwania – oprócz naturalnego wymiaru technologicznego i procesowego, konieczne okazuje się uwzględnianie czynnika ludzkiego, a także ograniczeń wynikających z coraz większej liczby regulacji.

 


Wyższa Szkoła Administracji i Biznesu im. E. Kwiatkowskiego, Gdynia 2017
Łącznie 6 godzin lekcyjnych, wykład pt. „Bezpieczeństwo współczesnej firmy”

Na zaproszenie prof. dr. hab. Mariusza Gizowskiego przygotowałem wykład dotyczący bezpieczeństwa współczesnej firmy, który przedstawiłem studentom kierunków Prawo i Bezpieczeństwo Wewnętrzne Wyższej Szkoły Administracji i Biznesu im E. Kwiatkowskiego (WSAiB) w Gdyni. Temat postarałem się przedstawić holistycznie, skupiając się na kwestiach związanych z kontekstem i profilem przedsiębiorstwa, analizą ryzyka, przedstawieniem podatności i zagrożeń funkcjonujących w różnych obszarach, poczynając od bezpieczeństwa fizycznego i zabezpieczeń technicznych, przez kwestie związane z bezpieczeństwem cybernetycznym.

Omówiliśmy więc następujące zagadnienia: bezpieczne (i niebezpieczne, podatne np. na wyciek danych) powierzchnie biurowe; ochrona fizyczna, zabezpieczenia techniczne, konwojowanie; niszczenie dokumentów i nośników danych; zachowania, takich jak tailgating i piggygating; socjotechnika (rozumiana jako proces komunikacyjny); dylemat, czy wybrać bezpieczeństwo czy komfort pracy; haking i stereotypy; bezpieczeństwo teleinformatyczne i ośrodków przetwarzania danych (OPD) z uwzględnieniem przykładowych ataków; tzw. „tajemnica służbowa” i bezpieczeństwo informacji; wycieki danych; przykładowe podatności sektora finansowego; zagrożenia ze strony haktywizmu, cyberarmii i służb specjalnych; motywacje polityczne i finansowe; ewolucja zagrożeń w cyberprzestrzeni; profesjonalizacja i komercjalizacja cyberprzestępczości (ang. Crime-as-a-Service, Caas – przestępstwo jako usługa); sieć powierzchniowa (ang. Surfacenet/Surface Web/World Wide Web), głęboka (ang. Deepnet/Deeb Web) i ukryta (Darknet/Dark Web). Ostatecznie postaraliśmy się odpowiedzieć na pytanie, czy współczesne firmy powinny czuć się zagrożone?

To był bardzo intensywny, długi wykład, podzielony na dwie części logiczne, ale sądząc po reakcjach słuchaczy, udało się ich zainteresować. Moim głównym celem było zbudowanie i ugruntowanie w słuchaczach świadomości, że mówiąc o bezpieczeństwie dowolnej instytucji, zawsze myślimy w kategoriach spójnego systemu bezpieczeństwa, który musi mieć charakter holistyczny, czyli całościowo pokrywać zidentyfikowane ryzyka. Jednak najsłabszym ogniwem każdego systemu bezpieczeństwa zawsze pozostaje człowiek – nie można więc zamknąć się wyłącznie w obszarze ryzyk związanych z nowoczesnymi technologiami IT.

 


Targi Pracy Future3, Gdańsk 2017
Prelekcja pt. „Transformacja zaczyna się od ludzi, czyli <<jak żyć>> w dobie cyfryzacji?” (współautorstwo)

W związku z poszukiwaniem talentów i szeroką akcją rekrutacyjną w naszej firmie, razem z moim szefem podjęliśmy się wyzwania zaprezentowania wizji transformacji cyfrowej, której hołdujemy. Naszym celem było zainspirowanie i zachęcenie młodych ludzi, głównie studentów (ale nie tylko) do podjęcia pracy w Nordea. To było bardzo wartościowe doświadczenie, które pozwoliło nam zderzyć własną wizję transformacji cyfrowej z oczekiwaniami i rozterkami słuchaczy. Najlepszym dowodem tego, że zwróciliśmy na siebie uwagę, były liczne i nadzwyczaj ciekawe dyskusje, jakie prowadziliśmy – już po prelekcji – przy firmowym stanowisku.

Warto podkreślić, że nasza prelekcja miała wymiar nie tyle stricte techniczny (czego można by się spodziewać), co społeczny i humanistyczny. Transformacja zaczyna się w końcu od ludzi!

