Bezpieczeństwo w pogoni za stanem idealnym

Transkrypt

1 1 z :43 Bezpieczeństwo w pogoni za stanem idealnym Autor: Krzysztof Jakubik, Dodano: Sprzedaż systemów ochronnych to duże wyzwanie, ponieważ resellerzy na co dzień borykają się z coraz bardziej wyrafinowanymi zagrożeniami, stereotypami funkcjonującymi wśród klientów, a często też im samym brakuje wiedzy lub doświadczenia. Na szczęście producenci i dystrybutorzy deklarują pełne wsparcie, zachęcając jednocześnie do inwestowania w szkolenie własnych ekspertów ds. bezpieczeństwa. O istniejących dziś możliwościach ochrony systemów IT oraz współpracy producentów, dystrybutorów i resellerów z polskimi klientami w tym zakresie rozmawiali uczestnicy Okrągłego Stołu CRN Polska: Dariusz Wichniewicz, dyrektor Działu Rozwoju Usług Telekomunikacyjnych ATMAN, ATM, Marcin Żebrowski, kierownik projektów, Audytel, Mariusz Stawowski, dyrektor Działu Usług Profesjonalnych, Clico, Michał Ostrowski, dyrektor sprzedaży w Europie Wschodniej, FireEye, Bartosz Prauzner- Bechcicki, dyrektor ds. sprzedaży, Kaspersky Lab. Akceptować czy panikować? CRN Patrząc na statystyki przywoływane przez firmy oferujące rozwiązania ochronne, można dojść do wniosku, że jeżeli chodzi o bezpieczeństwo systemów IT, sytuacja jest tragiczna. Niemniej jednak, mimo paru głośnych incydentów, życie toczy si ędalej, banki wci ążzapewniaj ądostęp do rachunków przez Internet, a firmy nie wyobrażają sobie funkcjonowania bez baz danych zawierających często wrażliwe informacje. A może rzeczywiście jest tak źle, my zaś żyjemy w iluzorycznie bezpiecznym ś wiecie? Michał Ostrowski, FireEye Główny problem wynika z faktu, że nie wiemy, czego nie wiemy. Do świadomości opinii publicznej przez lata przedostawały się informacje o spektakularnych atakach hakerskich, bo ich zleceniodawcy lub wykonawcy się nie kryli, a często wręcz się nimi chwalili. Dzisiaj takie ataki są dokonywane po cichu. Niedawno opublikowaliśmy raport z 1265 audytów bezpieczeństwa przeprowadzonych u naszych klientów, które wykazały, że aż 97 proc. firm miało infekcje komputerów skutkujące przynajmniej jednym aktywnym połączeniem z zewnętrznym hakerskim serwerem Command & Control zarządzającym siecią botnetów. W ten sposób ich firmowe komputery najczęściej były połączone z Chinami lub Rosją. Oczywiście, nie oznacza to od razu sprowadzenia zagrożenia bezpośrednio na dane przedsiębiorstwo, jednak skala zjawiska i brak świadomości jego istnienia mówią same za siebie. Marcin Żebrowski, Audytel Świadomość zagrożeń związanych z bezpieczeństwem informacji oczywiście wzrasta, ale nadal powoli. Z moich obserwacji wynika, że jeśli już jakieś systemy ochronne są wdrażane, to dość chaotycznie, najczęściej w reakcji na problem, np. atak DDoS. Tymczasem wszystkie normy związane z zabezpieczeniem informacji, szczególnie ISO , mówią o tym, że sposób ochrony danych powinien wynikać z rozległej analizy ryzyka. Dopiero na tej podstawie należy pomyśleć o podatnościach i obszarach, w których trzeba zminimalizować ryzyko przez implementację odpowiednich zabezpieczeń. Mariusz Stawowski, Clico Trudno w globalnej skali oceniać poziom zabezpieczenia firm, bo zależy on od standardów i kultury bezpieczeństwa informacji przyjętych w poszczególnych branżach. Natomiast niestety widzimy, że przedsiębiorstwa bardzo mocno inwestują w zabezpieczenia techniczne, ale nie są to działania przemyślane. Kupowane są często zabezpieczenia, które nie odpowiadają aktualnym zagrożeniom. Wciąż jest też za mało zaangażowania w działania edukacyjne dla użytkowników, wzmacniające ich wiedzę o zagrożeniach dotyczących korzystania z