„Vy nemáte vůbec představu, co to je bezpečnost a jak jí dosáhnout,“ hodnotí Kevin Costner coby bodyguard ve stejnojmenném filmovém hitu bezpečnostní opatření u nové klientky. Totéž platí o většině firem a institucí, které může ohrožovat kybernetický útok. Co by měli brát v úvahu, vysvětluje Tomáš Přibyl, ředitel firmy CyberGym Europe, která v Řitce u Prahy školí s izraelským know-how české i zahraniční počítačové specialisty.
Dá se říct, že čím dražší má někdo softwarové zabezpečení, tím je bezpečnější proti útočníkům?
Počítačová bezpečnost spočívá v lidech. Technické a softwarové nástroje jim mohou pomoci, ale nevyřídí to za ně. Je to stejné jako když máte v autě systém ABS. On vám za vás také nebude brzdit, ale významně vám s ním může pomáhat. Dokud si budou všichni myslet, že je ochrání samotný program, budou mít hackeři pořád žně.
Co by tedy odpovědní lidé měli dělat?
Měli by si uvědomit, nebo si nechat vysvětlit, jak útočníci pracují.
JAKO PAVOUCI A MRAVENCI
A jak útočníci pracují?
Chovají se jako kříženec pavouka a mravence. Rozprostřou totiž sítě všude možně jako pavouk a k informacím se propracovávají s pečlivostí mravence. Nahodile i cíleně sbírají spousty údajů, které pak pečlivě třídí, spojují, zkoušejí, jdou po malých krůčcích, až se nakonec dostanou k tomu, co potřebují. Tedy k přístupu do konkrétní sítě firmy nebo instituce.
Můžete to přiblížit?
Leccos se dá vyčíst už jen z běžného textového dokumentu. Podle toho, v jakém editoru a v jaké jeho verzi je napsaný, se již dá usuzovat na základní parametry zabezpečení místa, odkud dokument pochází. Programy, včetně těch bezpečnostních, mívají chyby. Útočníci o nich vědí, a tak zjišťují, jestli objekt jejich zájmu nějaký takový využívá. To je jedna z věcí, kterou příprava útoku začíná.
Další ze základních technik je prověřit, zda v systémech není nějaká změna od původního nastavení. Zde již právě začínají chyby, kterými lidé hackerům nevědomky nahrávají. Lidé si totiž systémy, které používají, nějakým způsobem přizpůsobují. Jenže si obvykle neuvědomují, že při tom musí dodržovat bezpečnostní principy. A právě typická nedodržení bezpečnostních principů útočníci znají a jdou po nich.
Jednotlivci toho o sobě spoustu prozrazují na sociálních sítích. Platí to i o firmách a úřadech?
Ty toho samy o sobě většinou moc neprozrazují. I když napsat si na webové stránky, jakými systémy mají zabezpečené dokumenty, útočníkům práci také zjednodušuje. Ale velkým zdrojem informací o firemních systémech jsou odborná fóra na internetu. „Ajťáci“ se tam, nebo třeba na Facebooku, často pochlubí tím, jak skvěle zabezpečili síť, za niž odpovídají. Všechno, co o své práci někde zveřejní, jsou kamínky do mozaiky, kterou hackeři skládají. Prostě jim tím dávají další vodítka, na co se zaměřit, kudy by asi mohla vést cesta. A je přitom úplně jedno, že to ten „ajťák“ zveřejnil v uzavřené skupině. Pravděpodobnost, že je ta skupina infiltrovaná, je docela vysoká.
NĚKOLIK DOPORUČENÍ
Co byste doporučil člověku, který má někde na starosti kybernetickou bezpečnost?
Já si myslím, že tito lidé obvykle vědí, co se sluší a patří v kybernetické bezpečnosti. Problém je, že jsou na to obvykle sami, tak trochu izolováni. Takže staví hradby v podobě bezpečnostních technologií a doufají, že je to ochrání. Určitě bych jim doporučil, aby nespoléhali jen na technologie, útočníci je vždy dokáží obejít! Jediné, na čem pak ochrana firmy v takovém případě stojí, jsou lidé, kteří jsou klíčoví jak v části prevence, tak i v situaci, kdy útok nastane. Musí být schopni identifikovat, že nastal útok, a musí minimalizovat z něj vyplývající ztráty.
Dá se také říct, co by měl dělat?
