trendy i perspektywy - testarmy€¦ · wydajność z perspektywy użytkownika w świecie aplikacji...

1

ww

w.te

star

my.

com

Tytuł

Trendy i perspektywy

2020

W TESTOWANIU OPROGRAMOWANIA & CYBERBEZPIECZEŃSTWIE

www.testa

rmy.p

l

https://testarmy.com/

2

ww

w.te

star

my.

com

Spis Treści

Spis Treści

QUALITY ASSURANCE. TRENDY 2020 Rola testerów w organizacjach Testy wydajnościowe

Testy automatyczne

WCAG accessability

DevOps

CYBERBEZPIECZEŃSTWO. TRENDY 2020

Bezpieczeństwo użytkowników prywatnych

Bezpieczeństwo organizacji

Bezpieczeństwo danych osobowych

Bezpieczeństwo gospodarczo-polityczne

Podsumowując

O TestArmy Group

Skontaktuj się z nami

04

05

08

13

19

24

28

29

35

39

43

53

54

55

0102

3

ww

w.te

star

my.

com

Kilka słów o nas

W TestArmy, na przestrzeni ubiegłego roku, mieliśmy przyjemność przeszkolić ponad 650 osób w zakresie testowania oprogramowania oraz kilkadziesiąt w zakresie cyberbezpieczeństwa. Ponadto, opublikowaliśmy 34 artykuły, wydaliśmy 5 e-booków i zorganizowaliśmy ogólnopolską konferencję i lokalny meet-up o automatyzacji — PandA, a nasi eksperci wielokrotnie wypowiedzieli się w prasie oraz podczas konferencji branżowych.

Liczby mówią same za siebie — chętnie edukujemy rynek. Skąd ta postawa? Cóż, wychodzimy z założenia, że:

Wiedza to coś, co się mnoży, gdy się nią dzieli.

W 2020 roku wciąż chcemy kultywować to podejście. Dlatego postanowiliśmy dostosować ten e-book do obecnych realiów, spowodowanych pandemią wirusa COVID-19 i sprawdzić, na czym firmy powinny skupić się po wznowieniu normalnej działalności.

Tak powstał ten e-book.

Dla ułatwienia podzieliliśmy go na dwie części: pierwszą, poświęconą tematyce testowania oprogramowania, oraz drugą, zawiązaną z cyberbezpieczeństwem. Dodatkowo, dla każdej części wyodrębniliśmy najważniejsze obszary, jak m.in. testowanie funkcjonalne, testowanie automatyczne i WCAG accessability. Każdy z naszych ekspertów objął pieczę nad jednym z obszarów i w jego ramach opisał najważniejsze trendy na 2020 rok.

Mamy nadzieję, że niniejsza publikacja pozwoli Ci skutecznie chronić swoją firmę przed cyberprzestępcami, a także ułatwi dostarczanie na rynek oprogramowania jak najwyższej jakości.

Przyjemnej lektury!

Kilka słów od nas

[

4

ww

w.te

star

my.

com01

Testowanie oprogramowania

TRENDY 2020

Jeszcze kilka lat temu rola testerów w organizacjach i projek-tach była niedoceniana i często wręcz pomijana. Obecnie ta tendencja znacząco się zmienia. Praca testerów w procesie

wytwarzania oprogramowania traktowana jest coraz poważniej. Niezależnie od metodologii prowadzenia projektu, proces testo-wania jest jego nieodzowną częścią. Choć niektórzy odbierają testerów negatywnie, w ich pracy wcale nie chodzi o typowe „wytykanie błędów”, ale dostarczenie produktu jak najwyższej jakości. W tym celu, tester wciela się w rolę użytkownika i prze-chodzi tak zwane ścieżki użytkownika, sprawdzając, czy aplika-cja nie ma błędów.

Rola i funkcja QA

QA (ang. Quality Assurance) – w znaczeniu tworzenia projektów informatycznych – czę-sto mylone jest z samym procesem testowania. Zapewnianie jakości rozpoczyna się jed-nak dużo wcześniej. Zanim powstanie gotowy produkt, musi on najpierw zostać zapro-jektowany. W fazie projektowej programiści we współpracy z testerami – na podstawie wytycznych, założeń i wymagań dostarczonych przez klienta – tworzą projekt aplikacji. Już na tym etapie, dzięki doświadczeniu i pracy zespołowej, można wyeliminować wiele błędów.

01TRENDY 2020

Rola testerów w organizacjach

5

ww

w.te

star

my.

com

01 Testowanie oprogramowania / 01 Rola testerów w organizacjach

6

ww

w.te

star

my.

com


Jeszcze zanim część aplikacji zostanie skończona, tworzony jest plan testów, który będzie wykorzystany w fazie testowania. Na jego podstawie tworzy się tzw. przypadki testowe. W momencie gdy część produktu jest już gotowa, sprawdza się, czy dostarczo-ny fragment jest zgodny z założeniami i wymaganiami klienta, korzystając z wcześniej stworzonych przypadków testowych. Dopiero po testach aplikacji i upewnieniu się, że jest ona pozbawiona błędów, oddaje się ją klientowi.

Podsumowując, Quality Assurance nie opiera się wyłącznie na samym testowaniu, a na zapewnianiu najwyższej jakości dostarczanego oprogramowania na każdym etapie jego tworzenia.

Kierunki rozwoju

W ostatnich latach sytuacja na testerskim rynku pracy nabrała rozpędu i obecnie prze ku automatyzacji i cyberbezpieczeństwu.

Coraz więcej firm kładzie nacisk na automatyzowanie pracy testerów, żeby skrócić czas testów do minimum - pozwala to zaoszczędzić czas i pieniądze. W kierunku automatyza-cji testów skłania się również wielu specjalistów, którzy nauczeni doświadczeniem starają się unikać powielania tych samych błędów. Często również są w stanie, dzięki współpra-cy z programistami, usprawniać tworzone przez nich aplikacje od strony kodu. Ponadto testy można automatyzować na wiele sposobów oraz za pomocą różnych narzędzi i różnych języków programowania. To właśnie ze względu na duży wachlarz możliwości rozwoju ten kierunek cieszy się wielkim zainteresowaniem testerów..

Drugim popularnym kierunkiem rozwoju jest cyberbezpieczeństwo. Ten obszar podzielić można na kilka mniejszych: mamy więc specjalistów do spraw bezpieczeństwa w sieci, specjalistów do spraw zarządzania cyberbezpieczeństwem i testerów penetracyjnych. Po serii cyberataków w 2019 roku, sektor cyberbezpieczeństwa rozwija się bardzo inten-sywnie i cieszy coraz większym zainteresowaniem. Wzrasta zapotrzebowanie na teste-rów penetracyjnych czy specjalistów do spraw cyberbezpieczeństwa.

Kolejną ścieżką, którą warto podążać, jest ta kierownika testów. Odpowiada on za koor-dynowanie pracy zespołów testerskich. Zna wiele narzędzi i modeli wytwarzania opro-gramowania, dzięki czemu potrafi zaplanować pracę i dobrać odpowiednie narzędzia dla poszczególnych zespołów testerów w zależności od rodzaju projektu.

Tester oprogramowania to zawód, który rozwija się szybko i jest na niego coraz większe zapotrzebowanie. Dlatego niezależnie od tego, którą ścieżkę rozwoju wybierze dany tester, będzie ona dobra.

7

ww

w.te

star

my.

com


Jak testerzy tworzą wartość dodatnią

Dzięki pracy testerów i wkładowi szeroko rozumianego Quality Assurance w proces two-rzenia oprogramowania, aplikacje dostarczane są taniej, szybciej i lepiej.

Taniej, bo dzięki wczesnemu planowaniu i projektowaniu we współpracy z doświadczo-nymi specjalistami można zawczasu uniknąć wielu błędów, które w przyszłości genero-wałyby duże koszty przy ich naprawie.

Szybciej, gdyż dzięki wczesnemu znalezieniu błędów przez testerów skraca się proces tworzenia.

Lepiej, ponieważ klient nie znajduje błędów sam, dostając gotowy produkt i zauważa-jąc, że to nie to, czego oczekiwał, tylko otrzymuje aplikację zgodną z jego wymaganiami i stworzoną ściśle według jego własnych wytycznych.

Wniosek jest prosty: testerzy byli, są i będą potrzebni.

Maciej StafijowskiQA SOFTWARE TESTER W TESTARMY

Od dwóch lat tester oprogramowania specjalizujący się w platformach e-commerce. Bardzo ceni sobie profesjonalizm i rozwój osobisty. Prywatnie pasjonat sportów zimowych.

Testy wydajnościowe

Wydajność to poza bezpieczeństwem korzystania z aplikacji najważniejsza cecha niefunkcjonalna, która wpływa na zadowolenie i przywiązanie użytkowni-

ków. Przyjrzymy się więc trendom w tym obszarze.

Continuous Delivery

Continuous Delivery zmienia podejście do testowania aspektów niefunkcjonalnych, w tym wydajności aplikacji. Częste wdrożenia wymagają integracji testów wydajnościo-wych z potokiem CI/CD. Ten etap testów musi być szybki i w pełni zautomatyzowany,aby nie był wąskim gardłem w procesie dostarczania aplikacji. Z miesiąca na miesiąc coraz więcej programistów, testerów, a także właścicieli produktów zwraca na to uwagę. Myślę, że ta tendencja będzie utrzymywać się w nadchodzących miesiącach.

Shift left w testowaniu wydajności

Testowanie wydajności podąża za koncepcją „shift left” i Continuous Testing co oznacza weryfikację wydajności już na poziomie budowania komponentów systemu, jakimi często są mikroserwisy. Co prawda nie mamy tu możliwości pełnej oceny szybkości działania

02TRENDY 2020

8

ww

w.te

star

my.

com

01 Testowanie oprogramowania / 02 Testy wydajnościowe

9

ww

w.te

star

my.

com


systemu lub jego pojemności, ale możemy porównywać względne zmiany pomiędzy ko-lejnymi wersjami - jest to informacja wystarczająca do wykrycia potencjalnych problemów.

Testowanie wydajności na poziomie komponentów pozwala również ograniczyć wpływ zależności na otrzymywane wyniki. Jesteśmy zatem w stanie szybciej zdiagnozo-wać potencjalne źródło problemów. Same testy są również zdecydowanie prostsze w implementacji, co ułatwia zadanie.

Dlaczego to takie ważne? Odpowiedź tkwi w trudnościach związanych z testami end-to-end. To one sprawią, że strategia ta będzie stosowana coraz częściej.

Wydajność z perspektywy użytkownika

W świecie aplikacji webowych testowanie wydajności z perspektywy użytkownika stało się już standardem. Nie dziwi zatem częsta integracja takich narzędzi jak np. Lighthouse z potokiem CI/CD i ciągłe monitorowanie metryk ważnych dla użytkownika. Same metryki podlegają też standaryzacji i w najbliższym czasie zbieranie ich powinno być wspierane przez wiodące przeglądarki. Dużą rolę w rozwoju tego obszaru odgrywa Google, który na portalu web.dev oraz na swoich kanałach YouTube dużo uwagi poświęca optymalizacji i przyspieszaniu aplikacji web. Warto zajrzeć do tych materiałów!

