Piotrze, od 12 lat pomagasz największym polskim firmom w zabezpieczeniu sieci. 12 lat to sporo jak na polskie Internety. Jak zmieniła się ta branża na przestrzeni tych lat? Jak oceniasz te zmiany – dzisiaj łatwiej, czy trudniej o cyberbezpieczeństwo?
12 lat temu na bezpieczeństwo IT zwracały uwagę tylko niektóre, mocno świadome firmy i sektor bankowy oraz wojsko. Przez ostatnią dekadę na szczęście świadomość wzrosła, ale nie powinno to dziwić – dziś, bardziej niż 12 lat temu, bazujemy na systemach podłączonych do Internetu. Ba, niektórzy mają dom wypełniony dziesiątkami zdalnie sterowanych, podpiętych do Internetu urządzeń, tzw. IoT, a coraz więcej osób uświadamia sobie, że stare-głupie przedmioty, z których korzystali do tej pory, dziś mają nie tylko wbudowaną elektronikę, ale i zdolność komunikacji przez Internet. Doskonałym przykładem są samochody. To, że można zdalnie przejąć kontrolę nad niektórymi modelami badacze zademonstrowali już jakiś czas temu. Teraz będzie już tylko coraz gorzej… bo choć temat bezpieczeństwa stał się modny i wypłynął do mainstreamu, to niestety producenci wciąż produkują wadliwy sprzęt i oprogramowanie, a ludzi którzy mieliby nad tym czuwać wciąż jest za mało. To największa bolączka naszej branży, po części wynikająca z tego, że przez 12 lat uczelnie nie zorientowały się, jakiego typu specjaliści będą mocno poszukiwani na rynku…
Zdaje się, że w Polsce temat cyber security jest wciąż traktowany po macoszemu. Głównie przypominamy sobie o tym przy okazji większych ataków. Czy edukacja w Polsce w tym segmencie aż tak kuleje, czy to może być przyczyna, że wciąż mamy zbyt mało wykwalifikowanych specjalistów-ewangelistów, a może twierdzimy, że skoro to nas osobiście nie dotknęło to możemy sobie odpuścić ten wątek?
Ważne jest, żeby o bezpieczeństwie mówić w sposób przystępny i umieć pewne skomplikowanie techniczne aspekty przełożyć na język recepcjonisty w hotelu, kadrowej w korporacji, czy członka zarządu średniej wielkości spółki.
Problem polega na tym, że jeśli o bezpieczeństwie IT chcemy coś powiedzieć przeciętnemu Kowalskiemu, to nie powinno się tego bezpieczeństwa rozpatrywać i przedstawiać jako osobnego tematu. Bezpieczeństwo to jest coś, co jest nierozerwalnie związane z daną technologią czy procesem. Aspekty bezpieczeństwa, a także wpływu na prywatność, powinny być więc poruszane podczas kursów programowania, podczas kursów administracji systemem, podczas projektowania samochodów, czy nawet w trakcie instruktażu obsługi firmowej drukarki. Ta wiedza jest niezbędna każdemu kto korzysta w pracy z komputera i Internetu, a to dziś oznacza praktycznie wszystkich. Ważne jest, żeby o bezpieczeństwie mówić w sposób przystępny i umieć pewne skomplikowanie techniczne aspekty przełożyć na język recepcjonisty w hotelu, kadrowej w korporacji, czy członka zarządu średniej wielkości spółki. Każda z tych grup docelowych potrzebuje bezpieczeństwa, ale na innym poziomie. Poufność prowadzenia negocjacji i aspekty prawne gwarantujące bezpieczeństwo powierzanych w ramach kontraktu danych to coś co będzie szalenie interesowało członka zarządu, ale niekoniecznie kadrową. Kadrowej za to przyda się wiedza o usuwaniu metadanych, aby kolejna zatrudniana przez nią osoba nie dowiedziała się jakie warunki finansowe firma zaoferowała innemu kandydatowi na to samo stanowisko. A zdobycie tych informacji, jeśli ktoś nie przestrzega komputerowego BHP, jest dziś stosunkowo proste…
Branża IoT stale się rozwija, coraz częściej mamy okazje mieć do czynienia z przedmiotami codziennego użytku podłączonego do sieci. Czy dojdzie do takiego etapu, że terroryści będą mogli z dowolnego miejsca na Ziemi kierować naszym sprzętem do swoich działań?