 


IT Future Congress 2015, Wrocław 2015
Prelekcja pt. „Dla kogo data center tiers? Niezawodność infrastruktury vs dostępność OPD z perspektywy jakości usług”

Ośrodki Przetwarzania Danych (OPD) są zasobami strategicznym każdej organizacji. Większość instytucji staje więc przed dylematem, czy korzystać z zewnętrznego dostawcy usług data center, czy budować własne, utrzymywane przez dedykowany, wewnętrzny personel obiekty. Oczywiście nie ma tutaj uniwersalnej odpowiedzi. Zanim jednak podejmiemy jakąkolwiek decyzję, musimy posiadać podstawową wiedzę na temat specyfiki takich obiektów, ich bezpieczeństwa fizycznego i zabezpieczeń technicznych, infrastruktury, a wreszcie zasad właściwego utrzymania. Z pomocą przychodzą tutaj różnego rodzaju klasyfikacje, w tym dotyczące niezawodności infrastruktury OPD, dostępności, czy też dojrzałości eksploatacyjnej. Wyzwaniem jest właściwe określenie swoich potrzeb, co ma bezpośredni wpływ na koszty i złożoność procesu powstawania ośrodka? Nie bez znaczenia są także czynniki pozatechniczne, takie jak jakość kadr, czy odpowiednio skonstruowane umowy. Trzeba mieć także świadomość nieuniknionej degradacji standardów OPD w czasie, wpływu błędów ludzkich na dostępność usług, a wreszcie częstego rozdźwięku między zakładaną architekturą rozwiązań systemów teleinformatycznych, a faktycznymi możliwościami (niezawodnością i dostępnością) naszego OPD.

O tym wszystkim starałem się opowiedzieć w czasie prelekcji. Najbardziej zależało mi jednak na zbudowaniu świadomości, że nawet najlepsze umowy z podwykonawcami i dostawcami usług, które zgodnie z generalną zasadą zostały przygotowane „w czasach przyjaźni na wypadek konfliktów”, a także wszelkie raporty dotyczące jakości świadczonych usług, standardy branżowe, certyfikacje, klasyfikacje dostępności lub niezawodności OPD, czy pomiary dojrzałości eksploatacyjnej, nie są zbyt dużo warte bez regularnego nadzoru po stronie klienta, bez okresowych audytów i testów.

 


Infrastruktura fizyczna dla serwerowni i centrów danych, Warszawa 2015
Prelekcja pt. „Kilka mniej oczywistych zagrożeń dla ciągłości operacyjnej centrum przetwarzania danych”

Ta prelekcja jest owocem dyskusji na temat szeroko pojętego bezpieczeństwa ośrodków przetwarzania danych (OPD), które odbywałem razem z moim zespołem i – pracującym wówczas razem z nami – praktykantem, entuzjastą dronów. Nasze najbardziej istotne przemyślenia postarałem się zebrać w niniejszej prezentacji, która spotkała się z dużym zainteresowaniem słuchaczy. Główne założenie prelekcji stanowi, że bezpieczeństwo Centrum Przetwarzania Danych (CPD) musi być zapewnione w warstwie: fizycznej, infrastrukturalnej (technicznej) i organizacyjnej (koncepcja ochrony w głąb – ang. Defence in Depth, DiD).

Skupiliśmy się więc na przedstawieniu konkretnych zagrożeń, które obecne są we wspomnianych warstwach, zasugerowaliśmy możliwe konsekwencje, postaraliśmy się zmusić słuchaczy do zastanowienia się nad kwestiami zarządzania ryzykiem, a wreszcie chcieliśmy podpowiedzieć sprawdzone rozwiązania i wskazać dobre praktyki branżowe. Uważam, że ta prezentacja do dziś stanowi całkiem wartościowy materiał.

Warto zauważyć, że już wówczas (połowa 2015 roku) na poważnie potraktowaliśmy zagrożenia ze strony dronów w stosunku do ośrodków przetwarzania danych. Zakładaliśmy, że dron może być skutecznie użyty do rozpoznania charakterystyki obiektu, zabezpieczeń technicznych i obszaru bezpieczeństwa fizycznego, czy nawet potencjalnego ataku z użyciem cieczy (np. wylewanych na wymienniki ciepła) lub małych ładunków wybuchowych. Przywołaliśmy tutaj fakt, iż w 2014 roku zaobserwowano 18 lotów dronami nad francuskimi elektrowniami atomowymi lub w ich pobliżu. Temat wykorzystania dronów do rozpoznawania lub atakowania obietków infrastruktury krytycznej został podjęty z odpowiednią powagą dopiero po pierwszych atakach terrorystycznych w Europie.

 

 


Data Center Nowej Generacji, Warszawa 2015
Prelekcja pt. Zarządzanie usługami centrum danych. Od inwestycji do eksploatacji”

Od strategii, przez nadzór nad procesem powstawania ośrodka przetwarzania danych (OPD), po jego testowanie, eksploatację i – po uruchomieniu – doskonalenie świadczonych usług. Wszystko przez pryzmat własnych doświadczeń i w odniesieniu do Rekomendacji D Komisji Nadzoru Finansowego oraz powszechnie przyjętych standardów i quasi-standardów branżowych (m.in. ANSI/TIA-942 i Uptime Institute). Tej tematyce poświęciłem niniejszą prelekcję.

