výhonek Jack Koziol, zakladatel a generální ředitel společnosti Infosec – Rozhovory o kybernetické bezpečnosti – Unite.AI
Spojte se s námi
   rozhovory  
Jack Koziol, zakladatel a CEO společnosti Infosec – Cybersecurity Interviews
 mm
 aktualizováno on   
 
Jack Koziol, zakladatel a CEO společnosti Infosec, specializují se na posilování organizací a jejich zaměstnanců proti bezpečnostním hrozbám pomocí oceňovaného vzdělávání v oblasti bezpečnosti a ochrany soukromí. Uvědomit si, že kybernetická bezpečnost je úkolem každého, poskytují rozvoj dovedností a certifikační školení pro IT a bezpečnostní profesionály a zároveň rozvíjejí bezpečnostní schopnosti celé pracovní síly pomocí školení na zvýšení povědomí a simulací phishingu. Uznáván jako a Výběr zákazníků Gartner Peer Insights pokud jde o školení na počítačích zaměřené na informovanost o bezpečnosti, je Infosec také školicím odvětvím „20 nejlepších IT školicích společností“ a zlatým vítězem programu školení a vzdělávání v oblasti zabezpečení v rámci Global Excellence Awards průvodce Info Security Products Guide.
V roce 2003 jste začal pracovat v oblasti kybernetické bezpečnosti v Harris Bank, co vaše práce obnášela a jak se od té doby toto odvětví posunulo?
V roce 2003 jsem byl jediným profesionálem v oblasti kybernetické bezpečnosti, který v bance pracoval. V naší mateřské společnosti BMO jsme měli další mezifunkční role, ale v té době jsem byl jediným zaměstnancem na plný úvazek, který se kybernetické bezpečnosti věnoval. Změny v technologii – as nimi související rizika – dramaticky ovlivnily odvětví od doby, kdy jsem v Harris Bank. Rozpočty a velikost týmů na kybernetickou bezpečnost se zvýšily nejméně desetinásobně, aby udržely krok s hrozbami kybernetické bezpečnosti zacílenými na odvětví finančních služeb. To, co mi bylo před 15 lety přiděleno jako individuální přispěvatel, je nyní pravděpodobně řízeno týmem více než 100 profesionálů v oblasti kybernetické bezpečnosti.
Když jste pracoval v bance, vydal jste „The Shellcoder's Handbook“, jednu z prvních knih o etickém hackingu. Jaké bylo vaše myšlení v době psaní této knihy?
Když jsem knihu psal, primárním fórem pro sdílení informací souvisejících s exploitem byl mailing list s názvem BUGTRAQ. Příručka Shellcoder's Handbook zpřístupnila tyto poněkud tajemné informace tím, že je srozumitelným způsobem sdílela s mnohem širším publikem. Tolik lidí se v té době chtělo – a potřebovalo – dozvědět o exploitu psaní. Věděl jsem, že mohu naučit ostatní, jak psát softwarové exploity, pomocí praktických příkladů z vlastní zkušenosti. Sobecky jsem se také chtěl vymanit z práce pro banku a nasměrovat svou kariéru jiným směrem.
Mohl byste se podělit o příběh geneze Infosec?
Všechno to začalo poté, co jsem vydal The Shellcoder's Handbook. Jeho popularita vedla k potřebnému zájmu a povědomí o etickém hackingu a zranitelnostech softwaru, což vedlo k mnoha žádostem o výuku výcvikových táborů o softwarových exploitech, o kterých se kniha zabývá. Využil jsem prázdniny k výuce několika kurzů, ale nakonec mi došel PTO, takže jsem opustil svou každodenní práci v bance a dalších pár let jsem strávil cestováním po světě a učil lidi s korporátními pozicemi, jak hackovat. Bylo to docela zábavné.
Během té doby softwarový průmysl explodoval. Nové nástroje a platformy přinesly více bezpečnostních rizik, což vede k ještě větší potřebě školení v oblasti kybernetické bezpečnosti. A jak kyberzločinci rozšířili cíle ze softwaru na uživatele softwaru, poptávka po škálovatelném vzdělávání v oblasti kybernetické bezpečnosti založené na rolích raketově vzrostla.
V té době společnost Infosec rozšířila naše vzdělávací služby prostřednictvím softwaru jako služby a vyvinula největší světové vzdělávací platformy v oblasti kybernetické bezpečnosti, Infosec dovednosti  a  Infosec IQ. Obě platformy poskytují celému podniku praktická školení související s rolí, aby zaměstnanci získali znalosti, dovednosti a sebevědomí, aby přechytračili kybernetický zločin. Dnes se více než 70 % z Fortune 500 spoléhalo na dovednosti Infosec při rozvíjení svých bezpečnostních talentů a týmů a více než 5 milionů studentů po celém světě je díky školením Infosec IQ o bezpečnosti a phishingu odolnějších vůči kybernetickým problémům.
Mohl byste probrat některé z populárnějších certifikátů a kurzů kybernetické bezpečnosti, které Infosec nabízí?
