Chmura — czy wszystko da się do niej przenieść? Czy jest bezpieczna? Wywiad z Mateuszem Dudkiewiczem
Od pracownika ochrony do inżyniera ds. rozwiązań w chmurze, konsultanta firmy emagine — tak wygląda w skrócie ścieżka kariery Mateusza Dudkiewicza, z którym rozmawiamy m.in. o tym, czy chmura jest bezpieczna, co można, a czego się nie da do niej przenieść, a także o sztucznej inteligencji i tym, dlaczego ludzie się jej boją.
Spis treści
Cześć! Opowiedz, proszę, na początek, jak wyglądała Twoja ścieżka zawodowa do teraz — czyli do momentu stania się specjalistą w obszarze chmury?
To chyba dość ciekawa historia — bo pracę na pełen etat rozpocząłem dość wcześnie, zaraz po maturze. Pierwszym moim zajęciem była praca w ochronie. Potem krótki epizod w tzw. doradztwie finansowym, czyli de facto sprzedaży produktów finansowych aż do pierwszej styczności z technologią, czyli praca w telefonicznym wsparciu technicznym jednego z telekomów.
W międzyczasie zacząłem studia IT, ale cały czas pracowałem, przechodząc przez stanowiska m.in. realizatora w telewizji, technika multimediów scenicznych, docierając do stanowiska specjalisty wsparcia IT, które było pierwszym tak realnie stanowiskiem pracy „informatyka”. To stąd w krótkim czasie udało mi się przeskoczyć do zarządzania systemami firmowymi — serwery, sieci, VoIP, bazy danych — małe firmy mają to do siebie, że pojedynczy pracownik ma bardzo szeroki obszar działania, a dla rozwoju młodego człowieka to doskonałe środowisko.
Przyszedł jednak czas na zmianę i własną działalność, która nie okazała się sukcesem. Próbowałem sił w tworzeniu serwisów internetowych i o ile z całym uniwersum komputerowym potrafiłem się dogadać, o tyle brak doświadczenia w prowadzeniu biznesu i umiejętności zabezpieczenia własnych interesów w relacjach z klientami sprawił, że wróciłem do wsparcia IT na B2B i po około roku porzuciłem własną firmę.
Trafiłem następnie na stanowisko Team Leadera zespołu wsparcia i administracji, potem praca w dużym korpo, a następnie sławny skandynawski model pracy oraz umowa B2B 🙂 I to był moment, w którym chmura okazała się naturalnym procesem rozwoju środowisk IT, dającym elastyczność, szybkość wdrożeń, brak konieczności utrzymywania całej infrastruktury i stojących za nią zespołów administratorskich.
A więc w chmurę wszedłem niejako „niechcący”, tak zwyczajnie, pojawiła się ona w obszarze, którym się zajmowałem, więc zająłem się i nią 🙂 I tu objawiła mi się ciekawa cecha chmury — nagle na wyciągnięcie ręki mamy dostęp do zarówno środowisk Linux jak i Windows, Load Balancerów, sieci, narzędzi do szyfrowania, Firewalli, środowisk do AI — a zatem znów jest to środowisko wymagające zaangażowania bądź doświadczenia w bardzo wielu obszarach. Dlatego chmury są fajne 🙂
Fajne również dlatego, że wbrew pojawiającym się opiniom nie zabierają nam pracy. Nadal my, ludzie IT, zajmujemy się całą infrastrukturą, tylko nie stoi ona już w serwerowni obok ,a jest umieszczona gdzieś…w chmurze. Właśnie dzięki niej wytworzyły się takie obszary jak choćby DevOps.
I jak widać, to nie jest coś odległego — przy odrobinie uporu można zacząć od pracownika ochrony, by po jakimś czasie bujać w obłokach infrastruktury IT.
Obecnie pracujesz dla klienta z branży finansowej. Jakie projekty aktualnie realizujesz w obszarze chmury?