 

 


Datacenter Dynamics „Converged”, Warszawa 2013
Prelekcja pt. „Doświadczenia Nordea w zakresie budowy i eksploatacji ośrodków przetwarzania danych. Rys historyczno-technologiczny z perspektywy zarządzania projektami” (współautorstwo)

W latach 2008-2013 zespół Data Centre Services, którego wówczas byłem kierownikiem, odpowiadał za reprezentowanie interesów inwestora, czyli Nordea Bank Polska S.A., w projektach infrastrukturalnych związanych z: rozbudową podstawowego, tymczasowego ośrodka przetwarzania danych (dziś po tym budynku nie ma już śladu, został wyburzony w okolicach 2016 roku); adaptacją obiektu na potrzeby zapasowego ośrodka przetwarzania danych (ang. Disaster Recovery Centre, DRC); budową nowego ośrodka przetwarzania danych (ang. Primary Data Centre, PDC); adaptacją i rozbudową obiektów Nordea Operation Centre (NOC) w Łodzi, a także budową serwerowni w nowej centrali banku – Nordea House Warsaw.

Wszystkie doświadczenia, które zdobyliśmy podczas realizacji wspomnianych inwestycji, miałem przyjemność przedstawić w czasie konferencji razem z moim kolegą, kierownikiem projektów. Myślę, że nasza wspólna prelekcja była naprawdę ciekawa.

 

 


Datacenter Dynamics „Converged”, Warszawa 2012
Prelekcja pt. „Data Center ‘pod kontrola’: Monitoring infrastruktury, procesy i narzędzia wspomagające zarządzanie data centre”

Datacenter Dynamics to duża, globalna konferencja, która w 2012 roku po raz pierwszy odbyła się w Warszawie. Moja prelekcja skupiała się głównie na oprogramowaniu Data Center Physical Infrastructure Manager (DCPI Manager), które opracowałem razem z kolegami z zespołu Data Centre Services Nordea Bank Polska S.A – więcej na ten temat tego projektu w sekcji: Projekty IT.

Pierwsza wersja DCPI Managera została oddana do eksploatacji w październiku 2008 roku, co zbiegło się z zakończeniem prac modernizacyjnych i uruchomieniem – wówczas – podstawowego ośrodka przetwarzania danych (OPD), który obsługiwał bankowe systemy teleinformatyczne wspierające operacje bankowe na terenie Polski, Litwy, Łotwy i Estonii.

 

 

DCPI Manager pomagał nam zarządzać infrastrukturą fizyczną podległych ośrodków przetwarzania danych, serwerowni i około 200 placówek bankowych, w tym: planować przeglądy, prace serwisowe, rejestrować wszelkie istotne zdarzenia, incydenty i problemy, zmiany w konfiguracji, gromadzić różnego rodzaju dokumentację i korespondencję w wersji elektronicznej, katalogować zdjęcia z wizji lokalnych itp. Oferował także podstawowe możliwości monitorowania parametrów zasilaczy bezprzerwowych (ang. Uninterruptible Power Supply, UPS) z użyciem protokołu SNMP (ang. Simple Network Management Protocol) w podległych placówkach bankowych.

 

 


Banki Danych jako nowy rynek usług systemowych, Gdański Park Naukowo-Technologiczny (GPNT), Gdańsk 2010
Prelekcja pt. „Proste sposoby uzyskania oszczędności w Bankach Danych. Przykłady z praktyki”

Po dłuższej przerwie, ponieważ po raz pierwszy prelekcję na konferencji branżowej przeprowadziłem w roku 2004, wystąpiłem ponownie. Zostałem poproszony o przeprowadzenie wykładu na temat optymalizacji kosztów eksploatacyjnych ośrodka przetwarzania danych. Wówczas, razem z kolegami z zespołu, poświęcałem temu zagadnieniu sporo czasu. Opracowaliśmy w tamtym czasie kilka autorskich rozwiązań – od prostych udoskonaleń sprzętu, przez właściwe działania i procedury eksploatacyjne aż po kawałek oprogramowania (o nazwie: Data Centre Physical Infrastructure Manager, DCPI Manager). W naszych głowach rodził się też powoli pomysł opracowania systemu Ewidencji Centrum Przetwarzania Danych (ECPD), który kilka lat później zmaterializował się w postaci systemu Data Centre Infrastructure Navigator, DCIN.

 


NetVision 4, ścieżka: (In)Security of the Network, Politechnika Gdańska, Gdańsk 2004
Prelekcja o zagrożeniach w Internecie – niestety utracona.

Pierwsza prelekcja, którą poprowadziłem na zaproszenie studentów Politechniki Gdańskiej, jeszcze podczas współpracy z magazynem IT-FAQ. Nie pamiętam tytułu prelekcji, prezentacja gdzieś się zagubiła razem z pamiątkową płytą, ale była ona poświęcona zagrożeniom w Internecie, co zresztą sugeruje wybrana ścieżka tematyczna: (In)Security of the Network.

Pozostał dyplom uznania, zdjęcie zbiorcze i miłe wspomnienia.