Infosec poskytuje vzdělávání v oblasti kybernetické bezpečnosti založené na rolích pro celou organizaci – od účetního oddělení až po tým SOC. Vzhledem k tomu, že Infosec je vůči dodavatelům neutrální, pravděpodobně není překvapivé, že některé z našich nejoblíbenějších výcvikových táborů jsou ty, které připravují studenty na požadované certifikace, jako je CISSP, Security+ a Certified Ethical Hacker (CEH). To, co dělá Infosec jedinečným, je způsob, jakým připravujeme studenty na jejich zkoušky. Využíváme kombinaci pohlcujících přednášek a praktických laboratoří v kybernetickém rozsahu, abychom studentům pomohli učit se praxí a učit cenné dovednosti, které lze okamžitě aplikovat na jejich práci. The Kybernetická řada dovedností Infosec Skills je jednou z nejoblíbenějších vzdělávacích zkušeností na platformě a je to něco, do čeho letos intenzivně investujeme.
Na straně bezpečnostního povědomí a školení, naše nově vydané Vyberte si své vlastní hry Adventure® Security Awareness zcela změnily způsob, jakým naši klienti poskytují svým zaměstnancům povědomí o bezpečnosti a školení. Navázali jsme partnerství s týmem, který stojí za značkou Choose Your Own Adventure®, abychom přinesli vzrušení a tajemství oblíbené série gamebooků do programů pro zvyšování povědomí o bezpečnosti a školicí programy po celém světě. Tyto hry dávají studentům na starost vlastní školicí program zaměřený na povědomí o bezpečnosti s interaktivními příběhy, které podporují kritické myšlení a rozhodování – a přitom je školení zábavné.
Jak důležité je budování povědomí zaměstnanců o hrozbách kybernetické bezpečnosti?
Budování povědomí zaměstnanců o hrozbách kybernetické bezpečnosti poskytuje výhody nad rámec zabezpečení podnikových dat a dodržování předpisů. Kromě zřejmých výhod pomoci organizacím vyhnout se drahým, často škodlivým bezpečnostním incidentům, programy vzdělávání v oblasti kybernetické bezpečnosti chrání zaměstnance v práci i doma. Vědět, jak se vyhnout phishingovému útoku nebo jak zabezpečit IoT zařízení, může ochránit zaměstnance před zničujícími osobními ztrátami a dokonce před hrozbami pro jejich rodiny. Pochopení toho, jak zůstat v bezpečí online, už není jen pracovní záležitostí – je to životní dovednost. Nemůžeme být hrdější na to, že pomáháme našim klientům chránit jejich podniky, klienty a zaměstnance před kybernetickými hrozbami a zlými aktéry.
Jaká je nejčastější metoda, kterou se zaměstnanci stávají obětí exploitů nebo hackerů?
Většina výzkumníků v oblasti kybernetické bezpečnosti souhlasí s tím, že většinu úniků dat lze připsat lidské chybě. The nejnovější studie IBM X-Force Threat Intelligence Index uvádí ransomware, krádeže dat a přístup k serveru jako tři nejběžnější typy útoků v roce 2020 a skenování a zneužívání, phishing a krádež přihlašovacích údajů jako 3 nejčastější počáteční útoky. Phishing je velmi vážná a běžná bezpečnostní hrozba, a proto je široce pokryta médii. Realita je taková, že zatímco mnoho narušení začíná phishingem a malwarem, rozsah, v jakém hackeři získají přístup k citlivým informacím a systémům, je často odrazem IT infrastruktury organizace a celkového stavu zabezpečení. Nedávný incident SolarWinds je jen jedním z mnoha příkladů, kdy něco tak jednoduchého, jako je silnější politika hesel nebo efektivnější program pro zvyšování povědomí o bezpečnosti, mohlo zabránit velkému narušení.
Sečteno a podtrženo: Mezery ve znalostech kybernetické bezpečnosti na jakékoli úrovni organizace představují bezpečnostní rizika pro organizaci a měly by být zmírněny informovaností zaměstnanců o bezpečnosti a vzděláváním.
Kybernetická bezpečnost se neustále vyvíjí, jak často se musí zaměstnavatelé a zaměstnanci znovu seznamovat s potenciálními kybernetickými hrozbami?
Jako profesionálové v oblasti bezpečnosti jsme se učením nikdy neskončili. Naší odpovědností je vyvíjet se společně s potřebami technologií – a novými zranitelnostmi, které mohou přinést – a udržet si náskok před kyberkriminalitou. Profesionálům v oblasti kybernetické bezpečnosti doporučujeme alespoň 1–3 hodiny specializovaného vzdělávání týdně a měsíční školení zaměřené na zvyšování povědomí a simulace phishingu pro netechnické pracovníky.
Odborníci na vzdělávání dospělých často citují Ebbinghausova křivka zapomnění přivést domů důležitost častého školení zaměstnanců. Teorie v podstatě říká, že bez opakovaného opakování pro posílení nových znalostí zaměstnanci zapomenou 90 % nových informací během jednoho měsíce.
Praktické technické školení prostřednictvím kybernetického rozsahu nebo gamified bezpečnostní povědomí prostřednictvím a Vyberte si svou vlastní hru Adventure® Security Awareness Game je jen několik způsobů, jak pomáháme našim klientům učit se a maximalizovat uchovávání znalostí. Programy průběžného učení, jako jsou tyto, inspirují bezpečné návyky a zároveň pomáhají budovat kulturu bezpečnosti na pracovišti.
Děkuji za skvělý rozhovor, čtenáři, kteří se chtějí dozvědět více, by měli navštívit Infosec.
       
 Související témata:
 mm
Zakládající partner unite.AI a člen Technologická rada Forbes, Antoine je a futurista který je zapálený pro budoucnost umělé inteligence a robotiky.
Je také zakladatelem Cenné papíry.io, web, který se zaměřuje na investice do převratných technologií.