Ze względu na swoją atrakcyjność chmura przejmuje coraz więcej zadań, które jeszcze przed chwilą wymagały posiadania i utrzymywania rozbudowanej infrastruktury. Dlatego duża część projektów to migracje do chmury, oraz wdrożenia nowych rozwiązań, niedostępnych tak łatwo bez niej, jak choćby sieci CDN.
Sieci CDN?
Content Delivery Network — rozwiązanie tworzące rozproszony system dostarczania usług użytkownikom. Chodzi o to, że aby obsługiwać użytkowników z wielu kontynentów, nie muszę dziś posiadać infrastruktury w Europie, osobnej w Australii, a jeszcze osobnej w Ameryce. Kilkoma kliknięciami można stworzyć sobie taką rozległą infrastrukturę w chmurze. To bardzo efektywne kosztowo i czasowo rozwiązanie.
Ale przecież przez internet mogę wysyłać dane między kontynentami, nie posiadając sieci CDN, prawda?
Tak, ale serwując, czyli dostarczając usługę użytkownikom, taką jak choćby witryna internetowa, chcesz, by była ona dostępna dla każdego i natychmiast. Lokalizacja geograficzna serwerów ma znaczenie dla opóźnień, prędkości działania, czyli ogólnie wpływa na tzw. User Experience. Zatem gdy spróbuję dostać się na stronę w domenie .pl podczas pobytu w USA, to będzie ona się ładować dłużej, niż gdy będę w Polsce.
Rozwiązaniem tego problemu dedykowanym dla właśnie takich zastosowań może być CDN. To znaczy samo „wyklikanie” CDN-a w chmurze to za mało, ale chodzi mi przedstawienie istoty działania CDN-ów. Pozwalają one po prostu „keszować”, czyli zapamiętywać content na węzłach rozłożonych po całym świecie, przyspieszając tym samym działanie serwisu. Przy wysyłce przysłowiowej paczki ze zdjęciami do USA ta natychmiastowa reakcja nie jest tak ważna.
I CDN poprawia User Experience?
Zdecydowanie — a User Experience jest ważny dla czasu pobytu użytkownika na stronie, czy jego chęci powrotu do naszego serwisu. Z biznesowego punktu widzenia to ma bardzo dużą wartość.
Rozumiem. Ale pracujesz dla klienta z branży finansowej — dla niego też ważny jest User Experience?
No jasne — finanse są na tyle istotną częścią naszego życia, że User Experience może zaważyć o tym, czy włączymy dane rozwiązanie w ten osobisty obszar, czy nie. Tylko na trochę innych wskaźnikach będzie opierał pomiar satysfakcji klienta. O ile dla serwisów informacyjnych ważne jest przyciągnięcie uwagi użytkownika na jak najdłuższy czas, o tyle bankom zależy na tym, by klient mógł wykonać interesujące go operacje jak najszybciej, najwygodniej, bez czekania na reakcję systemu i w poczuciu, że wszystko dzieje się bezpiecznie.
Wspomniałeś o bezpieczeństwie. Jak zatem wygląda przenoszenie usług z infrastruktury firmowej do publicznych miejsc? Jakie niebezpieczeństwa mogą tutaj czyhać?
Każde środowisko ma swoje specyficzne cechy. Nie inaczej jest z chmurą. Ale może zacznę od infrastruktury on-site albo on-prem, czyli tej, która znajduje się w strukturach firmy. Tutaj od początku do końca to firma i zatrudnione przez nie zespoły specjalistów odpowiedzialne są za opracowanie zabezpieczeń, wdrożenie ich, utrzymanie ich najwyższego poziomu, stałe śledzenie pojawiających się zagrożeń — innymi słowy cała ta odpowiedzialność spoczywa na nas, informatykach.
W chmurze jest ona podzielona pomiędzy dostawcę chmury a jej klienta. Czyli to dostawca chmury ma zadbać o to, by używane przeze mnie zasoby były bezpieczne. Tzn. jeśli użyję platformy do umieszczenia strony internetowej i wrzucę tam „dziurawy” kod, to na nic zda się ten podział, ale dzięki temu, że nie muszę się martwić aktualizacjami web servera, bibliotek, frameworków, mogę — jako firma — skupić się na jak najlepszym kodzie. To bardzo korzystne rozwiązanie.
