Transkrypcja – Cyberbezpieczeństwo w aspekcie programów lojalnościowych
KN: Dobry wieczór. Katarzyna Nawrocka „O programach lojalnościowych nocą”. W dzisiejszym odcinku naszego programu poruszamy bardzo ważny i bardzo aktualny temat – Cyberbezpieczeństwo. I ekspertem od tego cyberbezpieczeństwa jest właśnie mój dzisiejszy gość – Paweł Wałuszko.
PW: Dobry wieczór. Nazywam się Paweł Wałuszko. Jestem absolwentem Uniwersytetu Kalifornijskiego w Berkeley, Uniwersytetu Stanforda. Teraz współpracuję z TestArmy Cyberforces. Zajmuję się edukacją użytkowników końcowych w dziedzinie cyberbezpieczeństwa.
KN: Panie Pawle, porozmawiamy przede wszystkim o tym jak chronić bazy danych programów lojalnościowych. Dlatego chciałabym jako pierwsze pytanie zadać Panu: jakie są główne rodzaje ataków na systemy informatyczne i jak się przed nimi chronić?
PW: Temat jest bardzo złożony tak naprawdę, ponieważ są dwa typy ataków, do których musimy się już przygotować na początek. Pierwsze typu ataków są to ataki typu na przykład ransomware. To są ataki, które próbują np. przykład zaszyfrować nasze dane lub uszkodzić nasze usługi, które funkcjonują. Drugim typem ataku to są ataki typu denial of service – DOS. Są to ataki, w których np. hakerzy generują ogromny ruch, który przechodzi na nasze systemy informatyczne, przeciąża te systemy i powoduje tzw. down time, czyli po prostu brak funkcjonalności tych systemów.
KN: Wspomniał Pan o wyciekach danych spowodowanych ransomware. Co się dzieje z takimi danymi?
PW: To znaczy, tak naprawdę tradycyjnie ransomware nie powodował tyle wycieków danych, co po prostu je szyfrował. Ransomware to jest takie złośliwe oprogramowanie, które najczęściej przez błąd człowieka przedostaje się do naszych systemów informatycznych. To może przyjść, taki ransomware np. w postaci faktury nie opłaconej. Haker do nas wysyła taką fakturę. Oczywiście ta faktura jest nie do nas, ale ktoś otworzy. Wtedy dostajemy taki malutki plik, który zaczyna bezobjawowo szyfrować wszelkie dane na naszym komputerze. Szyfrując te dane oczywiście nie zauważymy tego, co się dzieje. Ten ransomware szyfruje każdy plik i przechodzi automatycznie po dyskach sieciowych, żeby szyfrować i atakować kolejne systemy w celu wymuszenia na Nas opłacania pewnego okupu najczęściej określonego w walucie Bitcoin. Jeżeli chodzi o ten okup, to tak naprawdę on może być różny. Ten okup może być bardzo mały albo bardzo duży jeżeli chodzi o kwotę, ponieważ ransomware jest zaprogramowany w taki sposób, żeby rozpoznać w jakim środowisku się znajduje. Więc jeżeli jest to środowisko korporacyjne, jeżeli jest to środowisko produkcyjne jak najbardziej ten ransomware rozpozna to środowisko i zwiększy tą kwotę okupu. I teraz do mniej więcej 2020 roku to był taki tradycyjny sposób funkcjonowania ransomware, ale nie każdy tak naprawdę jest zmotywowany na tyle, żeby opłacić hakerom okup. Pamiętajmy o tym, że to są cyberprzestępcy, więc opłacenie tego okupu też nie gwarantuje, że otrzymamy swoje dane. Więc hakerzy wpadli na drugi pomysł, czyli w momencie kiedy ten ransomware dostaje się do naszych systemów informatycznych on automatycznie kontaktuje się z hakerem, przesyła kopie danych do hakera, żeby ten haker mógł nas szantażować tymi danymi. I da się nas szantażować naprawdę na wiele sposobów. Po pierwsze, jeżeli nie opłacimy takiego okupu, żeby odszyfrować dane, haker może do nas wysłać wiadomość np. wszelkie dokumenty poufne, treści naszych umów mogą być upublicznione. Co po pierwsze może zaszkodzić wizerunkowi naszej firmy, może spowodować to, że po prostu klienci stracą do nas zaufanie. I oczywiście nie zapomnijmy o RODO, ponieważ jeżeli dojdzie do wycieku danych, jesteśmy zobowiązani teraz prawem, żeby poinformować odpowiednie służby o tym fakcie.