Niektórzy z nas mogą myśleć, że tego typu działania ich nie dotyczą. Ale popatrzmy co się stało po ostatniej serii ataków robakami WannaCry czy NotPetya, które rozprzestrzeniały się po Internecie, ponieważ spora część internautów nie zaktualizowała przez trzy miesiące swojego Windowsa.
Miejmy nadzieję, że nie. Infrastruktura krytyczna silnie pracuje nad tym, żeby braki w bezpieczeństwie oddzielonego od Internetu sprzętu nagromadzone przez minione lata nie były problematyczne obecnie, kiedy jest silna tendencja do łączenia systemów między sobą aby umożliwić im wymianę informacji. O ile więc paraliż elektrowni nam raczej nie grozi, to problemy na mniejszą skalę mogą nastąpić. Ba! Już mają miejsce. Niewiele osób zdaje sobie sprawę, że udostępnia w Internecie dane z używanego przez nich sprzętu, np. popularnych wśród młodych rodziców „baby monitorów”, czyli kamerek do monitoringu dziecka pod nieobecność rodzica. Mama z tatą mogą za pomocą aplikacji zainstalowanej na ich telefonach połączyć się z domową kamerką i patrzeć jak dziecko spokojnie śpi albo bawi się z opiekunką. Wystarczy jednak jedno zapytanie, aby znaleźć wszystkie tego typu kamerki podpięte obecnie do Internetu (umożliwia to wyszukiwarka Shodan). A potem można podglądać sypialnie słodko śpiących maluchów albo – co jest zdecydowanie bardziej kłopotliwe – poprzez funkcję „kołysanki” wbudowaną w tego typu rozwiązania, odegrać im nie tyle spokojną melodię, co głośny heavy-metalowy kawałek, by wywołać traumę u młodego człowieka. Niestety, są ludzie, którzy z jakiegoś powodu przeprowadzają tego typu akcje…
Niektórzy z nas mogą myśleć, że tego typu działania ich nie dotyczą. Ale popatrzmy co się stało po ostatniej serii ataków robakami WannaCry czy NotPetya, które rozprzestrzeniały się po Internecie, ponieważ spora część internautów nie zaktualizowała przez 3 miesiące swojego Windowsa. Stanęły fabryki samochodów, sparaliżowane zostały systemy informacyjne dworców kolejowych a w niektórych krajach nawet stanęły pociągi czy przestała działać służba zdrowia a nawet część bankomatów. Atak nie był w nas wymierzony, ale my go odczuliśmy. Problem miały firmy kurierskie, więc niektóre z zamówionych produktów nie dojechały. W dzisiejszym świecie bardzo opieramy się na łańcuchu dostaw, który składa się z wielu usługodawców. Bez firm logistycznych nie ma transportu, więc w przypadku dłuższego przestoju, sklepy na półkach zaczną świecić pustkami. Naturalna kolej rzeczy. Jeśli dziś chce się sparaliżować jakiś kraj, wcale nie trzeba wyłączać jego elektrowni. Czasem wystarczy sprytne uderzenie w kilka komercyjnych, a zatem słabiej zabezpieczonych firm, aby unieruchomić ważne usługi, w konsekwencji czego chaos ogarnie część społeczeństwa. Popatrzmy na to, jak bardzo uzależniliśmy się od kart płatniczych. A teraz załóżmy, że na tydzień siada obsługa płatności kartowych i przestają działać bankomaty. Ile mamy w portfelu, poza kontem bankowym? Uda się za to przeżyć przez tydzień?
Jakiś czas temu było głośno na temat Alladyna, który wykradł się do systemów informatycznych największych instytucji państwowych. Jak myślisz, czy teraz możemy powiedzieć, że Państwo jest zabezpieczone na tego typu sytuacje?
Niestety najczęściej to właśnie taka terapia szokowa, czyli zmierzenie się z negatywnymi skutkami udanego ataku, jest pierwszym i jedynym skutecznie przemawiającym do zarządzających budżetem osób argumentem, że chyba już pora zainwestować w bezpieczeństwo.
