Autor: Bogdan

Jak w Europie przygotowuje się specjalistów z cyberbezpieczeństwa? Polska jest dopiero na 18 miejscu.

Data wpisu 21 lutego 2021

W roku 2020 zostałem poproszony przez zespół CyberSec4Europe o określenie jakie zagadnienia dotyczące cyberbezpieczeństwa są uwzględnione w programie kursów na studiach magisterskich na kierunku informatyka, na Uniwersytecie Marii Curie-Skłodowskiej w Lublinie. O taką ankietę poproszono ponad 100 europejskich Uczelni z 28 krajów. W lutym w czasopiśmie IEEE Security & Privacy ukazał się artykuł zatytułowany „Are We Preparing Students to Build Security In? A Survey of European Cybersecurity in Higher Education Programs”, który odpowiada na pytanie, czy na Uniwersytetach w Europie odpowiednio przygotowujemy specjalistów z Cyberbezpieczeństwa.

Autorzy na podstawie frameworków ACM oraz NIST określili 9 głównych obszarów cyberbezpieczeństwa, wśród nich określono: Data security, Software security, Component security, Connection security, System security, Human security, Organizational security, Operate and maintain and Societal security. Autorzy sprawdzili w 28 krajach, jakie zagadnienia z cyberbezpieczeństwa są realizowane w ramach obowiązkowych przedmiotów programu studiów magisterskich. Szczegóły zostały zaprezentowane na poniższym rysunku.

Analiza pokazuje, że wszystkie obszary cyberbezpieczeństwa są w pełni realizowane w Hiszpanii oraz Francji (9 obszarów jest realizowanych w 100%, czyli przyjęto 900%). Niemcy są bardzo blisko, realizując 9 obszarów w 800%.

Pytanie, które miejsce zajmuje Polska w ramach 28 krajów, gdzie zostały przeprowadzone badania. Polska zajmuje 18 miejsce i w ramach 9 obszarów cyberbezpieczeństwa realizowanych jest wyłącznie 5 obszarów i zostały pokryte jedynie w 210%. Badania wykazały, że ponad 50% zagadnień dotyczących cyberbezpieczeństwa to Connection Security oraz Data Security. Inne poruszane zagadnienia to System Security, Software Security i Human Security.

Pytanie, dlaczego tak słabo wypada Polska w tym rankingu? Dlaczego na Uniwersytecie uczymy tylko niektórych zagadnień i są to głównie bezpieczeństwo danych (data security) oraz bezpieczeństwo sieci (connection security)? Moim zdaniem, główny powodem takiego stanu rzeczy na Uczelniach jest brak odpowiedniej infrastruktury oraz oprogramowania, które pozwalałaby uczyć czegoś innego niż bezpieczeństwa danych oraz bezpieczeństwa sieci. Do realizacji tych zajęć potrzeba tylko Linuxa, gdzie można nauczyć stosowanej kryptografii, przy pomocy aplikacji oraz biblioteki openssl. Bezpieczeństwo sieci uczy się pokazują wiresharska, czy iptables. Wspomniane tematy są bardzo ważne i dobrze, że są realizowane w ramach przedmiotów, ale żeby stać się specjalistą cyberbezpieczeństwa należy edukować z pozostałych 7 domen cyberbezpieczeństwa. Co więcej, ta edukacja nie może dotyczyć wyłącznie aspektów teoretycznych, należy zadbać o nauczanie praktyczne.

Cyberbezpieczeństwo Edukacja

Kiedy zacząć edukację w dziedzinie cyberbezpieczeństwa?

Data wpisu 14 lutego 2021

Od kilkunastu lat prowadzę wykłady z cyberbepiezeństwa, zarówno na Uniwersytecie Marii Curie-Skłodowskiej w Lublinie jak i na Polsko-Japońskiej Akademii Technik Komputerowych w Warszawie. Przedmiot cyberbezpieczeństwo jest realizowany na 3 roku studiów. Na początku wykładów pytam: Ile osób pracuje w domenie cyberbezpieczeństwa? Z grona około 200 studentów zgłasza się zazwyczaj tylko 2-3 studentów. Trzeba zaznaczyć, że około 75% studentów na 3 roku studiów, na kierunku Informatyka, już pracuje. Zadałem sobie zatem pytanie, dlaczego tylko 1% studentów wybiera kierunek cyberbezpieczeństwo? Przecież, według badań Forbsa, jest to najlepiej opłacany zawód w ramach IT (w zeszłym tygodniu mój znajomy otrzymał bardzo ciekawą ofertę z wynagrodzeniem 50 tysięcy na miesiąc). Dodatkowo, praca jako cyberspecjalista jest niezwykle ciekawa, nie towarzyszy jej monotonia, to także praca, którą można wykonywać zdalnie z dowolnego miejsca na Ziemi.