10

ww

w.te

star

my.

com


Urządzenia mobilne

Badania pokazują, że większość użytkowników przegląda strony na urządzeniach mobilnych lub korzysta z dedykowanych aplikacji mobilnych. Weryfikacja wydajności w powyższych jest więc aspektem, którego nie można pominąć. Mimo coraz większej przepustowości sieci komórkowych, wciąż pozostaje ona gorsza od połączeń stacjonar-nych. Jest to szczególnie widoczne gdy podróżujemy poza terenami miejskimi. Większość narzędzi pozwala ograniczyć przepustowość sieci i w ten sposób symulować działanie aplikacji przy gorszych czasach odpowiedzi serwera. Pojawiają się również platformy pozwalające na testowanie z wykorzystaniem rzeczywistych urządzeń podłączonych do sieci różnych operatorów. Przykładami mogą być https://realusermonitoring.io/ czy https://www.pingdom.com/

Użytkownicy korzystający z internetu z komputerów stacjonarnych i urządzeń mobilnych

ŹRÓDŁO: GEMIUS/PBI

23,9

21,7

24

23

22

21

202017r. 2018r. 2019r.

23

23,523,3

24,1

11

ww

w.te

star

my.

com

Jacek Okrojek

Tester, koordynator i kierownik testów z wieloletnim doświadczeniem w testowaniu systemów wysokiej dostępności. Jako konsultant do spraw zapewnienia jakości prowadził i uczestniczył w wielu złożonych projektach dla klientów z sektora usług medycznych, telekomunikacyjnych oraz bankowości inwestycyjnej. Obecnie pracuje w TestArmy Group jako specjalista do spraw automatyzacji i testowania wydajności.

Monitorowanie wydajności po wdrożeniu

Ograniczenia, jakie niesie za sobą testowania wydajności komponentów w izolacji oraz problemy, z jakimi jest związane testowanie end-to-end, kompensowane są przez monitorowanie wydajności po wdrożeniu. W wielu przypadkach jest to rozwiązanie tańsze oraz dające dokładniejsze wyniki niż testowanie przed wdrożeniem. Narzędzia po-zwalają zbierać precyzyjne informacje o wydajności każdej akcji użytkownika. Dzięki temu możemy obserwować zmiany w szybkości działania i w przypadku jej pogorszenia wyco-fać problematyczną wersję. Ryzyko wystąpienia problemów wydajnościowych możemy również zmniejszyć dzięki wdrożeniu aplikacji korzystających z techniki Canary Releases.

Rosnące zrozumienie wymagań biznesowych oraz zwiększenie odpowiedzialność zespo-łu za wszystkie aspekty działania aplikacji sprawi, że zagadnienia związane z wydajno-ścią aplikacji będą coraz częstszym tematem w codziennej pracy testerów.

12

ww

w.te

star

my.

com

Tytuł

97%

respondentów potwierdziło,

że ich organizacje stosują

zwinne metodyki wytwarzania

oprogramowania, z czego

54% korzysta ze Scruma.

13

ww

w.te

star

my.

com

01 Testowanie oprogramowania / 03 Testy automatyczne

W 2019 roku 44% firm posiadało zautomatyzowanych 50% lub więcej testów. Przedsiębiorstwa widzą i cenią korzyści, jakie niesie ze sobą automatyzacja:

oszczędność czasu, pieniędzy i zasobów ludzkich przy jedno-czesnym wzroście jakości wytwarzanego oprogramowania. Dlatego rola testów automatycznych w 2020 roku w dalszym ciągu będzie rosła, a eksperci w dziedzinie automatyzacji będą jeszcze bardziej pożądani na rynku pracy.

Shift left

Rok 2020 będzie kontynuacją trendu rozwoju oprogramowania w metodologii Agile ze szczególnym naciskiem na Shift-left i ścisłą współpracę developerów z testerami. Według raportu „13th Annual State Of Agile Report (2019)” 97% respondentów potwierdziło, że ich organizacje stosują zwinne metodyki wytwarzania oprogramowania, z czego 54% korzysta ze Scruma. Wraz ze zdobywanym doświadczeniem i dogrywaniem się zespołów Agile ewoluuje. Da się zauważyć ogólny widoczny trend, który będzie kontynuowany w 2020 roku: ścisła współpraca developerów i testerów w celu zapewnienia jak najwyż-szej jakości produktu od samego początku jego tworzenia.

97% respondentów potwierdziło, że

ich organizacje stosują zwinne metodyki

wytwarzania oprogramowania, z czego

54% korzysta ze Scruma.

ŹRÓDŁO: 13TH ANNUAL STATE OF AGILE REPORT (2019)

TRENDY 2020

Testy automatyczne

{

03

14

ww

w.te

star

my.

com


Czasy, gdy developerzy i testerzy byli w osobnych drużynach i patrzyli na siebie wrogo, na szczęście już minęły. Teraz jedni i drudzy są częścią tego samego teamu i wspólnie dbają o jak najwyższą jakość oprogramowania już od samego początku. Wymagania do-starczane przez analityków są analizowane pod kątem technicznym przez programistów i testerów w celu wykluczenia możliwych błędów i problemów, zanim zaczną być imple-mentowane i testowane. Podejście to pomaga zapobiec dodatkowej pracy w przyszłości nad rozwiązywaniem ewentualnie powstałych problemów projektowych i produktowych.

Patrząc na zagadnienie „Shift left” z punktu widzenia automatyzacji można stwierdzić, że oznacza ono wczesne tworzenie testów automatycznych do już wytworzonych części systemu oraz testowanie backendu, zanim jeszcze pojawi się frontend, do którego zosta-ną napisane testy kolejnego wyższego poziomu.

ZAANGAŻOWANIE TESTERÓW OD SAMEGO POCZĄTKU NIESIE KORZYŚCI DLA WSZYSTKICH:

Dla firmy, ponieważ wypuści produkt bardziej dopracowany, o wyższej jakości;

Dla programistów, którzy będą mogli naprawić błędy w najwcześniejszej fazie tak, aby nie wiązało się to z większymi zmianami w kolejnych fragmentach systemu;

Dla testerów, którzy nie odczują zwiększonego natłoku pracy w fazie po wypusz-czeniu większej części produktu.

Ponadto w 2020 roku na znaczeniu zyskiwać będą alternatywne rozwiązania dla Sele-nium, które pozwolą na szybsze pisanie oraz wykonywanie testów automatycznych.

Sztuczna inteligencja oraz uczenie maszynowe

Wraz z ewolucją sposobów wytwarzania oprogramowania, ewoluują też sposoby ich testowania. Aktualnie zdecydowanym liderem wśród metod automatyzacji testów jest Selenium, jednakże firmy coraz częściej szukają innych metod pisania testów automa-tycznych, które zarówno przyspieszą proces wytwarzania testów, jak i ich wykonywanie, oraz ułatwią analizowania wyników.

Jedną z takich metod jest używanie narzędzi wspieranych przez np. sztuczną inteligencję (AI — Artificial Inteligence) lub uczenie maszynowe (ML — Machine Learning). Pozwalają one na znacznie szybsze i obarczone mniejszym ryzykiem błędu pisanie testów automa-tycznych.

01

02

03

15

ww

w.te

star

my.

com


Rozkład procentowy odpowiedzi na pytanie: „Czy w Pana(i) opinii Sztuczna Inteligencja ma dziś dostrzegalny

wpływ na Pana(i) codzienne życie?”

W 2020 roku AI i ML wykorzystywane będą na każdym etapie: od autouzupełniania pisanego kodu (np. dodatek do IntelliJ — Codata), poprzez analizę wyników i wykrywanie „false positive” testów, aż do automatycznego naprawiania istniejących testów. Sztuczna inteligencja pomoże rozpoznawać potencjalne problemy w sposób podobny do ludzkiej percepcji, dzięki czemu cały proces automatyzacji będzie bardziej efektywny.

Innym przykładem wykorzystania AI/ML są testy wizualnie porównujące aktualną stro-nę ze wzorcem np. poprzez zastosowanie narzędzia Applitools. Zatem dzięki AI można zapomnieć o kłopotliwych konfiguracjach oraz o procentowym ustawianiu ilości pikseli, odbiegających od zaakceptowanej wersji. Nie będzie też potrzebne odwoływanie się do poszczególnych elementów strony i podawanie ich lokatorów, co również skutkuje zaosz-czędzonym czasem. Adaptacyjne algorytmy same analizują obraz i odróżniają ewentual-ne błędy od celowych zmian i nowych funkcjonalności na stronie.

ŹRÓDŁO: RAPORT „SZTUCZNA INTELIGENCJA W SPOŁECZEŃSTWIE

I GOSPODARCE. RAPORT Z BADAŃ SPOŁECZNYCH”, NASK

Zdecydowanie tak

Tak

Nie

Zdecydowanie nie

Raczej tak

Raczej nie

15,2% 9,3%

15,2%

27,8%23,9%

6,9%

1,8%

16

ww

w.te

star

my.

com

Cypress.io

Wykorzystanie zalet sztucznej inteligencji to nie jedyny kierunek, w którym będzie podą-żała automatyzacja testów w 2020 roku. Na popularności będą zyskiwać też „tradycyjne” narzędzia do pisania testów automatycznych - jednak znacznie ulepszone i dostosowane do najnowszych standardów. Jednym z nich jest Cypress. Jest to niezależne, otwartoźró-dłowe narzędzie do tworzenia testów automatycznych w języku JavaScript. Cypress zo-stał stworzony z myślą o deweloperach i QA inżynierach do tworzenia end-to-endowych testów, które domyślnie uruchamiane są na zmodyfikowanej przeglądarce Chrome. W ostatnim czasie w wersji 4.0 twórcy rozszerzyli listę obsługiwanych przeglądarek internetowych o: Edge,Firefox, Brave, Vivaldi. Została w ten sposób wyeliminowana naj-większa wada Cypress: wsparcie tylko dla Chrome.

DO ZALET CYPRESS NALEŻĄ:

możliwość szybkiego pisania testów,

nagrywanie testów z możliwością szybkiego podglądu wykonanych akcji na dashboardzie,

łatwiejsze debugowanie oraz automatyczne oczekiwanie na elementy.

Wykonanie testów przy użyciu Cypress jest znacznie szybsze niż w Selenium, ponieważ nie wysyła komend przez WebDriver, jak czyni to Selenium, ale zamiast tego wykorzystu-je bezpośrednio zdarzenia DOM.