Na pewno jest lepiej niż było. I Alladyn2 trochę w tym pomógł. Niestety najczęściej to właśnie taka terapia szokowa, czyli zmierzenie się z negatywnymi skutkami udanego ataku, jest pierwszym i jedynym skutecznie przemawiającym do zarządzających budżetem osób argumentem, że chyba już pora zainwestować w bezpieczeństwo. Obecnie na mocy różnych przepisów, poszczególne gałęzie naszej administracji publicznej i sektory gospodarki są zobowiązane do zapewniania pewnego minimum bezpieczeństwa. I choć różnie z tym bywa – bo zawsze w łańcuchu bezpieczeństwa musi znaleźć się człowiek, który nawet otoczony najbardziej bezpiecznym sprzętem lub najbardziej restrykcyjnym oprogramowaniem może wyciąć jakiś numer, który przekreśli wysiłki działów bezpieczeństwa i bardzo ucieszy atakujących – to przynajmniej widać chęci i zainteresowanie, których jeszcze parę lat temu na próżno było szukać.
Niestety, zabezpieczenie Państwa to nie jest prosta sprawa. Zwłaszcza, że brutalna prawda jest taka, że jeśli ktoś będzie chciał kogoś zaatakować, to mu się to uda. To kwestia determinacji i finansów. A jednego i drugiego nie brakuje zatrudnianym przez rządy różnych państw „hakerom”. I dlatego na rządowych atakujących z reguły nie ma mocnych. Jedyne co można robić, to poczynić starania by maksymalnie ich opóźnić, co pozwoli na jak najszybsze zorientowanie się, że właśnie się staliśmy się celem, choć jeszcze nie ofiarą. Wtedy można zacząć wdrażać w życie różne plany minimalizowania szkód czy obsługi incydentu, a nawet pokusić się o kontratak.
Niektóre z krajów już ustanowiły prawo, dzięki któremu „Internet” traktują jako jedno z pól walki, co upoważnia je do odpowiedzi bronią tradycyjną na ataki komputerowe. I to może być dobry straszak. Bo do tej pory za „wirtualne” włamania groziły raczej „wirtualne” kary. A teraz niektórzy włamywacze są świadomi, że na głowę dron może zrzucić im bombę za ich działania w Internecie.
Jeśli już padliśmy ofiarą e-napadu to powinniśmy próbować rozwiązać ten problem najniższym kosztem. Czy przystawanie na prośby atakującego to dobry pomysł?
Kradzież danych różni się od kradzieży samochodu. Jak złodziej odda nam samochód, to jesteśmy pewni, że nie posiada jego kopii… Z danymi to tak nie działa.
Zakładam, że chodzi o ransomware, który szyfruje dane – bo „e-napadów” to może być wiele i nie każdy kończy się jakimiś żądaniami ze strony atakującego. W przypadku szantażu w Internecie, każda opcja jest zła. Zgłoszenie do służb może skończyć się ujawnieniem wykradzionych danych. Historia zna takie przypadki, choćby polski bank – Plusbank – do którego nastąpiło włamanie i kradzież, a następnie publikacja części wykradzionych danych w Internecie. Brak zgłoszenia służbom i wpłata okupu to też ryzykowna sprawa – nie mamy gwarancji, że „zwrócone nam dane” nie zostały zduplikowane i za parę miesięcy przestępca znów może się odezwać z prośbą o okup, tylko wyższy. Kradzież danych różni się od kradzieży samochodu. Jak złodziej odda nam samochód, to jesteśmy pewni, że nie posiada jego kopii… Z danymi to tak nie działa.
