Video + podcast

Kyberbezpečnost: Etický hacker radí, jak chránit citlivá data

Z hackerství se stal důmyslný byznys a v důsledku toho nad firmami a organizacemi prakticky neustále visí hrozba ztráty citlivých dat, vydírání kvůli výkupnému a celá řada dalších rizik, které mohou mít pro jejich následnou existenci nedozírné následky.

Etického hackera Jana Marka jsme se proto v našem rozhovoru ptali, jakým způsobem se zločinci do kyberprostoru dostávají nejčastěji a jak se tomu co nejefektivněji bránit, také jsme probírali jednotlivé bezpečnostní prvky a jejich nastavení a řadu dalších souvisejících aspektů.

Obsah videa

Odkaz se otevře v novém okně na příslušném místě.

Zpět na začátek

To nejdůležitější, co v rozhovoru zaznělo

Jan Marek ze společnosti Cyber Rangers se věnuje tzv. etickému hackerství, které spočívá v co nejvěrohodnějším nasimulování reálného útočníka. Jejich klienty tak jsou firmy, které se zabezpečení dostatečně věnují a které chtějí ověřit, jak by si vedly v případě skutečného útoku, a to jak z profesního, tak i lidského hlediska.  

V čem firmy nejčastěji chybují? 

Velká rizika například skýtá poskytování vysokých práv správcům, uživatelům i dodavatelům. Právě přes ně mohou útočníci získat legitimní přihlašovací údaje. S těmito údaji je pak pro ně snazší do společnosti vstoupit, škodit a šířit se sítí.  

Stále omílané je také téma silných hesel, která by měla být dlouhá. Jan Marek upozorňuje, že by to rozhodně neměla být skládaná hesla jako „ZáříZáříZáří2024“. Uživatel sice splní parametry jako jsou velká a malá písmena, číslice apod., ale ochrannou funkci takové heslo neplní. 

Za pozitivní Jan Marek vnímá rozšiřující se multifaktorové ověřování, ale i zde je třeba odsouhlasit opravdu jen ty požadavky, které jsme provedli my sami: „Hodně lidí má nastavené, že když něco nefunguje a vědí, že třeba mají zapnutý desktop ve firmě, tak si řeknou:, Já teď sice neověřuji, protože nejsem v práci, ale to se asi děje automaticky každou hodinu, tak to potvrdím.’ Ale ve skutečnosti to mohl být útočník, kterému jsme právě schválili přístup přes multifaktor.“ 

Ilustrační fotografie

Opatření ve firmách by měla počítat s možností lidské chyby tak, aby na ni firma dokázala včas reagovat. Velké mezery Jan Marek vidí také v neochotě firem investovat do kvalitního školení o kyberbezpečnosti zaměstnanců i vzdělávání veřejnosti. Samozřejmostí by mělo být i zálohování dat.  

„Podle mě hodně záleží na tom, jak se ta organizace chová na trhu, co na něm o sobě říká. Když bych to úplně jednoduše rozdělil – hrozně jednoduché rozdělení na dva typy útočníků: jedni, kteří jsou buď hacktivisti a dělají to čistě z přesvědčení, náboženství nebo čehokoliv jiného, a pak druzí, kteří jdou po zisku. Samozřejmě hacktivisti půjdou za nějakým cílem a ti, co jdou po zisku, zase za jiným cílem.“ 

A dodává: „Pokud firma tvrdí, že je na tom s bezpečností velice dobře, ale zároveň někde na svých stránkách, třeba v sekci Kariéra, uvede, že hledá správce pro Windows 2000, tak útočník si rychle spojí, že to může být dobrý cíl. Taková informace naznačuje, že IT infrastruktura je možná zanedbaná nebo zastaralá, a to jsou pak ty vhodné cíle pro útočníky.“ 

Člověk zvenčí prověří bezpečnost firmy lépe 

Z pohledu Jana Marka je pro firmy výhodnější, pokud svou kybernetickou bezpečnost svěří do rukou externího dodavatele. Není totiž v silách například tří IT zaměstnanců sledovat bezpečnost všech systémů a aplikací na tak odborné úrovni, jako je schopna zajistit například bezpečnostní firma. 

Jan Marek v rozhovoru dále vysvětluje, že pokud chce firma opravdu pořádně otestovat svou digitální odolnost simulací, vždy to lépe udělá někdo mimo danou společnost. Pokud by testy prováděl interní člověk, který firmu zná a pomáhal třeba systém vyvíjet, bude si i nevědomky vypomáhat určitým know-how a nebude během simulace uvažovat jako útočník. 

Ilustrační fotografie

„Zároveň třeba typicky může nastat situace, kdy otestuje, řekněme třeba nějaké části sítě, kde se ta chyba neprojeví,“ říká Jan Marek s tím, že testování je potřeba dělat pravidelně, protože systémy se neustále vyvíjejí. 

Připomíná, že v lednu 2025 vejde v účinnost evropské nařízení Dora, které se bude aplikovat na finanční instituce a které popisuje úroveň digitální odolnosti těchto organizací. Dora bude určovat, jak mají penetrační testeři nebo etičtí hackeři organizace testovat a klade důraz právě na externí testování. 

Konference Cyber Days proběhne i příští rok 

Cyber Rangers již několik let organizují akci Cyber Days, která účastníkům nabízí velké množství přednášek. Letos se věnovali například testování odolnosti firem, používání IPv6 protokolů, CrowdStrike incidentu nebo Deep Fakes. 

„Přednášky se snažíme koncipovat tak, aby účastník odcházel s tím, že si uvědomuje, že ten problém skutečně existuje, měl by se mu věnovat, a měl by si donést nějaké praktické poučení.“ 

Zájem o konferenci s každým rokem roste, což pro organizátory znamená hledání většího prostoru. Za cíl na příští rok si kladou doplnit akci také o doprovodný program, který by prožitek zpestřil. 