17

ww

w.te

star

my.

com


Paweł MatysiakSENIOR AUTOMATION ENGINEER W TESTARMY

Pasjonat tworzenia testów automatycznych, poznawania nowych technologii oraz narzędzi przydatnych przy automatyzacji. Doświadczenie w IT zdobywał w branży finansowej, medycznej oraz przy tworzeniu oprogramowania dla administracji publicznej. Ceni sobie profesjonalizm, rzetelność i współpracę z zaangażowanym zespołem.

Puppeteer

Puppeteer jest narzędziem typu „zero-config” stworzonym przez Google, które domyślnie wykorzystuje Chrome w trybie headless. Trwają prace nad wsparciem dla przeglądarki Firefox. Puppeteer pozwala na dostęp do statystyk czasów ładowania się i renderowa-nia stron, które udostępnia Chrome. Testy automatyczne wykonywane przy użyciu tego narzędzia są również znacznie szybsze niż wykonane w Selenium.

Smashtest

Ostatnią wartą uwagi nowością jest nowy język programowania testów automatycz-nych: Smashtest. Język ten pojawił się w 2019 i od tego czasu jest bardzo dynamicznie rozwijany przez jego twórcę. Autor języka wziął sobie za cel uczynienie go możliwie prostym, a proces pisania testów — jak najszybszym. Według zapowiedzi Smashtest docelowo ma umożliwić dziesięć razy szybsze tworzenie testów automatycznych niż w dotychczasowych rozwiązaniach. W przeciwieństwie do wcześniej wymienionych na-rzędzi język ten wykorzystuje Selenium do wykonywania napisanych testów, co sprawia, że obsługuje wiele przeglądarek, nie tylko Chrome. Kroki testów pisane są w czytelnej formie drzewa z automatycznym kolorowaniem składni. Testy mogą być wykonywane równolegle i zawierać w sobie sprawdzanie zarówno frontendu, jak i API. Po zakończeniu testów automatycznie generowany jest raport wykonania.

18

ww

w.te

star

my.

com

Tytuł

W 2018 roku odnotowano

ponad 2258 pozwów związanych

z niedostosowaniem produktów pod

kątem WCAG 2.1/Section508. To o 177%

więcej niż w poprzednim roku.

19

ww

w.te

star

my.

com

WCAG (Web Content Accessibility Guidelines) to seria dobrych praktyk, wskazujących jak poprawić dostępność strony internetowej bądź

aplikacji. Dostępność w tym kontekście oznacza umożliwienie użytkowania przestrzeni fizycznej, systemów informacyjno-komunikacyjnych, produktów cyfrowych oraz usług jak najszerszemu gronu użytkowników, bez względu na ich sprawność psychofizyczną, status społeczny czy miejsce zamieszkania.

W Unii Europejskiej żyje ponad 80 mln osób niepełnosprawnych. Liczba ta rośnie z każdym rokiem. Jest to pośrednio powiązane ze starzeniem się społeczeństwa. Konwencja ONZ o prawach osób niepełnosprawnych (art. 9) zobowiązuje UE do zapewnienia obywatelom możliwości pełnego uczestnictwa w każdej sferze życia.

Wszystko to sprawia, że coraz częściej mówi się o dostępności. Rośnie zainteresowanie dostosowywaniem produktów cyfrowych do potrzeb osób wykluczonych cyfrowo zarów-no w sferze usług publicznych, jak i w sektorze prywatnym.

Polski sektor publiczny oszalał na punkcie dostępności — firmy walczą się w przetargach na audyty dostępności, szkolenia oraz tworzenie produktów uwzględniających projek-towanie uniwersalne. Polska Agencja Rozwoju Przedsiębiorczości (PARP), Biznes.gov.pl czy Archiwa Państwowe to tylko wybrane jednostki, którym TestArmy pomogło stworzyć dostępne produkty cyfrowe.

TRENDY 2020

WCAG accessibility

01 Testowanie oprogramowania / 04 WCAG accessibility04

20

ww

w.te

star

my.

com

01 Testowanie oprogramowania / 04 WCAG accessibility

Pozwy

Liczba pozwów związanych z niedostosowaniem produktów pod kątem najnowszych standardów WCAG 2.1/Section508 na terenie Stanów Zjednoczonych rośnie z roku na rok. Sądy Federalne w Stanach odnotowały ponad 2258 pozwów w 2018 roku, co ozna-cza wzrost o 177% w porównaniu do roku poprzedniego (na podstawie: Seyfarth Shaw). Netflix, Domino Pizza czy Beyonce to tylko niektóre marki uwikłane w postępowania sądowe.

W 2018 roku odnotowano ponad 2258 pozwów

związanych z niedostosowaniem produktów

pod kątem WCAG 2.1/Section508. To o 177%

więcej niż w poprzednim roku.

ŹRÓDŁO: SEYFARTH SHAW

{

Odbiorcy działań. Dla kogo najczęściej realizujesz swoje działania.

ŹRÓDŁO: RAPORT „KTO ZAJMUJE SIĘ DOSTĘPNOŚCIĄ CYFROWĄ W POLSCE 2018”, JAKUB DĘBSKI

odpowiedzi liczba odpowiedzi (w procentach)

35%

37%

instytucje edukacyjne 23%

21%

banki 19%

5%

14%

sklepy internetowe (e-commerce/m-commerce) 12%

21%inne

21

ww

w.te

star

my.

com


Czy to samo czeka Europejski Rynek usług publicznych i sektora prywatnego? Wszystko wskazuje na to, że tak, a na pierwszy ogień pójdzie sektor publiczny. Wraz z wejściem w życie Europejskiego Aktu w sprawie dostępności zobowiązano kraje członkowskie UE do przystosowania produktów cyfrowych oraz usług. Czy czekają nas pierwsze kary? Zdecydowanie tak. To tylko kwestia czasu.

Kadra

Wg raportu Jakuba Dębskiego „Kto w Polsce zajmuje się dostępnością cyfrową” w naszym kraju w dostępności specjalizuje się ok. 50 osób. Jest to liczba niespełniająca obecnego zapotrzebowania. Sektor prywatny oraz publiczny coraz częściej spogląda w stronę profesjonalistów z zakresu dostępności. Pojawiają się pierwsze ogłoszenie o pracę. System edukacji wymaga reformy, by zapewnić odpowiednie przygotowanie dla obecnych i przyszłych studentów kierunków technologii informatycznych.

W Polsce mamy tylko ok. 50 specjalistów

od WCAG.

ŹRÓDŁO: BADANIE „KTO W POLSCE ZAJMUJE SIĘ DOSTĘPNOŚCIĄ CYFROWĄ”, JAKUB DĘBSKI

{

22

ww

w.te

star

my.

com


Szkolenia

Już w 2020 roku rozpocznie się ogólnopolski cykl szkoleń z zakresu dostępności dla sektora publicznego. Zaplanowano warsztaty dla ponad 1800 urzędników. Mam nadzieję, że ruch ten pozwoli im spojrzeć na problem osób wykluczonych cyfrowo z innej perspektywy, a co za tym idzie, sprawi, że przygotują oni swoje jednostki instytucjonalne do zmian, o których mowa w Ustawie o zapewnianiu dostępności osobom ze szczególnymi potrzebami.

Wspomniana ustawa określa obowiązki podmiotów publicznych w zakresie zapewnienia dostępności architektonicznej, cyfrowej oraz informacyjno-komunikacyjnej. Warto pod-kreślić, że samorządy mają czas do 30 września 2020 roku, aby wyznaczyć osoby peł-niące funkcję koordynatora do spraw dostępności. Można więc śmiało powiedzieć, że rok 2020 upłynie pod znakiem projektowania uniwersalnego.

Outsourcing a dostępność

Mała ilości specjalistów oraz wysoki popyt na tematy związane z dostępnością, gene-rują zwiększone zapotrzebowanie na outsourcing usług związanych z projektowaniem uniwersalnym. TestArmy tylko w roku 2019 zrealizowało ponad 30 zamówień pod kątem projektowania uniwersalnego i dostępności: audyty, testy użyteczności, projekty oraz szkolenia dla ponad 300 osób w Polsce i za granicą.

23

ww

w.te

star

my.

com


Piotr ŹrółkaPROJEKTANT I DORADCA

od ponad 11 lat pomaga mniejszym i większym firmom w projektowaniu usług. Ekspert w dziedzinie dostępności. Ukończył kurs DHS Trusted Tester organizowany przez Homeland Security Office of Accessible Sytem & Technology. Specjalizuje się w service design, UCD. Wykorzystuje wiedzę z zakresu użyteczności i analizy biznesowej w pracy z klientami. Doświadczony w obszarach bankowości, finansów, medycznych oraz automotive.

Cały cyfrowy świat stanie się bardziej dostępny

Powiedziałem sporo o sektorze publicznym, ale chciałbym również wspomnieć o sekto-rze prywatnym. W 2000 roku Tesco stworzyło swoje e-commercowe imperium. Powstała strona tesco.com, która niestety nie spełniała wszystkich wytycznych WCAG 2.0. Zespół zainwestował 35 tysięcy GBP w badania i dostosowanie strony pod kątem dostępności. Dzięki wprowadzonym zmianom już w pierwszym roku sprzedaż produktów wzrosła o 13 milionów GBP! Fantastyczny rezultat, którego można tylko pozazdrościć. Więc teraz przeanalizujmy — inwestujesz w SEO, grafikę, marketing. A czy pamiętasz o dostępności, która może sprawić, że liczba Twoich klientów wzrośnie szybciej, niż byś tego oczekiwał, spadną koszty wytworzenia oprogramowania, a Twój budżet będzie się cieszył dodatko-wymi środkami na kolejne inwestycje? Czy jesteś gotowy na zmianę? Cóż, powinieneś. Wcześniej czy później ona nadejdzie, a Twój biznes będzie musiał jej podołać. W 2020 roku dostępność nie jest już rzadko spotykaną przewagą konkurencyjną, ale raczej nie-zbędną koniecznością. Twoim obowiązkiem jako przedsiębiorcy jest jej podołać.

24

ww

w.te

star

my.

com

O DevOps z mojej perspektywy

DevOps już na dobre wbił się w świadomość przedsiębiorstw, które zajmują się szeroko pojętym IT. Niezależnie od tego, czy mówimy o firmach usługowych, czy produktowych, każdy próbuje w jakiś sposób zaadoptować to podejście do wytwarzania. Potencjalne korzyści są obiecujące: szybszy czas wydania i reakcji na zgłaszane problemy, zmiany wydawane w mniejszych fragmentach, ciągłe testowanie.

W skrócie DevOps polega na uwzględnieniu potrzeb wszystkich grup, zainteresowanych sukcesem projektu i jego dalszym utrzymaniem od samego początku cyklu wytwarzania. Można więc powiedzieć, że jest to kolejny krok w ewolucji, zaraz po Agile: mieliśmy wte-dy do czynienia z synergią na styku Biznes-Developerzy, tutaj dokładamy kolejną „cegieł-kę” w postaci szeroko rozumianego Operations. W teorii należy zatem mieć na uwadze nie tylko aspekty związane z przemyślaną architekturą i zorientowanym na użytkownika designem, ale też utrzymywalnością aplikacji: możliwością jej późniejszej rozbudowy, odpowiednią modułowością, elastycznością itp.

