Cyberbezpieczeństwo jest obecnie tematem bardzo medialnym. Adam Gałach, Prezes Galach Consulting

Cyberbezpieczeństwo jest obecnie tematem bardzo medialnym. Adam Gałach, Prezes Galach Consulting

Na przestrzeni ostatnich 2 lat znacznej zmianie uległ model funkcjonowania wielu firm. Pracownicy znacznie częściej wykonują swoją pracę zdalnie. Jakie według Pana są główne zagrożenia z tym związane?

Wprowadzenie powszechnej pracy zdalnej spowodowało istotny wzrost ryzyka naruszeń bezpieczeństwa informacji. Przy klasycznym modelu funkcjonowania organizacji pracownicy w większości wykonują swoje zadania na terenie kontrolowanym przez pracodawcę, do którego wstęp mają wyłącznie osoby uprawnione. Pracownicy korzystają ze sprzętu komputerowego i oprogramowania zarządzanego przez pracodawcę, możliwe jest zatem wymuszenie takiej konfiguracji, aby ograniczyć prawdopodobieństwo wystąpienia incydentów bezpieczeństwa. Przetwarzanie danych odbywa się w systemach informatycznych oddzielonych od Internetu i chronionych przed próbami cyberataków. Co więcej, z uwagi na to, że pracownicy znajdują się w jednej lokalizacji, łatwiejsza jest komunikacja pomiędzy nimi i niezwłoczne wyjaśnianie wszelkich anomalii, które zostały zauważone podczas pracy w systemie informatycznym. Oczywiście jeszcze przed pandemią nie wszystkie organizacje funkcjonowały w ten sposób i model pracy zdalnej był stosowany, ale były to bardziej wyjątki, a nie reguła powszechnie stosowana.

Kiedy 2 lata temu organizacje drastycznie zmieniały model pracy, większość z nich nie była przygotowana do takiego sposobu działania. Zaryzykowałbym stwierdzenie, że, biorąc pod uwagę aspekty cyberbezpieczeństwa, stan ten nie zmienił się.  Problem zdalnego dostępu został co prawda już dawno rozwiązany, ale niejednokrotnie jest on bardzo daleki od doskonałości. Pamiętajmy, że o ile hasło jako mechanizmu weryfikacji tożsamości wydaje się być wystarczającym przy pracy w siedzibie pracodawcy, o tyle przy pracy zdalnej jest on absolutnie niewystarczający. Powszechną praktyką jest umożliwienie dostępu zdalnego z dowolnego komputera, nawet, jeżeli pracownikowi udostępniono sprzęt służbowy do pracy w domu. Zdarzają się przypadki, gdy pracownik wykorzystuje do realizacji swoich zadań służbowych swój własny komputer, bo tak mu wygodniej. Rzecz w tym, że nie mamy w tej sytuacji żadnej gwarancji, że komputer ten jest należycie zabezpieczony i nie jest hodowlą wirusów i innego złośliwego oprogramowania. Wszystko to powoduje, że ryzyko nieuprawnionego dostępu obcych osób do systemów informatycznych przedsiębiorstwa drastycznie wzrasta.

Szczególnym problemem są ataki socjotechniczne, mające na celu wyłudzenie informacji (w tym danych umożliwiających zdalne zalogowanie się do systemów), a także przekonanie pracowników do wykonania działań mogących zaszkodzić ich pracodawcy. Pamiętajmy, że wyjaśnienie, czy rzeczywiście kolega z firmy wysłał mail, w którym prosi o wejście na stronę internetową wymagającą zalogowania się hasłem używanym do dostępu do systemu księgowego, jest utrudnione, gdy kolega nie siedzi przy biurku obok, a telefonu nie odbiera z uwagi na niekończące się telekonferencje. Przy tej okazji – pojawiły się nowe rodzaje ataków. Pierwszym z nich jest próba nieuprawnionego dołączenia do telekonferencji, co nie jest trudne, gdy pozyska się do niej link, w telekonferencji uczestniczy wiele osób, a powszechną praktyką jest wpuszczanie przez grzeczność wszystkich gości (nie mówiąc już o przypadku błędnej konfiguracji umożliwiającej dostęp gości bez uprzedniej akceptacji). Drugim atakiem jest phishing mający na celu przekonanie użytkownika do przyłączenia się do fałszywej telekonferencji i przekazania przy tej okazji informacji, które w żadnym wypadku nie powinny być przekazywane osobom postronnym.