Letos si to již ozkoušeli například na programu odemykání zámků: „Chceme, aby člověk vždycky viděl, k čemu to vede. Když vím, že si odemknu zámek a podařilo se mi to bez klíče, tak si uvědomím, že to jde i u mě doma nebo ve firmě.“ popisuje Jan Marek. 

Co pro z hlediska kyberbezpečnosti znamenal incident bezpečnostní firmy CrowdStrike? A Čím se zapíše do dějin? Podívejte se na celý rozhovor. 

Zpět na začátek

Přepis rozhovoru Martina Ziky s Janem Markem

Martin Zika: Honzo, dobrý den, vítám vás tady. Děkuji, že jste si udělal čas na rozhovor pro portál BusinessInfo.cz.

Jan Marek: Dobrý den. Děkuji za pozvání.


MZ: Zeptám se vás: to, čemu se primárně věnujete, vy sám označujete za tzv. ofenzivní etický hacking a označujete se za etického hackera. Můžete nám vysvětlit, co to znamená? Chápu to tak, že jste člověk, který se snaží dostat do kyberprostoru firem a organizací, ale stojí na straně dobra, dělá to pro dobrou věc. Je to tak?

JM: Ano, přesně tak. My v rámci etického hackingu se snažíme co nejvíce, co nejvěrohodněji simulovat reálného útočníka. Oproti společnosti, která k tomu dala souhlas – v tom je to etické – a za nějakých stanovených pravidel má díky tomu společnost možnost ověřit, jak by si stála při reálném útoku, a to z technologického, procesního i lidského hlediska.

Určitě nejsme, řekněme, služba pro všechny, protože organizacím, které nejsou, řekněme, dostatečně zabezpečené, by náš test jen ukázal, že na tom nejsou dobře, což pravděpodobně vědí. Ale organizace, které na té bezpečnosti opravdu stojí a dbají na ni, si rády otestují, co by to znamenalo – a samozřejmě raději s námi než při reálném útoku, kdy se třeba nepodaří všechno zastavit.


MZ: Tahle otázka je trochu mimo ten rozhovor, ale mně to nedá se nezeptat. Ve chvíli, kdy tohle děláte, to znamená, že se pokoušíte dostat do kyberprostoru nějaké filmy, jaký je to pocit takové „moci“?

JM: Chápu. My už to v týmu děláme všichni – samozřejmě kromě nových členů, které průběžně najímáme nebo hledáme nové talenty. Všichni v týmu s tím mají nějakou zkušenost, takže pro nás je to už taková každodenní práce.

Z mého subjektivního pohledu v tom není žádné nadšení nebo vítězoslavné prohlášení na konci, když člověk dosáhne nějakého cíle. Je to spíše potvrzení, že jsme dokázali nasimulovat dostatečné množství kroků, aby si organizace mohla ověřit, zda je schopna útok odhalit nebo zastavit. Určitě to ale nevnímáme jako výhru nad kýmkoliv. Na začátku to možná bylo jiné, ale teď už to tak není.

Myslím, že jedním z důvodů, proč tam chybí jakási euforie, je i to, že těch zakázek je hodně a nedostatky firem se často opakují. V některých scénářích je to pak spíše smutné, že jsme se opět dokázali dostat dovnitř nebo že je to několikátá organizace, která byla určitým způsobem kompromitovatelná.


MZ: Když o tomhle mluvíte, dalo by se třeba říct něco, co se ve firmách opravdu vyskytuje hodně často?

JM: Těch věcí by bylo hodně a co mě teď hrozně rychle napadá, jsou přespříliš vysoká práva – ať už správců, uživatelů, nebo dodavatelů, často právě těch dodavatelů. Typické scénáře, které i útočníci využívají, jsou takové, že nějakým způsobem získají legitimní přihlašovací údaje třeba právě toho dodavatele. Legitimně přistoupí do společnosti, kde už mají nějaká vysoce privilegovaná oprávnění, a mohou tak páchat škodu nebo se šířit sítí.

To je velice častý nešvar, za který si organizace někdy mohou stoprocentně samy. Samozřejmě záleží případ od případu, ale někdy si za to mohou samy, ale dodavatel je k tomu dotlačí tím, že pokud nesplní určité požadavky, které on má, aby mohl v prostředí operovat, nemůže třeba garantovat SLA. Všichni chtějí primárně fungovat a hlavním účelem společnosti je poskytovat byznys nebo vytvářet zisk, takže cílem není nikdy nikoho do firmy nepustit. Cílem je, aby společnost fungovala, a tak si všichni jdou naproti a vznikají ústupky.


MZ: Jasně. Určitě bych se chtěl podrobně věnovat těm problémům, konkrétním možnostem řešení nebo jednotlivým opatřením, ale teď bych se na tu problematiku kyberbezpečnosti rád podíval trošku z širšího pohledu. Viděl jsem nějaké statistiky, ze kterých by se dalo s nadsázkou říct, že to možná české firmy až tolik netrápí – ale asi by mělo.

JM: Nejdřív bych asi zmínil nějaké statistiky. Různé zdroje uvádějí různá čísla, protože každý vychází z jiných informací – něco je založené na tom, co organizace samy odreportují jako incidenty, něco unikne do novin nebo tisku, něco se hlásí interními cestami, třeba v rámci vnitrostátních procesů. Takže ty statistiky se mohou výrazně lišit.

Když uvedu úplně jednoduchý příklad, který s počty přímo nesouvisí, ale před časem se objevilo číslo, že průměrně trvá 279 dnů, tedy skoro tři čtvrtě roku, než organizace odhalí útočníka v síti. To je číslo, které vzniklo už dávno, a přitom není jasné, kdo ho vlastně vymyslel a na základě čeho – kolik bylo hacknutých firem, jak velký byl vzorek a podobně. Ale to číslo se stále používá, omílá, a organizace nebo dodavatelé bezpečnosti ho často zmiňují. Říkají, že musíte dbát na větší opatrnost, protože útočník může zůstat v síti téměř tři čtvrtě roku nepovšimnut.

