Jiří Kohout působí jako Head of Security Architecture v Komerční bance a je tedy cybersecurity expertem na slovo vzatým.
Své vědomosti vám předá na kurzu, který připravil pod záštitou Laba Czech. V rozhovoru nám mimo jiné vysvětlil, kde jsou slabiny počítačových systémů, jak se před nejčastějšími kyberútoky mohou chránit jednotlivci a jak firmy a co jsou hlavní výzvy, kterým v současnosti cybersecurity experti čelí.
Jak byste definoval kyberbezpečnost a proč je to důležité téma?
Kyberbezpečnost vnímám jako téma pokrývající bezpečné zpracování dat (ochrana integrity, důvěrnosti a dostupnosti služby) prostředky informačních technologií + jak se bezpečně v prostředí informačních technologií chovat. Důležitost tématu v mých očích stoupá s ohledem na to, že dochází k větší a větší adopci prostředků pro elektronickou komunikaci a obecně dochází k vyššímu zpracování dat právě v prostředcích informačních technologií. Zvyšuje se naše expozice vůči „online prostoru“ a „masivnímu zpracování“ dat.
Dnes je už běžné poslat e-mail místo dopisu, vyhledat si data na internetu, finance obsluhovat online, pracovat online, bavit se online na sociálních sítích. S tím související úspora času je silnou motivací. Zároveň ale přicházejí nejen výhody, ale i hrozby, které jsou pro mnoho lidí neviditelné a do určité míry i nepochopitelné, a to především díky neznalosti podstaty, jak věci v IT prostředí skutečně fungují.
Jaké jsou nejčastější hrozby kyberbezpečnosti a jak se jim můžeme bránit?
Pokud se bavíme o nejčastějších hrozbách, je to asi nedostupnost služeb, např. výpadkem spojení (typické na mobilních telefonech apod.), ale to asi nemáte na mysli. Nedostupnost jako aspekt bezpečnosti se obecně moc nediskutuje, i když právě nedostupnost je, dle mě, opravdu častou hrozbou. Ve většině případů ale nebude mít zásadní dopad (což je za mě trochu důležitější aspekt hrozby). Další četnou hrozbou bude zřejmě narušení soukromí – což každý může vnímat různě a nezřídka k tomu každý z nás významně přispívá sdílením svého soukromí na sociálních sítích – zde je to o měřítku a „risk apetite“ každého jedince.
Kombinací časté hrozby a potenciálně většího dopadu bychom se mohli dostat např. na automatické roboty vyhledávající zranitelnosti a na ně navázané aktivity hackerů – zde se bavíme o vytváření zombie počítačů zapojených do velkých botnetů realizujících např. DDoS útoky nebo rozesílání SPAMu apod. Velký dopad, ale spíše menší pravděpodobnost, pak představuje cílený hackerský útok. Ale hrozeb je obecně nepřeberné množství a tzv. stříbrná kulka samozřejmě neexistuje.
Hraběcí rada je zde např. být obezřetní a dělat jen to, co víte, co znamená, neklikat na to, na co nemáte, a obecně se mít na pozoru. Taková rada ale asi nikomu moc nepomůže. Ale mezi řádky můžeme nalézt vlastně to, že je dobré se v té oblasti, kde se pohybujeme, vzdělat. Pokud stavíte dům, nakupujete materiál, vybavení apod., necháte si poradit, nebo si přečtete články s danou problematikou, které vám pomohou se zorientovat. V oblasti kyberbezpečnosti je to to samé. Jen lidé často podceňují pravděpodobnost toho, že udělají chybu, a také jsou na ně témata dosti složitá a abstraktní. Vyznat se ve 20 druzích dlažby člověk zvládne. Představit si 20 různých typů útoků na webové stránky už ale zvládne málokdo.
Jaké jsou nejčastější typy kyberútoků a jaký mohou mít dopad na jednotlivce či organizace?
Dle mě jsou nejčastějšími typy útoků ty plošné – tedy např. robotické vyhledávání zranitelností po celém internetu. Tyto útoky však ale mnoho lidí vůbec nevidí a také nemají samy o sobě zásadní dopad – ten obvykle přichází až následně, kdy informaci o zranitelnosti někdo profesionálně použije – typicky útočník. Mezi ty naopak nejvíce viditelné bych asi zařadil phishing, což je statisticky dlouhodobě nejčastější technika, jak proniknout po kybernetické stránce do společnosti.