Gdzie jesteśmy dzisiaj?

Mam wrażenie, że z adaptacją DevOpsa jest podobnie jak niegdyś z Agile: po fali pierw-szej ekscytacji przychodzi pora na refleksję, doskonalenie, szukanie własnej „wersji” w kontekście danej organizacji. W całym tym zamieszaniu każdy próbuje odnaleźć swoją drogę, stąd rozmaite zlepki w stylu DevSecOps, DevTestOps itd. — wszystkie jedna-kowoż prowadzące do uwzględnianiach potrzeb rozmaitych interesariuszy tak, aby nie poświęcać różnych wymiarów jakości kosztem szybkości.

TRENDY 2020

DevOps

01 Testowanie oprogramowania / 05 DevOps05

25

ww

w.te

star

my.

com

Co nas czeka w 2020?

W kontekście DevOps rodzimym podwórku czeka nas jeszcze większa adaptacja ciągłego testowania, podejścia „whole team approach”, obecności testera jako katalizatora dbania o jakość. Wymaga to elastyczności, szerokiego spojrzenia, ciągłej adaptacji i rozwoju. W QA na znaczeniu jeszcze bardziej zyskają role związane z wydajnością, umiejętnością konfiguracji środowisk dostarczania (delivery pipelines), ale też zmysł konsultacyjny, po-zwalający dobrze zrozumieć potrzeby biznesowe.

Wierzę, że należy budować sylwetkę testera, który jest dostatecznie wszechstronny, by być blisko powyższej wizji, a jednocześnie ma przestrzeń do specjalizacji w ulubionej dziedzinie: automatyzacji, performance, security, UX itp. Dzięki temu tester przestaje być wyłącznie „strażnikiem jakości”, a staje się bardziej konsultantem, który potrafi doradzić w wyborze odpowiedniej strategii zapewnienia jakości w taki sposób, by uwzględniała ona potrzeby wielu interesariuszy: zespołu, klienta czy użytkownika końcowego.

01 Testowanie oprogramowania / 05 DevOps

Postępy w adopcji DevOps na świecie wśród deweloperów w 2017 i 2018 roku

ŹRÓDŁO: STATISTA

2018 2017

0% 5% 10% 15% 20% 25%

26

ww

w.te

star

my.

com

TestOps, QA Consultant, QeX

Te z pozoru dziwnie brzmiące nazwy reprezentują profile testerów, które moim zdaniem wybijać się będą na pierwszy plan w 2020:

TestOps — czyli tester z dużą dawką wiedzy technicznej o środowi-skach, odważnie poruszający w Continuous Delivery, nierzadko skryp-tujący, zajmujący się tematami przede wszystkim niefunkcjonalnymi, takimi jak wydajność. Kompetentny również w obszarach testowania API, z ugruntowaną wiedzą na temat Security;

QeX — czyli tester UX-oriented, zwracający uwagę na potrzeby użyt-kowników końcowych, rozumiejący ich zachowania, umiejący zbudować odpowiednie persony i projektujący testy na tej podstawie. Przewiduje ograniczenia technologiczne względem designu, uwzględniając w tym też (a może przede wszystkim?) coraz mocniej regulowane Accessibility;

Wreszcie QA Consultant z wszechstronną wiedzą i doświadczeniem projektowym, umiejący szybko i skutecznie rozpoznać wymagania niefunkcjonalne, dobrze rozumiejący zdywersyfikowaną dynamikę różnych procesów wytwarzania.


27

ww

w.te

star

my.

com


Łukasz PietruchaQA MANAGER W NETGURU

Doświadczony tester, konsultant i kierownik projektów. Lider, mentor i menedżer z backgroundem technicznym. Certyfikowany ScrumMaster, certyfikowany specjalista Atlassian oraz akredytowany trener ISTQB. Popularyzator oraz pasjonat zapewnienia jakości oprogramowania, oraz zwinnego podejścia do wytwarzania. Współzałożyciel oraz organizator WrotQA. Zwolennik testowania sterowanego kontekstem (context-driven testing). Uważa, że „to zależy” to najlepsza odpowiedź na każde trudne pytanie ;-)

Podsumowując

W świecie DevOps osoby bardziej techniczne znajdą swoją przestrzeń nie tylko w auto-matyzacji (w sensie wykonywania skryptów testowych), ale również w konfigurowaniu i utrzymaniu środowisk, wspomaganiu zespołów deweloperskich prostymi skryptami czy też bardziej rozbudowanymi narzędziami, wreszcie w sprawnym korzystaniu z całego do-brodziejstwa Continuous Delivery. Dla mniej technicznych adeptów testowania rozsądny kierunek to coraz lepsze rozumienie biznesu, ale też użytkowników końcowych: zagłębia-nie się w tematy związane z UX (w szczególności accessibility), wgryzanie się w rozmaite branże, ćwiczenie umiejętności miękkich, potrzebnych w przestrzeni konsultacyjnej.

28

ww

w.te

star

my.

com

Tytuł

02Cyberbezpieczeństwo

TRENDY 2020

29

ww

w.te

star

my.

com

Zagrożenia związane z komputerami

Rok 2020 już od samego początku dostarcza pretekstów do dyskusji na temat bez-pieczeństwa użytkowników. 14 stycznia nastąpiło od dawna zapowiadane przez Microsoft zakończenie wsparcia dla systemów operacyjnych z rodziny Windows 7 i Windows Server 2008. Oznacza to m.in., że dla jednego z najpopularniejszych syste-mów używanych na komputerach domowych nie będą już dostarczane poprawki bezpie-czeństwa związane z nowo wykrywanymi podatnościami. Czy to duży problem? Wyda-wać by się mogło, że w tak dojrzałym systemie (Windows 7 funkcjonował na rynku od ponad dekady) wszystkie możliwe błędy zostały już znalezione i naprawione. Niestety tak nie jest.

Doskonałym dowodem na fakt, że zawsze można spodziewać się nowych podatności, jest m.in. znaleziona na początku roku luka w dostępnej w Windowsach usłudze Remo-te Desktop Gateway. Co prawda nie dotyczy ona nieobjętych już wsparciem systemów Windows 7, a niewiele nowszych edycji Windows Serwer 2012-2019, ale uświadamia nam, że nawet w dojrzałych systemach operacyjnych wciąż będą znajdowane poważne podatności. Wspomniana luka oznaczona identyfikatorem CVE-2020-0609 jest w dodatku podatnością o charakterze krytycznym, gdyż pozwala na zdalne wykonanie kodu na niezałatanym serwerze. Co istotne, już w dniu opublikowania informacji o tym zagrożeniu CERT.PL zauważył w swoich systemach monitoringu wzmożoną aktyw-ność sieciową związaną z poszukiwaniem w Internecie niezałatanych systemów. Jak

TRENDY 2020

01Bezpieczeństwo użytkowników prywatnych

02 Cyberbezpieczeństwo / 01 Bezpieczeństwo użytkowników prywatnych

30

ww

w.te

star

my.

com


widać, jest już standardem, iż wykrycie poważnej luki w popularnym systemie wiąże się z natychmiastowymi próbami namierzenia i przejęcia przez intruzów niezabezpieczonych komputerów, serwerów bądź urządzeń.

Tak było m.in. z głośnymi cryptolockerami, które w 2017 roku rozprzestrzeniły się po świecie za sprawą luki w windowsowym protokole SMB. Wówczas jednak od chwili opu-blikowania informacji o zagrożeniu do pojawienia się pierwszych wirusów, które potrafiły je wykorzystać, minęło kilka tygodni. Obecnie może to być już kwestia dni bądź nawet godzin. Użytkownicy systemów Windows 7 stoją więc w obliczu bardzo poważnego zagrożenia — i niestety nie wszyscy z nich zdają sobie z tego sprawę.

Konieczność migracji do nowszego systemu i jego ciągła aktualizacja to jedyna recepta na uniknięcie poważnych kłopotów. Tyczy się to zresztą nie tylko systemów operacyjnych, ale każdego innego oprogramowania używanego w komputerze. W ostatnich tygodniach poważne błędy znajdowano m.in. w przeglądarkach internetowych Chrome czy Firefox.

Można się zatem spodziewać, iż w bieżącym roku każda nowa podatność obejmująca systemy z rodziny Windows 7 oraz Windows Server 2008 będzie jeszcze chętniej wyko-rzystywana przez cyberprzestępców. Jest też prawdopodobne, że niektórzy poszukiwa-cze błędów skupią się szczególnie na tych właśnie systemach. Fakt, że nowe luki nie będą już łatane, daje przestępcom możliwość szerszego ich eksploatowania. Najprościej jest bowiem zaatakować ofiary, które nie mają możliwości się bronić.

31

ww

w.te

star

my.

com


TYP INCYDENTU LICZBA INCYDENTÓW

431 11,53

7 0,19

117 3,13

11 0,29

12 0,32

7 0,19

37 0,99

6 0,16

739 19,73

54 1,44

43 1,15

5 0,13

153 4,09

0 0,00

1 0,03

35 0,94

1 0,03

4 0,11

86 2,30

21 0,56

80 2,14

7 0,19

171 4,57

55 1,47

419 11,21

13 0,35

0 0,00

21 0,56

1 878 50,23

862 23,05

0 0,00

46 1,23

101 2,70

49 1,31

1 655 44,26

14 0,37

0 0,00

30 0,80

1 0,03

1 0,03

4 0,11

8 0,21

0 0,00

125 3,34

13 0,35

1 0,03

35 0,94

69 1,85

25 0,67

%

Obraźliwe i nielegalne treściSpam

Dyskredytacja, obrażanie

Wirus

Skanowanie

Dialer

Próby włamań

Włamania

Dostępność zasobów

Atak na bezpieczeństwo informacji

Oszustwa komputerowe

Podatne usługi

Niesklasyfikowane

Koń Trojański

Inzynieria społeczna

Niesklasyfikowane

Próby nieupranionego logowania

Włamanie na konto zwykłe

Sabotaż komputerowy

Rozproszony atak blokujący serwis (DDoS)

Nieuprawniona zmiana informacji

Naruszenie praw autorskich

Niesklasyfikowane

Phishing

Pornografia dziecięca, przemoc

Robak sieciowy

Podsłuch

Rootkit

Wykorzystanie znanych luk systemowych

Włamanie na konto uprzywilejowane

Atak blokujący serwis (DoS)

Nieuprawniony dostęp do informacji

Nieuprawnione wykorzystanie zasobów

Otwarte serwisy podatne na nadużycia

Złośliwe oprogramowanie

Oprogramowanie szpiegowskie

Niesklasyfikowane

Gromadzenie informacji

Wykorzystanie nieznanych luk systemowych

Włamanie do aplikacji

Przerwa w działaniu usług (niezłośliwe)

Niesklasyfikowane

Kradzież tożsamości, podszycie się

Inne

Niesklasyfikowane

Niesklasyfikowane

Bot

Nieklasyfikowane

Niesklasyfikowane

ŹRÓDŁO: „KRAJOBRAZ BEZPIECZEŃSTWA POLSKIEGO INTERNETU. RAPORT ROCZNY Z DZIAŁALNOŚCI

CERT POLSKA 2018”, CERT POLSKA

32

ww

w.te

star

my.

com


Zagrożenia związane z urządzeniami mobilnymi oraz IoT

O ile w przypadku komputerów zmiana oprogramowania i jego ciągła aktualizacja nie stanowi większego problemu, to gdy przychodzi do urządzeń mobilnych typu smartfony czy tablety — sprawa wygląda już nieco inaczej. Zwykle ich dostawcy nie zapewniają tak długiego wsparcia, jak producenci systemów operacyjnych na komputery.