Realita je ale často úplně jiná – někdy to trvá hodiny, než je útočník objeven, někdy ho zastavíte hned na začátku, nebo se do druhého dne sám projeví. Takže ano, statistiky něco říkají a platí to nejen pro české organizace, ale celosvětově. Nemyslím si, že by Česká republika byla v tomhle nějak jiná.

Nechci na tom stavět, ale covid ukázal, že jsme schopni se chovat tak dynamicky, jak je potřeba. České firmy se chovaly podobně jako americké firmy: musely zajišťovat přístup uživatelům úplně stejně a tím pádem ty organizace fungují stejně, takže jsou stejným cílem pro toho útočníka.

U nás by to mohlo hrát nějakou roli, ale otázka je, který stát to nemá, že jsme nepřítelem nějaké země v tuhle chvíli. Myslím si, že ta země, Rusko, má prakticky všechny za nepřátele, kromě pár partnerů, takže to jsou zase nějaké vlivy. Podle mě hodně záleží na tom, jak se ta organizace chová na trhu, co na něm o sobě říká. Když bych to úplně jednoduše rozdělil – hrozně jednoduché rozdělení na dva typy útočníků: jedni, kteří jsou buď hacktivisti a dělají to čistě z přesvědčení, náboženství nebo čehokoliv jiného, a pak druzí, kteří jdou po zisku. Samozřejmě hacktivisti půjdou za nějakým cílem a ti, co jdou po zisku, zase za jiným cílem.

A pokud firma tvrdí, že je na tom s bezpečností velice dobře, ale zároveň někde na svých stránkách, třeba v sekci Kariéra, uvede, že hledá správce pro Windows 2000, tak útočník si rychle spojí, že to může být dobrý cíl. Taková informace naznačuje, že IT infrastruktura je možná zanedbaná nebo zastaralá, a to jsou pak ty vhodné cíle pro útočníky.


MZ: Takže oni si takhle spojují informace?

JM: Pokud jde o cílenou hrozbu a útočník v tom vidí dostatečný zisk – ať už peněžní nebo jiný – tak si dá ten „domácí úkol“, věnuje tomu čas a rozhodně se na to připraví. A teď se nebavíme o státem organizovaných skupinách, ale o běžných skupinách, klidně i o jednom či dvou lidech, kteří si tu práci s tím dají.

Ale abych na někoho nezapomněl, pořád se všichni musíme obávat, protože stále existují skupiny nebo jednotlivci, kteří provádějí ty plošné nálety. Objeví se nová zranitelnost, všude se o ní na internetu mluví. I útočník, který by byl úplný hlupák nebo si nedělal žádnou přípravu, ji zachytí a zkusí po internetu najít firmy, které tu zranitelnost mají, a zneužije ji. Není to nic extrémně složitého to udělat.


MZ: To se dá jednoduše zjistit?

JM: Záleží na tom, jestli jde o zranitelnost, která je publikovaná na internetu, nebo o tu, která je jen ve vnitřní síti, ale útočník už má nějaký smysl. Protože zranitelnosti se objevují neustále – každý den nějaké nové, někdy větší, někdy menší – pořád má někdo dostatečný náboj na to, aby mohl plošně útočit na různé organizace.

Mimochodem, když už jsem do toho zabrousil, historicky byly i případy, některé popsané v tisku, kdy útočníci kompromitovali firmu a až po průniku zjistili, kde jsou, a uvědomili si, že tam ani být nechtějí, tak se odpojili. Při následné analýze útoku se pak zjistilo, že útočník nedělal žádné další kroky, i když měl možnost pokračovat. Takové scénáře se také stávají. Myslím, si že i…


MZ: A co třeba může být tím důvodem?

JM: Ačkoliv se to zdá být zvláštní, tak některé větší skupiny dbají na nějakou svojí reputaci. Takže některé skupiny, které, řekněme, nejsou tak nehumánní, tak zjistí, že jsou v nemocnici a jejich cílem ta nemocnice nebyla, tak na tom útoku přestanou pracovat.

Dalším důvodem může být třeba situace, kdy se ruský hacker dostane do nějaké organizace a zjistí, že se jedná o ruskou firmu. I když se třeba nebojí nikoho za hranicemi, ruské KGB se obává, takže chce co nejrychleji pryč.


MZ: To je pochopitelné. Nicméně, k čemu jsem se chtěl dostat, je otázka, jestli lze vůbec klasifikovat, jak velké to riziko je. Zdá se, že je velké, podle toho, co říkáte, protože v médiích často čteme, že hackerství dnes funguje jako výdělečný byznys. Takže shrnutí by mohlo být, že opravdu každá firma a každá organizace by o tom měla přemýšlet.

JM: Určitě, a není to tak těžké udělat. Neříkám, že je to jednoduchý proces, ale rozhodně to není nereálné. Pokud organizace ví, co je jádrem jejího byznysu, na čem stojí poskytování jejích služeb a zisk, je schopná to popsat. Dokáže navázat byznysové parametry na konkrétní poskytované služby, tyto služby na konkrétní týmy, například v IT, na technologie, které používají, nebo třeba na poskytovatele služeb, jako jsou cloudoví provideři. Tím pádem lze propojit byznys s konkrétními oblastmi a pak se podívat, co by se stalo, kdyby jedna z těchto věcí přestala fungovat na jeden den. A je jedno, jestli by šlo o úmyslný útok, provozní problém, výpadek elektřiny nebo jinou katastrofu.

Na základě toho je možné vypočítat klasickou kontinuitu systému, ale z pohledu hackerských útoků se můžeme na situaci podívat i tak, že nám nehrozí tisíc věcí, ale konkrétní rizika vzhledem k sektoru, ve kterém působíme a typicky na nás budou asi útočit takoví útočníci. Teď už lehce odbočím.

