Díky zvýšenému tlaku na digitalizaci a sílící poptávce po digitálním zaměstnání roste i příležitost pro kyberneticko-kriminální sektor útočit nejen na infrastrukturu, ale především na jednotlivé uživatele. Jakým novým výzvám a problémům čelí technologické firmy z oblasti kyberbezpečnosti? Jak vypadají útoky dnes oproti minulosti a jakou roli v této oblasti hraje umělá inteligence? A co pro svou bezpečnost na internetu můžeme udělat my sami? Nejen na tyto otázky odpovídal v rozhovoru pro Roklen24 profesor Michal Pěchouček, expert na umělou inteligenci a v současnosti také technický ředitel společnosti Avast.
Vnímáte díky tlaku na digitalizaci, urychlenou koronavirovou pandemií, nějaké nové výzvy a problémy v souvislosti s otázkou bezpečnosti a tím, jak firmy a jednotlivci pracují se svými daty?
Pro mě je koronavirová pandemie velká lidská tragédie, ale zároveň je to cesta k digitalizaci, o které mnoho sektorů již nějakou dobu hovoří. Mnoho lidí bude nyní chtít práci, která bude odolnější vůči podobným událostem, jako je právě pandemie, takže bude ohromná poptávka po schopnosti nabídnout digitální zaměstnání. Díky tomu samozřejmě roste i příležitost pro kyberneticko-kriminální sektor útočit na infrastrukturu, ale primárně útočit na lidi.
Já jsem velkým fanouškem takzvané human level cyber security, která mění celý koncept o tom, jak uvažovat o kybernetické bezpečnosti – už ne přes zařízení nebo přes servery, ale přes chování lidí. A v současnosti se ukazuje, že chování lidí je pořád ohromným vektorem, přes který se dá útočit. Chování lidí ve smyslu toho, jak se starají o svá data, jak zveřejňují své privátní informace, jakým způsobem přistupují k internetovým službám, jakým způsobem pracují s hesly. Říká se, že hesla tu dlouho nebudou, zruší se a vše bude hrozně moderní. Ale než to bude moderní a biometrické, tak tu hesla ještě nějakou dobu zůstanou. A právě hesla jsou obrovským vektorem na útočení na lidi. Lidi budou čím dál víc věcí dělat doma, budou pracovat v jakémsi hybridním světě, kde budou sdílet infrastrukturu pro soukromé i pracovní účely, jelikož mít doma dva počítače bude neekonomické a nepohodlné. A právě přes chování, které realizujete v soukromém životě, bude z kriminálního hlediska jednoduché se dostat do vašeho pracovního prostředí. Tento trend zcela mění koncept kybernetické bezpečnosti, jsou tu nové výzvy a problémy a velké technologické společnosti v oblasti kyberbezpečnosti na to musí umět reagovat a reagují.
Můžete tyto výzvy nebo problémy přiblížit?
Jedna z největších hrozeb dneška je phishing – schopnost psát obsah, který je podvržený, a manipulovat uživatele, aby na tento obsah klikl, čímž spustí nějaký malware. V minulosti představoval malware nebezpečí enkódované do souboru, který se posílal po síti. To už se dnes příliš nedělá, dnes už je malware schovaný za nějaký odkaz, na který uživatel klikne. Schopnost detekovat takovéto podezřelé linky např. v e-mailech nebo na webu, to je úplně jiná forma hrozby, než jaká byla v minulosti. Tím se zabývá spousta velkých společností v oboru kyberbezpečnosti. Schopnost rekonstruovat chování uživatele přes privátní data, která jsou zveřejněna, a následně komplikované modelování toho, jak daný člověk uvažuje, co kupuje a jak tráví čas, umožňuje použít metody umělé inteligence, které píší zmíněné phishingové emaily. Ty jsou díky tomu velmi důvěryhodné. Takže phishing je dnes veliká hrozba.
Vidíte použití umělé inteligence i k tomu, aby se tyto útoky minimalizovaly nebo pomohly vyřešit?