Mam pewną hipotezę w tej sprawie. Moim zdaniem edukację cyberbezpieczeństwa zaczynamy zdecydowanie zbyt późno. Jeżeli pierwszy kontakt z tą tematyką mają studenci dopiero na 3 roku, to wówczas trafia to do osób, które już posiadają odpowiedni warsztat programistyczny i już pracują i rozwijają się w konkretnej technologii. Jeżeli jeszcze nie pracują, to są na etapie poszukiwania pracy, a wejście w tematykę cyberbezpieczeństwa zajęłoby im dodatkowy rok nauki. W takie sytuacji studenci wybierają pracę jako programiści.

Moją hipotezę zdają się potwierdzać studenci, ponieważ zapytałem ich wprost: Czy warto rozpoczynać edukację cyberbezpieczeństwa wcześniej? Przeprowadziłem ankietę, w której wzięło udział 103 studentów i 73 z nich stwierdziło, że według nich rozpoczęli edukację w tym zakresie zbyt późno. Zapytałem tych samych studentów, czy chcieliby pracować jako specjalista ds. cyberbezipieczeństwa. Wśród zapytanych 103 studentów, 16 odpowiedziało zdecydowanie pozytywnie, a aż 58, poważnie zastanawiają się na wyborem tej drogi kariery. Duże zainteresowanie cyberbezpieczeństwem świadczy o tym, że ta tematyka wzbudza ciekawość. Nie mniej jednak, analizując dalszą karierę studentów, tylko nieliczne osoby wybierają cyberbezpieczeństwo. Zazwyczaj decydują się na pracę dostępną od zaraz i zostają programistami.

Kiedy zatem warto zacząć naukę w dziedzinie cyberbezpieczeństwo? Moim zdaniem, tym czasem jest szkoła średnia lub nawet 7-8 klasa szkoły podstawowej. Warto poznać środowisko pracy cyberspecjalisty, czyli system Kali Linux. Dodatkowo, trzeba poznać zasady działania sieci komputerowych, systemów bazodanowych oraz nauczyć się automatyzować zadania, pisząc skrypty w języku python lub używając skryptów powłoki. Aktualnie mam opiekę merytoryczną nad grupą osób, które przygotowują się do zawodu cyberspecjalisty i uczą się wcześniej wspomnianych zagadnień. Są to osoby, które uczęszczają do 7 klasy szkoły podstawowej oraz 1 klasy szkoły średniej i muszę stwierdzić, że przy zastosowaniu odpowiednich metod edukacyjnych, to jest dobry moment na rozpoczęcie budowania kompetencji w tym zawodzie.

Myślę, że warto zadbać o to, żeby wprowadzać edukację w tym zakresie przynajmniej w szkole ponadpodstawowej, dzięki czemu w przyszłości będziemy mieli wystarczająca liczbę kompetentnych osób, które będą chroniły nas w Cyberprzestrzeni.

Badania naukowe Startups

Badania teoretyczne kontra badania, które mogą być podstawą produktu.

Data wpisu 7 lutego 2021

Jako pracownik naukowy przez 20 lat pracowałem nad różnymi technologiami. Pierwsze 15 lat zajmowałem się zagadnieniami teoretycznymi, zaprojektowałem kilka protokołów kryptograficznych oraz inne systemy związane z cyberbezpieczeństwem. Nazywam te zagadnienia teoretycznymi, ponieważ prace kończyły się na analizie formalnej, prostej implementacji prototypu oraz oczywiście analizą spełnienia postawionych hipotez. Ostatnie 5 lat skupiłem się na badaniach, z których będzie można zrobić produkt technologiczny.

Muszę przyznać, że badania teoretyczne od badań z tak zwanym potencjałem komercjalizacji znacznie się różnią. W przypadku tych drugich należy wyjść od strony biznesowej, czyli zadać sobie pytanie, czy na podstawie wytworzonej technologii, algorytmu, mechanizmu będzie można utworzyć produkt, który będzie miał przewagę pozwalającą mu zdobyć część rynku. Wyjście od strony biznesowej już na starcie wyeliminowało 4/5 prowadzonych przeze mnie badań. Część z nich była czysto teoretyczna i z małą szansą na wdrożenie. Inna część badań dotyczyła tematów, które są topowymi tematami badawczymi w cyberbezpieczeństwie, czyli systemów WAF, DDoS, czy detekcji Malware. W laboratorium uzyskiwaliśmy podobne rezultaty do tych, które charakteryzują produkty istniejące na rynku, a w pewnych aspektach, mieliśmy nawet lepsze wyniki. Tutaj pojawił się problem, ponieważ nasze wyniki były lepsze tylko w kilku procentach, co było rzeczywiście wystarczające do napisania dobrego artykułu naukowego, ale dla biznesu było to zbyt mało, ponieważ taka przewaga daje małą szansę, żeby wejść na rynek.