Problem tyczy się głównie Androida. Nie istnieje bowiem jego jedna, uniwersalna na wszystkie urządzenia wersja. Każdy z producentów dostarcza wraz ze swoim urządze-niem własną, dostosowaną do niego, wersję systemu. Użytkownik telefonu nie ma zatem możliwości pobierania i instalowania samemu aktualizacji, o ile producent wcześniej ich nie przygotuje. Producenci natomiast zakładają krótki czas życia urządzeń i zamiast utrzy-mywać wsparcie dla starszych modeli, skupiają się na rozwoju i promocji nowych. Efekty nie trudno sobie wyobrazić.

Co więcej, niektórzy dostawcy w ogóle nie przejmują się kwestiami bezpieczeństwa i koniecznością dostarczania łatek na swoje systemy. A problem jest naprawdę poważ-ny. Kolejna z głośnych podatności znalezionych z początkiem tego roku dotyczy właśnie systemu Android, a konkretnie obsługi protokołu bluetooth. Oznaczona identyfikatorem CVE-2020-0022 luka pozwala na zdalne wykonanie kodu, czyli w efekcie przejęcie kon-troli nad telefonem z włączonym modułem bluetooth. Dotyczy ona urządzeń z systemem Android 8 i 9 oraz częściowo 10 (w ich wypadku możliwe jest tylko zatrzymanie usługi).

Problem z aktualizacją urządzeń mobilnych występuje niestety nie od dziś. Podob-na podatność o nazwie BlueBorne zmusiła mnie w roku 2017 do wymiany telefonu i poszukania producenta, który poważniej będzie podchodził do tematu aktualizacji. Odkrywcy tamtej luki udostępnili narzędzie o nazwie BlueBorne Scanner, przy pomocy którego można sprawdzić, czy nasze oraz znajdujące się w naszym otoczeniu urządzenia są na nią podatne. Uruchomienie tego skanera w otoczeniu większej grupy osób pokazu-je, że do dziś dostępnych jest wiele telefonów, które z łatwością można przejąć, znajdując się w zasięgu działania protokołu bluetooth.

Co przyniosą w tej kwestii kolejne miesiące, a być może i lata? Problem będzie narastał ze względu na ciągle jeszcze rosnącą popularność urządzeń z obszaru IoT (internetu rze-czy). Pamiętajmy, że dzisiaj różne wersje systemu Android, lub jego alternatywy spotkać możemy na urządzeniach typu telewizory, smartwatche, aparaty fotograficzne, telefony VoIP, sprzęt AGD, kamery internetowe, zabawki i wiele, wiele innych. Ich producenci w zakresie bezpieczeństwa użytkowników robią w najlepszym wypadku niewiele. Im bardziej będziemy otaczać się urządzeniami tego typu, tym bardziej będziemy narażeni na utratę prywatności.

33

ww

w.te

star

my.

com

Zagrożenia związane z atakami socjotechnicznymi

Obok zagrożeń związanych z oprogramowaniem i urządzeniami miniony rok obfitował również w najprostsze do zastosowania (ponieważ niewymagające wiedzy technicznej), ataki bazujące na socjotechnikach. W bieżącym roku przestępcy równie chętnie będą dokonywać wyłudzeń kodów BLIK i danych do kont bankowych, a także zachęcać do przelewów na podstawie fałszywych faktur.

Należy również spodziewać się większej ilości złośliwego oprogramowania na telefony. Wynika to z faktu, iż większość banków papierowe listy kodów i tokeny zastąpiła jedno-razowymi kodami wysyłanymi za pomocą SMS-a. Do przejęcia cudzego konta bankowe-go wystarczy zatem przygotowanie aplikacji pozwalającej na odczytywanie SMS-ów i wprowadzanych haseł, a następnie zachęcenie użytkownika do jej zainstalowania. Tego typu konie trojańskie udające inne aplikacje wielokrotnie pojawiały się w oficjalnym skle-

Jakub StaśkiewiczTRENER, AUDYTOR, ETHICAL HACKER

Na co dzień zajmuje się testami bezpieczeństwa IT, audytami bezpieczeństwa informacji oraz szkoleniem pracowników z obrony przed cyberzagrożeniami. W wolnych chwilach prowadzi bloga https://OpenSecurity.pl poświęconego zagadnieniom bezpieczeństwa infor-macji. Posiada certyfikaty audytora wiodącego ISO 27001 oraz Certified Ethical Hacker.


34

ww

w.te

star

my.

com

Tytuł

Aż 99%

błędnych konfiguracji pozostaje

niezauważonych przez firmy

korzystające z chmurowych usług

IaaS (Infrastructure as

a Service).

35

ww

w.te

star

my.

com

Jeśli chodzi o bezpieczeństwo cybernetyczne, rok 2019 był rokiem rekordowych liczb. Jeden z wiodących banków w USA, Capital One, ucierpiał z powodu największego do-

tychczas naruszenia danych, w wyniku czego skradziono dane osobowe około 100 milionów Amerykanów. Gigant mediów społecznościowych, Facebook, przyznał się do ujawnienia 540 milionów rekordów. Z kolei miasto Baltimore w USA straciło ok. 18,2 mln USD w wyniku ataku ransomware. Naturalnie, to tylko wybrane przykłady naruszeń cyberbezpieczeństwa, które odbiły się echem w prasie branżowej.

Bezpieczeństwo organizacji

02TRENDY 2020

02 Cyberbezpieczeństwo / 02 Bezpieczeństwo organizacji

ŹRÓDŁO: „CYBERBEZPIECZEŃSTWO W POLSKICH FIRMACH. RAPORT 2020”, VECTO

100%

80%

60%

40%

20%

0%sektor

ubezpieczeniowysektor

medycznye-commerce innesektor dóbr

konsumenckichsektor

bankowyadministracja

publiczna

2018 2019 2020

36

ww

w.te

star

my.

com

Dwa główne źródła zagrożeń, jeśli chodzi

o bezpieczeństwo sieci to złośliwe osoby

mające dostęp do informacji poufnych (30%)

i błąd człowieka (25%).

ŹRÓDŁO: „OFFICE OF THE FUTURE SURVEY“, CANON, 2019

Zatrważającym trendem jest również masowa migracja do usług typu „cloud” w środowi-sku biznesowym, nieidąca w parze z odpowiednimi inwestycjami w bezpieczeństwo. Jak wskazuje raport Deloitte „The Future of Cyber Survey 2019”, różnica między budżeta-mi przeznaczonymi na samą migrację a wydatkami na bezpieczeństwo, jest wysoce nie-proporcjonalna. Powodem był fakt, że priorytetem menedżerów była nie bezpieczna, ale szybka migracja i korzyści biznesowe z tym związane. W 2019 r. zaledwie 14% budże-tów IT ankietowanych zostało przeznaczonych na zabezpieczenie cybernetyczne migracji do chmury. Tymczasem eksperci McAfee biją na alarm:

Aż 99% błędnych konfiguracji pozostaje

niezauważonych przez firmy korzystające

z chmurowych usług IaaS (Infrastructure

as a Service).

ŹRÓDŁO: RAPORT „THE INFRASTRUCTURE-AS-A-SERVICE (IAAS) ADOPTION AND RISK REPORT”, MCAFEE.CLOUD-NATIVE, 2019

{

{


Niestety wszystko wskazuje na to, że w 2020 roku padną kolejne rekordy. Pomimo stale rosnących budżetów działów IT oraz nakładów na oprogramowanie zabezpieczające sys-temy, główny powód wycieków danych i naruszeń bezpieczeństwa sieci korporacyjnych wciąż pozostaje poza kontrolą — jest nim tak zwany „czynnik ludzki”. Według badania „Office of the Future Survey“ przeprowadzonego przez firmę Canon w 2019 r. na ponad tysiącu amerykańskich specjalistów IT, dwa główne źródła zagrożenia bezpieczeństwa sieci to złośliwe osoby mające dostęp do informacji poufnych (30%) i błąd człowieka (25%). Zewnętrzne ataki cybernetyczne, czyli złamanie lub obejście oprogramowania wskazało tylko 17% respondentów. Innymi słowy, to człowiek, a nie technologia nas zawodzi.

37

ww

w.te

star

my.

com

Zważywszy na dane statystyczne z poprzedniego roku oraz adaptację nowych techno-logii, w 2020 możemy się spodziewać się kolejnych problemów związanych z zaniedba-niem problemu „czynnika ludzkiego” przez korporacje:

Ataki ransomware przyniosą kolejne rekordowe liczby, a głównym sposobem na przedostanie się do systemów korporacyjnych będzie użytkownik;

Ataki socjotechniczne będą głównym czynnikiem przyczyniającym się do większości naruszeń bezpieczeństwa cybernetycznego;

Brak podstawowej świadomości pracowników w zakresie cyberbezpie-czeństwa będzie jednym z kluczowych powodów ograniczonej wydajności systemów zabezpieczających dane;

Znacząca część migracji MŚP do chmury zostanie przeprowadzona bez uprzedniego wykonania poprawnych audytów walidacji bezpieczeństwa po migracji, co przyczyni się do zwiększonego handlu danymi w Darknecie;

Systemy mobilne, a szczególnie urządzenia, które mogą być używane do dwuetapowego uwierzytelnienia, staną się coraz częstszym celem hakerów.


ŹRÓDŁO: „CYBERBEZPIECZEŃSTWO W POLSKICH FIRMACH. RAPORT 2020”, VECTO

W jaki sposób jest zabezpieczony Twój firmowy komputer?

programantywirusowy

automatycznybackup

niewiem

0%

20%

40%

60%

80%

100%

2019 2020

38

ww

w.te

star

my.

com


Paweł WałuszkoEKSPERT DS. BEZPIECZEŃSTWA

Doświadczony administrator siecize środowiska Doliny Krzemowej, specjalizujący się we wczesnym wykrywaniu anomalii oraz przeciwdziałaniu atakom socjotechnicznym. Przez wiele lat zajmował się konsultingiem ds. IT, m.in. wdrażając projekty w Polsce, USA i Rosji. Od dawna chętnie dzieli się wiedzą podczas licznych wykładów dotyczących monitorowania systemów oraz proaktywnych praktyk zarządzania bezpieczeństwem danych.