systemów teleinformatycznych. Brakuje także właściwego motywowania pracowników ze strony kadry zarządzającej do bardziej roztropnego działania. A bez odpowiedniej świadomości użytkowników nie da się zapewnić bezpieczeństwa, nawet jeżeli zainwestuje się w najdroższe i najbardziej zaawansowane systemy ochronne. Bartosz Prauzner-Bechcicki, Kaspersky Lab Potwierdzam, że niestety to człowiek jest najsłabszym ogniwem. Można zabezpieczyć komputer lub urządzenie mobilne przed atakiem, stworzyć odpowiednie algorytmy czy politykę bezpieczeństwa. Jeśli jednak chodzi o użytkowników, czasami jedynym rozwiązaniem jest zastosowanie strategii deny by default, czyli całkowitego zakazu różnego typu działań i późniejsze otwieranie dostępu do poszczególnych zasobów tylko w przypadku uzasadnionego żądania. Dariusz Wichniewicz, ATM W przypadku operatora centrum danych ważne jest także fizyczne bezpieczeństwo

2 2 z :43 zarówno ochrona przed ingerencją z zewnątrz, jak też przed przerwami w pracy. Na szczęście nie odnotowaliśmy dotychczas prób fizycznego włamania do naszego centrum danych, ale obserwujemy rosnącą liczbę ataków typu DDoS na nasze zasoby. Świadomość użytkowników biznesowych rośnie w wyniku różnych zdarzeń ostatnich lat zablokowania rządowych serwerów na skutek awantury o ACTA, a także wpadek kilku banków i popularnego serwisu aukcyjnego. To były wydarzenia, których nie dało się zamieść pod dywan, więc dowiedzieli się o nich praktycznie wszyscy. Dzięki temu zaczęli się zastanawiać nad skutkami takiego ataku na nich. Gdzie postawić granice? CRN Czy przy tak dużej różnorodności zagrożeń można stwierdzić, że dana firma jest zabezpieczona w akceptowalnym stopniu? Wszyscy wiemy, że nie ma mowy o stuprocentowym bezpieczeństwie, ale jakiś punkt odniesienia trzeba przecież przyjąć Marcin Żebrowski, Audytel Jednym z najważniejszych aspektów, który zawsze należy sprawdzić, jest obecność w firmie wyznaczonej osoby odpowiedzialnej za sprawy związane z bezpieczeństwem danych. Niestety, najczęściej nie ma kogoś takiego, a odpowiedzialność zostaje rozmyta na administratorów sieci, serwerów lub dział finansowy. Czasami taką funkcję pełni sam szef przedsiębiorstwa. Natomiast zgodnie z najlepszymi praktykami w dużej firmie powinna być osoba pełniąca rolę CSO, czyli Chief Security Officer, która jest niezależna zarówno od dyrektora departamentu informatyki, jak i od innych decydentów w firmie, a raporty składa bezpośrednio zarządowi. Mariusz Stawowski, Clico Dzisiaj na podstawie audytu dość łatwo można ocenić, czy przedsiębiorstwo ma zewnętrzne luki w zabezpieczeniach, ale trudno stwierdzić, czy jest naprawdę dobrze zabezpieczone, bo zakres takiego audytu musiałby być bardzo szeroki. Najczęściej w Polsce i na świecie wykonuje się zewnętrzne testy penetracyjne, ale dla całościowej oceny bezpieczeństwa konieczny jest audyt o znacznie większym zakresie, którego koszt przekracza 100 tys. zł dla średniej wielkości firmy. Sprawdza on m.in., czy w przedsiębiorstwie jest komuś przypisany zakres odpowiedzialności za bezpieczeństwo, czy system zabezpieczeń jest powiązany z działalnością biznesową firmy i odpowiada aktualnym zagrożeniom, czy zachowanie i postawy pracowników pokazują ich dbałość o bezpieczeństwo, a także czy została dokonana właściwa klasyfikacja zasobów IT i czy w planowaniu polityki bezpieczeństwa ich ważność jest brana pod uwagę. Marcin Żebrowski, Audytel Ważne jest też sprawdzenie, czy firma ma sformalizowany program zarządzania bezpieczeństwem informacji, oparty chociażby na normie ISO Może on zawierać elementy wymienione w załączniku A do tej normy, w szczególności