Rozhovor s expertem na kybernetickou bezpečnost: Na místě jsou ty nejčernější obavy

  • Petr Boháček
  • 2.12.2016 09:59

To, co včera nebylo ohroženo, už zítra může být. Tak popisuje stav kyberprostoru Martin Leskovjan, Country Manager pro Českou republiku bezpečnostní firmy Citadelo, se kterým jsme diskutovali o kybernetických hrozbách v Čechách.

Jaké jsou největší kybernetické hrozby pro firmy v Česku a na Slovensku?
Začnu u hrozeb týkajících se jednotlivých firem, kdy záleží na povaze činnosti klienta a také na tom, jak velká míra byznysu klienta je online. U čistě online firem hrozby vyplývají z toho, že na jejich webových stránkách dochází k platebním transakcím. Hrozí pak krádeže údajů z platebních karet. Provozovatelé jsou vázáni ochranou osobních údajů, tím pádem je velkou hrozbou jakékoliv získání databází klientů, což je porušení předpisů o ochraně osobních údajů. Dále tam patří ztráta unikátního know-how firmy. I když nemáte online obchod, tak průnik do infrastruktury sdílených souborů a získání know-how firmy je v konkurenčním prostředí nekalou, ale velmi efektivní metodou, jak se dostat dopředu. Potom jsou to reputační dopady, kompromitace. Když máte online byznys, tak spolehlivost služby v tom smyslu, že je bezpečná, je čím dál tím důraznějším požadavkem klientů.

Všeobecně velkou hrozbou je radikálně rozrůstající se ransomware. V Čechách není dosud tak rozšířen jako v jiných státech. Patříme k méně zasaženým zemím. Což je zajímavé, protože zrovna pro české piráty a hackery by to měl být zajímavý způsob, jak si vydělat. Phishingové kampaně tady totiž mají dlouhou historii. Je spíše otázkou času, než se to tady objeví ve větší vlně. Rozšiřují se i služby, kdy si můžete zakoupit ransomware i se servisem. Ani nemusíte být vývojářem, jen zadáte parametry, seznam obětí a bankovní účet a dostanete tu službu se vším všudy. Je to účinná metoda vydírání, protože to zabrání dalšímu použití PC. Tento druh útoku je dostupný, takže se zvyšuje pravděpodobnost, že se tady ujme.

 

,,Firmy doposud žily v domnění, že když jejich výroba není nějak připojena na internet, žádné hrozby nejsou, ale to už takhle dávno neplatí."

Proč je v Čechách tento problém rozšířen jen v tak malé míře, zatímco ve světě je to jeden z největších problémů?
Jedním z důvodů je, že zde není rozšířena kriminální infrastruktura a pořád se zde jedná spíše o jednotlivce. Některé druhy malware potřebují větší zázemí. Dobrý vyděrač se například vyznačuje tím, že má hotlinku, kam člověk může napsat a ihned zjistit jak a kam má peníze zaplatit. Pokud má ten útočník dobrou pověst, že odemkne data ihned po zaplacení, tak tím větší má i úspěch. Také to je tím, že je tu málo rozšířený organizovaný zločin. Dalším důvodem by mohlo být, že Čechy a Slovensko jsou domovem dvou velkých firem na kybernetickou bezpečnost: Avastu a Esetu.

Phising, copyright: profimedia.cz

Foto: copyright Profimedia

Jak moc chtějí firmy investovat do kybernetické bezpečnosti?
Záleží na druhu podnikatele. Obecně ve finančním sektoru, který je vázán přísnějšími zákony, to patří k základní složce rozpočtu každé větší finanční instituce, např. bank, pojišťoven. E-shopy, které mají větší obraty, už to mají jako automatickou záležitost. Pro menší e-shopy jsou bezpečností služby stále poměrně nedostupné, protože se jedná o drahou záležitost, která má omezenou trvanlivost, musí se aktualizovat aplikace a dělat další bezpečnostní audity. Složka průmyslu a výroby je obecně trh, který je tímto tématem takřka nepolíbený. Společnosti si teprve nyní začínají uvědomovat rizika spojená s kybernetickými hrozbami. Dochází tam k pomalé změně myšlení. Tyto firmy doposud žily v domnění, že když jejich výroba není nějak připojena na internet, žádné hrozby nejsou, ale to už takhle dávno neplatí.