Určité skupiny hackerů se zaměřují na specifické typy organizací. Navíc mají postupy, což může působit zvláštně, ale je to tak. Představte si to, jako kdyby měli kuchařku. Když se hacker dostane do firmy, postupuje podle kroků A, B, C, D. V těch týmech jsou často i nezkušení hackeři, kteří jen slepě následují dané kroky – a pokud jim jeden krok selže, neví, co mají dál dělat. Takže jako organizace v určitém sektoru, třeba farmacie, vím, že na mě útočí konkrétní skupiny a provádějí určité operace.

To je zdokumentované – bezpečnostní firmy po světě vydávají pravidelně zprávy, aspoň jednou ročně, kde shrnují typické útoky. Mohu si tedy říct, že bych se měl zaměřit na obranu proti těmto typům útoků, například phishing, zranitelnosti v infrastruktuře a podobně. Když toto vím, tak mohu pak spolupracovat s odborníkem, protože typicky nemám v organizaci experty na kybernetickou bezpečnost v nejvyšší úrovni. Pozvu někoho zvenčí a zeptám se, jak efektivní by útočník byl, pokud by zneužil konkrétní zranitelnosti – třeba s 10procentní úspěšností, ale státem sponzorovaný útočník by mohl být efektivní na 90 procent. A kdyby k útoku došlo, jaký by byl dopad? Možná by ovlivnil systém z 80 procent, a toto mi pak někdo pomůže vyhodnotit.

Typicky nějaký riskař a vevnitř ve firmě zase přidají druhou část skládanky a řeknou: „Pokud by tento systém z 80 procent nefungoval, tak během hodiny přijdeme o 54 miliard.“ Takže najednou je možné velice přesně kvantifikovat riziko pomocí kvantitativní analýzy – máme někoho v síti, představíme si, co by mohl způsobit, a vypočítáme, kolik by nás to stálo.

To je mimochodem velmi užitečné i pro diskuse o rozpočtu, aby bylo jasné, kolik peněz vložit do bezpečnostních opatření a zajistit tak úměrnou obranu.


MZ: To je zajímavé, podívat se na to trochu zvenku. 

JM: Určitě.

Už jste slyšeli první díl rozhovoru portálu BusinessInfo.cz s Janem Staňkem a Radomírem Němečkem? Pokud ne, měli byste to rychle napravit. Mimo jiné se v něm totiž dozvíte, že podle našich hostů budou elektromobily už za několik let výrazně dominovat globálním prodejům nových aut. Také, že čínští výrobci mají takový náskok, že to v příštích letech způsobí doslova zemětřesení v evropském automotive, nebo že se po roce 2035 už spalovací auta vyrábět nebudou.

MZ: Co teda z vašeho pohledu organizace dělají nejčastěji špatně, když plánují nějaké projekty pro zvýšení odolnosti?

JM: Za prvé se často zaměřují na špatné oblasti, a to mnohdy proto, že reagují na to, co se říká na trhu, co je v tisku nebo o čem se hodně mluví na sociálních sítích. Druhý důvod je ten, že se věnují tomu, čemu rozumějí lidé, kteří jsou v týmu právě dnes – a to je velmi častý problém.

Dnes máme nedostatek lidí, a to nejen v IT a Cyber Security, ale obecně všude, musíme robotizovat. Menší firma má třeba tři ajťáky, z toho dva jsou nejsilnější v sítích a jen jeden se trochu vyzná v cloudu. Všichni se starají o identity, mailové servery a podobně, ale spíše proto, že musí, než že by tomu opravdu rozuměli.

Když za nimi přijde bezpečák (protože takové firmy obvykle nemají velké bezpečnostní týmy) a ptá se, kde vidí největší problémy, vytáhnou to, v čem jsou nejsilnější a co dobře znají, protože tam hrozby nejvíc vnímají. To pak vstoupí do rozpočtu a nastaví priority – což nemusí být špatně, ale ostatní oblasti, které byly na úrovni trojky v základní škole, jdou okamžitě na pětku.

I když si firma uvědomí, že se jí to možná děje, je těžké s tím něco udělat. Potřebují odborníka, který by měl hluboké znalosti dalších systémů a mohl poskytnout další pohled.


MZ: Omlouvám se, že vám skáču do řeči, ale jak se tomu tedy vyhnout? To znamená, že je potřeba požádat nějakého experta, který má komplexní pohled?

JM: Jako první věc bych to hlídal, nemyslím špatně, ale z pohledu HR třeba se ptát těch lidí: „Máme tady 54 aplikací nebo systému služeb a umíte všech 54, tak jak si představujeme z oblasti provozu, IT, bezpečnosti atd. atd.?“

Ať ti lidé upřímně řeknou, že to neumí, a firma může přijít a říct: „Dobře, tak teď to víme, a to je obrovská výhra.“ Za prvé to víme. Pak můžou přijít a říct: „Dobře, můžeme vám nabídnout školení, jste schopni se to naučit, máte dost času, kapacitu?“ Protože nemůžeme všichni dělat všechno, ani kdybychom na to měli čas.

Anebo to můžeme outsourcovat nějakému externímu dodavateli, který se tomu nemusí věnovat denně, ale jednou za tři měsíce se na to podívá. Nemusí to být ani bezpečnostní firma, pokud nechceme vyloženě jít do toho Security pohledu. Myslím si, že dneska každý, kdo se věnuje IT, by měl mít Security jako součást své práce. V každém produktu, v každé službě, i když to s IT přímo nesouvisí, by měla být nějaká úroveň kybernetické bezpečnosti.

I ty staré raketoplány, které měly ve své době extrémně jednoduché počítače, měly kybernetickou bezpečnost řešenou na vysoké úrovni, aby nikdo nemohl ovlivnit misi a podobně. To je podle mě obrovská věc, díky které se organizace mohou relativně daleko posunout.