politykę bezpieczeństwa, deklarację stosowania zabezpieczeń, kwestie związane z ochroną danych osobowych, jeśli to dotyczy danego przedsiębiorstwa itd. Natomiast na użytkowników nie ma lepszego sposobu niż budowanie ich świadomości i wrażliwości na kwestie bezpieczeństwa, np. przez regularne szkolenia. Inaczej szybko doświadczymy ich kreatywności, np. w sytuacji zablokowania dostępu do stron internetowych skorzystają z połączenia komórkowego przez swój telefon czy tablet albo za pomocą takiego urządzenia stworzą lokalną, małą sieć bezprzewodową i podłączą się do niej z firmowego laptopa. Niby tylko na swoje potrzeby, jednak zrobią w ten sposób potężną lukę w całej infrastrukturze bezpieczeństwa, z której mogą skorzystać niepowołane osoby. Bartosz Prauzner-Bechcicki, Kaspersky Lab Dlatego w obronie przed tą kreatywnością umożliwiamy stworzenie polityki deny by default, ale łączymy ją z tworzeniem białej listy. Za pomocą zaszytej w oprogramowaniu naszej wiedzy eksperckiej wyręczamy użytkownika i pomagamy w podejmowaniu decyzji. Taka polityka może być istotna w wielu środowiskach, np. w elektrowniach, gdzie nie ma dostępu do Internetu, ale może nastąpić atak z wewnątrz. Tak się stało w przypadku wirusa Stuxnet, który dostał się do zamkniętej infrastruktury od wewnątrz i modyfikował ustawienia zaatakowanych urządzeń. Michał Ostrowski, FireEye Białe listy mogą sprawdzić się w ochronie infrastruktury krytycznej, ale nie znam zwykłej firmy, która zastosowałaby ten model ochrony na dużą skalę na swoich stacjach roboczych, bo jest to po prostu bardzo trudne, ze względu na różne wyjątki. A nawet jeśli to zrobimy, nie zablokujemy poczty elektronicznej, a dzisiaj można wykonać atak z poziomu Gmaila na dowolną stację i mieć 90 proc. pewności, że będzie skuteczny. Czy wciąż jest sens inwestowania w antywirusy?

3 3 z :43 CRN Często słychać głosy ekspertów, że klasyczne antywirusy są coraz mniej skuteczne i konieczne jest stosowanie bardziej zaawansowanych rozwiązań. Tymczasem użytkownicy chyba przestają rozumieć, jaka jest między tymi produktami różnica Mariusz Stawowski, Clico Faktycznie, obecnie standardowy antywirus, aktualizujący swoje bazy sygnatur, to już nie wszystko. Taki program musi umieć wykrywać zagrożenia dopiero co powstałe złośliwy kod, który dziś każdy może stworzyć powszechnie dostępnymi narzędziami, wykorzystywany do precyzyjnego atakowania konkretnych przedsiębiorstw. Ale problem dotyczy nie tylko antywirusów. Wiele firm nadal działa bardzo konserwatywnie i kupuje tradycyjne zabezpieczenia, które są nieskuteczne w przypadku współczesnych zagrożeń. Nie inwestują w takie rozwiązania, jak web application firewall, wierząc, że ich portale webowe wciąż mogą być chronione klasycznym IPS-em. Nie kupują zabezpieczeń baz danych, zakładając, że oprogramowanie to obroni się samo. Tymczasem mogę to powiedzieć z doświadczenia audytora bazy danych nawet renomowanych producentów są pierwszym i najłatwiejszym celem, jeśli chodzi o prosty dostęp do wrażliwych danych biznesowych firmy. Michał Ostrowski, FireEye Antywirusy wciąż są potrzebne, bo chronią przed zagrożeniami sygnaturowymi i wolumenowo odsiewają dużą część z nich oraz zwiększają poczucie bezpieczeństwa. Ale tak naprawdę największe zagrożenie są wolumenowo małe i niewiele o nich słychać. A tradycyjne rozwiązania ich nie wychwytują. Bartosz Prauzner-Bechcicki, Kaspersky Lab To dość trudny temat i rzeczywiście przekonanie użytkowników nie jest już taką prostą sprawą. Firmy tworzące oprogramowanie antywirusowenie tylko wykorzystują w nim klasyczne bazy sygnatur, ale dołączają wiele innych