Kyberbezpečnost dnes není jen o technologiích, ale hlavně o lidech. Umělá inteligence mění způsob, jakým útočníci i obránci přemýšlejí, a zároveň klade na firmy nové nároky. O tom, jak se svět hackingu proměňuje, jaké útoky dnes dělají největší škody a proč by se zaměstnanci měli o bezpečnost zajímat víc než z povinnosti, jsme mluvili s odborníkem na cybersecurity Miroslavem Horáčkem, Senior Product Security Engineer společnosti Mews. Rozhovor proběhl na akci DevFest 23. října v Praze.
Co přinesla AI do oblasti cybersecurity? Nahrává její vzestup spíš útočníkům nebo obráncům?
AI pomáhá oběma stranám. Obránci dokážou díky ní rychleji vytvářet nové systémy a reagovat na podněty. Útočníkům ale zase usnadňuje práci s informacemi o firmách, které jsou volně dostupné na internetu. Díky tomu si mohou dělat důkladnější průzkum a přesněji zacílit své útoky. V dnešní době je pro firmy těžké mít úplně „čistou“ stopu na internetu, takže najít na ně citlivé údaje je snadnější než kdykoli dřív.
Jaké jsou dnes motivy hackerů pro kyberútoky?
Hlavní motiv zůstává stejný – peníze. Většina útoků má vést k osobnímu obohacení. Objevují se ale i jiné důvody, například snaha ovlivnit veřejné mínění nebo volby. V takových případech už nejde jen o zisk, ale o moc a vliv.
Ze kterých zemí hackeři obvykle pocházejí?
Nejčastěji sledujeme útoky z Ruska a Číny, někdy i ze Severní Koreje – hlavně v oblasti kryptoměn. Dnes se ale dá snadno vydávat za kohokoli z jiné země, takže samotná IP adresa nic neznamená. Původ útoku se dá odhadovat spíš podle detailů v kódu, jazykových stop nebo časových pásem, ve kterých útočníci operují. Například když v kódu najdeme azbuku, může to být reálný původ, ale také záměrná falešná stopa.
Jaké „bezpečnostní minimum“ by firmy měly dodržovat, aby byly odolnější v oblasti cybersecurity?
Nejslabším článkem je vždy člověk. Systémy jsou dnes relativně dobře chráněné, ale když někomu ve tři ráno zazvoní telefon s žádostí o potvrzení přihlášení a volající se představí jako šéf, spousta lidí to bez váhání udělá. Sociální inženýrství – tedy útoky na lidskou důvěřivost – zůstává nejúčinnější metodou.
Znamená to tedy, že největší slabinou nejsou systémy, ale pracovníci firem?
Ano. Mnoho zaměstnanců bere bezpečnostní pravidla jako nutnou povinnost, ne jako něco, co by jim mělo dávat smysl. Místo přemýšlení o rizicích prostě jen „odškrtávají kolonky“. Když vám někdo zavolá a vydává se za manažera, spousta lidí mu uvěří. Systémy se samy neoklamou – musí být špatně nastavené lidmi. Samozřejmě vznikají i nové chyby a nové typy útoků, ale kdybych měl přemýšlet jako útočník, pořád bych šel po lidech.
Existuje způsob, jak z kyberbezpečnosti udělat přirozenou součást firemní kultury, nejen povinnost?
Funguje to tam, kde firmy investují do interaktivních programů. Nestačí poslat zaměstnance na e-learning nebo jim nechat podepsat tabulku, že „rozumí“. Lidé se musí do této oblasti aktivně zapojit. Pomáhá, když firma nevysílá signál, že jde o nutné zlo, ale o společnou odpovědnost. Každý zaměstnanec by měl chápat, že jeho chování v kyberprostoru ovlivňuje bezpečnost celé organizace.
Jaké typy útoků dnes dělají firmám největší škody?
Nejčastější jsou útoky typu ransomware – tedy zašifrování nebo smazání dat s požadavkem na výkupné. Někdy ani nejde o peníze, ale o cílený útok na konkurenci nebo snahu narušit provoz určité společnosti. Ztráta dat, nefunkční služby a vydírání – to je pro firmu nejhorší kombinace.
Souhlasíte s tím, aby firmy měly zákaz platit výkupné hackerům? Jaké důsledky by takový krok mohl přinést?
Zatím ne. Dokud neexistuje účinný systém podpory pro napadené firmy, nemůžeme jim zakazovat zaplatit. Je to rozhodnutí každé společnosti, která musí zvážit rizika a možnosti. Ano, neplacení by mohlo omezit příjmy hackerů, ale zároveň by mohlo zničit firmu, která přijde o všechna data. Dokud nebude existovat jasná státní pomoc, nemělo by být placení výkupného trestné.
Jakou jistotu má vlastně firma, která zaplatí, že se jí ukradená data vrátí?
Žádnou. Útočník je člověk, který vám už ublížil, takže důvěra v něj je nesmysl. Často se stává, že hackeři data rovnou smažou, aniž by je vůbec šifrovali. Firma zaplatí a nic nedostane zpět. Je to pro ně snadnější a ještě tím ukážou svou moc – podvedou vás dvakrát.
Můžete poskytnout nějaký příklad, kdy nějaká firma úspěšně zvládla napadení hackery?
Případů je hodně, i když se o nich moc nemluví. U útoků jednotlivců se často podaří škody omezit nebo útočníka vypátrat. Například v USA se řada incidentů podařila díky včasné reakci bezpečnostních týmů. Většina útoků je ve skutečnosti odražena dřív, než si toho někdo všimne – právě proto o nich veřejnost neví. Dobrá práce obránců bývá neviditelná, protože systém prostě funguje, jak má.
Proč Vás osobně zajímá oblast Cybersecurity?
Je to trochu jako hra – postavíte systém a neustále ho někdo testuje. Každý den je jiný, nikdy nevíte, co vás čeká. Je v tom soutěživost, napětí i zábava. Někdy stres, ale rozhodně nuda ne.
Miroslav Horáček působí ve společnosti Mews jako Staff Security Engineer. Navrhuje a rozvíjí bezpečnostní architekturu organizace napříč všemi úrovněmi – od cloudové infrastruktury až po aplikační bezpečnostní principy. Aktivně se podílí i na tvorbě produkčního kódu, aby byla bezpečnost začleněna do systémů už od samotného základu. Kombinuje hluboké technické znalosti se strategickým přístupem, vytváří referenční architektury a standardy pro vývojové týmy a zároveň sám implementuje klíčové bezpečnostní prvky.