On-site, on-prem… sporo obcych terminów. Co to znaczy?
No tak… To taki żargon informatyczno-korporacyjny. Nie mamy dzisiaj telekonferencji, tylko calle, mitingi, szeringi… Podobnie jest w infrastrukturze — tam wszystko ma swoje nazwy angielskie i podstępnie przenika to do rozmów między kolegami. To, z czego sami czasem się podśmiewamy, staje się naszą rzeczywistością…
On-site i On-prem (od: on premises) to to samo i jest przeciwieństwem chmury, czyli oznacza infrastrukturę utrzymywaną wewnątrz struktur firmowych.
No dobrze, ale wróćmy do tego jak oceniasz ogólny poziom bezpieczeństwa chmury? Czy istnieje pewna obawa przed atakami na zgromadzone tam dane?
Taka obawa istnieje zawsze, ale chmura nie jest wcale jakaś szczególna w tym obszarze.
Istnieje framework opracowany przez organizację Mitre o nazwie ATT&CK – czytany jako Attack. Zakłada on, że do ataku prędzej czy później dojdzie — kwestia czasu. Nie pytamy, „czy”, tylko „kiedy”? I to nie jest pesymizm, tylko rozsądek, bo ustanawia on pewien mindset (znowu angielskie słowo) – czyli przekonanie, że wszystko, co budujemy, powinno być od początku do końca bezpieczne. Nie robię czegoś na chwilę — bo potem tego nie poprawię. Dlatego należy postępować według ustalonych procedur.
Framework ATT&CK mówi, że do ataku dojdzie na pewno, ale nie mówi przecież, że będzie on skuteczny. A tych ataków, szczególnie zautomatyzowanych, które polegają na zwykłym skanowaniu podatności — na ślepo, po całym internecie, czy wyszukiwaniu otwartej furtki do infrastruktury pozostawionej tam tylko na chwilę, w tej sekundzie odbywa się kilka tysięcy. W skali światowej może i kilka milionów. A zatem chmura sama w sobie nie definiuje bezpieczeństwa czy jego braku — to tylko narzędzie, platforma do budowania infrastruktury. To od nas zależy, jak jej użyjemy.
To mamy się czego obawiać czy nie?
Obawiać — nie. Ciągła obawa o bezpieczeństwo stałaby się obsesją 😉
Jeśli myślimy o niebezpieczeństwie w takim kontekście, że dostawca chmury może gdzieś zawinić, o czymś zapomnieć, coś skonfigurować źle — owszem, takie ryzyko zawsze istnieje, ale nie jest ono wcale mniejsze w on-premie, gdzie też możemy zainstalować oprogramowanie, albo użyć urządzenia, które ma podatności. I chmura ma tu nawet pewną przewagę.
Tak obrazowo mówiąc: jako informatyk zajmujący się on-premem muszę śledzić bieżące informacje dotyczące trzech używanych przeze mnie systemów operacyjnych, pięciu typów web serverów, czterech typów baz danych i jeszcze urządzeń sieciowych, których używam. Zadanie niemal niemożliwe do zrealizowania na bieżąco. W chmurze ta odpowiedzialność przejęta jest przez zespoły, z których każdy opiekuje się swoją częścią. Dlatego należałoby wierzyć, że chmura jest paradoksalnie bardziej bezpieczna.
Czy istnieją obszary, które teoretycznie nie są przenoszalne do chmury?
Hmm… Jeśli by spojrzeć na ten problem szeroko, to tak, zawsze coś takiego znajdziemy. Na przykład nie da się przenieść do chmury naszych komputerów, na których pracujemy. To znaczy, można przenieść tam ich moc obliczeniową, przez co nasze maszyny mogą być tańsze, mniej prądożerne, mniejsze, ale nadal potrzebujemy tego fizycznego terminala, by dostać się do usług chmurowych.