Wdrażanie nowych technologii z zasady łączy się ze wzrostem możliwości wycieku danych. Naturalnym więc efektem wdrażania nowych rozwiązań (np. 5G), usług cloud oraz SaaS jest zwiększone ryzyko ataku, którego administratorzy działów IT mogą nie przewidzieć a aktualne systemy nie zabezpieczyć. Dla większości małych i średnich przedsiębiorstw największym błędem jest pośpiech w migracji do chmury w celu optymalizacji budżetów działów IT. Natomiast dla każdego przedsiębiorstwa, niezależnie czy w trakcie migracji, czy nie, najwięcej korzyści przyniesie inwestycja w wiedzę cybernetyczną pracowników.

39

ww

w.te

star

my.

com

Granice digitalizacji otaczającego nas świata wciąż są przesuwane. Innowacyjne rozwiązania informatyczne coraz zuchwalej wkraczają w nasze codzienne życie, de-

terminując rozkład dnia, podejmowane decyzje czy dotychcza-sowe modele pracy i prowadzenia biznesu. Dziś praca zdalna, szczególnie w obliczu epidemii koronawirusa, nie budzi zdzi-wienia. Ogólnodostępne aplikacje wykorzystujemy do czynno-ści, które dotychczas wykonywaliśmy bez cyfrowego wsparcia. Generujemy gigantyczne ilości danych, których liczbę w samym internecie szacuje się na 10 jottabajtów. Ten przyrost nie zwolni, wręcz przeciwnie, ludzkość będzie produkowała coraz więcej informacji i kluczowe dla naszej przyszłości będzie to, jak po-radzimy sobie z zarządzaniem tak ogromnym zbiorem danych. Dotyczy to oczywiście również działalności biznesowej.

Umiejętne wykorzystanie danych już teraz wpływa bezpośrednio na konkurencyjność i sukces firm. Z wykorzystaniem rozwiązań IT skracamy czas produkcji, przetwarzania za-mówień, procesy decyzyjne determinowane są przez analizę dostępnych danych. Dane i informacje wyznaczają tempo i kierunek funkcjonowania świata. Musimy zatem dbać o nie, chronić je i przetwarzać w sposób, który zapewni nam dalszy rozwój i bezpieczeństwo.

TRENDY 2020

Bezpieczeństwo danych osobowych

0302 Cyberbezpieczeństwo / 03 Bezpieczeństwo danych osobowych

40

ww

w.te

star

my.

com


Czy Twoja firma realizuje wytyczne wskazane dyrektywą RODO? Wskaż które.

ŹRÓDŁO: RAPORT „CYBERBEZPIECZEŃSTWO W POLSKICH FIRMACH 2020”, VECTO

100%

80%

60%

40%

20%

0%szyfrowanie

danychosobowych

zabezpieczeniesystemów IT

backupdanych

osobowych

nie wiem

Nie ma co ukrywać - dane nie są optymistyczne. Co prawda świadomość ryzyka wzrasta, ale rozpatrujemy je w kategoriach zdarzeń hipotetycznych. Zwykle kierujemy się wiarą, że prowadzimy biznes w segmencie lub skali, która nie jest objęta zainteresowaniem hakerów. Tymczasem, jak wynika z przygotowanego przez VECTO Raportu: “Cyberbezpieczeństwo w polskich firmach 2020”, już ponad 40 proc. polskich firm zanotowało zdarzenia zagra-żające bezpieczeństwu danych. Każde takie zdarzenie to koszty – zarówno finansowe, jak i wizerunkowe. Dane globalne dowodzą, że wstrzymywanie inwestycji w rozwój bezpie-czeństwa IT się nie opłaca. Według badań EMC’s Global Data Protection Index (2018-2019), średni koszt takiego incydentu szacuje się na kwotę 996 tys. dol. Warto zatem zadbać o bezpieczeństwo firmowych danych zanim staniemy w obliczu ich utraty. Koniecz-ność poniesienia takiego wydatku unicestwiłaby dalszą działalność wielu polskich firm.

Niebezpieczeństw, wobec których stanie rodzimy biznes będzie więcej. Najnowszy ran-king Check Point Software Technologies wskazuje, że Polska znalazła się dziś w gronie 20 państw najbardziej zagrożonych cyberatakami. Dotychczasowe doniesienia o atakach na przedsiębiorstwa energetyczne czy spektakularny atak typu DDoS na największą firmę hostingową w kraju wyraźnie tego dowodzą. W ubiegłym roku za wyciek danych słono zapłacił sklep internetowy morele.net. Urząd Ochrony Danych Osobowych nałożył na przedsiębiorcę 2,8 mln zł kary za incydent, do którego doszło w grudniu 2018 r. W lutym 2020 roku serwery Narodowego Banku Polskiego skutecznie zaatakowała grupa haker-ska z Wietnamu. Bez większego powodu. Zdecydowało ponoć to, że zabezpieczenia były łatwe do sforsowania. Świadomość, że dane gromadzone przez bank centralny kraju w środku Europy nie są bezpieczne, budzi uzasadnione obawy na przyszłość. Zwróćmy do-

41

ww

w.te

star

my.

com


Jakub WychowańskiSPECJALISTA W DZIEDZINIE BEZPIECZEŃSTWA I PRZECHOWYWANIA DANYCH

W branży IT od 20 lat. Członek zarządu i jednocześnie sales manager warszawskiej spółki VECTO. Jako pierwszy w Polsce zrealizował wdrożenie infrastruktury hiperkonwergentnej VXRAIL, w kontekście której VECTO jest liderem na naszym rynku. Aktywnie dzieli się wiedzą i doświadczeniem prowadząc prelekcje i szkolenia branżowe oraz udzielając wypowiedzi eksperckich mediom. Od 2012 roku certyfikowany EMC Technology Architect oraz Backup Recovery Solutions Specialist. Pomysłodawca Vtorków Technologicznych – cyklu bezpłatnych webinarów dla pracowników branży IT.

datkowo uwagę na fakt, że o większości ataków opinia publiczna się nie dowiaduje. Firmy niechętnie dzielą się tego typu informacjami, traktując cyberatak jako szkodę wizerunko-wą i zagrożenie w utrzymaniu pozytywnych relacji z otoczeniem biznesowym. Tymczasem rynek jest pełen interesujących rozwiązań, które pozwalają skutecznie przy-gotować się na ewentualność naruszenia integralności danych. Mowa przede wszystkim o systemach backupowych. Infrastruktury łączące macierze, serwery, wirtualizację i oprogramowanie w jeden zintegrowany system, gwarantują bezpieczeństwo, błyska-wiczne przetwarzanie informacji oraz ich analizę. Produkty te są również w pełni skalo-walne, możemy zatem dostosowywać je do aktualnych potrzeb. Tworzymy infrastruktury idealnie dopasowane do konkretnej firmy, uwzględniające jej specyfikę, procesy, model funkcjonowania. Nie zawsze są to narzędzia kosztowne, choć i te, oferowane dziś w modelu subskrypcyjnym, nie są nieosiągalne dla podmiotów o mniejszych możliwo-ściach finansowych. Doświadczenia na polskim rynku, a także wyraźne trendy globalne powinny być wystarczającą rekomendacją dla każdego odpowiedzialnego przedsiębiorcy, aby zweryfikować kwestię zabezpieczenia danych i infrastruktury IT. Tylko dbając o bez-pieczeństwo firmowych danych i zasobów informatycznych, możemy skutecznie zadbać o przyszłość naszego biznesu.

42

ww

w.te

star

my.

com

Tytuł

Szacuje się, że w 2020 roku

wartość środowiska rozwiązań

służących zapewnianiu

bezpieczeństwa przedsiębiorstw

wyniesie

5,5 mld zł.

43

ww

w.te

star

my.

com

Jeśli chodzi o cyberbezpieczeństwo, rok 2020 zapowiada się niezwykle ciekawie. Rosnące napięcie polityczne na wielu płaszczyznach to wyraźny znak dla podmiotów decyzyjnych,

by zintensyfikować nakłady w obrębie bezpieczeństwa, również w kontekście informatycznym.

Nawet kraje skandynawskie czy Szwajcaria, uważane do niedawna za bezpieczne przystanie biznesowe, jeśli nie chcą utracić swojej reputacji, nie mogą pozwolić sobie na pominięcie obszarów dotyczących zapewnienia bezpieczeństwa IT swoich obywateli. Zagrożenie cyberprzestępczością i konieczność zapewnienia wysokiego poziomu cyber-bezpieczeństwa należeć będą do najistotniejszych wyzwań, przed jakimi staną państwa w nadchodzących miesiącach.

Wyraźny wzrost widać również w notowaniach przedsiębiorstw odpowiedzialnych za zapewnienie cyberbezpieczeństwa — jest to oczywisty sygnał świadczący o rosnącym popycie na tego typu usługi. Jednocześnie jest to znak, że państwo i rząd, choć zaanga-żowane w zapewnienie bezpieczeństwa wewnętrznego kraju, to z uwagi na ograniczone zasoby, nie mogą być jego jedynym strażnikiem. Coraz ważniejszą rolę odgrywają więc prywatne, wyspecjalizowane przedsiębiorstwa, których głównym zadaniem jest dostar-czanie klientom niezbędnych zasobów i know-how, pomagających im rozłożyć parasol ochronny nad firmą.

TRENDY 2020

Bezpieczeństwo gospodarczo-polityczne

0402 Cyberbezpieczeństwo / 04 Bezpieczeństwo gospodarczo-polityczne

44

ww

w.te

star

my.

com


Ataki oprogramowania ransomware na organizacje miejskie w 2019r.

ŹRÓDŁO: KASPERSKY.PL

1%Inne7%

Organizacjemedyczne

29%Ratusze

Według wyliczeń bazujących na raporcie PMR ICT Market Experts, w ostatnich latach rynek cyberbezpieczeństwa zyskał na wartości ponad 600 mln zł. W 2020 roku wartość polskiego rynku wyceniana będzie na ok. 2 mld zł, a całe środowisko rozwiązań służących zapewnieniu bezpieczeństwa w przedsiębiorstwach na ok. 5,5 mld zł. Popyt na usługi w tym sektorze okazał się tak silny, że pomimo spowolnienia branży IT w 2016 roku, dynamika niezmiennie wynosi średnio 8% rocznie.

Szacuje się, że w 2020 roku wartość środowiska

rozwiązań służących zapewnianiu bezpieczeń-

stwa przedsiębiorstw wyniesie

5,5 mld złotych

ŹRÓDŁO: RAPORT „RYNEK CYBERBEZPIECZEŃSTWA W POLSCE 2018. ANALIZA RYNKU I PROGNOZY ROZWOJU NA LATA 2018-2022”, PMR

Globalny zasięg infrastruktury informatycznej sprawia, że potencjał zagrożeń w obrębie cyberbezpieczeństwa jest dziś niezwykle silny. Przedsiębiorstwa odpowiedzialne za zapewnienie bezpieczeństwa mają bardzo ambitne zadanie, by sprostać wymaganiom stawianym przez rynek.

