Szerokiej polskiej społeczności specjalistów IT kojarzy się głównie jako „gość, który prowadzi świetne prezentacje” - Rafał Łukawiecki, bo o nim mowa zgodził się przy okazji Dnia Bezpiecznego Komputera udzielić nam wywiadu i odpowiedzieć na szereg pytań. Materiał prezentuje się niezwykle interesująco - dziękujemy Panu Rafałowi za rozmowę i zapraszamy do lektury!
Witamy serdecznie. Szerokiej polskiej społeczności specjalistów IT kojarzy się Pan głównie jako „gość, który prowadzi świetne prezentacje”. Proszę powiedzieć, czym Pan się zajmuje i dlaczego robi to Pan poza Polską? :–)
Dziękuję bardzo za komplement! Prowadzenie prezentacji na bardzo złożone tematy techniczne jest moją pasją i czerpię wiele satysfakcji z poczucia, że komuś ułatwiłem pracę poprzez sprawne rozjaśnienie tematów, które z reguły są uważane za złożone, suche oraz nudne. Niestety nie mogę poprzestać tylko na prowadzeniu prezentacji konferencyjnych. Zajmuję się także udzielaniem konsultacji strategicznych związanych z tematyką bezpieczeństwa systemów informatycznych, oraz pomagam budować efektywne zespoły ludzi w oparciu o Microsoft Solutions Framework. Ponieważ wyjechałem z Polski już dawno, zaraz po upadku komunizmu, szukając lepszego gruntu dla mojej wyobraźni, już tak zostało. Jest mi bardzo miło powracać do Polski zawsze, a szczególnie dla celów profesjonalnych, bo jest to, dla mnie, znak posuwania się kraju w dobrym kierunku.
Na ile w kwestiach bezpieczeństwa swoich systemów IT firmy powinny polegać na własnych pracownikach, a na ile na zewnętrznych konsultantach? Kiedy i dlaczego warto zwrócić się o pomoc do konsultanta?
Bez wątpienia kaźda większa lub bardziej na ryzyko narażona firma musi zatrudniać kogoś, kto jest odpowiedzialny za całokształt bezpieczeństwa, zarówno od strony informatycznej jak i i z innych perspektyw operacyjnych. Zależie od charakteru działalności, niektóre firmy muszą także zatrudnić ekspertów od bezpieczeństwa: np. firmy telekomunikacyjne, finansowe itd. Niestety, ponieważ panorama naszej dziedziny jest bardzo zmienna, od czasu do czasu warto polegać na kimś kto ma diametralnie inny punkt widzenia, szczególnie, jeżeli ta osoba nie jest pod wpływem wewnętrznej polityki firmy. Między innymi, to pozwala na pracę w charakterze „advocatus diaboli“ dając firmie szansę uzyskać cenne ale czasami bardzo trudne do zaakceptowania opinie.
Jest Pan częstym i niezwykle cenionym gościem na wielu konferencjach na całym świecie. Proszę powiedzieć, co decyduje o sukcesie dobrej prezentacji – trzeba się urodzić z iskrą showmana, czy można się tego nauczyć?
Podobnie jak we wielu ścieźkach życia, naturalna pasja pozwala zamienić zwykłą pracę w coś bardziej specjalnego osiągając cenniejsze rezultaty. Myślę, że można nauczyć się wielu technik prezentacyjnych i być dobrym wykładowcą. By osiągnąć coś więcej trzeba w sobie znaleźć żyłkę do nieustannego udoskonalania swoich zdolności. Uważam, że jeszcze bardzo dużo jest przede mną i staram się uczyć od moich kolgów nowych podejść i zachowań. Tym samym, bardzo się opieram na komentarzach i wskazaniach moich miłych słuchaczy, którzy, na szczęście, są szczerzy i gotowi wskazać moje błędy i możliwości do ulepszenia.
W jakim kierunku będą się rozwijać systemy zabezpieczeń? Umacnianie zabezpieczeń serwerów, nacisk na końcówki i stacje robocze, nowe techniki kryptograficzne, biometryczne uwierzytelnianie...? Jak to będzie wyglądało za 5-10 lat?