Mówiąc o pracy zdalnej chciałbym poruszyć jeszcze jedno zagadnienia. O ile praca ta jest wykonywana w domu, ryzyko podglądania danych przez osoby nieupoważnione jest raczej ograniczone. Ryzyko to drastycznie wzrasta, gdy praca wykonywana jest w miejscu publicznym, np. w kawiarni. Dochodzi tu dodatkowy element związany z połączeniem komputera do Internetu. Jeżeli połączenie realizowane jest z wykorzystaniem publicznej sieci WiFi (a za taką należy uznać również sieć w kawiarni, zabezpieczoną hasłem napisanym przy wejściu do lokalu) to dodatkowo dochodzą zagrożenia związane z cyberatakiem za pośrednictwem tej sieci.

Co ze skutkami tych zagrożeń? Jak to wpływa na działalność firmy?

Zagrożenia mogą mieć destrukcyjny wpływ na działalność firmy. Zacznijmy od głośnego tematu ataków ransomware, skutkujących zaszyfrowaniem całości danych przedsiębiorstwa. Skutek takiego ataku jest oczywisty – paraliż organizacji. Czy prawdopodobieństwo takiego ataku wzrasta w przypadku pracy zdalnej? Moim zdaniem może tak być z dwóch powodów. Po pierwsze, jak już wcześniej powiedziałem, pracownik może wykorzystywać do pracy zdalnej swój własny, niedostatecznie zabezpieczony komputer. Jeżeli zostanie on zainfekowany złośliwym oprogramowaniem, to infekcja ta może przenieść się na wewnętrzne systemy przedsiębiorstwa. Z drugiej strony, nawet jeżeli pracownik korzysta ze sprzętu służbowego, to zawsze istnieje możliwość, że otrzyma on mail z załącznikiem zawierającym złośliwe oprogramowanie. Pracując w samotności, a nie w biurze, nie ma się z kim skonsultować co do zasadności maila, więc istnieje większe ryzyko, że wiadomość zostanie otwarta, a kod zawarty w załączniku uruchomiony. Oczywiście systemy informatyczne przedsiębiorstwa powinny być zabezpieczone przed działaniem złośliwego oprogramowania, a pracownik zawsze powinien mieć możliwość skonsultowania się ze specjalistami z helpdesku, ale praktyka pokazuje, że w wielu przypadkach jesteśmy dalecy od tego ideału.

Atak przy użyciu ransomware powoduje, przynajmniej czasową, utratę możliwości przetwarzania danych. W praktyce skutkuje to sparaliżowaniem działania organizacji. Pamiętajmy jednak, że utrata możliwości dostępu do informacji i ich przetwarzania nie musi być związana z działaniem tego typu złośliwego oprogramowania – istnieje szereg innych technik ataków, których skutkiem może być w praktyce uniemożliwienie funkcjonowania organizacji.

Skutki zagrożeń powodujących utratę możliwości przetwarzania danych są z reguły natychmiast widoczne. Nie możemy jednak zapominać o działaniach mających na celu kradzież danych. Przy braku odpowiedniego monitorowania infrastruktury informatycznej możemy w ogóle nie wykryć takiego zdarzenia. Nie mówię tutaj o nieuprawnionym pozyskaniu danych umożliwiających wykonanie transakcji finansowych – kradzież pieniędzy z konta firmowego zostanie prędzej czy później wykryta. Mam jednak na myśli sytuację, w których pozyskane dane zostaną wykorzystane do uzyskania, w nieuczciwy sposób, przewagi konkurencyjnej. Wyobraźmy sobie sytuację, w której firma przygotowuje ofertę do złożenia w postępowaniu przetargowym. Pozyskanie przez konkurencję informacji o proponowanych warunkach cenowych czy terminach realizacji prac pozwoli jej złożyć lepszą ofertę i uzyskać zamówienie. Przy czym nie jest to historia z literatury sensacyjnej – tego rodzaju sytuacje się zdarzały i obawiam się, że wciąż się zdarzają.