Podobnie jest z siecią w biurach, czy z liniami produkcyjnymi i systemami do ich obsługi. Same usługi z zasady są „przenoszalne”, ale też nie zawsze tak po prostu i trzeba je dostosować do specyfiki środowiska chmurowego.
Pewnie dałoby się mnożyć przykłady z obszaru urządzeń użytku codziennego, natomiast jeśli chodzi o usługi, to ważne jeszcze jest spojrzenie na problem z perspektywy wymogów prawnych. W Polsce mamy dość restrykcyjny przepis wymagający utrzymywania danych bankowych w geograficznych granicach kraju. To znaczy, że takie usługi mogą pójść do chmury, ale jej dostawca musi ich dane utrzymywać na urządzeniach fizycznie znajdujących się w Polsce.
Nie jesteśmy jedynym krajem o takich wymaganiach, choć nadal jest to dość restrykcyjne wymaganie w porównaniu z większością innych. I nie każdy dostawca chmury może podołać takiemu wymaganiu. Dlatego nie jest tak, że przenieść do chmury można wszystko i zawsze.
Jak widzisz przyszłość chmury? Co się zmieni, co będzie można tam przenosić, jakie platformy chmurowe zyskają na popularności i będą dalej rozwijane?
Na pewno idea chmury będzie się rozwijać. Dostawcy będą chcieli zaspokoić potrzeby również krajów o najbardziej restrykcyjnych wymaganiach. Będzie też coraz więcej zasobów wykorzystujących sztuczną inteligencję. I nie mówię tu o algorytmach Machine Learningu, ale o sztucznych sieciach neuronowych — tym, co stanowi podstawę prawdziwego AI (Artificial Intelligence). Na pewno nie obserwujemy stagnacji w tym obszarze — chmura to przyszłość, a nie tylko moda.
Zresztą z biznesowego punktu widzenia rozwój chmury jest bardzo korzystny. Przykład: mam pomysł na aplikację, która przetwarza dużą ilość zdjęć i filmików użytkowników i potrzebuję do tego mocnej infrastruktury. Nie muszę jej kupować za miliony — podpinam kartę kredytową do konta w chmurze i kilkoma kliknięciami uruchamiam infrastrukturę w modelu pay-as-you-go – płacę za to, czego faktycznie użył mój biznes i na czym zarabia pieniądze. Chmura znacznie obniżyła próg wejścia na rynek startupom — dlatego ja widzę tu jeszcze duże pole do popisu 🙂
A może powinniśmy obawiać się bardziej AI niż chmury?
Ponownie — czemu mielibyśmy się czegoś obawiać?
Bo dużo słyszy się o nieograniczonych możliwościach AI, rozmowach z komputerem, generowaniu wierszy, muzyki, obrazów — nie jest to powód do strachu?
Dużo słyszymy o algorytmach znanych od lat, które teraz zyskały bardziej nośną marketingowo nazwę, czyli AI. W internecie mamy mnóstwo informacji o tym, że AI wygenerowała piosenkę, AI wygenerowała zdjęcie, AI zmodyfikowała filmik, tworząc tzw. Deep Fake’a. Ale nie każdy algorytm to sztuczna inteligencja. Nawet ten uczący się. ChatGPT to nie jest sztuczna inteligencja. A przynajmniej nie w takim znaczeniu, jakiego niegdyś uczono, mówiąc o AI. To złożony algorytm — procesor mowy ludzkiej wykorzystujący mechaniki Machine Learningu do tworzenia „bazy wiedzy”. Poza tym to ani nie jedyne, ani nie pierwsze rozwiązanie tego typu, ale narobiło dużo szumu medialnego.
Prawdziwe AI, którym jesteśmy straszeni i które ma „przejąć władzę nad światem”, to złożone sztuczne sieci neuronowe. I faktycznie są prowadzone prace nad ich ciągłym rozwojem — sztuczny neuron znamy już od lat i posiada on implementacje zarówno sprzętowe jak i programowe. Ilość neuronów w istniejących sieciach — choć zależy ściśle od jej zastosowania — osiąga już liczbę 86 miliardów i więcej, czyli jest to liczba odpowiadająca ilości neuronów w ludzkim mózgu.