mechanizmów, z których najważniejsza jest analiza zachowania potencjalnie niebezpiecznego oprogramowania i unieszkodliwienie go. Tu jednak pojawia się kolejny problem, bo użytkownicy nie lubią, gdy nagle wyskakuje komunikat programu antywirusowego i każe im podejmować decyzję. Dlatego wciąż ważne jest budzenie świadomości wykonywanych działań. CRN Wynika z tego, że coraz więcej użytkowników musi polegać na swojej intuicji, bo wiedzy eksperckiej nie mają, a gdy antywirus prosi ich o podjęcie decyzji, coś muszą odpowiedzieć. A czy intuicja może być właściwym narzędziem do podejmowania takich decyzji? Marcin Żebrowski, Audytel Intuicja to doświadczenie przeniesione do podświadomości. Im więcej tego doświadczenia i wiedzy użytkowników, tym lepsze decyzje. Michał Ostrowski, FireEye Z intuicji i zdrowego rozsądku należy korzystać zawsze, nie tylko w kwestiach związanych z IT. Ale czy to nas przed czymś ochroni? Głównie przed głupimi błędami lub nierozważnym zachowaniem. Przy niektórych atakach intuicja nam nie pomoże, bo jeżeli wchodzimy na odwiedzaną codziennie stronę, a jej zawartość aktywna została nagle podmieniona na szkodliwą, to intuicja nas zawiedzie. Bartosz Prauzner-Bechcicki, Kaspersky Lab Podobnie jest z różnicą między klasycznym phishingiem, w przypadku którego w linki w ach klika tylko kilka procent odbiorców, a spear phishingiem, przygotowanym w ramach precyzyjnie skrojonej kampanii APT. W drugim przypadku komunikacja jest tak przygotowana, że atakujący ma niemal 100 proc. gwarancji przyciągnięcia uwagi atakowanego i wykonania przez niego niebezpiecznych działań. Dariusz Wichniewicz, ATM Internet utrudnia identyfikację atakującego, co zwiększa częstotliwość występowania masowych ataków. Ale pytaniem, które najczęściej zadają sobie atakujący, nie jest: czy można się gdzieś włamać?, lecz: czy warto się gdzieś włamać, a jeśli się uda, to jakie korzyści można w ten sposób osiągnąć?. Chmura szansa czy zagrożenie? CRN Chmura publiczna od samego początku kojarzona jest z bezpieczeństwem. Paradoksalnie na to zagadnienie wskazują zarówno jej zwolennicy, jak też przeciwnicy Mariusz Stawowski, Clico Na bezpieczeństwo chmury trzeba patrzeć, skupiając uwagę na trzech aspektach zgodności z prawem, zaufania do dostawcy usług i zabezpieczenia infrastruktury, z której świadczone są usługi. W odniesieniu do trzeciego obszaru warto zauważyć, że chmura jest zwykłym systemem teleinformatycznym i to, jak jest chroniona, zależy od jego właściciela, czyli usługodawcy. Teoretycznie można ją odpowiednio zabezpieczyć, ale klientom i resellerom trudno jest zweryfikować poziom tej ochrony. Dlatego pojawia się kwestia

4 4 z :43 zaufania do dostawcy oraz umowy, w której bierze on odpowiedzialność za bezpieczeństwo danych. Dariusz Wichniewicz, ATM Gdy w przedsiębiorstwie jest wdrażany projekt IT, często informatycy słyszą od zarządu pytanie, czy zrobili wszystko, aby firmowe dane były bezpieczne. Jeżeli zdecydowano o przechowywaniu dużej ilości ważnych dla biznesu danych w chmurze publicznej, to odpowiedź na takie pytanie powinna brzmieć nie. Chmura jest modelem łatwiejszym, bardziej atrakcyjnym, ekonomicznie prostszym do wdrożenia, ale np. nie oferuje możliwości łatwego samodzielnego wykonania backupu przechowywanych tam danych, a odpowiedzialność za ten proces przenosi na usługodawcę. CRN Faktem jest jednak, że dane trzymane na serwerach pod biurkiem prezesa są mniej bezpieczne Dariusz Wichniewicz, ATM Oczywiście, ale może się też zdarzyć, że firma operatora chmury zniknie w przyszłym tygodniu zbankrutuje lub wstrzyma działalność, bo jej komputery zostaną zagarnięte