Klíčový bod, který často zjišťuji, je v mnoha firmách ta upřímnost. A když to vezmu možná trochu filozoficky, buď se lidé bojí přiznat, že něco neumí, protože by to mohlo vypadat, že jsou nekompetentní, nemají dostatečné mzdy, nebo se bojí, že by mohli dostat výpověď. Na druhé straně je management, který se často nechce ptát, protože nechce slyšet odpovědi, které se mu nehodí.

Manažer – neříkám, že všichni, ale pro mnoho manažerů je nepříjemné, když tým otevřeně řekne, že je situace špatná, zítra nás hacknou a končíme. Manažer pak musí tento problém reportovat dál, až k majiteli, který možná ani nechce vědět o existujícím riziku, protože by ho to nutilo jednat. Je to zkrátka někdy složité.

Myslím si, že když si to uskupení lidí v té firmě dokáže věřit, nebojí se a mohou být mezi sebou upřímní, tak i kdyby nikdo zásadně technicky nevěděl, co s tím dělat, jsou schopni ty problémy ukázat a rozklíčovat, řekněme, selským rozumem – třeba i ve stylu, že na to někoho seženou.


MZ: Jasně. Kdybychom se na chvíli zaměřili na konkrétní opatření, ta, která jsou z vašeho pohledu opravdu zásadní, co byste zmínil? Takové ty věci, které asi napadnou každého, jako jsou silná hesla, antivir, aktualizace softwaru a podobně.

JM: Jsou určitá témata, která lidem přijdou, že jsou ohraná. Nám už také, ale pořád se nedodržují. Například, jak jste zmínil, silná hesla. Myslím si, že už si všichni uvědomujeme, i nejenom ve firmě, ale i doma a v soukromých službách, které používáme, že by bylo dobré mít dlouhé heslo. Už jsme třeba i zvyklí používat multifaktor, protože banky nás k tomu donutily, naučily nás to. Takže to nám taky nevadí, ale už se nejde o krok dál.

To znamená, ano, mám třeba 20znakové heslo, ale to heslo je třeba „zářízářízáří2024“. To je 16 znaků, a pokud dáte velké Z, máte dokonce komplexní heslo – obsahuje velká a malá písmena, číslice, a na mnoha systémech by bylo považováno za relativně silné. Ale přitom je to úplně slovníkové heslo.

Nevím, jak moc je to známé, ale v našich kruzích kolují různé fámy typu „tohle už se dneska neděje.“ My ale i při velkých zakázkách nebo týmových cvičeních pořád úspěšně kompromitujeme společnosti s takto skládanými hesly. Takže to je problém. A není to tím, že by uživatel to dělal úmyslně – on splnil parametry, které mu někdo zadal. Ale ten +1 krok, proč to heslo má být silné a proč nestačí, aby bylo jen dlouhé, pokud je složené ze slov, tam prostě chybí.

Multifaktor jsme zvyklí používat – přihlašujeme se, potvrdíme na telefonu. Ale co když nám to vyskočí třeba v tramvaji? Co máme dělat? Hodně lidí má nastavené, že když něco nefunguje a vědí, že třeba mají zapnutý desktop ve firmě, tak si řeknou: „Já teď sice neověřuji, protože nejsem v práci, ale to se asi děje automaticky každou hodinu, tak to potvrdím.“ Ale ve skutečnosti to mohl být útočník, kterému jsme právě schválili přístup přes multifaktor.

A pak jsou tu další konkrétní dvě věci – třeba patch management, aktualizace systému. Přijde mi, že když ve firmě zmíníme aktualizace, všichni se začnou ošívat. „To přece nemyslíte vážně! Zaplatili jsme vám peníze a vy nám řeknete, že máme patchovat?“ Ano, protože to prostě neděláte.

Mohli bychom se bavit o tom, jak rychlé by ty aktualizace měly být, a o obavách ze špatných updatů – to je zase jiná diskuze. Ale pak jsou tu další záležitosti, třeba bezpečnostní pravidla. Pouštím si do firmy nějaké osoby, dodavatele, na které nevztahuji žádná pravidla nebo je nehlídám. To je také velký problém, jak už jsem zmínil.

A pak si myslím, že v dnešní době je pořád velice častý problém phishing – vstup skrze uživatele. 

S tím se dá bojovat mnoha různými způsoby, ale je potřeba si to nejdřív připustit. Je potřeba vědět, že se to stane – stačí, když jeden člověk z 5000 ve velké firmě udělá chybu, a stane se to. Musíme být schopni na to reagovat a nemůžeme počítat s tím, že 100 procentně opatření vyjde.

Za mě je určitě důležitá věc, a taky jeden z nejčastějších problémů, které nacházíme při testech. Organizace nasazují aplikace, ve kterých jsou chyby. Vývojáři v dnešní době dělají vše s dobrým úmyslem, aby to všechno fungovalo. Ale firma si ani neudělá základní ověření bezpečnosti. A přitom na to ani nepotřebuje externího dodavatele. Když si najdou nějaký checklist na Googlu, můžou si sami zkontrolovat, jestli ta aplikace nemá třeba špatná práva na disku nebo jiné základní problémy. Mnoho věcí by si mohli najít sami.

My jsme vždycky pro, aby kybernetická bezpečnost nestála moc, protože jednak nás je málo – lidí, kteří můžou firmám pomáhat – a jednak mají firmy omezené rozpočty. Je proto vhodné, aby si dokázaly pomoct samy.

A pak mě napadla ještě jedna věc, a to je odolnost organizací proti útokům z internetu, což je velké téma. Typicky jde o různé DDoS útoky, což je podle mě i v Čechách dost známé. Často se o tom píše v tisku nebo na sociálních sítích – že nějaká firma neběží, protože jí nejde web.