Co se týká dopadu, může být na škále od „žádný“ po „likvidační“. Někdy prostě útok selže, něco se nepovede, automat se zasekne. A i přestože došlo k průniku, nedošlo k poškození dat či zařízení apod. K té opačné straně se pak řadí útoky typu ransomware, kdy nepřipravenou organizaci může stát ztráta dat schopnost provozovat svou činnost. Dále také úniky dat likvidující reputaci společnosti a díky zákonům i často následované pokutou za nedodržení odpovídající bezpečnosti, např. osobních dat.
Pokud bych se mohl vrátit k otázce proč je kyberbezpečnost důležité téma, tak zde bych mohl navázat – kyberbezpečnost není o bezbřehém vyhazování peněz za technologické hračky. Je to především ochrana podnikání. Zajištění jeho kontinuity. V soukromém pojetí je to pak o bezpečnosti, o tom, že máme citlivé informace pod kontrolou – např. že nikdo neví, že jste zrovna na dovolené a jak vypadají a co dělají po škole vaše děti – krom blízkých známých. Bezpečnost obecně je o snižování rizik na akceptovatelnou míru. Tuto míru má každý jinou, každý jednotlivec i společnost. Opatření pro snížení rizika jsou tedy také různá. Někomu stačí to a jinému ono. Vše je o nalezení rovnováhy mezi rizikem, investicí/náklady a pohodlností.
Jaká opatření lze přijmout, aby se snížilo riziko kyberútoků?
Jak jsem již psal – neexistuje stříbrná kulka, opatření, které vše vyřeší. Je nutné chápat hrozbu, znát svůj risk apetite a své možnosti – finanční/rozumové. Základním stavebním kamenem je znalost – pokud nevíte, čemu čelíte, těžko se tomu budete umět bránit – a co víc, ani nebudete vědět, že vám z nějakého směru nebezpečí hrozí. Pokud tedy budete v této potenciální neznalosti minimálně naslouchat okolí, budete pomalu otevírat oči a vidět doposud neviděné. A najednou si začnete uvědomovat souvislosti a začnou vás napadat řešení ve vaší konkrétní situaci.
Jakou roli hrají softwarové aktualizace v kyberbezpečnosti a jak je důležité je pravidelně instalovat?
Udržovat aktualizovaný nejen operační systém, ale i všechny aplikace, je jeden ze základních předpokladů bezpečného používání informačních technologií. Aktualizované aplikace mají nejmenší množství známých chyb a tím se snižuje pravděpodobnost napadení. Jen výjimečně dochází s novými aktualizacemi ke zhoršení stavu, ale může se to stát. Je však také důležité přemýšlet nad tím, jaké aplikace používáte a kdo stojí za jejich vývojem. Je vhodné se orientovat například množstvím stažení či velikostí společnosti v pozadí. Funguje zde předpoklad, že aplikace využívaná milionem uživatelů bude mít větší podporu a více dbát na bezpečnost, než aplikace nová a nerozšířená.
Na mobilních telefonech už často probíhají aktualizace automaticky, což je skvělé – u osobních počítačů se tato funkce již také pomalu rozšiřuje. Na aktualizace je vhodné dbát především u často využívaného software a u software, který nás propojuje s okolím, případně má přímý vliv na naše bezpečí – zde je naprostý základ zmíněný operační systém, webový prohlížeč, firewall a antivir.
Jaké jsou nejčastější slabiny v počítačových systémech a jak se mohou zneužít pro útok?
Mnoho uživatelů podceňuje právě aktualizace, o kterých již byla řeč. Často však zanedbává i nastavení, což bych řekl, že je druhá hlavní příčina nějakých problémů – zbytečně poskytnutá práva nad rámec nezbytnosti, špatné nastavení bezpečnostních funkcí apod. V oblasti firemního sektoru je odpověď mnohem složitější. Problémy zde mohou proudit z vícero stran, například od dodavatelů, kteří nectí až tak důsledně zásady bezpečnosti ve svých sítích, případně při vývoji software (obecný tlak na cenu dodávek se musí někde projevit – často je to pak bezpečnost, kterou je většinou nelehké u dodavatele zhodnotit). Dále pak může být podceněná potřeba bezpečnosti ze strany vedení společnosti (zespodu se bezpečnost prosazuje velmi pomalu a obtížně), případně s tím související vysoký apetit k riziku a podceňování hrozeb.