Ano, to je můj denní chleba s máslem, to je to, čím se opravdu zabývám. Umělá inteligence slouží k tomu, aby jednak dokázala člověka co nejlépe napodobit, to znamená, aby ho dokázala zmást, to je to první využití, o kterém jsem hovořil. Umělá inteligence ale hlavně umožňuje, že se tyto útoky píší rychle, efektivně a mají ohromnou škálu. Útoky, které bylo dříve náročné psát, a používaly se pouze pro korporátní nebo mezivládní sektor, se dnes píší z velké části samy, je tam ohromná míra automatizace a díky tomu se dají použít i pro obyčejné uživatele. V tom já vidím největší hrozbu ze strany útočníků. Nicméně právě stejným způsobem se i my obránci snažíme pomocí metod umělé inteligence zautomatizovat mravenčí práci týkající se odhalování hrozeb a útoků. Svět internetu zahrnuje obrovský provoz, spoustu dat, stránek, lidí a není v lidských silách ho opravovat ručně. Díky automatizaci práce pomocí metod umělé inteligence jsme ale schopni s těmi útočníky soupeřit.
Vy jste v dřívějších rozhovorech zmínil, že byl přínos umělé inteligence v oblasti bezpečnosti podceňovaný, čím to bylo? A vidíte v souvislosti se současnou situací výraznější změnu?
Přínos umělé inteligence v oblasti bezpečnosti byl podceňovaný jako v každém jiném sektoru v minulosti, před 15 lety byla například podceňovaná umělá inteligence ve výrobě automobilů. Motor je motor a ten musí kouřit. Prostě svět se změnil. Už to není motor, který musí kouřit, už se do řízení může zapojit i robot a ukazuje se, že je to přesné a bezpečné a že je to budoucnost.
Úplně stejně to je v kyberbezpečnosti. V minulosti odborníci se schopností identifikovat škodlivé chování tvrdili, že je opravdu těžké rozpoznat nebezpečný, dobře maskovaný soubor od bezpečného souboru a že to stroj nikdy nedokáže. Dnes se ale ukazuje, že to po drobných krůčcích lze, že se umělá inteligence dokáže naučit některé nebezpečí odhalit a že spolupráce odborníků v oblasti kyberbezpečnosti a odborníků na umělou inteligenci je velmi přínosná.
Zmiňujete velké firmy, které se v oblasti kyberbezpečnosti angažují a pracují na tom, aby byly schopné detekovat a odrážet nebezpečné útoky budoucnosti. Vidíte ještě jiné, z Vašeho pohledu důležité, hráče v této oblasti?
Dalším klíčovým hráčem v oblasti kyberbezpečnosti je vzdělávací systém, to je podle mého názoru nejlepší antivirus. Bez toho se bude měnit chování lidí na internetu hrozně těžko. Chování lidí se změní, pokud zažijí útok, který jim poškodí reputaci nebo je poškodí finančně, ale to se neděje tak často. Vzdělávací systém by měl tedy zásadně integrovat vzdělání v oblasti kyberbezpečnosti do kurikula. Tvořit prezentaci v powerpointu jsou děti schopné se naučit samy, k tomu žádného učitele nepotřebují, ale nebezpečí na internetu spojené se ztrátou osobních údajů je něco, co je nezjevné, děti o tom nevědí a je potřeba je v této oblasti vzdělávat.
Druhým klíčovým hráčem je pak regulátor v oblasti práce s privátními daty. Regulátor musí dělat svou práci dobře, musí inovovat, musí rozumět tomu, jak se vyvíjejí technologické možnosti, a musí chtít umět spolupracovat se všemi stakeholdery. Jedním ze stakeholderů jsou jednotliví uživatelé, přičemž cílem regulátora by mělo být, aby byli uživatelé na internetu co nejbezpečnější a nejsvobodnější. S tím souvisí ochrana jednotlivých uživatelů před velkými technologickými firmami a snaha regulátora, aby měli uživatelé co největší práva na automatizovanou práci se svými privátními osobními údaji. První krok, který v tomto ohledu vznikl, je mandátování vrácení privátních dat, takže pokud chcete například po Googlu, který v této souvislosti spustil službu Google Takeout, svá data, tak vám je musí dát. Nicméně způsob, jakým vám je dá, je nepohodlný, technicky složitý, ta data jsou nesrozumitelná. Regulátor v tomto může jít o krok dál a mandátovat tyto firmy k tomu, aby požadovaná data dokázaly poskytovat automaticky, aby mohly vznikat nové firmy, nový sektor, který se bude zabývat ochranou privátnosti. Cílem tohoto sektoru by mělo být pomáhat lidem lépe porozumět, jakým způsobem o nich může technologický sektor uvažovat. Ale to v tuto chvíli nejde.
V současnosti ale často zaznívá názor, že velké technologické firmy mají dnes ve svém oboru monopol díky obrovskému množství dat, se kterým pracují, a možnosti zaplatit si přední odborníky. Jak vnímáte tuto situaci? Mají regulátoři vůbec šanci být napřed?
