Je Česko v kybernetické válce s Ruskem? Na kolik nás vyjde hackerský útok a jak eliminovat kybernetické útoky ve firmách i doma? Nejen na to odpovídá v rozhovoru v pořadu Byznys X Radek Šichtanc, ředitel bezpečnosti ve společnosti O2 Czech Republic.
Je Česko kvůli válce na Ukrajině v kybernetické válce s Ruskem?
Bezpochyby v souvislosti s válkou na Ukrajině čelíme kybernetickým hrozbám. Možná je překvapivé, že jsme očekávali, že po invazi Ruska se s kybernetickými útoky takzvaně roztrhne pytel, což se ovšem nestalo. Útoky probíhaly spíš na Ukrajině a Česku se ze začátku vyhýbaly. Nicméně události a okolnosti posledních týdnů ukazují, že těmto hrozbám čelíme, zaznamenali jsme řadu útoků na státní instituce či firmy. Určitě je na místě velká obezřetnost, protože v kybernetickém světě de facto také probíhá válka.
Je konflikt na Ukrajině nějakým bodem zlomu pro kyberbezpečnostní prostředí?
Už před válkou si firmy uvědomovaly důležitost kyberbezpečnosti a nutnost zavádět opatření proti kybernetickým a hybridním hrozbám. Válka vše jenom urychlila. Jsme dnes všichni pozornější a myslím, že se to projeví i na celkových investicích do kybernetické bezpečnosti. Nejenom u firem, ale i v případě státu a kritických prvků infrastruktury.
Jaké je podhoubí těch, kdo útočí na firmy a pokusí se je pomocí kyberútoků vydírat?
Záleží na tom, jaká je motivace útočníků. Podle statistik, které jsem viděl, je až 80 procent kybernetických útoků finančně motivovaných. Tyto skupiny jsou organizované, dobře technicky i personálně vybavené a jejich ataky probíhají relativně sofistikovaně. Využívají standardní ransomwarové či útoky DDoS. Když se bavíme o jednotlivcích, finanční motivace je sice podobná, ale techniky a strategie útoku mohou být jiné. Ve zbylých dvaceti procentech jde často o to, firmu poškodit, znemožnit její obchodní činnost, tam už se pak bavíme o tom, zda se nejedná o sabotáž, která může vycházet i z nějaké cizí státní podpory.
Jak si máme takový kybernetický útok představit? Co všechno se může stát?
Záleží na tom, jak je jednotlivá firma připravená. Dobrý bezpečnostní monitoring společnosti by měl útok detekovat. Pokud se už útok podaří, zjistíte to jednoduše – některé služby přestanou fungovat. To ale neznamená, že útok začal těsně předtím, on mohl trvat dny, týdny i měsíce předem. Když se například při ransomwarovém útoku zašifrují data, samozřejmě to poznáte hned. Ale i to může být jen finální fází pokročilejšího delšího útoku.
Když to společnost či instituce zjistí, má s tím jít ven, nebo věc spíš tutlat?
Určitě netutlat. Důležitá je transparentní komunikace. Ani to vlastně nejde jinak, protože to většinou neschováte, protože jsou omezeny vaše běžné činnosti. Toho si každý všimne a musíte všechno vysvětlit. Navíc kybernetickým incidentem musíte rozumně projít a vyřešit ho. Musíte opatrně zvolit, co zveřejnit, protože špatnou komunikací můžete útočníka upozornit, že o něm víte. Bez vnitřní i vnější komunikace to tedy nejde. Když firmy nekomunikují, může se to obrátit proti nim.
Když útočník získá data a pak chce výkupné, jak postupovat?
Předpokládám, že hovoříme o scénáři, že si nejste schopen obnovit data, že je třeba nemáte zálohována. I tak bych nicméně doporučoval nezaplatit, protože tím druhou stranu podporujete v kriminální činnosti. Někdo ovšem může mít citlivá data a nechce, aby je někdo zneužil, protože by ho to mohlo nějak ohrozit. Pak můžete zkusit zaplatit, ale jistota, že data dostanete zpět, není nikdy stoprocentní. Doporučuji mít zálohu, navíc izolovanou zálohu. A neplatit.
Vy jste se podílel i na vyšetřování kyberkriminality, a to dokonce i ve spolupráci s americkou FBI. Jak taková spolupráce vypadá?
Nemohu být moc sdílný. Když ale zobecním: jakákoli firma, která je postižena útokem, hledá pomoc. Ideální je, když se to zvládne pomocí interních zdrojů. Dost často ale potřebujete speciální know-how a v tom případě si pomůžete expertní společností. Někdy se ale jedná o globální či se státem spojenou významnou společnost nebo instituci a pak je FBI jedna z entit, která vám s vyšetřením útoku může pomoci. U nás to může být Policie České republiky a její specializované týmy. Pak už je spolupráce standardní. Vždy je vše ale striktně důvěrné. Útočník může napadnout důležitou veřejnou infrastrukturu a pak je pro forenzního experta z FBI nebo české policie důležité dostat se k serverům zasažené firmy, aby viděl, jaká je technika či taktika útoku. Podrobnosti sdělovat nemohu.
Podle analýzy společnosti Cybersecurity Ventures dochází k ransomwarovým útokům v průměru každých jedenáct vteřin. Kolik ochrana před nimi stojí?
