Rozhovor s Justinem Harveym, bezpečnostním ředitelem společnosti Fidelis CyberSecurity.
Loni koncem roku jste uvedl, že největší kyberbezpečnostní hrozbou v letošním roce bude další legislativa zasahující do soukromí lidí. Co tím myslíte?
Po útocích v Paříži a Bruselu jdou politici přehnaně do kolen. Ano, teroristé se dorozumívali šifrovaně. Ale to přece ještě neznamená, že musíme šifrování limitovat, nebo jej zakazovat. Politici by měli být kurážnější a neomezovat hned naši svobodu. Třeba i svobodu komunikovat šifrovaně. Spíše by třeba měli více investovat do zpravodajských služeb, které by příště takový útok v předstihu odhalily.
Nejsou podobné útoky pro politiky nakonec jen záminkou?
Do hlav jim nevidím. Ale jistě si uvědomují, že to upevňuje jejich moc. Když budou moci třeba takové firmě Apple nařizovat, aby dešifrovala komunikaci probíhající na tom či onom iPhonu, získávají nové možnosti, nové informace, další vliv. Už nyní známe případy států, které špehují třeba byznysmeny.
Které to jsou?
Známá je tím například Čína. Tamní bezpečnostní složky se nerozpakují vzít chytrý telefon nebo notebook vytypovaných lidí, ať už jde o obchodníky, diplomaty nebo vysoké vládní úředníky, při letištní kontrole někam „za plentu“. Tam data kopírují. Pokud tedy nejsou šifrovaná. Když budou šifrovaná, do systému se nedostanou. Nic nezkopírují. Proto by Čína určitě moc ráda, pokud by dešifrování mohla nařídit. Z důvodu špionáže nebo třeba z důvodukrádeže duševního vlastnictví. Podobně ale mohou uvažovat i jiné vlády, třeba americká. Ať už by dané zařízení dešifrovala tajně nebo soudním příkazem, zajišťuje jí to přístup k cenným informacím.
Další letošní zásadní kyberbezpečnostní hrozbou je prý takzvaný „ransomware“. Oč jde?
Představme si to jako virus, který napadne váš počítač prostřednictvím emailu nebo webového prohlížeče. Tenhle virus vás ale nešpehuje, nikam nepřenáší vaše citlivé informace, nic na vás nesbírá. Ne, nic z toho. Zato ale zašifruje všechny vaše soubory. Dokud nezaplatíte výkupné (v angličtině ransom, pozn. aut.), k datům se nedostanete. Pokud je pochopitelně nemáte zálohována, což je vlastně nejlepší, starý a osvědčený postup, jak vydírání skrze ransomware předejít.
Co jiného zabírá?
Pochopitelně kvalitní antivirový program. Doporučuji Kaspersky. Což je paradoxní, protože právě Rusko, kde Kaspersky Lab sídlí, je svým způsobem lůnem kyberkriminality. Uživatelé, kteří se nechtějí potýkat s ransomware, by se také měli vyvarovat otevírání příloh mailů od neznámých odesílatelů a používání souborů Adobe Flash.
To mi připomíná, že jeden z expertů označuje za největší kyberbzepečnostní hrozbu letošního roku uživatele samotné. Doslova říká, že hrozbou jsou nezaškolení, nevzdělaní nebo prostě jen tupí zaměstnanci té či oné společnosti, kteří ji ohrožují tím, že klikají na podezřelé odkazy, navštěvují neprověřené stránky nebo užívají pro všechny přístupy jedno a totéž heslo…
(smích) Je to tak. Lidé jsou vždy tím nejslabším článkem. Někteří jsou prostě jen líní, ale obecně chybí širší povědomí o kyberkriminalitě. Je to otázka vzdělávání a informování veřejnosti. Potíží však je, že se zoufale nedostává kyberbezpečnostních expertů. Celosvětově jich chybí přibližně třicet procent. Jde o tisíce a tisíce profesionálů, kteří by se okamžitě uplatnili, ale bohužel lidi s takovým vzděláním nemáme. Kyberbezpečnost je do budoucna neuvěřitelně perspektivní obor.
Poslední dobou přitom pořád slyšíme, že z důvodu technologického rozvoje, z důvodu robotizace a automatizace, přijde spousta lidí o práci. Vy říkáte pravý opak: z důvodu toho samého technologického rozboje, konkrétně z důvodu zvyšujících se nároků na kyberbezpčnost, nová pracovní místa – pro lidi z masa a kostí – rychlým tempem vznikají…
Přesně tak. Pokud má být kyberbezpečnostní zajištění opravdu vysoce účinné, nemůže být plně automatické. Robot se třeba osvědčí v případě útoku jiného robota nebo automatu. Pokud je ale útočníkem v kyberprostoru člověk, s vlastní kreativitou a inovativností, takový atak na druhém konci spolehlivě odrazí zase jen člověk. Je třeba kombinace automatizace a lidského faktoru. To je částečně to, co nás do problému dostává dnes. Firmy si pořídí „kouzelnou krabičku“ připojí ji k datovému centru a mají za to, že jsou chráněny. Že žádný kyberútočník už systém neprolomí. Všechno je přece automatizované, všechno je O.K., říkají si. Jenže jen krabička nestačí. Je třeba mít k ní člověka z masa a kostí, který bude dohlížet a v některých případech přímo zasáhne.