Možná to na první pohled vypadá jako banalita, ale pokud je hlavní byznys založený na prodeji třeba lístků, tak když hodinu nejede web, je to velký problém. Na Vánoce, v době dárků, je to ještě větší problém. Ty dopady jsou obrovské. A přitom se to dá řešit technologickými opatřeními. Je ale potřeba se nad tím zamyslet a říct si: „OK, nebudu ten web publikovat přímo na internetu. Nasadím technologie, které mě budou chránit proti těmto typům útoků – anti DDoS systémy, bezpečnostní vrstvy předřazené těmto systémům a podobně.“ Tímto způsobem jsem schopen tomu pomoci.


MZ: My si možná připomeňme, co to jsou ty DDoS útoky.

JM: DDoS znamená Distributed Denial of Service, tedy útok, kdy se zatíží nějaká služba, nejčastěji webové stránky, e-shopy a podobně – zkrátka to, co je dostupné na internetu. Principem je, že se na službu pošle obrovské množství legitimně vypadajících požadavků. Z pohledu aplikace se to chová, jako by ji normálně využívali zákazníci. Akorát místo běžných tisíc přístupů jich přijde třeba 74 miliard, což systém neustojí a začne reagovat, nefunguje atd.

Tyto útoky mimochodem způsobují i větší dopady než jen to, že nejede e-shop nebo webová stránka. Protože systémy bývají na něco navázané, aplikace, která je naprogramovaná určitým způsobem, může způsobit selhání dalších systémů v síti nebo dokonce celé infrastruktury organizace.

A to se nám i reálně stává, když realizujeme simulované DDoS útoky. Organizace s námi sice musí podepsat různé dokumenty, souhlasy s testováním a podobně, ale my nemůžeme převzít riziko na sebe. Prostě nevíme, jak ta síť vypadá, jak je v dobrém nebo špatném stavu, a může se stát, že během testování tu síť úplně položíme – i když cílíme jen na nějaký e-shop z internetu. Ty dopady mohou být v tomto různé.


MZ: Důležitá věc je zálohování dat a pak i příprava na obnovu po nějakém případném útoku.

JM: To je velké téma, které si myslím, že by v roce 2024 měly mít firmy vyřešené, ale často nemají. A teď ne, že by neměly vůbec, ale spíš neví, co všechno ten útočník může napáchat. Dám jednoduchý příklad: mám zálohu systému a tu zálohu uložím přímo na ten systém, který zálohuji. Logicky, když útočník tento systém kompromituje, dostane se i k těm zálohám.

Pokud s tím systémem něco udělá, nemáme zálohy. Dobře, tak ty zálohy dáváme někam jinam, na jinou část sítě. Ale pokud útočník dokáže provést tzv. laterální pohyb – to znamená, že se pohybuje sítí z jedné části do druhé – může se dostat i k místu, kde ty zálohy jsou uložené.

A protože, jak jste zmínil, hackerství je byznys, vezměme si, že v tomto případě jde o ransomware. Hackerská skupina chce data zašifrovat a získat výkupné. Ale pokud nezajistí, že smaže zálohy, výkupné pravděpodobně nikdo nezaplatí, protože organizace prostě obnoví data ze záloh. Samozřejmě pokud pomineme riziko, že data uniknou během útoku.

Takže útočníci to za sebou čistí. Dobře, tak organizace jdou dál. A to je, že tu zálohu dají někam pryč. I kdyby ji dal jednoduše na externí USB disk a ten si kdokoliv, majitel, odnesl domů a dal ho do šuplíku. Když to zjednoduším – ano, mělo by to být šifrované, ne takhle nezabezpečené – ale když to hodně zjednoduším, je to stále lepší, než když je to v té firmě. Je to offline, ten útočník na to nemůže, v uvozovkách. Ale zase to můžou být scénáře typu, že jsou to nějaké páskové mechaniky, ta záloha tam je obrovskou dobu, je to levné úložiště, vejde se tam toho hodně, moc velká historie a podobně.

Nebo v dnešní době – nejenom v dnešní době, už delší dobu – je moderní mít zálohy někde v cloudu. Je to mimo, také je to v uvozovkách offline, je to mimo moji síť, za jiným způsobem ověřování a podobně, ale firmy si často nedokáží vyzkoušet – což je ten nedostatek – že nedělají tu pravidelnou obnovu, takovou tu zkušební. Oni si nikdy nevyzkouší, jak dlouho trvá to obnovit.

Takže my třeba, když jednou za čas – neděláme to moc často – jedeme pomáhat napadeným firmám, děláme forenzní analýzy a pomáháme jim dohledat toho útočníka, co se tam stalo, tak oni řeknou: „Hele dobře, pojďme to řešit, máme to špatné, ale máme zálohy na všechno, jdeme obnovovat. Za pár hodin to jede.“ Přijdeme za čtyři dny – a ještě pořád se obnovuje. Protože nikdo nikdy nezkusil, že když se to obnovuje z těch pásek nebo z cloudu, tak ten download přes internet trvá nějakou dobu, ty služby mají nějaká omezení a prostě to trvá.

A pak management logicky chodí a říká: „Co je technicky špatně?“ No, všechno je technicky správně, jenom to trvá delší dobu. Jenže ta delší doba, neříkám, že pro všechny, ale pro mnoho firem, znamená čas a čas jsou peníze, takže to má zásadní dopad.


MZ: Aby ta obnova po té havárii vůbec mohla proběhnout, je kromě toho, že ta firma má zálohovaná data, potřeba myslet dopředu ještě na něco?

JM: Aby ta záloha mohla proběhnout? No, musí ji být kam obnovovat. To je první věc. Když je to taková ta typická provozní chyba, to znamená systémy selžou, není to hackerský útok, tak se může obnovovat do původního prostředí. Ale pokud vím, že ta firma, organizace, nebo ta síť je nějakým způsobem kompromitovaná a je možné, že se tam ten útočník ještě aktuálně pohybuje, tak ve chvíli, kdy budu obnovovat část těch systémů, tak ten útočník to zase uvidí a zase je bude dál kompromitovat. Takže v tu chvíli samozřejmě se musí stavět nějaká, řekněme, duplicitní infrastruktura, ať už třeba omezená nebo celková, do které se ta obnova dělá.