Oprócz skutków wpływających bezpośrednio na działalność operacyjną przedsiębiorstwa pojawiają się dodatkowo skutki prawne. Praktycznie w każdej organizacji przetwarzane są dane osobowe, a ich zakres i wolumen jest uzależniony od charakteru prowadzonej działalności. W przypadku naruszenia bezpieczeństwa danych osobowych przedsiębiorstwo mogą spotkać dotkliwe sankcje. Należy również pamiętać o zobowiązaniach kontraktowych w zakresie zabezpieczenia powierzonych danych – brak należytej ochrony przetwarzanych informacji może skutkować konsekwencjami odszkodowawczymi.

Na koniec warto pamiętać o skutkach ataków na wizerunek przedsiębiorstwa. Cyberbezpieczeństwo jest obecnie tematem bardzo medialnym i zdarzenie związane z utratą możliwości przetwarzania informacji, zwłaszcza w wyniku działania ransomware, czy też z wyciekiem pokaźnej ilości danych osobowych, stanowi wdzięczny temat publikacji – zwłaszcza gdy dotyczy dużego, znanego przedsiębiorstwa albo urzędów administracji rządowej czy samorządowej. Takiej reklamy raczej każdy wolałby uniknąć.

Czy firmy zabezpieczają zgromadzone dane w sposób właściwy? Jakie są najczęściej popełniane błędy, prowadzące do wycieku danych z firmy?

Można by powiedzieć, że gdyby dane były zabezpieczane w sposób właściwy, to nie byłoby incydentów bezpieczeństwa, ale takie stwierdzenie nie jest sprawiedliwe. Obawiam się, że przy obecnym sposobie przetwarzania danych w systemach informatycznych, przy powszechnym wykorzystaniu Internetu, a także przy niedoskonałościach oprogramowania incydenty będą się zdarzały. Dostawcy oprogramowania praktycznie non-stop publikują uaktualnienia usuwające tzw. podatności – słabe punkty umożliwiające przeprowadzenie mniej lub bardziej wysublimowanego ataku. Jeżeli ktoś nie zainstaluje tej aktualizacji, to można powiedzieć, że jest sam sobie winien, ale co jeżeli atak nastąpi przed jej publikacją?

Na pewno jednak w wielu przypadkach zabezpieczeniu systemów informatycznych wiele brakuje do doskonałości. Jednym z problemów, który zauważyliśmy, jest bezgraniczne zaufanie technologii. Mamy system antywirusowy, więc na pewno nie wydarzy się problem związany ze złośliwym oprogramowaniem. Mamy rozwiązania klasy UTM, więc jesteśmy zabezpieczeni przed atakiem ze strony Internetu. Praktyka, niestety, wskazuje, że technologia jest zawodna. Ataki ransomware zdarzają się pomimo wdrożonych systemów ochrony antywirusowej, penetracja serwerów pomimo zabezpieczenia styku z Internetem.

Problem, o którym mówimy, nie jest tylko spowodowany niedoskonałością i ograniczeniami rozwiązań technologicznych, ale także błędami w ich wdrożeniu i administracji. Przykładem mogą być wspomniane już przeze mnie rozwiązania klasy UTM, zabezpieczające styk z Internetem i posiadające dość rozbudowaną funkcjonalność, która niejednokrotnie wykorzystywana jest może w 10 procentach. W takiej sytuacji trudno spodziewać się, że infrastruktura informatyczna będzie należycie zabezpieczona.

Trzeba pamiętać, że ochrona przed cyberzagrożeniami, to nie tylko rozwiązania techniczne, ale także procesy zarządzania bezpieczeństwem. Tutaj z reguły jest najwięcej do zrobienia. Zdarzają się przypadki, gdy odchodzącemu pracownikowi nie są odbierane uprawnienia do dostępu zdalnego – w takim przypadku wciąż ma dostęp do systemów informatycznych przedsiębiorstwa. To samo zdarza się w przypadku pracowników firm zewnętrznych, które w przeszłości świadczyły usługi dla przedsiębiorstwa, ale których kontrakty dawno wygasły. Istotną bolączką jest zarządzanie podatnościami i monitorowanie działania systemów. Pierwszy z tych procesów zapewnia odpowiednio wczesne pozyskanie informacji o słabościach komponentów informatycznych pozwalających na przeprowadzenie cyberataku i podjęcie niezbędnych działań zapobiegawczych. Spotykaliśmy się z sytuacjami, gdy oprogramowanie nie było aktualizowane, mimo, iż nie było ku temu żadnych przeciwskazań. Drugi z procesów, tj. monitorowanie systemów, pozwala na odpowiednio wczesne wykrycie podejrzanych działań i właściwe zareagowanie. Dzięki temu procesowi możemy wykryć na przykład wyciek informacji w jego wczesnym stadium i odpowiednio zareagować. Zauważyliśmy tutaj pewien paradoks – na rynku dostępne jest oprogramowanie, które usprawnia proces monitorowania, gwarantując powiadamianie o tych zdarzeniach, które wymagają reakcji. Podczas wdrożenia system jest konfigurowany tak, aby  przy wystąpieniu większości zdarzeń przez niego monitorowanych administrator otrzymywał powiadomienie. W efekcie administrator otrzymuje dziesiątki, jeżeli nie setki powiadomień każdego dnia, więc ignoruje wszystkie – zarówno te mało istotne jak i te wymagające natychmiastowej reakcji.