Cyberzagrożenia do niedawna kojarzone były z czymś bardzo odległym z punktu wi-dzenia przeciętnego użytkownika Internetu. Często rozumiano je bardziej w kategoriach science fiction i obszaru zarezerwowanego dla armii niż niebezpieczeństwa grożącego każdemu z nas – zarówno w sferze biznesowej, jak i prywatnie.

{

45

ww

w.te

star

my.

com


Cyberbezpieczeństwo na arenie światowej

Cyberzagrożenia nie znają granic. Dziś już nikogo nie dziwi, gdy atak pochodzi bezpo-średnio z krajów oddalonych o tysiące kilometrów. Często odległość i ulokowanie na terytorium państw wrogo nastawionych lub nieposiadających odpowiednich rozwiązań prawnych w zakresie współpracy międzynarodowej sprawia, że cyberterroryści pozostają nieuchwytni i bezkarni.

Ogromnym zagrożeniem są pojedyncze osoby, nierzadko nieidentyfikujące się z żadną znaną grupą przestępczą, gospodarczą czy militarną. Są one w stanie atakować z ukrycia, bardzo często pozostając w cieniu, niezidentyfikowanymi.

Zdarza się, że takie osoby tylko pozornie są niezależne — w rzeczywistości pracują dla określonych grup politycznych bądź konkurencyjnych firm, a odpowiednio wynagradza-ne biorą na siebie ryzyko, że w razie „wpadki” cała odpowiedzialność spłynie na nie bez ponoszenia konsekwencji przez ich mocodawcę. Nie jest tajemnicą, że są państwa takie, jak np. Korea Północna, które z cyberterroryzmu uczyniły sobie stałe źródło finansowania swojego reżimu.

Przykładem działalności organizacji hackerskiej specjalizującej się w atakach na zagra-niczne cele, jest rosyjskojęzyczna Fancy Bear (znana również pod nazwą APT28 lub Sofa-cy). Grupa słynie z tego, że swoje działania przestępcze kieruje wobec sojuszników NATO oraz międzynarodowych instytucji i organizacji nieprzychylnych Rosji. Fancy Bear swoje działania opiera o techniki spear-phishing (spersonalizowane wiadomości phishingowe) oraz waterholing (infekowanie popularnych, legalnych stron WWW). Celem jest kradzież informacji, w tym danych poufnych i uwierzytelniających oraz dokumentów. W ostatnim czasie grupa dała o sobie znać poprzez ataki m.in. na 16 organizacji sportowych zajmu-jących się walką z dopingiem, w tym: Amerykańską Agencję Antydopingową (USADA),

46

ww

w.te

star

my.

com


Trybunał Arbitrażowy do spraw Sportu (CAS), Międzynarodowe Stowarzyszenie Fede-racji Lekkoatletycznych (IAAF) czy Międzynarodową Federację Piłki Nożnej (FIFA). Grupa Fancy Bear odpowiedzialna jest również za ataki na serwery Bundestagu w Niemczech w maju 2015 r., na system informatyczny niemieckiego urzędu kanclerskiego w marcu 2018 r. i na użytkowników szwajcarskiego serwisu pocztowego Protonmail.

Według doniesień Agencji Reuters powołującej się na raport ONZ, Korea Północna wyge-nerowała około 2 miliardy dolarów dzięki zaawansowanym cyberatakom, których celem była kradzież środków z systemów bankowych oraz giełd kryptowalut. Według ONZ zdo-byte w ten sposób fundusze Pjongjang przeznaczył na rozwój programu broni masowego rażenia. Eksperci ONZ twierdzą, że Korea Północna „wykorzystuje cyberprzestrzeń do przeprowadzania coraz bardziej wyrafinowanych ataków w celu kradzieży funduszy z instytucji finansowych oraz wymiany kryptowalut”. Analiza skali działalności potwier-dziła istnienie co najmniej 35 grup hakerskich, atakujących cele na terytorium 17 krajów. Grupy te specjalizują się w atakach na instytucje finansowe, giełdy kryptowalutowe oraz przemysł wydobywczy.

Co nas czeka?

Każdy podmiot — zarówno wielkie korporacje, jak i przedsiębiorstwa sektora MŚP, orga-nizacje rządowe i administracja samorządowa — planując strategię działania, wśród swo-ich priorytetów powinien uwzględnić nakłady na zapewnienie bezpieczeństwa systemów informatycznych. Rozwój nowoczesnych technologii sprawia, że są to działania konieczne i nieuniknione. Im prędzej osoby decyzyjne uświadomią sobie konieczność posiadania procedur bezpieczeństwa, tym wyższa korzyść i niższe ryzyko, że kierowane przez nie organizacje nie staną się w przyszłości ofiarami ataku lub będą w stanie skutecznie sobie z nim poradzić — co za tym idzie, nie poniosą strat finansowych i wizerunkowych.

Spójrzmy zatem na obszary, w których państwo musi zwrócić szczególną uwagę na za-pewnienie cyberbezpieczeństwa swoim obywatelom:

rozbudowa technologii sztucznej inteligencji (AI), w tym Big Data i Machine Learning,

zapewnienie bezpieczeństwa w obszarze Internetu Rzeczy (IoT),

rozwój technologii blockchain,

deepfake i fakenews,

ochrona dzieci przed pornografią w sieci,

wymogi RODO (GDPR),

cyberklasy w każdym województwie,

zwiększanie nakładów na wydatki militarne zgodnie z założeniami NATO, w tym na cyberbezpieczeństwo.

47

ww

w.te

star

my.

com


Projekt AIDA

W kwestii trzech pierwszych punktów zostały poczynione już spore kroki. W celu rozwo-ju technologii w wymienionym obszarze powołano Centrum Zastosowań Sztucznej Inteligencji i Analiz Danych (Artificial Intelligence & Data Analysis – AIDA). Jest ono jed-nym z czterech centrów zarządzania NASK (Naukowa i Akademicka Sieć Komputerowa – instytut badawczy odpowiedzialny za nadzór sieci Internet w Polsce).

Głównym założeniem AIDA, jest koordynowanie, inicjowanie oraz rozwijanie projektów związanych z zastosowaniem sztucznej inteligencji ze szczególnym uwzględnieniem potrzeb administracji publicznej, cyberbezpieczeństwa, edukacji oraz mediów. Docelowo AIDA ma ambicję stać się jednym z excellence centers zajmującym się sztuczną inteligen-cją w Europie Środkowej.

Projekt AIDA nabiera rozpędu i w najbliższym czasie z pewnością będziemy słyszeć o nim coraz częściej m.in. przy rozbudowie polskiej sieci 5G i budowie Centralnego Portu Komunikacyjnego.

Rozkład procentowy odpowiedzi na pytanie: „Kto według Pana(i) powinien regulować prawnie kwestie związane z technologią

sztucznej inteligencji”

ŹRÓDŁO: RAPORT „SZTUCZNA INTELIGENCJA W SPOŁECZEŃSTWIE I GOSPODARCE. RAPORT Z BADAŃ SPOŁECZNYCH”, NASK

Nikt

53,7%

48,9%

17,2%

16,8%

16,4%

13,3%

1,6%

1,6%

48

ww

w.te

star

my.

com


Deepfake i walka z fakenews

Kolejnymi zagrożeniami, których zintensyfikowania możemy spodziewać się w 2020 roku, jest deepfake i fakenews. Deepfake to potężna technologia, która przy zastoso-waniu algorytmów sztucznej inteligencji (AI), pozwala na generowanie realistycznych, łudząco podobnych do oryginału postaci. Wrogie użycie technologii deepfake pozwala z powodzeniem manipulować wyodrębnionymi grupami, dyskredytować poszczególne osoby czy nawet decydować o przebiegu wyborów lub powstawaniu konfliktów zbroj-nych o skali globalnej. Nieuniknione są przypadki skierowania manipulacji deepfake w stronę dochodowych firm i wpływowych przedsiębiorców.

Innym aktualnym zagrożeniem jest fakenews. Coraz częściej informacje pochodzące z pozornie wiarygodnych źródeł po odpowiedniej weryfikacji okazują się fałszywymi. Media nierzadko w ten sposób starają się tworzyć sensacje, które nawet nie miały miej-sca. Wszystko to może mieć wpływ na nastroje społeczne, co z kolei przekłada się na bezpieczeństwo państwa — kraje miotane wewnętrznymi konfliktami, to potencjalnie łatwiejsze ofiary dla agresorów.

Co jakiś czas w sieci ukazują się raporty demaskujące fałszywe informacje, które z uwagi na swoją popularność i źródła sprawiły, że wielu ludzi uznawało je za fakty. Jednym z takich raportów jest „US 2020: Another Facebook Information Election”, autorstwa ogólnoświatowej organizacji obywatelskiej Avaaz skupiającej aktywistów działających w zakresie globalnych zmian klimatycznych, praw człowieka, praw zwierząt, korupcji, nędzy i wojen.

Raport organizacji Avaaz demaskuje m.in. popularne w ostatnim czasie fałszywe informa-cje medialne, które wzbudziły ogromne zainteresowanie opinii publicznej w USA. Oto niektóre z nich:

KILKA PRZYKŁADÓW FAKE NEWSÓW Z 2019 ROKU:

Dziadek prezydenta Donalda Trumpa był stręczycielem, a pradziadek członkiem Ku Klux Klanu (29.2 mln odsłon, 1.64 mln interakcji);

Nancy Pelosi, amerykańska polityk Partii Demokratycznej i członkini Izby Reprezentantów, pieniędzmi z ubezpieczeń społecznych finansuje do-chodzenie w sprawie impeachmentu prezydenta USA (24.6 mln odsłon, 1.4 mln interakcji). Jednocześnie syn Nancy Pelosi sprawował wysokie stanowisko w firmie energetycznej odpowiedzialnej za prowadzenie interesów w sektorze gazowym na Ukrainie (8.6 mln odsłon, 480.3 tys. interakcji);

49

ww

w.te

star

my.

com


Ilhan Omar, amerykańska politolog i polityk somalijskiego pochodzenia, członkini Partii Demokratycznej, swoje działania polityczne finansuje, gromadząc fundusze podczas sekretnych spotkań z islamskimi środowi-skami podejrzanymi o wspieranie terroryzmu (9.3 mln odsłon, 523.3 tys. interakcji);

Koszt budowy muru pomiędzy USA a Meksykiem jest niższy niż utrzy-manie strony internetowej amerykańskiego zreformowanego systemu opieki zdrowotnej, potocznie zwanego Obamacare (5.7 mln odsłon, 321.3 tys interakcji).