Infrastruktura musí být úplně izolovaná, aby ten útočník, pokud se pohybuje v té původní, tak tam nemohl přeskočit. To už znamená velké náklady, servery nebo nějaké cloudové prostředky a podobně. Ale v dnešní době cloudu se to dá koupit. Už to není tak nereálné, jako když byste dříve, před 20 lety volali někomu a říkali, potřebuji 170 TB serverů v paměti. Tak vám řekne: „To tady ani nemám, to se musí dovést z Číny lodí.“ Ale dneska to koupíte v cloudu. Dá se to zaplatit, bude to stát peníze, ale aspoň je to možné.


MZ: Co otázka outsourcingu bezpečnostních služeb. Jak se na to díváte?

JM: Jsou takové dva aspekty. Někde to podle mě nejde jinak a nedává smysl, aby to bylo řešeno interně. Vysvětlím za chvilku, a někde jsou samozřejmě oblasti, ve které je jedno, kdo to může dělat.

Nevěřím na variantu typu: insourcuji i outsourcuji jednu oblast, protože pak mi to přijde jako dva kohouti. Nikdo neví, za co je zodpovědný. Interní člověk se snaží nějak dohnat zodpovědnost za dodavatele nebo obráceně, to si myslím, že nefunguje. Je potřeba to hlavně rozdělit.

Začnu těmi, co jsou typicky outsourcované. Věci typu: aplikace, mi poskytuje někdo jiný, úložiště, cloud, to je taky outsourcing, infrastruktura tam celá běží. Ale pak můžeme jít dál, máme tady nějaké experty: třeba jsem výrobní firma, mám nějaké roboty, které musí někdo servisovat, takže jednak tam běží nějaký systém, kterému nerozumíme, je to nějaký proprietární systém toho výrobce, takže jednak ho musí někdo spravovat, někdo tam musí chodit fyzicky atd. Tam to samozřejmě smysl dává.

V tu chvíli, ale musím zásadně dbát na bezpečnost tzv. dodavatelského řetězce. Musím si být vědom toho, kdo mi tam přistupuje, jakou kontrolovanou formou, vybrat si správně toho dodavatele a být schopen auditovat veškeré jeho činnosti, stejně tak jako mimochodem své interní lidi. Auditovat všechno, abych věděl, co se kdy stalo. Ale tady to dává smysl. Nemyslím si, že to je špatně. Myslím si, že jenom v dnešní době často firmy ten outsource berou jako něco, co je správně, že funguje jinak než ti interní lidé, což je úplně nesmyslná věc.

Dám jednoduchý příklad, na kterém to vždycky vysvětluji. Hledám člověka, najmu ajťáka. Přijde mi první den do práce. Já mu odevzdám administrátorská práva od celé firmy a nechám ho dělat práci. I kdyby to nebyl záškodník, tak třeba něco pokazí nebo něco nezná, dobře. Tohle moc firmám nepřijde normální, i vy jste se pousmál nad tím, ale najmout si dodavatele, podepsat s ním všechny smlouvy, což za nás je to cár papíru a ten dodavatel prostě získá tu samou věc, ta práva a typicky ještě navíc k nejvíce kritickým systémům, protože typicky se outsourcují ty zásadní věci, tak to už normální těm firmám nepřijde. Nevím, proč to tak je, asi je to nějaká historie anebo je to přespříliš vysoký tlak, který ty firmy jsou ochotné akceptovat ze strany dodavatelů, což je špatně.

A jenom abych mimochodem nezapomněl na ty věci, které si myslím, že je nutné outsourcovat, tak ne, že bych si chtěl nějak přihřívat vlastní kašičku, ale opravdu pořádné otestování nějaké digitální odolnosti té organizace simulací, třeba těch testů těch hackerů, nemůže dělat interní člověk. Teď to nemyslím nějak špatně, ale on tu firmu zná, bude si pomáhat tím know how. Musíme to simulovat tak, aby ten útočník to dělal stejně.

Mimochodem samotná Dora, která vychází v platnost, myslím, v lednu, tak je postavená technickou realizací těch testů…


MZ: Zase pojďme si připomenout.

JM: Dora je nařízení, které se bude aplikovat na finanční instituce a které popisuje úroveň digitální odolnosti těch organizací. Dora specifikuje nějaké různé oblasti, myslím, že jich je pět, ale nejsem úplně complience člověk, jedna z těch oblastí je to ofenzívní testování.

Dora je taková high level věc, která se v sobě odkazuje v rámci té realizace. To znamená, jak se to má dělat, jak ti penetrační testeři nebo etičtí hackeři jako my, máme testovat tu organizaci. Ona se odkazuje na jiný framework, který taky stvořila Evropská unie, který se jmenuje Tiber. A to je, co jsem chtěl zmínit. Dora úplně ne, ale přímo framework Tiber říká, že testovat musí externí organizace. Prostě musí, jinak to nemá vůbec žádný efekt.

Ale určitě takových věcí bychom našli více, které ze své podstaty nedává smysl, aby dělali interní lidé. Například performační testy webů. Když to bude dělat vývojář, který vyvinul ten web, tak to udělá nějak. I kdyby si to neuvědomoval, tak podprahově ten test může udělat tak, aby to vyšlo, i kdyby nechtěl tomu nějak ublížit.

Zároveň třeba typicky může nastat situace, kdy otestuje, řekněme třeba nějaké části sítě, kde se ta chyba neprojeví, ale zase někdo, kdo přijde… Jde o to, že část téhle výhody těch outsourcovaných věcí je v tom, že tam přichází člověk, který má nějaký out of box thinking: není svázaný tím systémem, nezná tu firmu, neví, jak funguje, a dokonce se nebojí těch kolegů, protože je nezná, jsou to cizí lidé.