Na wstępie mówiliśmy o atakach socjotechnicznych. Często problemowi poświęca się zbyt mało uwagi, a jest to jedna z bardziej efektywnych metod pozwalających na naruszenie bezpieczeństwa informacji przetwarzanych w systemach informatycznych. W powiązaniu z niedoskonałościami zarządzania uprawnieniami w systemach informatycznych daje to bardzo duże perspektywy intruzom.

Jakie kroki należy podjąć, aby zmniejszyć ryzyko cyberataków na firmowe dane?

W pierwszej kolejności sugerowałbym zastanowić się, z jakimi zagrożeniami związane jest największe ryzyko i w jaki sposób możemy się przed nimi zabezpieczyć. Proces zarządzania ryzykiem pozwala właśnie na takie oszacowanie bieżącej sytuacji i podjęcie racjonalnych decyzji co do dalszych działań. Wyobraźmy sobie, że w przedsiębiorstwie rozważane jest wdrożenie jednego z dwóch zabezpieczeń – wzmocnienia ochrony styku z Internetem lub zapewnienie szyfrowania informacji przechowywanych na dyskach serwerów. Należy postawić sobie pytanie, czy bardziej prawdopodobny jest atak ze strony Internetu czy kradzież dysków z serwerowni. Które z tych zdarzeń może spowodować poważniejsze skutki? Na podstawie takiej analizy można podejmować racjonalne decyzje.

Przy okazji zarządzania ryzykiem chciałbym wspomnieć o pewnej kwestii – otóż wielokrotnie analiza ryzyka traktowana jest jako formalność polegająca na kolorowaniu arkusza kalkulacyjnego, głównie kolorem zielonym, oznaczającym ryzyko akceptowalne, a więc nie wymagające podejmowania żadnych działań. Zjawisko to zaobserwowaliśmy w organizacjach, które z jakiegoś powodu są zobowiązane do szacowania ryzyka, czy to ze względu na wymagania prawne, regulacyjne czy korporacyjne. Oczywiście wartość takiego szacowania jest żadna – ocena ryzyka ma być narzędziem wspomagającym podejmowanie decyzji co do kierunków zabezpieczenia systemów informatycznych.

Wdrażając zabezpieczenia należy pamiętać o ich ograniczonej skuteczności. W związku z tym zalecane jest podejście polegające na wzajemnym ich uzupełnianiu się, tak, aby w przypadku nieskuteczności jednego z nich inne zadziałało prawidłowo. Podam trywialny przykład systemu antywirusowego – wyobraźmy sobie, że system antywirusowy analizujący pocztę elektroniczną znajduje się na urządzeniu sieciowym na styku z Internetem, dodatkowo na serwerze poczty elektronicznej i oczywiście również na komputerach użytkowników. Jeżeli wszędzie będzie to ten sam system antywirusowy, który akurat nie wykrywa określonego typu wirusa, to w żadnym z wymienionych uprzednio miejsc nie nastąpi detekcja zagrożenia. Jeżeli natomiast stosujemy różne oprogramowanie antywirusowe odpowiednio na urządzeniu sieciowym, serwerze poczty i komputerach użytkowników, to szansa, że w którymś z tych miejsc zostanie wykryte zagrożenie zwiększa się. Oczywiście takim rozwiązaniem, pochodzącym od różnych producentów, jest trudniej zarządzać niż zunifikowanym systemem, ale jest to kwestia podjęcia decyzji, czy zagrożenie jest na tyle istotne, że warto podjąć odpowiednie działania kosztem wygody administratorów.