KN: Przede wszystkim jesteśmy zobowiązani, żeby chronić dane jeśli wspomniał Pan o RODO. Ale ja chciałam płynnie przejść do kolejnego aspektu, ponieważ wiemy już jak to, jak jesteśmy narażeni na to, żeby ten złośliwy wirus, inteligentny wirus, mógł zaszyfrować nasze dane, ale czy możemy w jakikolwiek sposób się przed tym chronić?
PW: Możemy. Tylko tak naprawdę to chronienie się przed tymi wirusami zależy od bardzo wielu aspektów. Po pierwsze, zwróćmy uwagę na tzw. czynnik ludzki. Według wszelkich statystyk jeżeli zobaczymy statystyki opublikowane przez firmę Canon w 2019 roku, który jest publikowany corocznie. Mniej więcej 52 do 59% wszelkich wycieków danych jest spowodowane przez tak zwany czynnik ludzki. Czym jest czynnik ludzki? Czynnik ludzki to są błędy w konfiguracji, to są zwykłe pomyłki, które zdarzają się każdemu. Nie jesteśmy robotami, więc naturalnie czasami wyślemy maila nie do odpowiedniej osoby. Jest to również, są to tzw. insiderzy, czyli osoby, które czasami nawet nie wiedzą o tym, że wchodzą w interakcje z jakimś hakerom, który np. używając socjotechnika, który jest manipulacją psychologiczną, próbuje się z nimi skontaktować i wejść we współpracę. Taka współpraca może być tym, że ktoś np. chwilowo wyłącza anty wirusa. Ktoś może np. otworzyć plik, który nie powinien otworzyć. Może przez przypadek udostępnić hasło nawet o tym nie wiedząc sądząc, że prawidłowo wykonuje swoje zadania. Więc tak naprawdę ten czynnik ludzki jest wielkim problemem i jedynym sposobem, że tak powiem chronienia się przed takimi wyciekami są testy socjotechniczne i również audyty odporności firmy na takie ataki. I oczywiście Security Awareness, czyli szkolenia z tej dziedziny. Proszę pamiętać o tym, że systemy odpornościowe, informatyczne nie mogą nam zagwarantować stuprocentowego bezpieczeństwa. Jeżeli nawet znajdziemy takie rozwiązanie, które się reklamuje, że w 100% nam zagwarantuje bezpieczeństwo, to proszę mi uwierzyć, nie jest to realna reklama. W cyberbezpieczeństwie nie ma takiego czegoś jak stuprocentowa gwarancja retencji danych, czy bezpieczeństwa. Ale możemy się na pewno do tego zbliżać. Więc jeżeli przygotujemy nasze kadry, osoby które z nami współpracują codziennie, wytłumaczymy tym osobom, na czym polegają ataki hakerskie, na co zwracać uwagę, jak wygląda phishing, jakie metody są używane, żeby wyłudzić od nas te dane. Od razu podnosimy wydajność tych systemów, w które już i tak zainwestowaliśmy ogromne pieniądze. Drugim aspektem oczywiście są różnego rodzaju audyty bezpieczeństwa. Mówimy tutaj również o testach automatycznych, testach manualnych, o usługach takich jak rettim, gdzie rzeczywiście hakerzy, oczywiście z przyzwoleniem naszym i z odpowiednimi umowami, próbują faktycznie włamać się do tych systemów i spróbować przejść przez wszelkie systemy obronne, które my mamy. Oczywiście za naszym pozwoleniem.
KN: Czy bezpieczeństwo danych należy stale monitorować i jak to robić? Czy można to jakoś zautomatyzować?