Lepiej więc nie dopuszczać do takich podbramkowych sytuacji. I wbrew pozorom nie jest to takie trudne. Wystarczy pamiętać o regularnej aktualizacji oprogramowania, czyli systemu operacyjnego wraz z aplikacjami, telefonu, routera Wi-Fi, telewizora i każdej innej rzeczy, którą podpinamy do Internetu, a która przetwarza nasze dane. Poza aktualizacją, kolejnym ważnym zaleceniem jest kategoryczny zakaz korzystania z tego samego hasła do więcej niż jednego serwisu. To niestety bardzo popularne działanie większość z nas i niesamowita radość dla włamywacza. Wystarczy bowiem, że z sukcesem zaatakuje on jeden z nawet mało istotnych serwisów z którego kiedyś tam skorzystaliśmy. W ten sposób pozna do niego nasze hasło i gwarantuję, że od razu sprawdzi, czy to hasło nie pasuje także do bardziej istotnych serwisów, których możemy mieć konta na ten sam adres e-mail, np. w banku, czy portalu aukcyjnym. I wreszcie – ponieważ jednym z najpopularniejszych ataków ostatnimi czasy są wyłudzenia, czyli phishing – powinniśmy zawsze bacznie sprawdzać, czy wpisywane przez nas dane logowania, faktyczne są wpisywane tam gdzie powinny. I nie, zielona kłódka nie wystarczy, trzeba dokładnie, litera po literze sprawdzić adres serwisu do którego się logujemy. Ponieważ jest to żmudne i wymaga skrupulatności, pomóc w tym mogą managery haseł, które automatycznie będą nas logować, ale tylko do poprawnych serwisów. Przed phishingiem dobrze chroni też dwuskładnikowe uwierzytelnienie, realizowane w oparciu o sprzętowe klucze U2F. Taki klucz, np. marki Yubico, można kupić za 18 dolarów i skojarzyć go z kontem Google, Facebookiem, GitHubem, Dropboksem i innymi popularnymi usługami. Dzięki temu, nawet jeśli ktoś zmanipuluje nas tak, że przechwyci nasze dane dostępowe, to i tak nie uda mu się zalogować do naszego konta. Chyba, że fizycznie damy mu nasz klucz. John Podesta, szef kampanii prezydenckiej Hillary Clinton korzystał z GMaila, ale nie z takiego klucza. Efekt? Rosjanie wykradli jego e-maile.
Przestępcy jednak nie śpią i ciągle doskonalą swoje sztuczki. Dlatego należy trzymać rękę na pulsie. Na niebezpiecznik.pl regularnie i przystępnym językiem opisujemy nowe tricki atakujących i ostrzegamy przed aktywnymi w Polsce atakami. Serwis może czytać każdy, ale nie każdy ma na to czas. Dlatego pracownikom firm proponujemy udziały w naszych szkoleniach, gdzie w ciągu 2 godzin przekazujemy najcenniejsze porady, robiąc to w bardzo przystępnej formie, pełnej humoru i praktycznych pokazów ataków na żywo. Przykładowo, wykradamy dane z telefonów słuchaczy w trakcie prelekcji. Wszystko po to, aby szkolenie i przekazywana na nim wiedza na pewno zostały w głowach uczestników. Odbiór jest tak dobry, że często firmy po pierwszym wykładzie zamawiają kolejne, które już nie jest opcjonalne, dla chętnych, ale obowiązkowe dla wszystkich, którzy nie zjawili się na pierwszym spotkaniu. Ma
to sens, zwłaszcza, że wiele z rad udzielanym pracownikom przydaj się także w ich życiu prywatnym. Wiemy też, że chętnie potem dzielą się radami ze swoją rodziną – dziadkami i dziećmi. W końcu z Internetu dziś korzysta każdy.
Pobierz darmową listę 10 porad od niebezpiecznika dla każdego internauty – podnieś bezpieczeństwo komputera |
Z jakimi problemami najczęściej się zgłaszają Twoi czytelnicy i klienci? W jaki sposób można im zapobiec?
Najlepsze co czytelnicy mogą zrobić teraz to zmienić sobie hasła we wszystkich serwisach na różne od siebie i tam gdzie się da włączyć dwuskładnikowe uwierzytelnienie w oparciu o klucze U2F.
Najpopularniejszą wpadką wśród czytelników są przejęcia kont. Większość z nich wynika z faktu, że czytelnik korzystał ze słabego hasła lub nie miał skonfigurowanego wspomnianego wcześniej dwuskładnikowego uwierzytelnienia w oparciu o klucz. Część z ofiar ma przejmowane konta, bo korzystała z tego samego hasła. Powtórzę więc jeszcze raz – najlepsze co czytelnicy mogą zrobić teraz to zmienić sobie hasła we wszystkich serwisach na różne od siebie i tam gdzie się da włączyć dwuskładnikowe uwierzytelnienie w oparciu o klucze U2F. Do generacji dobrych, unikatowych i długich haseł można wykorzystać narzędzie KeePass. Jest darmowe i dostępne na każdy popularny system operacyjny.