Pokud jde o výkupné, například v Americe se průměrně pohybuje i v miliónech dolarů. Takže šetřit na nákladech na ochranu může být ošidné. Odhady hovoří, že ochrana stojí kolem pěti procent ročních nákladů a do půl procenta ročního obratu firmy. Jenže to je jen statistika, každý případ je individuální. Nemá smysl hovořit o konkrétním čísle, ale je důležité si strategii na kybernetickou bezpečnost dobře naplánovat a pak ji skutečně financovat. Podle našich zkušeností by mělo jít o zhruba 10 procent ročních nákladů na zajištění bezpečnosti. Samozřejmě ale záleží na tom, o jakou firmu se jedná a co dělá.
Jak jsme na tom v tomto směru v Česku?
Blížíme se postupně k lepšímu stavu, investice do kyberbezpečnosti rostou ve dvouciferných číslech. Velkou pozornost k tomu přitáhla i válka na Ukrajině a možnost kybernetických útoků, jak jsme se už zmínili. Ale neznamená to, že si nakoupíme „drahé hračky“ a představíme je ve firmě. Musíme mít plán a strategii jejich využití, nastavení a mít týmy lidí, kteří s tím umějí rozumně pracovat.
Ne každá firma má oddělení cybersecurity, vy v O2 máte celé Security Expert Center. Co si pod tím máme představit?
Jedná se o speciální jednotku, která poskytuje bezpečnostní služby našim klientům. Primárně se jedná o služby bezpečnostního monitoringu a řízení kybernetických incidentů. Naši specialisté dohlížejí v Centru na to, že u klienta neprobíhá kybernetický útok, v případě potřeby firmu upozorní a řeší to.
Jaký je zájem o tuto službu?
Velký a pořád roste. Vzniká i nová legislativa, ta evropská přitom výrazně rozšíří povinnosti subjektů zabývat se kybernetickou bezpečností. Vznikne proto potřeba mít týmy, které zajistí chod bezpečnostní infrastruktury. Jenže tolik expertů není na trhu, proto bude zvýšená poptávka po outsourcingu těchto služeb.
Vypadá to na dlouhotrvající problém – odborníků na IT je málo, expertů na kybernetickou bezpečnost je málo. Jak je to možné?
Česká republika má široké zázemí v technických oborech na vysokých školách, ale hlad po kybernetické bezpečnosti je mnohem větší. Poptávka je stále vyšší než nabídka a možná je to i tím, že firmy začaly daleko více kybernetickou bezpečnost řešit.
Hovořili jsme o firmách, ale co jednotlivci? Jsou Češi ohledně kyberbezpečnosti obezřetní?
Když se podíváme na rozšíření mobilních telefonů a jejich služeb, platby kartami a další služby, jsou na tom Češi i z celosvětového hlediska velmi dobře. Uživatel je ale vždy o krok pozadu za možným útočníkem. Obecně uživatelé moc obezřetní v případě bezpečnosti nejsou. Pamatuji si na jednu konferenci, která se uskutečnila před lety, na níž většina účastníků v podstatě odmítala řešit bezpečnost na mobilech. Dnes je situace úplně jiná. Posouvá se to, ale vždy s určitým zpožděním. S rozšířením nových technologií, jako je například 5G, se objeví řada dalších on-line zařízení, u nichž na bezpečnost budeme muset pamatovat.
Myslíte i zařízení domácnosti? Jak je zabezpečit?
Ano, jedná se i o ně, ale nejenom. Existují základní pravidla, která by se měla dodržovat i v domácí síti. Například u routeru, jímž jste připojeni k internetu, byste neměli používat přednastavená hesla k administraci, ale změnit je a používat svá vlastní. Určitě se vyplatí nakonfigurovat na routeru firewall, abyste vymezili, jaká zařízení se smějí připojovat. Měli byste využívat v různých zařízeních nabízené aktualizace, což se dost často také neděje. Na ta, která mají operační systém, pak už využívat bezpečnostní software.
Úplně laická, ale důležitá otázka: jak si vymyslet heslo, které je skutečně bezpečné?
Síla hesla vždy vychází z jeho nahodilosti, ale samozřejmě roste s jeho délkou. Nad tím bych doporučil vždy se zamyslet. Mělo by být ale na druhou stranu zapamatovatelné. Takže – dlouhé heslo, které je ve formě nějaké, pro vás zapamatovatelné fráze a není spojené s vaší osobou. Pak se odhaluje hůř.
Je nám k něčemu doma v počítači antivirus?
Rozhodně! Má dnes více bezpečnostních funkcí, detekuje řadu nežádoucích aktivit, které se v počítači odehrávají, a může vás varovat. Já ho doporučuji.
Dnes se běžně platí v obchodech či ve službách telefonem. Máme nejrůznější aplikace, platíme i hodinkami. Jak je to bezpečné?
Také mám kartu spárovanou s různými službami. U velkých poskytovatelů bych se toho nebál, bude to zabezpečené. Zaplatit hodinkami či telefonem je v pořádku. Samozřejmě že teoreticky je možné, že se vás někdo pokusí nějak okrást pomocí útoku přes mobil, počítač nebo nějaké zařízení. V tomto případě doporučuji nereagovat na nic, co je neznámé a neověřené.
Jak často čelí cyberútokům O2?
Máme řadu služeb, které jsou možným cílem útoků, ale ty se nekonají častěji než předtím. Snažíme se být připraveni.
Využíváte etické hackery? Testujete si vlastní bezpečnost?
Ano. Děláme testy infrastruktury, využíváme etické hackery i k testování našeho bezpečnostního monitoringu. Testujeme i vlastní produkty, na což někdy potřebujete specializované firmy. Bezpečnost je dnes absolutně prvořadá, bez ní nemůže žádná firma či instituce fungovat.
