"Ci dobrzy nie myślą jak przestępcy". Jedną z najważniejszych kobiet w tej branży jest Polka
Mieszkanie w kilku różnych miejscach świata jest fajne, ale ma też mroczne strony. Naszej rozmówczyni, gdy wraca do kraju, nikt nie traktuje jak Polki, lecz jak turystkę. Tymczasem Magda Chelly to jedna z najbardziej wpływowych kobiet świata w branży cyberbezpieczeństwa.
Kiedy wyjechałaś z Polski?
Wyjechałam, gdy miałam 6-7 lat, bardzo dawno temu.
Jak to na ciebie działa, życie chwilę w jednej części świata, potem zupełnie innej? Wielu by tak chciało, nieliczni tak robią.
To bardzo interesujące, przeprowadzka z jednego do drugiego kraju jest rozwijająca, uczysz się innych perspektyw, poznajesz świetnych ludzi, to bardzo pociągające doświadczenie. Ale ma też złe strony.
Magda Chelly•Fot. Archiwum prywatne
Zawsze są pozytywne i negatywne aspekty. Gdy wracam Polski, czuję się jak turystka, nikt nie traktuje mnie jak Polki, to ta ciemna strona.
Czego trzeba, żeby tak żyć? Dyplomu czy odwagi?
Odwagi na pewno. Ja nigdy nie jechałam do innego kraju za firmą. Najpierw wybierałam sobie kraj, do którego chcę się przenieść, jak np. z Kataru do Singapuru, dopiero na miejscu szukałam pracy. Obok odwagi potrzebna jest elastyczność i zdolność adaptacji. Przyjeżdżasz do innego kraju, o własnej kulturze, nie możesz żyć, jak dotąd, bo to nie twój kraj, musisz się zaadaptować do tej kultury.
Jedna z 50 najpotężniejszych kobiet w świecie cyberbezpieczeństwa. Musisz być dobra w tej robocie. Czym się dokładnie zajmujesz?
A pewnie, że jestem dobra. Jestem CISO, Chief Information Security Officer. Doradzam na wysokim szczeblu firmom w temacie cyberbezpieczeństwa. Myślę, że ta siła pochodzi z tego, że widzę priorytety danej organizacji, umiem ustawić je w zgodzie z tym, czego ona potrzebuje w kontekście bezpieczeństwa. Nigdy nie osiągniesz 100 proc. bezpieczeństwa.
Moim celem nie jest to, co i tak jest niemożliwe do utrzymania, celem jest zrozumienie, co za biznes prowadzisz, jakie ryzyka związane z bezpieczeństwem podejmiesz, a jakie chcesz zniwelować. I jak podejść do tych ostatnich, by je zniwelować. Przykład – twoją firmę może nie obchodzić wyciek danych na temat strategii marketingowej, ale już może obchodzić wyciek danych klientów.
W twoim bio przeczytałem sformułowanie „rzucać cyberprzestępców na kolana”. To taki rodzaj trash talk, prowokowania? Bo każdy ekspert od cyberbezpieczeństwa, z jakim miałem okazję rozmawiać, stawia tę samą diagnozę – ci dobrzy są krok w tył za złymi.
Nigdy nie mówiłam, że jestem lepsza niż oni, zawsze znajdzie się ktoś lepszy, zwłaszcza, jeśli jedyne, co w życiu robisz, co cyberprzestępczość – praktyka czyni mistrza. Ale masz rację, dobrzy są delikatnie w tyle za złymi.
Dlaczego?
Bo nie myślą, jak przestępcy. Przykład. Firmy robią testy penetracyjne swoich najlepszych zabezpieczeń. A przecież jeśli jesteś cyberprzestępcą, nie uderzysz w frontalnie w najmocniejszą stronę, znajdziesz najsłabszą.
Co jest obecnie największym zmartwieniem w twojej dziedzinie?
Najczęstsze ataki to wciąż phishing, realistyczne emaile, które udają kogoś, kogo zna adresat. W internecie nie ma zaufania. Widzę cię, słyszę cię, wiem, że jesteś tym, za kogo się podajesz. Ale z samego twojego maila nie jestem w stanie mieć stuprocentowej pewności, że ty to ty. To niebezpieczne tak dla zwykłych konsumentów, jak i firm.
W Polsce zmartwieniem specjalistów bezpieczeństwa są postawy ludzi. „Kto by tam chciał mnie atakować, nie mam wielkich pieniędzy, nie jestem celem”. Azjatyckie społeczeństwa, z pozoru dobrze zcyfryzowanych, też walczą z takim stereotypem?
Powiedziałabym, że Azja ogólnie jest mniej dojrzała niż Europa, Singapur, gdzie obecnie pracuję, jest tu wyjątkiem. Kraj ma bardzo silne regulacje dotyczące prywatności ludzi, zasad cyberbezpieczeństwa. Natomiast patrząc szerzej, tak, sytuacja jest daleka od ideału. Ludzie nie rozumieją, że używanie technologii wystawia ich na nowe ryzyka i mogą cię dopaść całkiem szybko. Jeśli na laptopie zobaczysz monit, że twoje pliki są zaszyfrowane, i masz zapłacić 500 dol. okupu, jesteś celem, chcesz pliki z powrotem, swoje zdjęcia z wakacji dajmy na to. Przestępców nic nie obchodzi, co to za pliki, ich obchodzi okup. Dziś każdy jest celem.
Tak się złożyło, że w momencie rozmowy wypadła nam 10. rocznica wielkiego zamieszania, jakie wywołał Stuxnet. Co dziś - w kontekście infrastruktury krytycznej - niesie szczególne zagrożenie?
Infrastruktura krytyczna zazwyczaj jest odcięta od świata zewnętrznego, czyli po prostu nie ma połączenia z internetem, nie styka się z nim. Niestety istnieją sposoby ataków, którymi można wyrządzić szkody. Cały obszar cyberbezpieczeństwa OT całkowicie się zmienia. Największe wpływ ma popularyzacja internetu rzeczy, wirtualizacja infrastruktury i powszechne wykorzystywanie chmury. Internet rzeczy niestety nie idzie w parze z bezpieczeństwem jak dotąd. Widzimy dużo firm i startupy, które po prostu decydują się na innowacje IoT bez żadnych ram bezpieczeństwa.
Wreszcie, infrastruktura krytyczna to spuścizna, nie była projektowana pod kątem cyberbezpieczeństwa, co czyni ją jeszcze podatniejszą. Security by design jest nowoczesnym konceptem, wiec mnóstwo przypadków OT po prostu nie było tak zbudowane.