V technických oblastech jsou hlavní hrozby popsány velice dobře v rámci OWASP top 10, kde je vyjmenováno 10 hlavních bezpečnostních problémů, na které je možné u webových aplikací narazit. Každý z popsaných problémů má svůj „vektor útoku“, tedy popsat stručně, jak je možné zranitelnosti zneužít, nejde pár větami. Pro vysvětlení nám zde ale může pomoci metodika cyber kill chain, která dělí útok na několik fází. Každá z těchto fází má své specifické vektory útoku, ale i techniky ochrany.
Budování bezpečnosti prostředí není jednorázová záležitost. Musí se k němu přistupovat komplexně, vidět celý obrázek a znát dobře chráněnou oblast. Nestačí chránit prostředí na jednom místě několika technologiemi, ale jde o komplexní soubor opatření působící ve všech fázích útoku, čímž je zajištěna určitá rezistence prostředí proti útočníkovi. A ten si většinou vybere cíl raději lehčí než těžší. Je tak možné, že po prvotní infiltraci do prostředí a porozhlédnutí se kolem usoudí, že postup dále by byl moc složitý, a přesune se jinam.
Jaké jsou nejlepší postupy pro silné heslo a proč jsou důležité?
Poslední dobou často slýcháme, že heslo je přežitek a měli bychom přejít na novější, modernější způsoby autentizace. Je to však pravda pouze z části. Troufám si tvrdit, že tu s námi hesla budou ještě dlouho, ne-li navždy. Z pohledu jednotlivých faktorů, které máme pro bezpečné přihlášení k dispozici – tedy, že něco znám, něco jsem a něco mám, je faktor znalosti nejsilnější. Pokud se útočník nechce uchýlit k vydírání násilím, fakticky neexistuje způsob, jak jednoduše „to, co znám,“ získat (pokud si to ovšem nepoznamenáte do papírového kalendáře vedle monitoru na pracovním stole). Není možné zaútočit rozumně na naši mysl. Prostředky typu „něco mám“ je možné ztratit, mohou být ukradeny. Prostředky typu „něco jsem“ staví na bezpečnosti technologie v pozadí (sken duhovky, otisk prstu), která nemusí být zcela přesná a z podstaty věci musí umožnit určitou chybovost.
U hesel zapomeňte na to, co vás dlouho učili, a to, že heslo musí být komplexní – to se špatně pamatuje a je mnohem vhodnější volit hesla jednoduchá, ale zato dlouhá. Navíc komplexita hesla se často „dotahuje“ prvním velkým písmenem a nějakým speciálním znakem na koci, typicky tečkou – to vědí i útočníci a programy na lámání hesel s těmito patterny umí pracovat. Rázem se naše komplexní heslo stává slabším. Naopak přidání několika znaků navíc udělá i z hesla se samých malých písmen, heslo super silné. Mé doporučení tak je použít třeba text nějaké básničky s drobnou modifikací – např. mezi dvěma slovy místo mezery použít tečku, nebo nahradit nějaké slovo za jiné, případně použít nějakou další modifikaci.
Heslo „TRbh75é./“ je mnohem méně bezpečné, než „dnesjekrasnýden-ideálnínaprocházku“.
Všimněte si, že používám diakritiku, která byla v minulosti často nedoporučována – pro útočníky mimo ČR je to však zásadní komplikace. Často tyto znaky ani neumějí napsat a jejich crackovací software s takovými znaky často ani nepracuje. Pro nás je naopak již jen velmi málo míst, kde bychom se zadáním takového hesla nepochodili. Na konec této odpovědi však musím dodat, že ač je heslo opravdu silným faktorem (pokud je zvoleno dobře), stále je vhodné, a maximálně to doporučuji, tam, kde to jde, používat vícefaktorové ověření. Zásadní je to u globálních identit, které používáme pro přihlášení k vícero službám jako jsou například Google účet, Microsoft účet, Facebook apod. Tyto federované identity je třeba chránit o to více. Naštěstí všichni velcí hráči na tomto trhu nabízejí opravdu nepřeberné množství přihlašovacích metod, z nichž některé z nich jsou opravdu extra silné a o zneužití účtu tak nemusíte mít velké obavy.