Klienci natomiast proszą nas o przeprowadzenie ataków na ich systemy. Działamy wtedy dokładnie tak, jak robią to przestępcy. Szukamy wszystkich dziur i słabości, nie tylko w infrastrukturze technicznej, ale również w procesach i wśród personelu. Następnie przedstawiamy raport z naszych odkryć, podsumowujący do czego mieliśmy dostęp, co udało się wykraść i przede wszystkim, co firma powinna zrobić, aby tego typu działań nie był w stanie odtworzyć nikt inny. Jeśli ktoś jeszcze nie był w ten sposób atakowany, mocno polecam to doświadczenie, nic nie otwiera szerzej oczu i nie zwiększa świadomości niż fakt, że obcy ludzie pokazują Ci teczkę pełną tajemnic Twojej firmy, a Ty dowiadujesz się, że przez ostatni tydzień wcale nie korespondowałeś z Twoim dyrektorem handlowym, ale kimś kto się pod niego podszywał.
Audyt bezpieczeństwa nie kończy się na wykryciu jakiegoś uchybienia. Uchyl proszę rąbka tajemnicy i powiedz jak wygląda Wasza praca od kuchni?
To mit, że ofiarami są wyłącznie tzw. „Panie Halinki”.
Wszystko zależy od rodzaju zamówionych testów. O ile przez ostatnie lata najpopularniejszą usługą było testowanie webaplikacji pod kątem włamań, to ostatnio dużą popularnością cieszą się ataki na pracowników. I zgadzam się z opinią klientów. To nie cyberbroni, czy skomplikowanych ataków APT powinny w pierwszej kolejności obawiać się polskie firmy.
Do takiego, być może zaskakującego dla wielu wniosku doszliśmy analizując wyniki realizowanych przez nas w ostatnich latach testów penetracyjnych. W sytuacji, w której mieliśmy zgodę na atakowanie pracowników (a nie tylko samych serwerów i webaplikacji) mieliśmy zawsze 100% skuteczność. I nawet nie musieliśmy korzystać ze złośliwego oprogramowania; a więc żadnego nakłaniania pracowników do otwierania załączników czy też infekowania ich urządzeń.
Być może to zaskakujące dla osób, które nigdy nie tworzyły kampanii phishingowych, ale pracownicy sami dają nam to, czego chcemy – konkretne dokumenty lub dane dostępowe do firmowych systemów. W każdym z ataków jakie realizowaliśmy do tej pory wystarczyło wysłanie zaledwie kilku e-maili o odpowiednio dopasowanej treści, do umiejętnie wybranych pracowników-ofiar.
Tu warto jednak nadmienić, że konstruując fałszywe e-maile i wybierając ofiary bierzemy pod uwagę wyniki tygodniowego rekonesansu, czyli czasu, w którym nasi analitycy zbierają dosłownie wszystko, czego można było się dowiedzieć na temat firmy-ofiary z publicznych źródeł (struktura działów, dane pracowników, siatka kontrahentów). Dopiero na podstawie tych informacji ustalamy pod kogo się będziemy podszywać (kolegę, przełożonego, czy klienta ofiary?). Ta żmudna i kosztowna praca zawsze się opłaca i przynosi liczone w dziesiątkach tysięcy procentów „zwroty na inwestycji”.
Ku naszemu zdumieniu, na fałszywe e-maile nabierają się także techniczni pracownicy, a często kluczem do sukcesu jest odpowiednia pora, w jakiej rozsyłamy fałszywe e-maile. To mit, że ofiarami są wyłącznie tzw. „Panie Halinki”.