przez wymiar sprawiedliwości, żeby przez trzy miesiące sprawdzać, co na nich było. Tego typu wydarzenia miały miejsce. Trzeba jednak zdawać sobie sprawę, że usługi w chmurze publicznej będą dość szeroko obecne na rynku klienci postrzegają je jako bardzo atrakcyjny produkt, którego funkcje można od razu zaprezentować na żywo, bez dodatkowych prezentacji, a do tego model rozliczania jest preferowany przez dyrektorów finansowych. CRN Do chmury powoli trafiają także antywirusy Bartosz Prauzner-Bechcicki, Kaspersky Lab Jeśli mówimy o antywirusie, który działa wyłącznie w chmurze, a użytkownik musi mieć stałe połączenie z Internetem, to nie wydaje mi się, żeby było to idealne rozwiązanie, chociażby ze względu na problem zabezpieczenia infrastruktury niepodłączonej do Internetu. Natomiast z pewnością większość dostawców będzie wkrótce oferowała rozwiązania hybrydowe. Już teraz sygnatury, a także np. informacje o reputacji stron WWW, są pobierane z Internetu, a do chmury automatycznie będą trafiały też fragmenty podejrzanego kodu w celu przeprowadzenia dodatkowej weryfikacji, czy nie jest to np. atak dnia zerowego. Marcin Żebrowski, Audytel Początkowo do chmury trafiały głównie niszowe systemy, ale dziś także największe firmy na rynku zauważyły zalety tego modelu. Natomiast wciąż rozwiązania instalowane bezpośrednio u użytkowników mają większą funkcjonalność niż dostępne z chmury. Jednak z pewnością nastąpią tu zmiany ze względu na tempo rozwoju rynku i naciski na dyrektorów IT ze strony zarządów, by nie prowadzili pojedynczych inwestycji, lecz kupowali jak najwięcej rozwiązań rozliczanych w modelu abonamentowym. Już wkrótce dojdziemy do takiego punktu, że rozwiązania dostępne w chmurze funkcjonalnie najpierw zrównają się z instalowanymi w firmach, a następnie je jakościowo przewyższą, co biorąc pod uwagę także korzystniejszy model rozliczania spowoduje dość dużą rewolucję. Bartosz Prauzner-Bechcicki, Kaspersky Lab Warto też pamiętać, że zaoferowanie większości usług z chmury nie oznacza całkowitego uwolnienia się od sprzętu i aplikacji. Każdy użytkownik musi mieć bowiem urządzenie pełniące funkcję klienta. Trzeba więc je będzie również zabezpieczać, aby zrealizować założenia polityki bezpieczeństwa danego przedsiębiorstwa, np. blokować możliwość nagrywania niektórych danych w pamięci USB. Dlaczego sprzedaż systemów ochronnych jest taka trudna? CRN Nabycie wiedzy eksperckiej dotyczącej rozwiązań ochronnych stanowi obecnie nie lada wyzwanie i wymaga wielu lat doświadczenia. Dlatego resellerzy często rezygnują z możliwości sprzedaży zaawansowanych systemów bezpieczeństwa. Co z tym fantem zrobić? Michał Ostrowski, FireEye Jako producent mogę powiedzieć, że zależy nam, aby w kanale dystrybucyjnym byli ludzie doświadczeni, z wiedzą ekspercką. Dlatego przystąpienie do naszego programu partnerskiego wymaga zaawansowanych szkoleń. W przypadku mniejszych resellerów nie chodzi tylko o brak umiejętności, ale przede wszystkim o brak zasobów kadrowych, przez co nie mogą się wszystkim zająć. Takie firmy mają natomiast jedną podstawową zaletę znają dobrze infrastrukturę i każdy fragment sieci niektórych swoich klientów, bo współpracują z nimi od kilkunastu lat. To jest nie do przecenienia. Takim firmom producent powinien zapewnić zdobycie dodatkowej wiedzy bądź współpracy z innymi, bardziej zaawansowanymi partnerami, z gwarancją podziału zysku. Mariusz Stawowski, Clico Niestety, rozwiązania ochronne stają się coraz bardziej skomplikowane i choć producenci starają się jak najbardziej uprościć interfejs konfiguracyjny nie można ich wdrażać bez