Dzisiaj motywacją moich badań nie jest możliwość udoskonalenia stanu wiedzy o kilka procent oraz praca w obszarach, które są teoretyczne. Takie badania mogą być przedmiotem bardzo dobrych artykułów naukowych, ale trudno na ich podstawie zbudować produkt. Jestem zdania, że chcąc prowadzić badania, które mogą być podstawą produktu, należy rozpocząć od mocnego rozeznania rynku. Jest to odwrócenie tradycyjnej sytuacji, ponieważ dzisiaj szukam w obszarze moich kompetencji istniejących rozwiązań wprowadzonych już na rynku. W kolejnym kroku mocno je analizuje i szukam słabości tych rozwiązań, ale pod kątem klienta, czyli strony, która będzie odbiorcą przyszłego produktu. Jak znajdę potencjalne, znaczne udogodnienie dla klienta, dopiero wtedy szukam pomysłu na rozwiązanie technologiczne. Dla mnie istotne jest to, żeby te zmiany opierały się o nową technologię, ponieważ właśnie posiadanie nowej technologii pozwala zdobyć i utrzymać część rynku.

Moja praktyka wskazuje, że z potencjalnych 10 ciekawych tematów badawczych, 1-2 ma potencjał pozwalający oczekiwać, że będą podstawą produktu technologicznego, który wejdzie na rynek. Uważam, że prowadzenie badań nad technologiami z potencjałem rynkowym jest o rząd wielkości trudniejsze od tych, które nie muszą spełnić tego kryterium. Dodatkowo, do prowadzenia takich badań istotny jest również aspekt rozumienia biznesu i analizy potrzeby klienta. Pomimo tej trudności, właśnie takie badania dają mi mnóstwo satysfakcji i motywują mnie oraz moją grupę badawczą.

Cyberbezpieczeństwo

Czy kasować aplikację WhatsApp?

Data wpisu 28 stycznia 2021

W tym tygodniu podczas wykładu z Cyberbezpieczeństwa zapytałem studentów, co myślą o masowym przechodzenia użytkowników z WhatsAppa (WA) na inne komunikatory? Jaki widzą problem związany z Cyberbezpieczeństem? Większość studentów nie miała zdania na ten temat i nie byli wstanie wyjaśnić mi przyczyny problemu. Po pewnym czasie jednak pojawił się głos, że problem jest związany z przekazywanie danych użytkowników do Facebooka. Zapytałem wówczas studentów, czego szczególnie się obawiają w tym przypadku? Jakie przekazywane dane szczególnie nie powinny być przekazywane? Nie dostałem odpowiedzi na to pytanie. O czym to świadczy? Poglądy budujemy w oparciu o nagłówki, które pojawiają się w mediach oraz ewentualnie ich pobieżną analizę.

Postanowiłem sprawdzić, jakie dane będą przekazywane od 8 lutego z aplikacji WhatsApp do Facebooka. Jeżeli nie zgodzimy się na nową politykę prywatności, konto na WA zostanie skasowane. Warto dodać, że aplikacja WA jest własnością firmy Facebook.

Wśród listy udostępniany danych można wymienić: czas i długość sesji, ustawienia, grupy, lokalizację, połączenia, płatności, id Facebooka i szereg innych informacji. Na co dzień zajmuję się wykorzystaniem sztucznej inteligencji w różnych obszarach i muszę stwierdzić, że na podstawie takich danych będzie można utworzyć bardzo dokładne profile użytkowników. Profile te będą z wysoką skutecznością określały, jakie zainteresowania ma użytkownik, co jest dla niego ważne, jakie czynniki wpływają na system podejmowania decyzji przez użytkownika i szereg innych właściwości opisujących osobę.

Myślę, że szczególnie niebezpieczne jest połącznie pobieranych z WhatsAppa danych z tymi, które aktualnie są zbierane przez aplikację Facebook (WA ma przekazywać id Facebooka). Dzięki połączeniu danych z tych dwóch aplikacji zostaną utworzone modele, które będą jeszcze bardziej precyzyjnie określały profil użytkownika i będą mogły wzbogacić swoją analizę o dodatkowe atrybuty.

Dodatkowo, dzięki pobieraniu wspomnianych danych, Facebook jako właściciel WhatsAppa, zwiększy liczbę osób, których profil będzie posiadał. Będzie tak, ponieważ sporo osób używa WA, ale nie posiada konta na Facebooku.

Decyzję dotyczącą kasowania aplikacji WhatsApp pozostawiam indywidualnie każdej osobie. Ja 7 lutego użyję tej aplikacji po raz ostatni.

Tagi Artificial Inteligence, Cybersecurity, Social media