Poza zaskakująco dużym odsetkiem ofiar (średnio ok. 40% pracowników firmy), dość smutną obserwacją jest także to, że działy IT wszystkich firm, którym udało się wykryć nasze ataki, nie były w stanie poprawnie obsłużyć incydentu tego typu. Albo nie do końca usunęli nas z firmowych systemów albo nie potrafili wiarygodnie i efektywnie poinformować personelu o ataku w taki sposób, by kolejne osoby się na niego nie nabierały
Nasze obserwacje zdają się także potwierdzać niedawne wydarzenia w Polsce. Mniej jest już kampanii e-mailowych ze złośliwym oprogramowaniem wysyłanych do wszystkich „jak leci”. Przestępcy segregują swoje ofiary i wysyłają wiadomości o konkretnej treści do konkretnych grup docelowych, np. pełnomocnictwa do kancelarii prawnych, projekty udające pliki AutoCAD do architektów (por. https://niebezpiecznik.pl/post/uwaga-prawnicy-e-mail-pelnomocnictwo-dla-kancelarii-zawieral-wirusa/), fałszywe listy zapisów na zajęcia do studentów (por. https://niebezpiecznik.pl/post/uwaga-studenci-ten-e-mail-to-scam/) czy podrobione komunikaty z serwisu aukcyjnego do faktycznych osób sprzedających na tym serwisie (por. https://niebezpiecznik.pl/post/scam-zablokowalismy-ci-sprzedaz-na-allegro/).
Taka segmentacja ofiar to przykład właśnie minimalnego rekonesansu i niewielki wysiłek, ale bazując na naszych własnych doświadczeniach, jesteśmy pewni, że tego typu działania przynoszą większe zyski. Nie mówiąc już o tym, że wąskie grupy docelowe ograniczają badaczom bezpieczeństwa wykrywanie i ujawnianie tego typu incydentów.
Pomijając udostępnianie danych personalnych na kanałach społecznościowych – o jakich najbardziej absurdalnych błędach słyszałeś w ciągu Twojej kariery?
Na skrzynce jednej z pracownic działu HR firmy, którą atakowaliśmy znaleźliśmy pliki CSV z kopią danych pochodzących z firmowego systemu kadrowo-finansowego. Firma zmieniała swój stary system na nowy, bo chciała zadbać o bezpieczeństwo danych. I faktycznie, do tego nowego nie udało nam się włamać – był bardzo dobrze zabezpieczony. Co z tego, skoro na skrzynce jednej z pracowniczek znaleźliśmy jego kopię?
Ale niekiedy absurdalne działania pracowników-ofiar są dla nich zbawienne. Na jednym z testów, po skutecznym podszyciu się pod panią wiceprezes udało nam się zmanipulować księgową, prosząc o to, aby została po godzinach i przygotowała pewne dokumenty, na których nam zależało. Na wewnętrznym firmowym komunikatorze widzieliśmy, że faktycznie po godzinach pracy wciąż jest „dostępna”. A więc siedzi nad raportem. Sukces! Spodziewaliśmy się lada moment e-maila, że wszystko już gotowe, no i oczywiście tego zestawienia, o które prosiliśmy. I faktycznie, po paru godzinach e-mail przyszedł, a w nim:
„Pani Wiceprezes, zgodnie z poleceniem zostałam po godzinach i przygotowałam to zestawienie, o które Pani prosiła. Wydrukowałam i zostawiłam je na Pani biurku”
Od tamtej pory opisujemy do naszych fałszywych wiadomości proszących o różnego rodzaju zestawienia, że obowiązkowo potrzebujemy ich w PDF…
Czy temat cyber bezpieczeństwa towarzyszy Ci także w życiu prywatnym? Czy w życiu prywatnym również tak bardzo zwracasz uwagę na bezpieczeństwo w sieci?
Ważne jest, żeby o bezpieczeństwie mówić w sposób przystępny i umieć pewne skomplikowanie techniczne aspekty przełożyć na język recepcjonisty w hotelu, kadrowej w korporacji, czy członka zarządu średniej wielkości spółki.
Tak, tego sposobu myślenia się nie da się wyłączyć jeśli ktoś jest pasjonatem. Wchodząc do sklepu zawsze zastanawiam się, gdzie są martwe strefy kamer, które z nich to fałszywki i czy byłbym w stanie ukraść batonika (ale tego nie robię). Zdarzyło się już natomiast kilka razy, że zwracałem uwagę pracownikom różnych firm (także banków!), którzy podróżowali ze mną w tym samym przedziale, że rozmowa na pewne tematy i brak przysłaniania ekranu laptopa, dała mi pewne ciekawe informacje. Co gorsza (dla nich) robiłem to dopiero po przesłaniu dokumentacji do znajomych z działów bezpieczeństwa tych firm, bo świat „bezpieczników” jest dość mały i większość z nas zna się osobiście. Koledzy mają wtedy świetny materiał na wewnętrzne szkolenia z bezpieczeństwa, jakże prawdziwy!