Niezwykle istotnym zagadnieniem są procesy zarządzania cyberbezpieczeństwem. Bez ich poprawnego wdrożenia może okazać się, że zabezpieczenia techniczne zupełnie nie spełniają swojej roli. Przykłady podawaliśmy już wcześniej. Chciałbym tylko podkreślić, że wdrożenie procesów nie ogranicza się do ich opisanie w postaci procedur – one naprawdę powinny funkcjonować. I jeszcze jedno – może się okazać, że dany proces utrudnia realizację zadań biznesowych w sposób nieakceptowalny dla organizacji. W takiej sytuacji należałoby rozważyć znalezienie kompromisu, który zapewne będzie związany z przemodelowaniem procesu. Dam przykład – proces nadawania uprawnień użytkownikowi, ze względu na ilość instancji wymaganych do zatwierdzenia wniosku trwa tak długo, że nowy pracownik może de facto rozpocząć swoją pracę 3 tygodnie od dnia zatrudnienia. Pytanie, czy jest to akceptowalne z uwagi na efektywność działania organizacji i czy taki proces nie powinien być zoptymalizowany? Dodam tylko, że takie potworki aż się proszą, żeby wszelkimi sposobami je ominąć, co w konsekwencji prowadzi do totalnego ignorowania zasad bezpieczeństwa.

Przechodzimy tutaj do oceny skuteczności stosowanych zabezpieczeń. Dotyczy to zarówno zabezpieczeń technicznych jak i organizacyjnych. Ocena taka powinna być regularnie przeprowadzana, przy czym zalecane jest, aby oprócz wykonywania jej własnymi siłami, angażować również wyspecjalizowane podmioty zewnętrzne – pozwala to z jednej strony na bardziej obiektywną ocenę, a z drugiej umożliwia wykorzystanie doświadczeń zebranych przy współpracy z innymi organizacjami. Zasadniczym celem oceny skuteczności jest wskazanie obszarów cyberbezpieczeństwa, które powinny być doskonalone – w ten sposób należy podejść do tego zadania.

Na koniec chciałem przypomnieć o konieczności budowania świadomości pracowników w zakresie cyberbezpieczeństwa. To nie tylko szkolenia, aczkolwiek są one bardzo ważne. Praktyka pokazuje, iż regularne symulacje ataków socjotechnicznych, w tym phishingu, mają znaczący wpływ na zapewnienie odporności na tego rodzaju działania.

Jak ocenia Pan świadomość polskich firm w temacie cyberbezpieczeństwa? Jak wypadamy na tle innych europejskich krajów?

Wydaje mi się, że świadomość w temacie cyberbezpieczeństwa jest podobna. Różnice w świadomości nie są związane z narodowością, lecz bardziej z wielkością firm. W dużych organizacjach świadomość ta jest zdecydowanie większa, w mniejszych bywa gorzej. Zapewne wiąże się to z kwestiami budżetowymi, w tym z możliwością zatrudnienia wykwalifikowanego personelu odpowiedzialnego tylko za obszar cyberbezpieczeństwa. W małych organizacjach zatrudniani są „informatycy do wszystkiego”, którym najzwyczajniej brakuje czasu na zajęcie się cyberbezpieczeństwem – oczywiście do czasu, kiedy nie wydarzy się jakiś poważny incydent. Ponadto w małych organizacjach poziom dojrzałości procesów jest z reguły niższy, niż w przypadku dużych podmiotów, co przekłada się również na obszar zarządzania cyberbezpieczeństwem. Oczywiście są od tego wyjątki, ale w ogólności wygląda to mniej więcej w ten sposób.

Czy nasze dane, które są gromadzone przez instytucje państwowe są wystarczająco zabezpieczone i odporne na cyberataki?

Publikowane w mediach, od czasu do czasu, informacje o różnych naruszeniach bezpieczeństwa, w tym związane z ransomare, sugerowałyby, że nie wszędzie dane są wystarczająco zabezpieczone. Ocena niedociągnięć w zakresie zabezpieczenia danych wymagałaby przeprowadzenia szczegółowej analizy tych incydentów. O ile dobrze pamiętam, to zdarzenia te dotykały raczej urzędy administracji samorządowej.