Jaký vliv může mít kyberbezpečnostní útok na společnost a ekonomiku?
Pokud útočník zasáhne správný cíl, mohou být dopady opravdu významné. V minulosti jsme byli svědky útoků na nemocnice, jejichž ochromení představovalo reálné ohrožení na životech. V Americe po útoku na ropovody došlo ke skokovému zdražení pohonných hmot kvůli jejich akutnímu nedostatku. V případě nějakého zásadního zasažení bank by mohlo dojít k destabilizaci sektoru a panice na finančních trzích. Potenciální dopady významných útoků tak rozhodně nejsou zanedbatelné a zasáhly by život každého z nás. Celá společnost však spoléhá na bezpečnost klíčových systémů. Neočekáváme, že nám přestane fungovat internet, mobilní telefony nebo doprava. Vyřazení těchto systémů by však nastat mohlo, pokud by nebyly odpovídajícím způsobem chráněny.
Jaké jsou největší výzvy, kterým čelí kyberbezpečnostní specialisté?
Mnoho bezpečnostních pochybení vzniká lidskou chybou, neznalostí, případně neopatrností. Žádná technologie neumí ochránit před útokem, pokud útočníkovi oběť nevědomky aktivně pomáhá. Často, pokud selže útok na technologie, přichází útok na lidi – sociální inženýrství. Pravděpodobnost úspěchu je obrovská. Největší výzvou je tak vzdělávání lidí. Zajištění alespoň minimálního povědomí a obezřetnosti při běžných každodenních úkonech. Neznalost v oblasti se projevuje ale i mnohem hlouběji – například v aplikacích, a to tehdy, pokud neznalí vývojáři zanesou bezpečnostní chyby do jádra svých systémů. Pokud bych měl vybrat něco lépe uchopitelného, technologicky orientovaného, myslím, že jsou velké vyzvy v oblasti zajištění správného asset managementu (zvlášť v době cloudů a překotného vývoje), řízení rizik (často tyto metodiky zcela chybí) a patch managementu (běžně se můžete setkat se systémy, které nemají aplikované bezpečnostní záplaty ani roky po jejich zveřejnění).
Jaká jsou nejlepší opatření pro ochranu firemních dat před kyberútoky?
Nejlepší ochranou je dle mě komplexní set opatření aktivních v různých fázích útoku. Nelze vypíchnout jednu věc, takto bezpečnost nefunguje. Každé opatření má určitou efektivitu a žádné není zcela bezchybné. Důležité je vidět celé chráněné prostředí holisticky a zajistit vícevrstvou ochranu mnoha technickými i procesními opatřeními. Pouze ucelený set ochran, správně poskládaných a nakonfigurovaných, začne klást útočníkovi významný odpor. Není vhodné spoléhat se na jednu technologii či konkrétní opatření, ale vždy počítat s tím, že jedna nebo dvě úrovně ochrany mohou zcela selhat. Základem je tedy holistický přístup, redundance ochran a správný monitoring.
Jaký je význam nástrojů pro monitorování kyberbezpečnosti a jaké jsou nejlepší možnosti?
I přes veškeré nasazené ochrany je případná absence monitoringu a s tím spojená nedostupnost logů – tedy záznamů o tom, co se stalo – zásadní slabinou. Monitoring hraje klíčovou roli při odhalování útočníka, ať už skrze anomálie v prostředí, nebo v případech, kdy již technické nastavení neumožňuje odpovídající nasazení aktivní ochrany. Jsou situace, kdy není možné preventivně provést požadované nastavení, protože by mohlo být zásadní komplikací pro správu, nebo bylo extrémně drahé. Reaktivní přístup tak může být vhodnou alternativou k aktivní bezpečnosti, byť samozřejmě aktivní řešení je vždy lepší – pokud jde ovšem nasadit.