PW: Monitorowanie bezpieczeństwa danych tak naprawdę jest w naszym interesie. Pamiętajmy o tym, że są to dane, za które możemy naprawdę zapłacić dość dużą karę. Jeżeli dojdzie do wycieku danych, jakiegokolwiek tak naprawdę, musimy się spodziewać, że będą nas dotyczyły kary RODO. Możemy stracić zaufanie klientów i na pewno nie chcemy, żeby nasze prywatne dane i naszych pracowników gdzieś wirowały po internecie, więc ten monitoring jest jak najbardziej istotny. Jeżeli chodzi o monitoring możemy porozmawiać tutaj o monitoringu behawioralnym, czyli jak pracownicy się zachowują i czy przypadkiem nawet nieświadomie nie wchodzą we współpracę z jakimś hakerem. Używane są do tego różne systemy od IPS do IDS. Są to systemy Intrusion Prevention System, Intrusion Detection System, które mogą nas poinformować o tym, że coś złego się dzieje w naszej firmie, ale również są związane bardziej skomplikowane takie jak Siem. To są systemy alertująco-monitorujące, więc te systemy są w stanie zauważyć, że coś złego się dzieje i wygenerować alert, czyli poinformować informatyka, że coś dzieje się czego nie powinno się dziać. I tutaj podam taki przykład. Np. loginu o drugiej w nocy, poprawnego loginu. O czym taki login może świadczyć? Może świadczyć po pierwsze o tym, że ktoś po prostu pracuje zdalnie, może w innej strefie czasowej, więc po prostu się podłączył do naszej sieci i teraz z niej korzysta, czyli jak najbardziej jest to zachowanie w porządku. Drugą opcją jest to, że po prostu może ktoś pracuje z domu, może wypił trzy kawy i nie może zasnąć o tej porze, więc druga w nocy jak najbardziej ktoś nadal pracuje, ale trzecią opcją jest niestety to, że mogło dojść do wycieku haseł, więc nawet jeśli ktoś się prawidłowo zaloguje do naszej sieci o drugiej w nocy, powinniśmy zwrócić na to jakoś uwagę. I te systemy Siem mogą w tym momencie, szczególnie jeże są wyposażone o sztuczną inteligencję, podejmować pewne decyzje. Mówimy tutaj o systemach alertujących. Alert to jest po prostu wysłanie do kogoś notyfikacji, wiadomości, że np. to może być sms, to może być mail, to może być ticket w helpdesku takim jak Gira, który nas informuje, że po prostu coś się wydarzyło i ten system to wykrył. Ale dodajmy do tego ten aspekt proaktywny, który właśnie oferuje sztuczna inteligencja, która np. może podjąć pewne decyzje. Więc jeżeli zauważy taki nietypowy login nawet z prawidłowym użytkownikiem i hasłem, ale o nietypowej godzinie, może ta sztuczna inteligencja prewencyjnie np. zablokować takie konto. Oczywiście może to poskutkować tym, że komuś rzeczywiście przeszkodzimy w pracy, ale z punktu widzenia cyberbezpieczeństwa lepiej jest przeszkodzić takiemu pracownikowi podczas wykonywania swojej pracy i po prostu porozmawiać z nim za kilka godzin, niż po prostu zostawić taką otwartą furtkę w naszych systemach, a okaże się później, że doszło faktycznie do wycieku haseł i taki haker mógł właśnie korzystać z naszych systemów przez kilka godzin i zrobić sobie z nimi cokolwiek by chciał.
KN: A co w przypadku, kiedy nie chcemy inwestować w sztuczną inteligencję?