ŹRÓDŁO: „US 2020: ANOTHER FACEBOOK INFORMATION ELECTION”, AVAAZ

Program ochrony dzieci przed pornografią

Pośród kluczowych założeń zapewnienia przez państwo bezpieczeństwa swoich oby-wateli jest wdrożenie do września 2020 roku rządowego programu ochrony najmłod-szych użytkowników sieci przed pornografią. Chodzi przede wszystkim o nałożenie na dostawców pornografii obowiązku wdrożenia skutecznych narzędzi weryfikacji wieku. Projekt zmiany przepisów tak, aby uniemożliwić dzieciom dostęp do pornografii, to jeden z kroków, który wydaje się konieczny by dzieci i młodzież nie były narażone na nieprze-znaczone dla nich treści.

Ochrona danych osobowych RODO (GDPR)

Jedną ze zmian istotnie wpływających na zapewnienie ochrony obywateli przed wycie-kami danych, jest wprowadzenie w życie ustawy RODO (GDPR). Nakłada ona na firmy konieczność posiadania odpowiedniej polityki zapobiegającej nieuprawnionemu użyciu danych osobowych klientów i pracowników. Ustawa sprawiła, że zapewnianie ochrony informacji stało się obligatoryjnym wymogiem, a nie rozwiązaniem, które warto posiadać, by dobrze wypaść w oczach klientów i partnerów biznesowych.

W tym miejscu warto wspomnieć o rekordowej karze nałożonej 2019 roku przez UODO wobec Morele.net, której wysokość wyniosła aż 2 830 410 zł. W uzasadnieniu decyzji UODO pisze wprost, że wysokość kary jest związana z niedostatecznym poziomem za-bezpieczeń w firmie:

50

ww

w.te

star

my.

com


„Zastosowane przez spółkę środki organizacyjne i techniczne ochrony danych osobowych nie były odpowiednie do istniejącego ryzyka związanego z ich przetwarzaniem, przez co dane około 2 mln 200 tys. osób dostały się w niepowołane ręce. Zabrakło odpowiednich procedur reagowania na wypa-dek pojawienia się nietypowego ruchu w sieci. [...] w przypadku około 35 tys. osób wyciekły dane z ich wniosków ratalnych. A zakres danych obejmował dodatkowo numer PESEL, serię i numer dokumentu tożsamości, wykształce-nie, adres zameldowania, adres do korespondencji, źródło dochodu, wysokość dochodu netto, koszty utrzymania gospodarstwa domowego, stan cywilny, wysokość zobowiązań kredytowych czy alimentacyjnych”

– CZYTAMY NA STRONIE UODO.

Jak wskazuje przykład Morele, warto być świadomym, jak ważna jest ochrona danych klientów oraz jak kosztowne konsekwencje niesie ze sobą jej brak.

„CYBER.MIL z klasą” — cyberklasy w każdym województwie

Ciekawym projektem, którego kontynuacji możemy spodziewać się w najbliższym roku, jest rządowa inicjatywa edukowania przyszłych specjalistów od zapewnienia cyber-bezpieczeństwa. We wrześniu 2019 r. Ministerstwo Obrony Narodowej we współpra-cy z Politechniką Łódzką, Polską Grupą Zbrojeniową oraz Liceum Ogólnokształcącym w Łowiczu uruchomiły pilotażowy program nauczania w zakresie cyberbezpieczeństwa. Docelowo w ramach programu, w liceach ogólnokształcących na terenie całego kraju powstaną klasy o profilu cyberbezpieczeństwa. Każda klasa będzie liczyć do 15 uczniów. Ministerstwo Obrony Narodowej wraz z objęciem szkół patronatem zapewni dofinan-sowanie na wyposażenie sal informatycznych (do 80% poniesionych wydatków, nie więcej niż 200 tys. zł) oraz wynagrodzenie nauczycieli (do 60 tys. zł rocznie). Jednym z kluczowych założeń programu, jest krzewienie świadomości cyberbezpieczeństwa i pozyskiwanie młodych specjalistów spośród miast średniej wielkości. Cyberklasy mają powstać głównie w szkołach zlokalizowanych w miastach do 100 tys. mieszkańców.

Realizacja budżetu NATO w kontekście cyberbezpieczeństwa

W tym roku po raz pierwszy w historii Polska przeznaczy na bezpieczeństwo naszych granic aż 2,1% PKB. Łącznie na tegoroczne wydatki związane z obronnością rząd chce zarezerwować niemal 50 mld zł, czyli o 5 mld zł więcej niż w 2019 roku – są to główne założenia projektu ustawy budżetowej. Wynika to z Ustawy o przebudowie, modernizacji technicznej oraz finansowaniu Sił Zbrojnych RP. Zakłada ona systematyczny wzrost

51

ww

w.te

star

my.

com


wydatków państwa na bezpieczeństwo (w latach 2021-2023 ma to być 2,2% PKB), tak by w 2030 roku osiągnąć poziom 2,5% PKB.

Wzrost wydatków na zbrojenie jest równoznaczny ze wzrostem inwestycji w obszarze cyberbezpieczeństwa, zarówno przy zapewnieniu ochrony w obrębie granic, jak również rozwoju nowoczesnych technologii powiązanych z obronnością, w tym sieci teleme-trycznych, sztucznej inteligencji czy systemów rozpoznawania twarzy. W celu realizacji powyższych założeń ustanowiono strategię określoną w dokumencie zawartym pomię-dzy MON, NASK i ABW, pod tytułem „Strategia Cyberbezpieczeństwa Rzeczypospolitej Polskiej na lata 2019-2024”. Głównym celem ustaleń jest zwiększenie poziomu odpor-ności na cyberzagrożenia oraz wzmocnienie ochrony informacji w sektorach: publicznym, militarnym i prywatnym. Kluczowym elementem strategii ma być edukacja, współpraca międzynarodowa i wymiana informacji. Rozwijanie świadomości społecznej w obszarze bezpiecznego korzystania z cyberprzestrzeni, zakłada ugruntowanie wizerunku Polski, jako państwa o silnej pozycji w dziedzinie cyberbezpieczeństwa.

Podsumowanie

Pisząc ten artykuł, zadałem sobie pytanie, czy możemy mówić o międzynarodowym kryzysie bezpieczeństwa. Z pewnością nie. Zagrożenia istniały zawsze. Od zarania dzie-jów funkcjonowały role napastnika i ofiary i choć czasy się zmieniły, same role nie uległy zmianie. Świat idzie do przodu, powstają nowe technologie, a wraz z nimi pojawiają się nowe zagrożenia. Zdrowy rozsądek każe zachować powściągliwość i nie popadać w stan permanentnego poczucia zagrożenia.

52

ww

w.te

star

my.

com


Wojciech LikaQA SOFTWARE ENGINEER W TESTARMY

Niezależny doradca ds. bezpieczeństwa. Pasjonat zarządzania cyberbezpieczeństwem i bezpieczeństwem fizycznym w kontekście biznesowym.

By uniknąć niebezpieczeństw trzeba być ich świadomym i — najlepiej — zapobiegać im zanim się pojawią. Znane powiedzenie, często kojarzone z branżą bezpieczeństwa IT, mówi, że nie należy zastanawiać się, czy atak nastąpi i liczyć, że nigdy do niego nie dojdzie, ale kiedy nastąpi i jakie będą jego konsekwencje. Odpowiednie zapobieganie, posiadanie polityki bezpieczeństwa oraz audyt bieżących zagrożeń i nieprawidłowości, jest niezwykle skuteczną bronią defensywną, pozwalającą chronić państwo przed utratą przychodów i zaufania obywateli.

Elementem decydującym o bezpieczeństwie podczas korzystania z technologii jest świa-domość zagrożeń, jakie może za sobą nieść. Im więcej wiemy na temat wykorzystywa-nych rozwiązań, im więcej scenariuszy potencjalnych wydarzeń znamy, tym skuteczniej i racjonalniej możemy przeciwdziałać wszelkim niebezpieczeństwom związanym z ich rozwojem.

Nie bójmy się myśleć i mówić o zagrożeniach, ale bądźmy ich świadomi i starajmy się być zawsze przynajmniej o jeden krok przed nimi.

53

ww

w.te

star

my.

com

Podsu-mowując

Podsumowując

Nadchodzące miesiące niosą ze sobą spore zmiany. Wzrost wydatków na cyberbezpieczeństwo, rosnąca potrzeba zapewnienia dostępności stron i produktów cyfrowych

oraz nacisk na automatyzację testów to tylko niektóre z nich.

Oczywiście nie każdy trend znajdzie zastosowanie w każdej branży i nie każde zyskujące na popularności narzędzie przysłuży się każdej firmie. Kluczem do sukcesu jest jak zwykle personalizacja. Zachęcamy przedsiębiorców, aby zamiast ślepo adaptować wszystkie trendy, przyjrzeli się im uważnie i spróbowali wyłuskać z listy te, które będą dla nich naj-bardziej użyteczne. Kto bowiem wie lepiej, co jest dobre dla Twojej firmy, niż Ty sam?

Nieprzeciętna intuicja (zwana też „żyłką do interesów”) i skłonność do trzymania ręki na pulsie to niewątpliwie cechy dobrego przedsiębiorcy. Mając to w pamięci, sugerujemy też, aby nie osiadać na laurach, ale bacznie śledzić zmiany zachodzące w branży. My z pew-nością zamierzamy to robić! Jeśli i Ty zamierzasz, zaglądaj śmiało na nasze blogi firmowe oraz kanały social media, gdzie regularnie dzielimy się aktualnościami ze świata biznesu.

Podsumowując

https://testarmy.com/

https://testarmy.com/blog-testarmy/

https://twitter.com/Test_Army

https://pl.linkedin.com/company/testarmy

https://www.facebook.com/testarmy

https://cyberforces.com/

https://cyberforces.com/blog

https://www.linkedin.com/company/cyberforces

https://www.facebook.com/TestArmyCyberForces/

https://testuj.pl/blog/

https://testuj.pl/

https://www.linkedin.com/company/testuj-pl

https://www.facebook.com/testujpl/

54

ww

w.te

star

my.

com

O TestArmy Group

O TestArmy Group

O TestArmy Group

Od 2009 roku zajmujemy się testowaniem oprogramowania, a od kilku lat również cyberbezpieczeństwem. W pracy kierujemy się trzema wartościami: jakością, pasją i współpracą.

NAGRODY I WYRÓŻNIENIA:

PRACOWALIŚMY M.IN. DLA:

NASI EKSPERCI WYPOWIEDZIELI SIĘ W:

QA Consulting

Testy wydajnościowe

Testy bezpieczeństwa

Testy automatyczne

Testy funkcjonalne

Testy użyteczności

</</>>

55

ww

w.te

star

my.

com

Tytuł

Skontaktuj się z nami

Szymon ChruścickiBUSINESS DEVELOPMENT DIRECTOR

t: +48 505 372 810

e: [email protected]

trendy i perspektywy - testarmy€¦ · wydajność z perspektywy użytkownika w świecie aplikacji...

Documents