Bez monitoringu dáváte útočníkovi neomezený čas. Čas pak dokáže porazit jakoukoliv ochranu, byť je sebelepší. Monitoring je tak základním stavebním kamenem bezpečnosti. Ohledně volby nejlepší technologie je možné vést jistě dlouhou debatu, variant je mnoho a jde především o požadavky a prostředí, ve kterém se má taková technologie nasadit. Zmínit zde nějakou bez kontextu by bylo chybou. Je nutné si uvědomit, že to, co vyhovuje jednomu, nemusí vyhovovat druhému. Opisování v bezpečnosti není vhodná cesta, jak dosáhnout cíle – každá společnost má jiné potřeby, jiný risk apetit a jiné možnosti.
Veškerý obsah v užitečném formátu. Rozhovory, články, life hacky a tipy ze světa businessu i korporátů na našem Instagramu.
Pojďte se připojit!
Jaký je vztah mezi kyberbezpečností a soukromím uživatelů?
Ač si to možná mnoho lidí zcela neuvědomuje, je naše soukromí hodně cenná věc. Velké společnosti, jako Google nebo Facebook a jiné, o nás vědí často více, než my sami. Znají naše návyky, vědí, kde se pohybujeme, co máme rádi, kde žijeme, jaké máme přátele, jací jsme. Na základě těchto informací nám cílí reklamy, které jsou mnohem účinnější, protože jsou nám prezentovány pouze ty, které mají šanci na úspěch, a tím zvyšují celkově svou efektivitu.
„Pokud je něco na internetu zdarma, velice pravděpodobně za to zaplatíme naším soukromím.“
A společnosti mající tyto informace jsou schopni díky nim vydělávat miliony dolarů. Nejde samozřejmě o to, že se jim daří, to je v pořádku. Jen je otázka, jestli data, která využívají, získali skutečně cestou zcela legální a transparentní. Ví každý uživatel takových služeb, jakou cenu za tyto služby platí? A zde přichází ta spojitost soukromí a bezpečnosti. Každý by měl vědět a svobodně se rozhodnout, jaké informace chce poskytovat. Měl by vědět, jak si tato data chránit a případně znát i cesty, jak tato data u společností odstranit. Máme tu GDPR starající se o bezpečnost osobních dat, což je jistě skvělé – GDPR dala uživateli mnohem větší kontrolu a práva. Ale i neosobní informace mohou narušovat soukromí a mít přesah do bezpečnosti nás samotných.
Často je zmiňovaná historka o tom, kdy informace o dovolené na sociálních sítích přispěla k vykradenému bytu po příjezdu. To je ovšem relativně okrajový případ a pouze špička ledovce. Asi nikdo by nebyl rád, kdyby přišel například o rodinné fotky, případně když by se tyto fotky povalovaly někde v kyberprostoru dostupné každému. Aby někdo sledoval naše blízké. Abychom neuměli ochránit své děti správným vzděláváním o chování na internetu. A příkladů by se dalo najít ještě mnoho. I proto je dobré alespoň z části bezpečnosti rozumnět – abychom mohli chránit nejen sebe, ale i své nejbližší a třeba i data společnosti ve které pracujeme.
Jaké jsou důležité zásady a pravidla pro bezpečné používání internetu?
Zde už se začínáme dotýkat jednoho konkrétního tématu, o kterém budu v kurzu hovořit. Každopádně mezi základní návyky patří mimo jiné:
- aktualizovaný prohlížeč a používaný operační systém,
- používání unikátních hesel pro každou novou službu (ideální je využívat tzv. heslovníků pro zapamatování takového množství hesel),
- kdekoliv to jde, používat vícefaktorovou autentizaci,
- zadávat v parametrech profilu pouze nezbytně nutné informace,
- v nepoužívaných službách odstraňovat své profily,
- sdílet pouze takové informace, které mohou být zcela veřejné a nespoléhat se na vnitřní ochrany služby (např. omezení toho, co vidí definované skupiny apod.),
- pro platby na internetu využívat tokenizované/jednorázové karty, případně takové karty, které mají omezenou možnost čerpání prostředků,
- neklikat na jakékoliv nabídky a odkazy, pokud skutečně nevím, co znamenají,
- nevěřit všem informacím, případně si je nezávisle ověřovat
- a mnoho dalšího.