PW: To bardzo trafne pytanie, ponieważ sztuczna inteligencja, rozwiązania oparte o sztuczną inteligencję, na razie są dość drogie i bądźmy szczerzy – nie każdy sobie może na to pozwolić. Ale niedawno prowadziłem wykład na temat tego, jak można stworzyć własny system Siem niekoniecznie oparty o jakąś sztuczną inteligencję, ale o pewne zasady. Więc tak jak mówiłem, systemy siem posiadają ten komponent alartujący, ale różne systemy monitorowania np. NMS – Network Monitoring Software w momencie, kiedy zauważą coś albo Lock Parcere, czyli te rozwiązania, które sczytują dzienniki, co się dzieje w naszych serwerach, co się dzieje w naszych komputerach, zauważą coś dziwnego. One mają często opcję informowania nas. Czyli jakiś skrypt może być, już tak powiem kolokwialnie mówiąc, odpalony. Nic nie stoi nam na przeszkodzie, żeby nie połączyć te systemy alertujące np. z własnym autorskim skryptem napisanym w Bashu albo w Power Shell, który np. zablokuje konto, jeżeli zauważy takie a nie inne zachowanie. Więc tutaj zależy to naprawdę od administratora. Ile administrator pracy chce włożyć w zdefiniowanie takich zasad takiej polityki, zdefiniowanie co jest normalnym zachowaniem, a co już nie jest naturalnym zachowaniem. Podam kolejny przykład. Powiedzmy, że mamy kilka loginów i kilka prób zalogowania się do jednego systemu na raz. Powiedzmy, że np. ktoś w ciągu jednej minuty trzykrotnie wpisał niepoprawny login i hasło. Co to znaczy? To może znaczyć po prostu, że komuś powinął się palec na klawiaturze, mi się to często zdarza, i po prostu wtedy dostaję informację „login failed”, czyli nie dało się zalogować. Ale np. jeżeli widzimy trzy próby zalogowania się w ciągu jednej sekundy – nie wierzę w to, że ktoś tak szybko potrafi pisać na klawiaturze, więc prawdopodobnie mamy tutaj już do czynienia z zachowaniem skryptowym. Więc my jako administratorzy możemy sobie tak naprawdę ustalić co uważamy za zachowanie normalne, a co za zautomatyzowane. I wtedy ustawić te systemy monitorująco-alertujące, że jak zauważą tą różnicę, że jeżeli zauważymy np. trzy loginy w ciągu jednej sekundy to już jest prawdopodobnie bot. To jest zachowanie nienaturalne. Wtedy blokujemy takie konto. To samo z tym przykładem poprawnego zalogowania się o drugiej w nocy. Jeżeli u nas występuje praca zdalna o tej porze – jest to jak najbardziej normalne, w innych firmach, które np. codziennie funkcjonują od 9 do 17 i wiedzą, że nie mają użytkowników, którzy łączą się gdzieś z domu przez VPN, nie pracują w ogóle w innej strefie czasowej. Wiadomo, że nawet poprawne zalogowanie się po godzinie 17 może świadczyć o czymś złym. Więc te skrypty mogą być ustalone i zamiast nas alertować, mogą poza wysyłaniem maila do nas, poza wysłaniem SMSa do nas, od razu zablokować takie konta. Tylko znowu wymaga to pewnego nakładu pracy ze strony administratora, żeby taki system monitorująco-alartujący przygotować we własnym zakresie.
KN: Panie Pawle, a na co warto zwrócić uwagę pod kątem bezpieczeństwa planując programy lojalnościowe?
PW: Jeżeli chodzi o programy lojalnościowe proszę zwrócić uwagę na to, że te programy z natury przetwarzają bardzo dużą ilość danych poufnych. Nie wiemy, w którym miejscu tak naprawdę te punkty, powiedzmy nawet kolokwialnie mówiąc, są nabijane, w jakim momencie dochodzi do tych transakcji, więc może się okazać, że te programy lojalnościowe np. wypełnia się przez jakiś formularz na stronie internetowej. To jest jedna kwestia bezpieczeństwa, ale powiedzmy na przykład, że w terminalu płatniczym również możemy skorzystać z niektórych punktów. To są zupełnie inne poziomy bezpieczeństwa, a więc jest kilka rzeczy o których musimy pomyśleć. Po pierwsze, jaki typ oprogramowania wybierzemy. Ponieważ nie każde oprogramowanie może być w łatwy sposób zinterfejsowane. Czy tutaj ta wymiana danych będzie wysyłana przez API, czy ta wymiana danych będzie w jakikolwiek inny sposób wprowadzona. To jest jedna rzecz, więcej interfejsowanie, czy kompatybilność z naszymi obecnymi systemami już jest wgrana. Numer dwa, pamiętajmy o tym, że niektóre oprogramowanie może nie spełniać pewnych wymogów bezpieczeństwa. Jeżeli instalujemy oprogramowanie np. na komputerze, czyli na stacji POS, czyli Point Of Sell, czyli tych, których rzeczywiście dochodzi do sprzedaży – kasach fiskalnych. To jest to oprogramowanie, które powinno spełniać niektóre wymogi. Np. Stany Zjednoczone pomogły PC ITSS, czyli każde oprogramowanie, które znajduje się na takim urządzeniu powinno spełniać wymagania właśnie bezpieczeństwa danych, na których danych kart kredytowych, więc zupełnie inny poziom. Wybierając odpowiednie oprogramowanie musimy zwrócić uwagę po pierwsze na bezpieczeństwo nie tylko danych przesyłu, ale jak te dane są archiwizowane. Powinniśmy zwrócić uwagę na politykę, w sensie jeżeli dojdzie do wycieków danych nie daj Bóg, kto będzie za to odpowiedzialny. Czy dostajemy jakieś gwarancje, że te dane są w prawidłowy sposób przechowywane, są w prawidłowy sposób przetwarzane. I oczywiście ta kompatybilność, o której mówiłem. Każda firma ma swoje systemy, więc musimy zwrócić uwagę na fakt, w jaki sposób te systemy będą, numer 1, bezpiecznie wymieniały się tymi danymi.