W Polsce obowiązują przepisy nakładające na instytucje państwowe obowiązek zadbania o bezpieczeństwo systemów informatycznych. Przykładem jest chociażby rozporządzenie z 12 kwietnia 2012 r., ostatnio nowelizowane w 2016 roku, znane jako rozporządzenie KRI. Wskazuje ono ramowe działania, które muszą zostać podjęte w celu ochrony przetwarzanych informacji. Rozporządzenie to przywołuje podstawowe standardy zarządzania bezpieczeństwem informacji, jakimi są PN-ISO/IEC 27001 oraz PN-ISO/IEC 27002.

Podejmowane są działania w celu centralizacji przetwarzania informacji z wykorzystaniem rządowej chmury obliczeniowej, co moim zdaniem jest dobrym pomysłem ze względu na możliwość zapewnienia bezpieczeństwa systemów informatycznych wykorzystywanych przez administrację. Możliwości implementacji odpowiednich działań przez wyspecjalizowany podmiot odpowiedzialny za utrzymanie i zabezpieczenie scentralizowanego środowiska informatycznego są bez porównania większe niż przez poszczególne urzędy, zwłaszcza te mniejsze. Zastrzegam jednak, że odnoszę się tutaj do ogólnej koncepcji tego rozwiązania, ponieważ nie znam szczegółów jego realizacji.

W jaki sposób Galach Consulting pomaga firmom zapewnić bezpieczeństwo w Internecie?

Świadczymy usługi doradcze w zakresie cyberbezpieczeństwa. Wspieramy naszych Klientów w ocenie poziomu bezpieczeństwa informatycznego oraz określeniu, w oparciu o wyniki przeprowadzonego badania i szacowanie ryzyka, niezbędnych działań doskonalących. W miarę potrzeb pomagamy również we wdrożeniu tych działań. Chciałbym również dodać, że przeprowadzając ocenę i przygotowując rekomendacje nie opieramy się wyłącznie na suchych zapisach norm i standardów, ale przede wszystkim wykorzystujemy praktyczne doświadczenie zebrane podczas wielu realizowanych przez nas w przeszłości projektów. Pozwala to na dobór rozwiązań adekwatnych do specyfiki danej organizacji, tak aby były one właściwe z uwagi na jej działalność operacyjną.

Ocena, o której wspomniałem, obejmować może zarówno warstwę teleinformatyczną jak i organizacyjną, w szczególności procesy zarządzania cyberbezpieczeństwem. W ramach badania sprawdzamy obecność podatności pozwalających na przeprowadzenie cyberataku, a także możliwość ich rzeczywistego wykorzystania. Ocena bezpieczeństwa może również obejmować symulację ataków socjotechnicznych, co wraz z dostarczanymi przez nas materiałami szkoleniowymi pozwala na efektywne budowanie świadomości pracowników.

Realizujemy także projekty związane z budową systemów zarządzania bezpieczeństwem, obejmujących zdefiniowanie i wdrożenie procesów, polityk, regulacji i zasad postępowania. Celem takich projektów jest bardzo często dostosowanie funkcjonowania organizacji do określonych standardów – czy to w związku z potrzebą certyfikacji i uzyskania przewagi konkurencyjnej, spełnieniem wymagań regulacyjnych czy też dostosowania się do zasad korporacyjnych.

Nasze usługi obejmują również outsourcing procesów w obszarze zarządzania cyberbezpieczeństwem, co może być, zwłaszcza dla mniejszych organizacji, interesującą alternatywą wobec zatrudniania własnych specjalistów.


Adam Gałach jest twórcą, współwłaścicielem i prezesem zarządu Galach Consulting Sp. z o.o. Zagadnieniami bezpieczeństwa teleinformatycznego zajmuje się zawodowo od ponad 25 lat. Przed utworzeniem, w 2004 roku, firmy Galach Consulting, pracował w jednym z globalnych koncernów, gdzie kierował międzynarodowym programem budowy centrum kompetencyjnego w zakresie cyberbezpieczeństwa. Wraz ze swoim zespołem realizował projekty dla instytucji rządowych i samorządowych, a także firm reprezentujących szerokie spektrum sektorów gospodarki – poczynając od banków i instytucji finansowych, poprzez różnorakie firmy usługowe, kończąc na szeroko rozumianym przemyśle. Posiada uznane certyfikaty branżowe, jest autorem szeregu książek i artykułów poświęconych problematyce zarządzania bezpieczeństwem informacji i cyberbezpieczeństwem. Ma słabość do ciężarów – w wolnych chwilach trenuje trójbój siłowy.

Last Updated on 16 lutego, 2022 by Anastazja Lach