Měl by otevřít ostatním lidem ve firmě oči. Tak aby pochopili, že firma je bezpečnostně silná tak, jak je silný její nejslabší článek. Tím obvykle bývá člověk, mnohdy sedící na pozici, kde to vůbec nečekáte. Měl by stanovit a prosadit bezpečnostní pravidla, která bude sám bezpodmínečně dodržovat a to samé bude vyžadovat po ostatních, včetně nejvyššího vedení na straně jedné a subdodavatelů na straně druhé. A měl by důsledně mlčet o své práci.
A co by určitě neměl dělat?
Spokojit se současným stavem a rezignovat na to, že potřebné změny sám neprosadí.
LIDÉ NEBO TECHNOLOGIE?
Nabízí se klasická otázka. Do čeho tedy investovat víc: Do technologií, nebo do lidí?
Nějaká míra investice do technologií je nezbytná. Ale když budete investovat především do technologií, dopadnete jako řidič s tím ABS. Rozhodně je třeba investovat i do lidí. A to nejen do zvyšování jejich povědomí, jaká rizika mohou nastat. Také je třeba tato rizika prakticky trénovat v konkrétních situacích tak, aby povědomí o nich přešlo do reálně nabyté kompetence, která pak celou firmu neskutečně posílí.
Takovéto investice do lidí se vrátí nejen tím, že zabrání hackerskému útoku nebo zmírní jeho dopady – nebude po něm potřeba investovat do náhrady škod. Vrátí se i v tom, že nebudete kupovat další a další mnohdy zbytečné bezpečnostní prvky, protože vás o tom přesvědčí jejich prodejce, nebo „ajťák“. Budete totiž kupovat jen to, co pro vás opravdu má smysl.
Tím jsme ovšem u majitelů a manažerů. Chápou hrozbu kybernetického útoku? Protože jestli ne, vaše doporučení jsou pověstný hrách házený na zeď…
Tak to jste trefil pověstný hřebík na hlavičku (úsměv). Stále je rozšířený přístup „proč bychom do toho vráželi peníze, když se nám za 10 let existence nic takového nestalo“. To neznamená, že by se odpovědní lidé odmítali zabývat bezpečností, nebo že by ji nebrali na vědomí. Jenže jsou na tom jako tým popové zpěvačky ve filmu Bodyguard. Ona měla osobního strážce, plot kolem baráku a elektronicky ovládanou bránu, tedy jakési bezpečnostní prvky, které ovšem Kevin Costner v tom filmu zhodnotil slovy „Vy nemáte vůbec tušení, co je to bezpečnost, ani jak jí dosáhnout“.
A právě takhle je to s mnoha šéfy. Oni si prostě neuvědomují šířku té problematiky a tím pádem nechápou, proč by opatření proti útoku měla být tak komplexní. Ani proč by je měli dodržovat bez výjimky i oni sami. Na druhou stranu, nejsou v tom sami. I Hillary Clintonová zjevně nepochopila bezpečnostní zásady, když jako ministryně zahraničí USA pro komunikaci ve svém týmu opakovaně použila svůj soukromý a tedy nezabezpečený e-mail.
Takže hackeři si zatím pořád můžou mnout ruce?
Dokud budou klíčovým prvkem nepoučení lidé, tak ano.
Vaše společnost školí takové kybernetické „bodyguardy“. Jak dlouho trvá jejich výcvik?
My jsme připravili celý program postupného vzdělávání, který pracuje s lidmi v organizacích na různých pozicích. Od začátku výcviku po zavedení opravdového bezpečnostního režimu v dané firmě či instituci to trvá rok.
A na kolik to firmu přijde?
Rozhodně ne více, než kolik firmy běžně investují do nákupu bezpečnostních technologií. Naším cílem není nárokovat nějaké další rozpočty, ale spíše optimalizovat investice tak, aby pokrývaly i lidský faktor a jeho dovednosti v této oblasti. Jednoduché přirovnání k šachové partii, pokud máte špatného hráče, prohrajete se zdatnějším soupeřem vždy, i když na počátku máte všechny figurky (rozuměno bezpečnostní technologie), které soupeř zdaleka mít nemusí. Aby bezpečnost postihla firmu jako celek, tj. aby se dostala do firemní kultury, je nutno projít několika fázemi – od fáze počátečního nevědomí přes fázi uvědomění si, fázi přesvědčení až do fáze reálně nabyté kompetence. A to trvá, pokud si uvědomíte, že vzdělávacím programem v různých úrovních by měla projít klíčová množina zaměstnanců.