Dá se tedy říci, že firmy stále problém kyberbezpečnosti trestuhodně přehlížejí? Jak jsou na tom ty české?
Ono se není svým způsobem čemu divit. Řada firem se vůbec nedozví, že byla hacknuta. Jsou dva typy společností. První typ společností má už zkušenost s nějakým typem kyberútoku. Byly hacknuty a odhalily to. Druhý typ společností, to jsou ty, co byly napadeny, a ještě o tom o tom ani neví. Pokud se ptáte na Českou republiku, společností druhého typu je zde přes devadesát procent. To je opravdu vysoké číslo. Opět: částečně jde o problém nedostatečného povědomí, částečně o důsledek nedostatku expertů.
Týká se to soukromých firem nebo i státních či strategicky významných institucí?
Obojího. Ale je to problém celé Evropy. Stále žijeme v době, kdy elektrárny, včetně těch jaderných, nebo systémy řízení letového provozu řídí software jedoucí na nějakých obyčejných windows, linuxu nebo macu. Je vlastně jen otázkou času, kdy nějaký kyberútok povede k ztrátám na životech. Osobně prognózuji, že se tak stane během jednoho roku až tří let.
Jaký je nepravděpodobnější scénář takového útoku?
Nemyslím hned útok přímo na jadernou elektrárnu. Může jí třeba o napadaní elektrické přenosové soustavy, která zkolabuje, a lidé budou od proudu odřízlí. Prostě blackout. To bude zvlášť závažný problém třeba v nemocnicích, kde přístroje udržují při životě mnohé pacienty. Není těžké si domyslet, že do situace, kdy umírají lidé, už pak mnoho nechybí. To je však jen jeden, spíše prostší scénář. Nabízí se také třeba možnost útoku na řízení letového provozu a v takovém případě mohou být důsledky ještě daleko závažnější.
Které části světa jsou nejzranitelnější?
Spojené státy mají bohatší zkušenost s kyberútoky než Evropa. Jsou častým terčem takových útoků a tato zkušenost je učí. Tím neříkám, že Evropa terčem nebývá. Co se týče povědomí o problematice kyberbezpečnosti, za USA však hluboce zaostává. Obávám se, že země typu České republiky činí zranitelnými právě toto, tedy nedostatek dosavadní zkušenosti s kyberútoky. Nepřipouštění si problému a s tím související kritická poddimenzovanost, jak v oblasti procesů a technologií, tak i příslušných expertů, zranitelnost umocňuje.
Už jsme zmínili kyberkriminalitu, hackerství, kyberšpionáž, či dokonce kyberválčení. Ačkoli jsou to všechno činy prováděné v kybersvětě, zjevně se liší. Jak byste je vymezil a vzájemně odlišil?
V zásadě jste vyjmenoval čtyři základní druhy kyberútoků. Motivací kyberkriminálníků je ukrást data a prodat je. Kyberšpionům jde o krádež manuálů, komerčních postupů či receptů nebo algoritmů apod. Prostě čehokoli, co poskytuje konkurenční výhodu. I tato data se pochopitelně dají dobře zpeněžit. Hackerství neboli hackaktivismus a kyberválčení jsou si velmi podobné. Jejich cílem není ukrást data a transferovat je. Cílem je narušování. Cílem je paralýza atakované organizace. Útočníci zamýšlejí znemožnit poskytování služeb ze strany těch organizací, třeba vlády nebo firmy, příslušným občanům nebo klientům. V případě kyberválečnictví se ještě přidává snaha o infiltraci organizace, vlády nebo armády. Infiltrace může proběhnout ve značném časovém předstihu. Když pak dojde, řekněme, k vojenskému konfliktu, infiltrátor se aktivizuje, armádu paralyzuje a danou vojenskou operaci znemožní. Vidíme, že škála kyberútoků je pestrá. A to lidé přitom kyberútočníkům stále nabízejí nové a nové příležitosti.
Jak to myslíte?
Trendem doby je internet věcí. Před dvěma nebo třemi lety bychom ani nepomysleli, že si online napojíme třeba i náš termostat. Ale dnes ano. Američané to milují. Netuším proč. Co je na tom, že si mohu termostat v pokoji zapnout třeba z druhého konce světa? Kdo tohle doopravdy potřebuje? Ale oni už mají online nejen termostat, ale i televizi, chladničku, toaster či kávovar. Nebo auto. V případě aut jde o zvláště nebezpečný trend.
Proč je internet věcí tak populární?
Je to trend. Je to pro výrobce těch zařízení marketingový prostředek, jak prodat nové věci. Jak ostatně inovovat takovou chladničku? Má snad ještě více mrazit? Když ale bude mít cedulku, že je připojitelná online, lidé na to uslyší. Osobně musím říci, že u sebe doma internet věcí nepoužívám.
Je to tedy další doporučení, jak se nebýt zbytečně zranitelný v kybersvětě – zapomenout na internet věcí?
Určitě. Zamyslete se. Když i velkým společnostem, ba vládám či armádě činí značné problémy ochránit samy sebe před kyberútoky, jakou šanci má obyčejný Joe Smith nebo Lojza Novák? Naše domovy jsou už nyní velmi zranitelné, co se útoků z kybersvěta týče. Proč bych měl sebe i svoji rodinu vystavovat – a ještě k tomu zcela zbytečně – dalším rizikům a dalšímu nebezpečí?