Czy to znaczy, że komputery potrafią już samodzielnie myśleć? Nie, bo liczba neuronów to nie wszystko. To, co definiuje ludzką inteligencję to liczba synaps, czyli połączeń międzyneuronowych. A tych we współczesnych sztucznych sieciach neuronowych jest nawet 175 miliardów. Tylko że w ludzkim mózgu jest ich 100 bilionów — dziesięć i 14 zer. Dzisiejsze sieci neuronowe nie wykazują cech samoświadomości.
Ale istnieje szansa, że wraz z rozwojem technologii zaczną?
Zdania ekspertów są tu podzielone. Organizmy żywe są „napędzane” instynktami i potrzebami pierwotnymi lub wyższego rzędu, które powodują choćby dążenie do władzy. Maszyna, nawet taka, która zyska samoświadomość, pozbawiona będzie wszystkich pierwotnych instynktów, więc trzeba je będzie jej wprogramować.
AI bez instynktów przetrwania i przekazania gatunku może po włączeniu rozejrzeć po otoczeniu, i po zebraniu danych stwierdzić, że jej egzystencja nie ma sensu i się wyłączyć 🙂 Jeśli zaprogramujemy jej instynkt przetrwania i potrzebę rozwoju może zobaczyć w nas sojuszników — nie wrogów. AI nie wymieni sobie sama wadliwego dysku, nie dołoży kostki RAM. Zatem strach oparty jest o założenie, że maszyny będą z nami walczyć — w mojej ocenie bardziej prawdopodobne jest, że będzie wręcz przeciwnie.
To trochę uspokajające. Ale czy rozwój chmury nie sprawi, że AI będzie pochłaniać coraz więcej zasobów, stając się coraz silniejsza i przekraczając liczbę ludzkich neuronów?
Taka nawet teoretyczna możliwość wynika znowu z pewnych założeń. AI wyobrażamy sobie jako jakąś centralną jednostkę, która podłączona do Internetu i technologii zacznie nam je powoli odbierać. Zresztą to podejście jest podsycane historiami krążącymi w internecie AI tak potężnej, że jej twórca wystraszył się i ją wyłączył, a z firmy, w której nad nią pracował, zwolnił się… Trudno mi w to uwierzyć nawet z czysto inżynierskiego punktu widzenia — jeśli moje dzieło działa lepiej niż założyłem, to je rozwijam, a nie wyłączam.
AI nie jest jakimś boskim bytem znajdującym się w centrum Internetu. Będą to raczej rozproszone systemy, które nawet gdyby czysto teoretycznie powzięły plan zabrania ludziom technologii, to jak wyłoniłyby między sobą lidera bez możliwości oddziaływania na swoje emocje?
Na myśl mogą też przyjść tu komputery kwantowe, które swoją mocą obliczeniową mają choćby położyć kres dzisiejszym algorytmom kryptograficznym, a więc gdy AI zyska dostęp do tej mocy, to żaden zasób nie będzie bezpieczny. I znowu ten pomysł wynika z braku zrozumienia zadań, którymi mogą zajmować się komputery kwantowe. Są one po prostu przeznaczone do działań innego typu — specyficzne właściwości tych maszyn nie pozwalają na stworzenie algorytmów łamiących klucze symetryczne. Nie znaczy to, że kryptografia jest wolna od zagrożeń związanych z tą technologią, ale nie jest też bezwarunkowo przez nią zagrożona.
Zabawne jest też, że nikt nie obawia się, że na drodze ewolucji, która przecież ciągle trwa, jakiś gatunek przewyższy nas intelektualnie. Podobno delfiny mają szósty zmysł pozwalający im wyczuwać pole elektryczne — byłyby niezłymi kandydatami. A może już coś kombinują pod wodą? 😉 Boimy się natomiast maszyn, które możemy w każdej chwili odciąć od zasilania.