KYBERNETICKÁ SEBEOBRANA
To bude nejspíš také jeden z důvodů, proč šéfové mají šéfové k bezpečnosti tak rezervovaný vztah. Počítačové školení obvykle trvá jeden dva dny. Proč tohle trvá tak dlouho?
Viděl jsem tuhle inzerát pilotní školy, která za pilotní průkaz na jednomotorovou Cessnu pro čtyři lidi účtuje téměř 200 tisíc korun. Cena zahrnovala 45 hodin létání a 100 hodin teorie. Překvapí to někoho? Kdo chce pilotovat dopravní stroje, musí si připravit více než dva miliony korun a bude se školit 18 měsíců.
Překvapí to někoho? Ale všichni se nechápavě dívají, když se dozví, že vyškolení kvalitního člověka na počítačovou bezpečnost a zavedení odpovídajících podmínek ve firmě trvá rok. Ti lidé se přeci neučí psát v textovém editoru, oni se učí, jak poznat, nejen že něco není v pořádku, ale hlavně to, že právě tohle už by mohl být ten útok. Teprve pak se učí, co proti tomu dělat a jak předcházet dalšímu rozvinutí útoku. Takoví lidé například sedí v dispečerské pozici ve velínu elektrárny.
To vážně není jednodušší, než pilotovat Airbus! Času na reakci má takový člověk asi tak stejně jako pilot, ale na rozdíl od něj nemůže počítat se štěstím. Protože ten, kdo proti němu stojí, není přírodní živel nebo technická závada, ale člověk, který se na tuto chvíli chystal zhruba půl roku. Vybral si způsob útoku, dobu útoku a měl první tah. Díky pečlivé přípravě navíc od začátku hraje přesilovku. A ve hře je třeba blackout, jaderná havárie typu Černobyl, kolaps metra. Nebo „jen“ kompletní databáze zdravotní pojišťovny, nebo výsledky miliardového výzkumu. Zkuste si to představit… Tak na tohle my školíme lidi. A proto to celé trvá tak dlouho.
Dá se ten výcvik nějak přiblížit?
Pokusím se alespoň ve stručnosti naznačit, jak je program koncipován. Jde o ucelený program, jehož vyvrcholením je nabytá kompetence v oblasti identifikace určitých typů kybernetických útoků a následně pak nabytá kompetence v jejich zvládání pod stresem z možných škod na klíčových aktivech společností. Taková kybernetická krav maga (pozn. aut. – izraelský systém sebeobrany).
Účastníci začínají teorií a na simulačních technikách. Když je zvládnou, postoupí do reality, kde se trénují v ostrých podmínkách, ovšem stále s možností dělat chyby, na kterých se nejvíce naučí. Proto se naše výcvikové centrum jmenuje CyberGym Training Arena.
Je to podobné jako u zmiňovaných pilotů. Oni také mají nejdříve teorii, pak jdou na simulátor, pak na pohyblivý simulátor a teprve potom do skutečného letadla. Jediný rozdíl oproti pilotnímu výcviku je, že v našem případě v počátečních fázích pracujeme navíc s uvědoměním si a s přesvědčením lidí, že je třeba změnit přístup a dívat se na problém okem útočníků. Jakmile to pochopí, jsou motivovaní získat kompetence k tomu, aby se ubránili.
Je něco, co by měli lidé o kybernetických útocích vědět a nevědí to?
Dvě věci. Špičkoví IT pracovníci jsou pod kontrolou různých procesů, ti se pravděpodobně nestanou prvotním terčem útoku. Ale kdo kontroluje uklízečku, která luxuje pod jejich stoly? Přitom jí stačí jen někam „píchnout“ flešku. Jestli chce mít někdo skutečnou počítačovou bezpečnost, musí myslet i na ni, přesněji na to, co by taková uklízečka mohla udělat.
A za druhé by lidé – nejen to nejen ti z branže – měli vědět, že kybernetický útok na kritickou infrastrukturu přichází v úvahu vždycky, když může pomoci splnit politický cíl. To nějak zůstává stranou pozornosti. Přitom armády cizích států se v téhle oblasti činí úplně stejně, jako zločinecké skupiny.