Jaký je význam vzdělávání zaměstnanců v oblasti kyberbezpečnosti a jak to může snížit riziko útoku?
Pokud nevíte, vůči čemu se bránit, a neznáte hrozby, které na vás mohou působit, je ochrana proti nim nesmírně obtížná. Hrozby v kyberprostoru nejsou tak zřejmé, jaké jsou třeba při jízdě autem bez bezpečnostního pásu, nebo lyžování bez helmy. Význam hrozeb se často podceňuje slovy „kdo by se zaměřil na mě“, ale to je chybné uvažování – automatičtí roboti hledající chyby cílí na kohokoliv. A pokud člověk není obezřetný, uvízne v síti útočníka a jeho počítač se stane jedním z mnoha, které může využít pro své nekalé úmysly – například zakrytí stop pro mnohem horší aktivitu.
Zaměstnanci si také často neuvědomují, jak důležitá a důvěrná data společnosti zpracovávají, k čemu všemu mají přístup. Pak dochází k situacím, kdy vývojáři kopírují na svá nechráněná zařízení produkční data zákazníků, nechávají zařízení bez dozoru, ochotně předávají svá hesla kolegům v době, kdy jsou například na dovolené, klikají na vše, co jim přijde do mailboxu apod. Je důležité si uvědomit, že lidská chyba je skutečně tím největším problémem bezpečnosti a ta často staví na neznalosti – v drtivé většině to není zlý úmysl, ale prostě nepozornost, chyba. Vzdělávání zaměstnanců v oblasti bezpečnosti je tak jedna z nejdůležitějších a ve výsledku i nejefektivnější metoda, jak zajistit bezpečnost firemního i soukromého prostředí. V oblasti fyzické bezpečnosti je jednou z povinností projít školením bezpečnosti práce. Je to dáno zákonem a každý zaměstnavatel to musí zajistit. Kyberprostor je v tomto velice podobný, ale zatím žádné takové zákony nařizující vzdělávání v této oblasti nejsou, bohužel. Přitom ta virtuální bezpečnost je neméně důležitá a může mít ve výsledku podobný dopad, jako bezpečnost fyzická.
Jaké jsou nejnovější trendy v oblasti kyberbezpečnosti a jaký mohou mít dopad na budoucnost?
Asi by se dalo říct, že globálním trendem posledních let je stále větší orientace na bezpečnost. Celé odvětví prochází překotným vývojem a zesilování bezpečnostních požadavků je vidět na každém kroku – stačí se jen podívat na množství legislativních a regulatorních požadavků, které bezpečnost zpracování dat a jejich ochranu nějakým způsobem popisují, nebo se této oblasti dotýkají. Máme tu NIS2, GDPR, EIDAS a jeho blížící se aktualizace, přichází DORA, novelizace zákona o kybernetické bezpečnosti… V celém odvětví chybí po celé Evropě desetitisíce, možná statisíce odborníků. Školy se svými kapacitami nemají šanci tuto poptávku pokrýt.
Pokud bychom mluvili o více konkrétních trendech, asi bych mohl uvést machine learning a AI – a byť nejsem až takový fanda těchto technologií, po těch letech vývoje už začínají přinášet konkrétní benefity. Čeká nás v budoucnu asi i kompletní redesign kryptografických mechanismů díky vývoji na poli kvantových počítačů, a i když si myslím, že je na změnu ještě čas, historie nám ukazuje, že některým trvají změny mnoho let a není od věci přemýšlet i více let dopředu. Až to přijde, bude změna extrémní, byť vlastně pro koncového uživatele téměř neviditelná.
Osobně jsem ale optimista a myslím, že tak jak se informační technologie rozšiřují, bude postupně přibývat i těch, kteří se v nich vyznají a tuto znalost budou více a více předávat dále. Postupně se naučíme všichni základní hygieně práce a celá bezpečnost se díky tomu posune kupředu. Toto povědomí uživatelů je důležité, protože dokud nebude striktně veřejností bezpečnost po společnostech vyžadována, budou v ní společnosti mít vždy mezery. Máme tedy možnost svým chováním přímo ovlivnit bezpečnost zpracování dat, a to je přece dobré vědomí. Jen je třeba se do tématu trochu ponořit a zorientovat se v něm. I k tomu slouží náš kurz.