5 5 z :43 odpowiednich kompetencji. Główna rola w zakresie wsparcia spada tutaj na dystrybutora, który odpowiada za rozwiązania danego producenta i zatrudnia inżynierów świadczących usługi pomocy technicznej, szkoli ich i przygotowuje szkolenia dla partnerów. Gdy pojawi się pierwszy projekt, realizowany jest zwykle wspólnie z danym integratorem. Byłoby też dobrze, aby dystrybutor posiadał równocześnie autoryzowane centrum edukacyjne i mógł przeszkolić zarówno klienta końcowego, jak i inżynierów integratora, biorących udział w projekcie. Marcin Żebrowski, Audytel Niestety, dla polskich klientów zdecydowanie za wysokie są też stawki za usługi profesjonalne i dlatego w naszym kraju, w przeciwieństwie do USA czy Europy Zachodniej, nie ma jeszcze kultury ich nabywania. Często spotykam się z takim podejściem: firma wydaje 10 mln zł na bardzo zaawansowany system zabezpieczający, ale rezygnuje z wydatku rzędu 100 tys. zł na profesjonalną usługę związaną z konfiguracją tego systemu lub testami penetracyjnymi, choć wiedzę ekspercką w tym zakresie ma na wyciągnięcie ręki. CRN Resellerzy często też skarżą się na problemy z wyborem firmy, która stałaby się ich strategicznym dostawcą w zakresie produktów bezpieczeństwa lub dostarczyła rozwiązania potrzebne do realizacji konkretnego projektu. Antywirusy czy firewalle mają podobne funkcje i czasem trudno znaleźć ich wyróżniki Mariusz Stawowski, Clico Także tutaj bardzo ważną rolę odgrywa dystrybutor jako ośrodek kompetencyjny świadczący usługi doradcze w zakresie doboru rozwiązań. Mamy w ofercie produkty dwóch lub więcej dostawców, które mogą rozwiązać dany problem klienta. Zawsze najpierw prosimy o wykonanie projektu na podstawie analizy zagrożeń i ryzyka oraz określenie, jakie funkcje musi spełniać system bezpieczeństwa. Taki projekt może wykonać klient, integrator lub my. Następnie sprawdzamy, które z dostępnych rozwiązań spełnia podane w nim wymagania. Jeżeli w grze nadal pozostają rozwiązania kilku dostawców, to sprawdzamy pozycję i udziały rynkowe danej firmy jeśli dostawca sprzedał niewiele rozwiązań, to są one słabiej przetestowane przez klientów, a więc rośnie ryzyko pewnych niedociągnięć. Wśród pozostałych kryteriów wyboru znajdują się też oczywiście: cena zakupu i wdrożenia, dostępność pomocy technicznej i szkoleń producenta w Polsce, których koszt będzie akceptowalny dla polskich klientów. Dariusz Wichniewicz, ATM Zawsze staramy się pokazać, czym się na rynku wyróżniamy. Metodą, która najlepiej się sprawdza, jest przyjdź i dotknij. Na klienta zawsze działa wycieczka po centrum danych, gdy może zobaczyć, w ilu miejscach stoją ochroniarze i w jaki sposób są przeprowadzane kontrole. Papier czy PowerPoint jest cierpliwy i przyjmie wszystkie argumenty, natomiast największe wrażenie pozostawia możliwość zobaczenia pół hektara akumulatorów i wielkich generatorów prądu, szeregu butli z gazem gaszącym lub całego dachu usianego potężnymi wentylatorami od klimatyzacji. Michał Ostrowski, FireEye Proof of concept to najbardziej popularny model sprzedaży w naszym przypadku i zawsze do niego zachęcamy resellerów i integratorów. Raport o zagrożeniach, o którym wspomniałem na początku, został przygotowany właśnie dzięki tej metodzie. W ten sposób uzyskujemy twarde dane, z którymi trudno dyskutować, a jednocześnie jest to świetne narzędzie sprzedażowe. Bartosz Prauzner-Bechcicki, Kaspersky Lab Warto też podkreślić, że reseller nie powinien obawiać się rozmowy z producentem czy dystrybutorem. Nie jest kompromitacją to, że czegoś nie wie. Ten rynek idzie tak szybko do przodu, że nie ma szans, by wiedzieć wszystko, po prostu trzeba pytać.