KN: Panie Pawle, a czym są testy penetracyjne?
PW: Testy penetracyjne to jest tak naprawdę dozwolony atak na infrastrukturę. A więc zaczyna się od tego, że po prostu klient wybiera firmę, która po prostu przetestuje oprogramowanie, czy rozwiązanie. Jest zawsze podpisana wcześniej umowa NDA, również wiele innych umów. Określamy zasady, na jakich tego testu, który przeprowadzimy. I wygląda to następująco. Po pierwsze są to testy automatyczne, czyli sprawdzamy takie rzeczy jak exploity, znane furtki otwarte. Próbujemy też sprawdzić stabilność tego oprogramowania oraz bezpieczeństwo. Czy nie ma jakiś luk w konfiguracji, czy odpowiednio został ten program przygotowany, stworzony od fundamentów. Czy nie da się w jakiś automatyczny sposób złamać zabezpieczeń, które już ten program posiada. To z zasady się nazywa Yap Box Testing, czyli test, w którym już my posiadamy pewną wiedzę od od producenta na temat rozwiązania. Jest też coś takiego jak Black Box Testing, w którym tak naprawdę my bierzemy hakerów, certyfikowanych hakerów, którzy próbują z punktu widzenia właśnie hakerskiego się przedostać przez te systemy. Bo jedna rzecz to jest skanować te systemy i automatycznie sprawdzać, czy są one podatne na jakiegokolwiek typu exploity, czyli skrypty, które znajdują, że tak powiem, obejście tych zabezpieczeń. A zupełnie inną rzeczą jest spojrzenie na to przez pryzmat, przez oko hakera, który wykorzystuje po pierwsze swoją wiedzę i doświadczenie oraz abstrakcyjne myślenie dość często, żeby spróbować włamać się do tych systemów i zobaczyć, jak daleko można zajść. Tak jak wspominałem naturalnie te testy penetracyjne odbywają się za zgodą producenta, są bardzo określone, ponieważ nie chcemy wyrządzić żadnych szkód, chcemy tylko zobaczyć jak bardzo podatny jest dany produkt na atak z zewnątrz.
KN: Są swego rodzaju symulacją, która ma nas nauczyć działać tak, żebyśmy czuli się bezpiecznie.
PW: Tak naprawdę powinny z tego wyjść pewne rekomendacje, jak ten haker faktycznie przedostał się do tego systemu i co możemy zrobić, żeby na przykład go zabezpieczyć.
KN: Czy wprowadzenie testu penetracyjnego czyni nas bezpiecznym już na zawsze?