Samozřejmě, že mají šanci a že jsou schopni pracovat s velkými mozky. Myslím si, že by se regulátor měl snažit co nejméně podlehnout lobbistickým tlakům, které přicházejí z různých průmyslových stran, a měl by více komunikovat a spolupracovat s akademickým sektorem. Akademický sektor má v principu méně konfliktů zájmů a je schopen vysvětlovat a vzdělávat. Akademici za prvé studují nebezpečí a lidskou svobodu na internetu a zároveň stojí za motorem pokroku v oblasti umělé inteligence, takže regulátorům lépe dokáží říci, kde ta technologie bude v budoucnosti. Spolupráce s akademiky je podle mého názoru pro regulátora ta nejbezpečnější cesta, jakou se může vydat.
Co pro svou bezpečnost na internetu mohou v tuto chvíli udělat jednotlivci, aby zabránili případným útokům nebo eliminovali současná rizika?
Dnes je situace jiná oproti minulosti, protože útoky jsou v současnosti velmi bohaté. Tyto útoky na lidské bezpečí na internetu pochází jak od legitimních, tak nelegitimních hráčů, jak od útočníků, kteří se vám snaží něco ukrást, tak od trollů, kteří se vás snaží zmanipulovat, ale i od firem, které se vám snaží něco prodat. Ta škála útoků je komplikovaná a nedá se říci, že každý útok je nelegální. Všechny útoky jsou ale nebezpečné, proto je velmi důležité jim rozumět. Vzděláváním a vývojem technologií lidem umožníme, aby se dokázali bránit.
Mezi konkrétní věci, co každý z nás může pro svou ochranu udělat, patří správa hesel, práce s hesly a správa soukromých údajů. Je důležité mít představu, s kým jaké soukromé údaje sdílím a proč, jestli to je opravdu nutné je sdílet. My v Avastu nyní pilotujeme technologii, která měří, jestli nároky aplikací na privátní data jsou legitimní – jestli daná aplikace opravdu potřebuje požadovaná data k tomu, co dělá. Jestli například nějaká jednoduchá aplikace opravdu potřebuje znát moji polohu – pokud nepotřebuje, tak jí s ní nebudu sdílet. Důležité je zároveň rozumět implikacím ztráty privátních dat.
A pak je velkým tématem samozřejmě manipulace. Zdá se, že by to mohl být spíše politický problém než problém z oblasti kyberbezpečnosti, ale není tomu tak. Schopnost lidí věřit nepravdivým údajům nebo údajům, které pochází z nějakých trollích farem, snižuje bezpečí na internetu, protože když jsou lidi náchylnější k tomu uvěřit těmto informacím, tak to umělá inteligence zjistí a sama jim pak napíše phishing email, na který kliknou. Je jednodušší podvést člověka, který věří manipulativním zprávám, které se nyní zčásti dělají pomocí umělé inteligence, než podvést člověka, který si zprávy ověřuje. Sofistikovaná práce se svým sociálním okolím na internetu je klíčová. Měli byste vědět, kdo v té vaší bublině funguje, co po vás může chtít, komu důvěřujete a komu nedůvěřujete, a snažit se ty skupiny řídit, abyste jim rozuměli, vědět, jak ta skupina vypadá a jak se může měnit.
Do práce s privátními informacemi také patří biometrika, což je speciální druh privátní informace, která se dá výborně zneužít pro kybernetické útoky. Takže například ta ruská aplikace, která vám vyfotila obličej a udělala z vás staršího člověka, ale přitom si pamatovala váš email, vaše telefonní číslo a identifikátor vašeho zařízení, měla zároveň vaši biometrickou informaci, což je velmi nebezpečná věc.
Lidé by si sami měli vytvářet soubor důvěryhodných aplikací a služeb, kterým z nějakých důvodů věří, a měli by vědět, proč jim věří. Měli by si ten seznam udržovat, rozumět mu a opatrně ho zvětšovat. Aby pak nepodléhali hoaxům například v okamžiku, kdy je tu dobře vymyšlená aplikace, která pomáhá monitorovat sociální vzdalování a existují technologické argumenty, proč je bezpečná – aby se jí nebáli použít například pouze z politických důvodů.
To nyní narážíte na aplikaci eRouška?
Narážím na spoustu různých aplikací, které různé technologické firmy a vlády vytváří proto, aby pomohly zabránit šíření pandemie a já je všechny považuji za velmi užitečné.