Ok, zatem ryzyko nie jest tak poważne. A jako specjalista w zarządzaniu ryzykiem w IT, jakie rady miałbyś dla osób, które dopiero zaczynają pracę w chmurze?
Ale zaczynają jako specjaliści, czy biznesowi użytkownicy?
Mam na myśli młodych specjalistów.
Porada starego wilka? 🙂 Trudno mi poradzić coś, co będzie specyficzne wyłącznie dla chmury, a nie będzie miało zastosowania właściwe w całym IT. Chmura powoduje pewne ryzyka, jak fizyczne miejsce przechowywania danych, które czasem trudno jednoznacznie określić, czy kwestie uzyskiwania dostępu do zasobów poufnych przez sieć publiczną, ale takie ryzyko niezależnie od środowiska powinno zostać odpowiednio wymodelowane i zminimalizowane.
Dlatego może młodemu pracownikowi zamiast konkretnej rady przekazałbym motto, którym się kieruję w pracy: nie jest możliwe, by wiedzieć absolutnie wszystko w tak dynamicznym i szybko zmieniającym się środowisku jak dzisiejsza technologia. Ale to nie sama wiedza, a podejście do tych zmian i nowości czyni z nas ekspertów. Jeśli czegoś nie wiem — to nie jest problem, a wyzwanie. Im więcej wyzwań podejmę — tym lepszym będę ekspertem.
Jesteś także wykładowcą, zajmujesz się cyberbezpieczeństwem. Na jakie zagrożenia szczególnie wyczuliłbyś przeciętnego Kowalskiego, który regularnie korzysta z Internetu?
Napisałem kiedyś artykuł „Mój realny dom — moja cybertwierdza”, w którym podkreślałem to, że cyberbezpieczeństwo nie jest wyłącznie domeną specjalistów z tej dziedziny. Jako „przeciętni Kowalscy” jesteśmy ogniwem w całym łańcuchu utrzymującym bezpieczeństwo w przestrzeni cybernetycznej – może nie najsłabszym, ale zawsze podatnym, bo tego ogniwa nie da się po prostu spatchować, załatać, lub postawić za firewallem. Dlatego musimy mieć świadomość tego, że będziemy celem ataków.
Najbardziej znany cytat Kevina Mitnicka mówi: „Nie łamałem systemów, tylko ludzi”. Musimy zatroszczyć się o własne bezpieczeństwo. Zarówno pod kątem technicznym — bez zaawansowanych rozwiązań, ale po prostu warto wymienić ten stary i dawno nie patchowany router od internetu na coś, co spełnia dzisiejsze standardy, jak i obszarze własnej egzystencji w Internecie — zadbać o edukację przez obserwowanie branżowych fanpage’ów, które w przystępny sposób przekazują rekomendacje.
Żyjemy w świecie informacji — tak prywatnie, jak i zawodowo powinniśmy postawić na ciągłą naukę i doskonalenie. Bo tak długo, jak dbamy o rozwój inteligencji własnej, tej naturalnej – sztuczna nie musi stanowić dla nas zagrożenia.
___
Mateusz Dudkiewicz. Cloud Engineer w Emagine. Od kilku lat dostarcza rozwiązania chmurowe dla jednego ze skandynawskich klientów firmy. Wcześniej związany z markami Citi i Emag/Agito. W latach 2014 – 2015 prowadził własną firmę IT, świadcząc usługi m.in. dla Allegro. Ukończył studia magisterskie na wydziale Informatyki i Transportu Wyższej Szkoły Ekonomii i Innowacji w Lublinie. Kontynuując naukę, uzyskał tytuły MBA i następnie DrBA (Doctor of Business Administration). Może pochwalić się wieloma ukończonymi szkoleniami i certyfikatami. Prywatnie pasjonat strzelectwa sportowego i lotnictwa. Od 2017 posiada licencję pilota PPL.
Zdjęcie główne pochodzi z Envato Elements.