Co se musí stát, aby firmy investovaly do kybernetické bezpečnosti?
V oblasti průmyslu je paradoxní situace – norem a předpisů týkajících se bezpečnosti obecně je daleko více, ale málo z nich dopadá na reálnou kybernetickou bezpečnost, tedy odolnost systémů proti hackerským útokům. Většina norem se týká spíše bezpečnosti práce, fyzické bezpečnosti a jednotlivých výpočetních komponentů, věnuje se každému komponentu zvlášť. Ale kybernetická rizika vznikají většinou při propojení různých komponentů v komunikačních částech systému. Na ty tyto normy v podstatě vůbec nemyslí. Provozovatelé nejsou ničím nuceni ani motivováni, aby podstupovali jakákoliv další bezpečností opatření. Důvodem je to, že se v České republice v historii nestal žádný větší incident, který by zvyšoval pravděpodobnost rizika. Proto se v byznysu investuje do něčeho, co je pokládáno za aktuálnější a palčivější. Spouštěčem tedy může být nějaký větší incident.

Takže tomu nelze předejít legislativními nástroji, a musíme si projít tou špatnou zkušeností, že se něco stane?
Jsou dvě cesty. Zvýšit povědomí a vzdělávání hlavně u managementu. Ta druhá je reálná hrozba, která se promění v nějaký incident.
Legislativní nástroje nefungují příliš dobře. Navzdory tomu, že máme zákon o kybernetické bezpečnosti, tak ten reálný stav bezpečnosti, když děláme audity, je přes to všechno žalostný. Spousta firem se evidentně ještě nestala terčem žádného sofistikovaného hackerského útoku. Nenašel se nikdo, kdo by měl dostatek motivace tyto společnosti nebo provozovatele napadnout. Z naší praxe vyplývá, že obzvlášť v průmyslu je povědomí o bezpečnosti a nastavení bezpečnosti velmi nízké.

Existují nějaké bezpečnostní normy, které tyto firmy musí dodržovat. Fungují efektivně? Mohou předejít větším útokům? Jsou schopny standardy bezpečnosti tomuto zamezit?
Určitě nejsou schopny tomu zamezit, jsou schopny spíše zvýšit míru bezpečnosti. Ale když testujeme komplexní systémy, které jsou součástí kritické infrastruktury na bezpečnost, tak se často jedná o rozmanité a robustní systémy, že to lze těžko uchopit do nějaké normy tak, aby došlo k maximálnímu zabezpečení. Je zde velké množství detailních a unikátních problémů v závislosti na použitých technologiích, takže si nedovedu představit, že by to mělo být shrnuto do nějaké normy. Standardy mohou mít svou dobrou funkci, ale rozhodně nestačí k zabezpečení.
Bezpečnost v kritické infrastruktuře je komplexní věc. Spousty základních technologií jsou ze své podstaty zranitelné a v současnosti není myslitelné, že by byly okamžitě nahrazeny bezpečnější technologií. Vyžadovalo by to gigantické investice, což je pro firmu nepředstavitelné. Vedle bezpečnostních auditů je nonstop monitoring útoků, což spousta firem ještě ani nezná, ale u takto komplexních systémů, kde nejde zajistit zabezpečení všech částí, je monitoring útoků jedním z nejdůležitějších nástrojů. Může totiž včas předejít rozsáhlejší kompromitaci. Jsou společnosti, které tento systém nabízejí, ale opět je to poměrně velká investice, která neslouží k žádnému business developmentu, ale jedná se jen o servisní službu, která je schopna útok včas zastavit.

Martin Leskovjan copyright: FairArt.cz

Foto: copyright Fair Art

Monitoring bezpečnostních incidentů je základní věc. Neměly by být tyto nejnižší bezpečnostní prvky standardem? Bylo by řešením mít toto jasně vymezeno zákonem pod hrozbou sankcí, nebo to není ta správná cesta?
Problém je v tom, že je snadné splnit tyto zákonné požadavky papírově, formálně. Existují dokonce i firmy, které vytvoří situaci takovou, že z hlediska norem je všechno splněno, ale velmi často to vůbec nemění situaci reálné bezpečnosti uvnitř firmy.
Určitě se můžeme bavit o nějakém normativním zakotvení, ale problém je v tom, že je těžké přinutit provozovatele, aby to dělali účinně, tedy aby investovali řádově více. Normativní uchopení je zas snadné obejít a firma, která do toho nebude chtít investovat, si najde způsob, jak se s tím vypořádat. Klíč k tomu je na straně firem, protože to je v jejich zájmu, ale bohužel u nás stále převládá to, že byznysová složka firmy vychází ze základního vzorce pravděpodobnost krát dopad. Dokud bude ve firmách převládat toto pojetí, tak budou přicházet neočekávané události s vysokým dopadem, které nebudou brány v potaz, jelikož nebyly zasazeny do toho základního vzorce. Perspektivu vidím v postupné osvětě a i v tom, jak dnes pojímat rizika, kdy přibývá rizikových faktorů a ty se kumulují.