Jak vnímáte situaci, která se opět začala diskutovat nejen v souvislosti s Vámi zmíněnými aplikacemi – tedy to, že lidé spíše věří a ochotněji dávají svá data velkým technologickým společnostem než státu?
Je to pouze vnímání, protože citlivá data jako například přesná biometrika vlády už mají a nikdo se tím netrápí. I fotky obyčejných občanů, kteří si cíleně nedávají fotky na internet, vláda stejně nakonec má. Jeden z nejcennějších údajů, které vláda má, je například daňové přiznání a my důvěřujeme tomu, že jsou tato data v rukou státu v bezpečí.
Na druhou stranu, já pokud bych si měl vybrat, jestli bude má data spravovat firma Google nebo americká administrativa, tak budu více věřit Googlu. Může se totiž ukázat, že lidi shodou okolností jednou budou volit špatně a ta špatná vůle, chyba ve volbách nebo nějaká manipulace, mohou způsobit, že se moje data zneužijí. Kdežto velká korporace, která má ohromnou odpovědnost vůči svým akcionářům, se musí chovat konzistentně a predikovatelně a musí dodržovat konkrétní hodnoty, na které je navázaná hodnota jejích akcií. To je pro mě větší záruka stability než u vlád, které se mění periodicky podle toho, jak chtějí lidi.
Vy jste v dřívějších rozhovorech zmiňoval, že byste rád, aby v budoucnu bylo možné všem, kteří poskytují svá citlivá data na internetu, za tato data zaplatit. Mohl byste tuto myšlenku rozvést?
To je takové moje, nechci říct pohádkaření, ale dílo velkých vizí, tužeb a očekávání od společnosti ve spolupráci s velkým technologickým sektorem. Dnes z těchto našich dat benefitují velké technologické společnosti, které nám za to dávají kvalitní produkty zdarma. Je to takový férový deal. Například Gmail je nejlepší emailový klient na světě. Tak to prostě je. A já za to platím tím, že Google, respektive jeho algoritmy, si čtou moje emaily a dál s těmito daty pracují. Já jako obyvatel planety bych přitom chtěl mít volbu, buď ať je to tak, jak to nyní je, anebo ať mám možnost si danou službu zaplatit penězi a ne daty. Nebo například Facebook, to je super nástroj, sice se ukazuje, že i dost nebezpečný, má obrovskou sílu, ale nabízí množství přidaných hodnot a já bych chtěl také mít možnost si tuto službu zaplatit a používat ji privátním způsobem. A to dnes nejde. Když se toto stane, tak začne vznikat cena těchto dat a uživatelé s nimi budou moci lépe obchodovat. Dnes nemohou, protože neví, jakou ta data mají hodnotu.
Kdyby regulátor tlačil velké technologické firmy k tomu, aby tento druh svobody na internetu poskytovaly, tak by to bylo skvělé. Já věřím tomu, že se to stane. Ještě před 20 lety by nás něco takového nenapadlo, ale dnes žijeme životy, které nám ukazují, že je to druh svobody, který bychom mohli chtít a že dává velký smysl.
Michal Pěchouček je uznávaný odborník v oblasti umělé inteligence. V současnosti působí jako technický ředitel Avastu a v akademické sféře jako profesor na Fakultě elektrotechnické ČVUT v Praze, kde vedl Katedru počítačů, v roce 2001 založil centrum umělé inteligence AI Center a spoluzaložil výzkumně zaměřený studijní program Otevřená informatika. Kromě působení v akademické sféře se Michal podílel na vzniku několika technologických start-upů, jako je kyberbezpečnostní firma Cognitive Security (kterou v roce 2013 koupilo CISCO), společnost AgentFly Technologies, která se zaměřuje na ovládání autonomní letecké dopravy, a BlindSpot Solutions, která vyvíjí umělou inteligenci pro využití v průmyslu a kterou v roce 2017 akvírovala Adastra Group. Michal vedl R&D centrum pro umělou inteligenci a kyberbezpečnost v CISCO Systems a působil jako stratég v týmu Security CTO. Nadále je venture partnerem společnosti Evolution Equity Partners, venture kapitálové firmy zaměřující se na kybernetickou bezpečnost. Michal nedávno založil iniciativu prg.ai, jejímž cílem je proměnit Prahu ve špičkové vědecko výzkumné centrum umělé inteligence. Je ženatý a má tři děti. Ve volném čase rád chodí po horách a běhá maratony.