Prawdopodobnie nienawidzi mnie także mój dealer samochodowy, bo podczas zakupu auta byłem nad wyraz zainteresowany wbudowanymi systemami łączności (a raczej ich wyłączeniem na poziomie fabryki) i nabyciem modelu bez funkcji automatycznego parkowania. Sprzedawca nie mógł zrozumieć, dlaczego tak praktyczna funkcja, na której firma niemalże opiera swój marketing, mi przeszkadza. Tłumaczył, że przecież jak nie chcę, nie muszę z tego automatycznego parkowania korzystać. Zmienił zdanie, kiedy zapytałem, czy jak samochód parkuje, to oznacza, że „coś” rusza silnikami kierownicy i jaką mam gwarancję, że to „coś” nie zacznie nimi ruszać jak będę jechał 140 na autostradzie?
Czasem więc ta większa świadomość boli. Wiem gdzie wędrują moje dane wpisywane „na kwestionariszu promocji” w sklepie z odzieżą i na ile sposobów może mnie zabić mój samochód. Ale czasem ta większa świadomość ułatwia życie. Wiem jak szybciej zjechać niektórymi windami (kombinacja klawiszy pięter mówi systemowi operacyjnemu windy, żeby ignorował prośby o zatrzymania na piętrach) albo jak dzięki darmowemu kodowi serwisowemu umyć samochód na myjni automatycznej bez potrzeby kontaktu z personelem lub wreszcie, jak przejechać się za darmo komunikacją miejską lub nie zapłacić za bilet parkingowy, fałszując kartę zbliżeniową. Tych dwóch ostatnich tricków oczywiście nie stosuję. Byłoby to bardzo nieetyczne. A etyka zawodowa to w zasadzie jedyne co odróżnia nas, bezpieczników, od przestępców.
Kończąc wywiad chciałam się zapytać czego mogę Ci życzyć jeśli chodzi o życie zawodowe?
Ja za życzenia dziękuję – czuje się spełniony pod każdym względem. Ale pożegnajmy się życzeniami dla czytelników, aby jak najszybciej zmienili swoje hasła na unikatowe. Teraz. Już. Ci, którzy to zrobią, na pewno niebawem nam za to podziękuję. Inni… no cóż, mądry Polak po szkodzie.
Wywiad powstał dzięki:
CONNECTIS_
+48 22 222 5000
office.pl@connectis.pl
Złota 59
00-120 Warszawa
CONNECTIS_ jest spółką technologiczną świadczącą usługi z zakresu outsourcingu specjalistów, zespołów projektowych oraz procesów IT.
CONNECTIS_ łączy wyjątkowe doświadczenie, kompleksową znajomość branży oraz kompetencje specjalistów z klientami, aby pomóc im usprawniać projekty informatyczne i zwiększać wydajność procesów biznesowych.
Współpracujemy na szeroką skalę z liderami branżowymi w całej Europie z sektora m.in. finansowego, IT, konsultingowego, ubezpieczeniowego, energetycznego oraz telekomunikacyjnego. Codziennie wspieramy ich ponad 350 specjalistami w strategicznych projektach informatycznych.
Coders Lab
Łącząc doświadczenie edukacyjne ze znajomością rynku pracy IT, Coders Lab umożliwia szybkie i efektywne zdobycie pożądanych kompetencji związanych z nowymi technologiami. Skupia się się na przekazywaniu praktycznych umiejętności, które w pierwszej kolejności są przydatne u pracodawców.
Wszystkie kursy odbywają się na bazie autorskich materiałów, takich samych niezależnie od miejsca kursu. Dzięki dbałości o jakość kursów oraz uczestnictwie w programie Career Lab, 82% z absolwentów znajduje zatrudnienie w nowym zawodzie w ciągu 3 miesięcy od zakończenia kursu.
Zostaw komentarz