Wszystko to i wiele więcej! Technologie bezpieczeństwa rozwijają się w tempie mnie zaskakującym – nie wiem, jak sobie będę radził starając się je wszystkie rozumieć, przynajmniej konceptualnie! Nie mniej jednak, uważam że sedno rozwoju zabezpieczeń jest w znalezieniu dobrych procesów i metodyk, które są w stanie pokazać nam o czym zapomnieliśmy lub gdzie nasze wysiłki nie idą w bilansie z pozimem zagrożeń. Niestety, sama technologia nam nie pomoże. Najsłabszym elementem zabezpieczeń jest nasze, ludzkie podejście. Wiele firm świata dalej uważa, że zakupienie nowego oprogramowania czy zainstalowanie ostatniej łatki rozwiąże ich problemy. Bardzo mi jest przykro kiedy muszę rozwiewać takie naiwne nadzieje i pokazywać, że problem do rozwiązania jest znacznie bardziej złożony i, niestety, trudniejszy do zaakceptowania, jako że wymaga zmian praktyk pracy oraz relacji międzyludzkich. Oczywiście, technologia pomaga bardzo, szczególnie kiedy rozwiązuje problemy techniczne. Na przykład, Windows Vista wspiera nową platformę kryptograficzną opartą o protokoły znane jako „Suite-B“. Jest to dobre posunięcie, ponieważ umożliwi znacznej liczbie ludzi na świecie odejść od technologii w dniu dzisiejszym uważanych za słabe lub zepsute, np. znanych algorytmów DES lub MD5 i SHA-1. Biometryka jest nadal na etapie „rozdmuchanych oczekiwań“ i na pewno doprowadzi do rozczarowań zanim skoncentrujemy się nad kilkoma jej dobrymi zastosowaniami. Smutno mi, że wiele rozpopularyzowanych projektów opartych o biometrykę ma na celu jej najmniej słuszne, a nawet błędne zastosowanie. Sprawia to, że prace prowadzone w tej dziedzinie pewnie się opóźnią, oczekując kiedy „kurz już opadnie“. Będę na ten temat się wypowiadał w moim seminarium na temat „Zarządzania tożsamością i udostępnianiem w środowiskach heterogenicznych“ (IAM), planowanym przez Microsoft na 11 Kwietnia tego roku. Zapraszam! :-)
Podchwytliwe pytanie ;–) Linux czy Windows – czy można jednoznacznie powiedzieć, że jedno jest bezpieczniejsze od drugiego? Dlaczego, i jeśli tak – to które? Czy może jest tak jak w wypadku finałowego pytania Gatekeepera – i to jest dobre i to …? :-)
Odpowiedź moja będzie nudna. Bezpieczeństwo ogólne systemu nie zależy już tylko od wyboru systemu operacyjnego – te czasy się, na szczęście, skończyły. Problem zawsze tkwi w całościowym, można powiedzieć „holistycznym“ podejściu do bezpieczeństwa, czyli, jak już wspomniałem, należy uwzględnić element ludzki i procesowy jako ważniejszy od technologii. Dodam, także, że nowsze ataki planowane na konkretne firmy i cele są atakami na poziomie aplikacji biznesowych, szczególnie tych napisanych lata temu, z reguły na wewnętrzne potrzeby firmowe. Nie mniej jednak, patrząc na pytanie ze strony użytkownika indywidualnego, szczególnie podróżującego z laptopem, jestem zainteresowany nowymi technologiami bezpieczeństwa planowanymi dla Windows Vista, np. techniką Secure Startup (bezpieczny start) oraz TPM-Based Full Volume Encryption (czyli szyfrowanie całego woluminu dysku twardego w oparciu o kryptografię korzystającą z elektronicznego układu TPM, Trusted Platform Module 1.2). Oczywiście, tylko czasy pokażą co Windows osiągnie w ten sposób.
Jak na bezpieczeństwo systemów IT wpływa Pańskim zdaniem dostępność kodów źródłowych do ich oprogramowania? To niezbędny warunek bezpieczeństwa, wartościowy dodatek czy też ważne jest tak naprawdę coś innego?
Jest to bardzo ważny element uzyskania większego poziomy zaufania do systemu, pod warunkiem, że na prawdę jesteśmy w pełni zrozumieć i przeanalizować kod żródłowy. Jeżeli mówimy tu o użytkownikach indywidualnych, to wątpię by wielu takie zdolności miało. Fakt, że coś ma opublikowany kod źródłowy w cale nie znaczy że został on dobrze przeanalizowany przez kogoś, komu ufamy. Mimo tego, myślę, że jeżeli jest to możliwe, to zawsze opublikowanie kodu źródłowego, przynajmniej dla elementów oprogramowania, ale lepiej dla całości jest bardzo wartościowe, jeżeli jest społeczeństwo ekspertów gotowych go przeanalizować. W świecie mniej skomercjalizowanym chciałbym bardzo by kod źródłowy był zawsze dostępny dla każdego. Rzeczywistość praw patentowych i dotyczących własności intelektualnej niestety nie pozwala na to zawsze. W takich sytuacjach jest bardzo ważne by produkty, których używamy posiadały certyufikaty bezpieczeństwa wydane przez organizacje, którym możemy zaufać. Polityka świata, niestety, sprawia że nie ma jednej takiej organizacji (i jej chyba nie będzie), ale dla wielu potrzeb firm europejskich certyfikacje amerykańskie FIPS-140-2, Common Criteria i podobne mogą wystarczyć. Oczywiście, warto by certyfikaty takie miały produkty, których kod źródłowy został udostępniony publicznie. Cieszy mnie, że wiele produktów firmy Microsoft uzyskuje takie certyfikaty, ale chciałbym by były one kwalifikowane do jak najszerzej pojętej domeny ich zastosowań.
Serdecznie dziękujemy za rozmowę!