Jedním ze základních bezpečnostních opatření je sdílení informací. Kybernetický zákon říká, že by to firmy mezi sebou měly dodržovat, ale firma nebude chtít sdílet informace o bezpečnostních incidentech či o osobních datech. Jak lze tento problém vyřešit, abychom zlepšili bezpečnostní situaci?
Možná není problém v konkrétních datech, protože jsou také umožněna nějaká autonomní hlášení, kdy příslušná autorita má informaci o tom, kdo je poskytl, ale je vázána mlčenlivostí vůči veřejnosti. Proto je pro nás řada incidentů jen poloprůhlednou historií. Ty informace nejsou dostupné a myslím, že je v pořádku, když firmy nejsou povinny zveřejňovat vše. Je vždy nutné podívat se na konkrétní situaci v konkrétní zemi, znát statistiku incidentů a jejich druh. Ochrana vnitřní integrity firmy je něco, do čeho lze těžko zasahovat. Reálná vymahatelnost povinnosti něco ohlašovat je velmi diskutabilní z toho důvodu, že pokud se stane incident a firma není nucena komunikovat s klienty veřejně, tak firma nemá zájem o zveřejnění. Hlavní motivací pro sdílení informací je, že se firmám vyplatí. Pokud k tomu budou přistupovat zodpovědně a bude existovat důvěryhodný systém zveřejňování informací a jejich anonymity, tak to může fungovat. Perspektivu tedy vidím spíše v automatizované platformě, která by byla snadno dostupná pro každého.

Tato alternativa se děje v USA, kde se celá Obamova vláda stavěla k různým kybernetickým bezpečnostním standardům negativně. Řešením byl systém, kde několik soukromých firem mezi sebou sdílí informace o incidentech nezávazně na státu. Děje se něco podobného v České republice?
Úplně minimálně. Odborníci po tom dlouhodobě volají, ale firemní kultura v Čechách nebo ve střední Evropě není příliš rozvinutá, aby firmy byly schopny vnímat hodnotu takové spolupráce. Není to jen otázka spolupráce, ale celkově jakýchkoliv aktivit, které nejsou čistě zaměřeny na zisk. V tomto je americký byznys o něco napřed, protože jejich firemní kultura a tradice jsou tam rozšířenější. Myslím, že je to otázka času a otázka toho, jestli tu bude prostor a prostředí pro rozvoj těchto aktivit. Pokud bude firemní soukromý sektor mít prostor od státu, aby se takto mohl organizovat, tak si myslím, že se to časem bude dít, ale zatím se to neděje.

 

,,Firma si nemusí vůbec uvědomit, že se stala součástí internetového prostředí."

 

Takže v současnosti ten hlavní bod, kde se sdružují hlavní informace o incidentech, je pořád ten státní CERT, a žádná alternativa tady není?
Vím, že existuje podobná iniciativa mezi bankami. Finanční sektor je v tom trochu dál. Ta spolupráce je rozšířenější. Ale ani zde není aktivita nebo odhodlání vždy stoprocentní. Dominuje maloměstský přístup: „My se o to radši nepodělíme, protože zbytek konkurence by pak měl informační náskok.“

Kybernetické hrozby mají většinou jen kybernetický dopad, ne žádný fyzický. Ale oblast, kde se tato hranice nejvíce překonává, je průmyslová bezpečnost. Jaké jsou v českých podmínkách kybernetické hrozby, které by mohly mít přímý fyzický dopad (např. narušení elektronické sítě, útok na přehrady)?
Troufnu si říct, že v tomto nemám ještě úplně jasno. Jsme v období, kdy rozrůstání automatizace je hodně rychlé a v současnosti se děje velmi skokově. Vlastně není zmapované, jak tyto hrozby vypadají. Většina firem má představu o tom, jak to funguje v jejich konkrétním záběru a jejich činnosti, ale nějaký širší pohled vůbec není. To, co včera nebylo ohroženo, už zítra může být, jen kvůli tomu, že se zapojí nějaký nový prvek. Ta firma si ale nemusí vůbec uvědomit, že se stala součástí internetového prostředí.