PW: Nie dokładnie. Proszę zwrócić uwagę na fakt, że przeprowadzenie jakiegokolwiek audytu, czy testu certyfikuje mniej więcej, że w tym danym momencie oprogramowanie jest dość bezpieczne. Ale nie na tym tak naprawdę się kończy, ponieważ zilustruję to może na przykładzie samochodu. Kupujemy samochód, prawda. I w momencie, kiedy otrzymujemy ten samochód producent gwarantuje, że mniej więcej on działał. Ponieważ ten samochód jest złożony z wielu komponentów wykonanych przez wielu producentów, prawda. Jeden producent dostarcza sprzęgło, drugi jakieś małe śrubki, komponenty. To wszystko powinno idealnie działać. W momencie, kiedy taki samochód jest produkowany, producent sprawdza czy wszystko działa i jeżeli tak po prostu zdaje ten, przechodzi przez quality assurance, czyli ten test jakości. Ten samochód jest sprzedawany. Ale co się może okazać w praniu, po drodze? Może się okazać, że jeden z tych komponentów jest wadliwy. Tak samo dzieje się z oprogramowaniem. Oprogramowanie tak naprawdę jest tworzone z różnych bibliotek. I tutaj podam przykład OpenSSL. To była biblioteka szyfrująca używana naprawdę przez wiele firm przez wiele lat. Co się okazało? Mimo tego, że uchodziła za bardzo bezpieczne oprogramowanie ktoś znalazł jednak lukę. I expole tej biblioteki. Więc w momencie, kiedy jakikolwiek producent tworzył oprogramowanie i korzystał z tej biblioteki i nawet przeszedł z sukcesem test penetracyjny i okazało się, że jest to bezpieczne wcale nie znaczy, że za rok jedna z tych bibliotek, która była użyta do stworzenia tego programu nie okaże się, że jednak była dziurawa, była wadliwa i da się obejść zabezpieczenia tej biblioteki. Więc dobrze zabezpieczone oprogramowanie jest testowane wielokrotnie. Producent powinien regularnie przechodzić przez audyty i testy bezpieczeństwa, żeby mieć gwarancję na to, że tak naprawdę nic się nie zmieniło. Wszelkie komponenty nadal, z których stworzony został oprogramowanie, nadal są uważane za bezpieczne i nie da się złamać tego oprogramowania że tak powiem, w zautomatyzowany sposób. A to jest nr 1 sposób, przez który hakerzy próbują właśnie znaleźć luki, czyli testy automatyczne. Dopiero wtedy, gdy te testy automatyczne okażą się, że nie znajdą luk, dopiero wtedy hakerzy próbują faktycznie manualnymi sposobami przedostać się przez systemy zabezpieczające.
KN: Panie Pawle, a jaka jest rola norm ISO w systemie zapewniania bezpieczeństwa?
PW: Jest coś takiego jak ISO 27001, które tak naprawdę jest takim standardowym certyfikatem, który wyjaśnia, że producent po pierwsze uświadomił swoich pracownikach o cyberbezpieczeństwie, o różnych atakach, które mogą przejść i o alertowaniu odpowiednich osób o wyciekach danych. Że stworzył odpowiednią politykę ochrony danych i bezpieczeństwa oraz, że również aktualizuje wszelkie systemy do najnowszych konfiguracji i do najnowszych wersji zgodnie z pewną polityką. Więc to on gwarantuje po prostu, że oprogramowanie wytwarzane przez danego producenta jest po prostu bardziej tworzone w bezpieczniejszym środowisku niż np. ekwiwalentem.
KN: Kierując się ku końcowi naszej rozmowy chciałam wrócić na chwilę do Pana pracy zawodowej i zapytać, czym zajmuje się TestArmy?
PW: TestArmy to tak naprawdę jest prawdopodobnie największa firma testerska w Polsce. Posiadamy swoje laboratorium we Wrocławiu. Testujemy tak naprawdę wiele rzeczy, od stabilności po wcag, po quality assurance. Zajmujemy się testami automatycznymi, penetracyjnymi, socjotechnicznymi. Prowadzimy również szkolenia dla vipów, szkolenia z zakresu cyberbezpieczeństwa. A więc tak naprawdę jesteśmy one stop shop, czyli miejscem, które może wytestować nie tylko funkcjonalność oprogramowania, ale również wszelkie zakresy bezpieczeństwa oprogramowania. Posiadamy również ponad 10 letnie doświadczenie na polskim rynku. Obsługujemy od małych firm po naprawdę wielkie korporacje i szkolimy bardzo dużą ilość testerów.
KN: A jak zostać takim testerem?
PW: To znaczy, poza formalną edukacją, również można zerknąć nawet na naszą stronę testuj.pl, która oferuje ogromną ilość szkoleń dla początkujących testerów. My zawsze też jesteśmy otwarci na współpracę z każdą wykwalifikowaną osobą. Oczywiście zacząć można od podstawowych certyfikatów, a skończyć na przykład na certyfikatach CEH, czyli Certified Ethical Hacker, którzy również pracują dla nas. I tutaj dobrym początkiem poza formalną edukacją jest zawsze podążanie za odpowiednimi certyfikatami.
KN: Panie Pawle, bardzo dziękuję, że Pan był dzisiaj moim gościem, i że przekazał Pan nam swoją bardzo cenną wiedzę.
PW: Dziękuję bardzo.
KN: Mam nadzieję do zobaczenia.
PW: Do zobaczenia.
KN: I zapraszamy na kolejny odcinek.