SECURE BLOG
Analizy i notatki o bezpieczeństwie informacji – bez uproszczeń
To miejsce na autorskie analizy i spostrzeżenia dotyczące bezpieczeństwa informacji. Poruszam tu tematy pomijane w mainstreamie, łącząc perspektywę techniczną, psychologiczną i organizacyjną.
Jak budować zaufanie – czyli naprawdę skuteczne security w organizacji?
1. Wstęp – czym naprawdę jest skuteczne security? Bezpieczeństwo rzadko zawodzi na poziomie technologii – najczęściej zawodzi w zderzeniu z rzeczywistością organizacyjną. Za błędem technicznym zawsze stoi proces, a za procesem człowiek - tak wygląda w praktyce ISMS....
SECURITY CARGO CULT – Kosztowne, ale za to nie działa
1. Cargo cult – samoloty z drewna i słomy Podczas II wojny światowej na wyspach Melanezji i w innych częściach Oceanii powstawały amerykańskie bazy wojskowe. Lądowały samoloty, pojawiało się zaopatrzenie, technologia, infrastruktura. Po zakończeniu działań wojennych...
Czy sztuczna inteligencja pracuje już dla przestępców?
Czy sztuczna inteligencja (AI) stanowi rzeczywiste zagrożenie? Czy może przełamać zabezpieczenia? Czy to już ten moment? Czy AI potrafi wykorzystać zaawansowaną wiedzę psychologiczną, by przekonać pracownika do pobrania i uruchomienia złośliwego oprogramowania? Jak...
Jak chat Custom GPT wyjawił poufne informacje z innej firmy?
ChatGPT nieoczekiwanie wyświetlił mi poufne informacje na temat pewnej firmy. Incydent ten zainspirował mnie do zadania dwóch prostych pytań: Czy użytkownicy ChatGPT faktycznie ładują do Custom GPT dokumenty zawierające poufne dane ich firm? → Tak. Czy da się z tych...
Gdy wszystko co masz nagle staje się publiczne – analiza wycieków danych
Wyobraź sobie, że wszystko, co masz na swoim służbowym komputerze – od plików firmowych po prywatne dokumenty – nagle staje się publiczne. Jak wyglądałaby Twoja reputacja i reputacja twojej firmy? Czy jesteś na to gotowy aby pokazać swój pulpit? Analizując publicznie...
W 3 minuty dostaliśmy się do komputera, ale… to że można wyciągnąć dane, nie jest wystarczającym argumentem, by coś zmienić.
Mentalność jest często niedocenianym parametrem co najmniej ważnym tak jak inne zabezpieczenia. To ona pozwala na nieskrępowane działania i pozyskanie danych z firmy. Jednakże nie ma w tym temacie zbyt rozwiniętej literatury, stąd uważam, że warto dzielić się...
Pułapki na platformach typu booking – analiza mechanizmu wymuszania skanów dokumentów przez wynajmujących
W minione wakacje podróżując po Europie doświadczyłem na własnej skórze praktyki stosowanej przez wynajmujących apartamenty, który polega na ukrywaniu przed najemcą warunków najmu, które... naruszają prywatność. O tych warunkach nie przeczytamy w opisie oferty noclegu...
Dlaczego ktoś miałby atakować naszą firmę?
Zapewne nie jedna osoba zajmująca się bezpieczeństwem słyszała tak sformułowane pytanie: Dlaczego ktoś miałby atakować naszą organizację? Pytanie jest bardzo zasadne, gdy jest zadawane przez osoby mające wpływ na strategię bezpieczeństwa. Często jednak można je...
Inteligencja emocjonalna i niepamięć – czyli dlaczego ujawniamy za dużo?
Zapewne w każdej organizacji zdarza się, że pracownik, mimo przeszkolenia i pełnej świadomości o konieczności ochrony informacji, wyjawia poufne dane podczas rozmów z osobami nieuprawnionymi. Czasami nie są to informacje ściśle zaklasyfikowane, ale w teorii mogące...
Jak rozpoznać tekst napisany przez chatGPT i dlaczego autorzy i specjaliści stosujący modele językowe tracą na tym?
Jakiś czas temu napotkałem się na raport przygotowany przez specjalistę ds. bezpieczeństwa. Raport był dość obszerny i zawierał pewne poprawne i ważne informacje, jednakże po lekturze pierwszych akapitów od razu wiedziałem, że mam do czynienia z tekstem wygenerowanym...
Odporność socjotechniczna wyzwaniem – a my ciągle powtarzamy o tych hasłach…
W przestrzeni mediów społecznościowych takich jak Facebook, LinkedIn znajdziemy dużo postów i publikacji, które są zaadresowane do świadomości użytkownika w celu zwiększenia jego wiedzy i świadomości w zakresie ochrony danych. Większość dotyczy kwestii używania...
Skutki wycieku danych medycznych na przykładzie niedawnego incydentu
Zazwyczaj podczas oceny incydentu intuicyjnie koncentrujemy na poszczególnych kategoriach danych osobowych traktując je odrębnie tzn. nie analizujemy niestety tego co wynika z wzajemnej korelacji tych danych, ani tego jaki będzie kształt utworzonej bazy jeżeli scalimy je z innymi danymi pochodzącymi z innych (np. otwartych) źródeł.
RODO i problem z procesorami (podmiotami przetwarzającymi)
Krótka refleksja, dość stary artykuł, ale wydaje się nadal aktualny. Po wejściu RODO firmy zasypywały się wzajemnie umowami powierzenia danych w sytuacjach, gdy było to zbędne ponieważ zachodziła jedynie relacja udostępnienia danych. Wiele podmiotów przejętych rolą...