Co se týče fyzických dopadů, tak můžeme vycházet jen z dílčích zkušeností, které máme. Na místě jsou bohužel ty nejčernější obavy. Všechny složky kritické infrastruktury (distribuce energií, dopravní infrastruktura, zajištění pitné vody, nemocniční zázemí) jsou již ovládány tzv. Industrial Control Systems, neboli SCADA systémy. Tyto systémy nebyly vytvořeny primárně na zajištění maximální míry bezpečnosti. Jsou to různě poslepované technologie od různých dodavatelů a mluvit v jejich případě o bezpečnosti je často velmi naivní. Jsou to systémy, které řídí procesy, jejichž funkčnost dopadá na široké obyvatelstvo (výpadek energie, v nejhorším případě vypuštění přehrady, vytápění a termoregulace v nemocnicích). Bohužel ani tady není kladen vysoký důraz na zajištění bezpečnosti, i když by se očekávalo, že právě toto bude primární složka, na kterou je nutné se zaměřovat.

Není po tom poptávka opět z toho důvodu, že se žádný incident v minulosti nestal, takže nikdo nevidí riziko, proč by se teď stát měl. Fyzických dopadů může být obrovské množství, záleží na představivosti útočníka a jeho znalosti toho procesu – k čemu jaký systém slouží a jakou konkrétní fyzickou složku kontroluje.

Pokud bych měl přidat ještě větší vrstvu paniky, tak se můžeme bavit o Internet of Things (IoT; Internet věcí – propojení zařízení s internetem, pozn. red.), které je už v každé domácnosti. Když jsme dělali analýzu protokolů, které se používají na těchto zařízeních, tak jsme jen stěží hledali nějaké bezpečné řešení, které by neumožňovalo nějaký průnik. Lze říct, že pokud si koupíte nějakou smart ledničku, tak se vždy najde způsob, jak to ,,vyhackovat".

 

,,V momentě, kdy vaše auto je připojeno na internet, vaše domácnost je připojena na internet, v práci používáte internet, tak pro útočníka je zde velké množství vektorů útoku, jak vás napadnout."

 

Jeden z hlavních problémů IoT je fakt, že jakýkoliv přístroj, který nebyl účelově stvořen pro připojení k síti, je k ní k připojen bez změny ve své bezpečnostní architektuře. Zatím jsou ale systémy IoT velmi různorodé a neexistuje jedna platforma, která by byla využívána napříč všemi systémy. Tím se pak snižuje riziko nějakého rozsáhlého útoku. Zvyšuje to bezpečnost IoT?
Dočasně to tak funguje a bude fungovat. Na trh vstupuje více hráčů, kteří přicházejí s vlastním řešením i s vlastní infrastrukturou. V Čechách vznikla např. síť Lora, která je speciálně navržena pro IoT problematiku. Je to síť, která nabízí nízkonákladové řešení pro IoT. Ale vedle ní se nezávisle rozvíjí další iniciativy, další společnosti, které přicházejí s novým a unikátním technologickým pojetím sítě.

Dá se tedy očekávat v několika dalších letech radikální růst a příchod dalších a dalších hráčů. Jakmile se toto ustálí a pravděpodobně se trh rozparceluje, tak pak už je to jen otázka času, než se útočníci adaptují a naučí se s tím pracovat. Určitě máme čas hledat formy zabezpečení i těchto sítí, ale zatím na straně provozovatelů není znát nějaká velká snaha se tomuto věnovat.

Takže co se týče bezpečnosti, čeká nás jen horší a méně stabilní bezpečnostní budoucnost?
Minimálně v kybernetickém prostoru je to logický scénář vývoje. Klišé, které se neustále opakuje – čím více složek našeho života je napojeno na internet, tím důležitějším nástrojem pro každodenní fungování pro nás internet je. V momentě, kdy vaše auto je připojeno na internet, vaše domácnost je připojena na internet, v práci používáte internet, tak pro útočníka je zde velké množství vektorů útoku, jak vás napadnout. Myslím, že je to záležitost proměny společnosti. Určitě s přibýváním těchto kybernetických útoků dojde zase k úbytku na straně fyzických loupeží – krádeže hotovosti a cenných předmětů jsou dnes již na ústupu. Takže je to změna podmínek a forem zločinu, na které se musíme připravit.

O autorovi: Petr Boháček

Partneři

Tento web používá k analýze návštěvnosti soubory cookie. Používáním tohoto webu s tím souhlasíte. Další informace