To jsem také občas zachytil, že někteří zaměstnanci se bojí něco někomu říct, otestovat, protože se bojí reakce kolegy, kterého zase budou potkávat každý den v práci. Ale když tam přijede externě, splní zakázku, jde pryč, ne, že bychom chtěli za sebou pálit mosty a každého naštvat, ale jdeme do toho s jiným mindsetem.


MZ: Dalo by se třeba říct, zmínit nějaké kroky, body, jak poznat tedy toho dobrého dodavatele těchto služeb, jak ho vybrat?

JM: Já asi dokážu…

MZ: Protože když jsme se domluvili na rozhovor, tak vy jste mi psal nějaký mail, kde jste zmiňoval pojmy, jako je třeba sken zranitelnosti, registrační testování, …

JM: Rozumím. Když se budeme věnovat tomu outsourcingu těchto ofenzívních služeb, za které já můžu mluvit, tak podle mě velice často v dnešní době je to velký problém trhu. Nejenom českého, nechci říct, že to je místní problém, je to nějaký široký problém. Organizace jsou nucené, ať už nějakými regulacemi nebo trendem nebo jak to nazvat, třeba realizovat to penetrační testování nebo nějaké formy testování assessmentů, kontroly, hodnocení stavu toho prostředí, ale neví, co to je. Nikdy to nedělali, takže může přijít kdokoliv, říct, že takhle se to normálně dělá a oni tomu logicky uvěří.

Mně, když domů přijde také nějaký kdokoliv na cokoliv, tak já nemám know how. Nedokážu, jestli to dělá špatně. Můžu to zjistit až možná retrospektivně v čase, že nefunguje ta věc tak, jak by měla, ale jinak ne. A to je mimochodem problém u té Cyber Security v téhle oblasti, že když vám někdo tu službu takhle, řekněme, nekvalitně dodá, někdy na to přijdete, že je nekvalitní. Přijdete na to tak, že vás hacknou za rok.

Nebo možná přijde nějaká jiná firma, za rok budete opakovat ten test a řekne: „My jsme teď našli tohle.“ A vy řeknete jako organizace „no, ale minulý rok se to vůbec nenašlo.“ A teď, co to ale znamená? Ono to nemusí nutně znamenat, že předchozí firma, která to realizovala před rokem, to udělala špatně. Možná to prostředí se změnilo v čase. Možná se chovají jinak ti uživatelé. Tam může být milion důvodů, ale je to tak složitá věc pro uchopení.

Teď to, co jsem zmiňoval, nějaké termíny. Nejčastější věci, které řešíme jsou skeny zranitelností, penetrační testy a potom něco, čemu se dlouhodobě říká red teaming. V Doře a v Nisu a podobně se to jmenuje penetrační testování formou hrozeb. To znamená, dělá se to na základě simulace nějaké konkrétní hrozby. A to jsou věci, které si ty organizace zaměňují. Doufám, že ve většině případech neúmyslně.

To znamená, jenom ať to popíšu, sken zranitelností je ve většině případů automatizovaný proces. Nějakým nástrojem se ta organizace oskenuje, zjistí se, jaké jsou tam zranitelnosti, ale už se nekontroluje, jestli by se daly zneužít reálně. Jenom se automatem na základě různých signatur, odpovědí těch systémů, řekne, je tam ten problém. Samozřejmě nejčastější odpovědí na ten problém je, aktualizujte. Pak je ten penetrační test, který v uvozovkách udělá podobnou věc, ale manuálně najde tu zranitelnost, a pak se jí pokusí takzvaně zneužít, exploitovat. Ten tester řekne, našel jsem to, dokonce jsem to zkusil zneužít a potvrzuji, že to šlo zneužít. To znamená, je to potvrzená zranitelnost a musí se řešit.

Tady se může typicky jít do nějakého většího detailu. Ale penetrační testy mají nevýhodu v tom, že jsou většinou uzavřené na nějaký rozsah. Testujete webovou aplikaci, nebo testujete část sítě, ale netestujete toho reálného útočníka. Cílem reálného útočníka není dodat report, kde našel co nejvíce zranitelností. Jeho cílem je najít data, vykrást, zašifrovat firmu, a to jakýmkoliv způsobem. Pošle e-mail, někam dojde fyzicky, zapojí někam flashky, naimplantuje vám tady fakeovou kameru, která bude posílat WiFi do celého toho prostoru atd.

A to je to, čemu se věnuje ten reteaming, který by měl simulovat tu hrozbu. Tohle jsou věci, které organizace zaměňují, a jak říkám, doufám, že nejčastěji neúmyslně. Ale bohužel feedback od některých klientů, kteří to po nás žádají, tak nám přijde, že i úmyslně. Prostě chceme panetrační test, ale jenom to oskenujte, radši nikam nechoďte, ale nazvěte to penetračním testem.


MZ: A ta motivace je jaká?

JM: Protože někdo říká, že mají udělat penetrační test. A oni ať už nechtějí, aby se na něco přišlo, nebo ten pentrační test by byl třeba mnohem dražší než ten sken zranitelnosti, což je pravda, je to dražší věc, ale jsou tam různé aspekty, které jsou někdy úsměvné. Ale tohle je třeba věc, kterou my nikdy nikomu neuděláme, i kdyby nás platil zlatem.

Myslím si, že snad nikdo to takhle nedělá, že by na něco takového přistoupil, protože přece každá ta firma, ať už je to interní tým nebo externí tým testerů, tak je zatím podepsaný, za tím reportem. A jednou říká, že udělal penetrační test a tam zjistil, že nemáte opečovaných 24 serverů, tak to přece není penetrační test. Každý to ví.


MZ: Co jsem se vás zapomněl zeptat, když jsme se bavili o těch jednotlivých částech nebo opatřeních, tak určitě tam bude patřit nějaké školení zaměstnanců. Mluvil jste o phishingu, o těchto věcech, což se dá asi označit za sociální inženýrství do značné míry a také se často dá dočíst v médiích všude možně, že to je opravdu velký problém.

JM: Problém to je. Často se to zmiňuje v souvislosti s tím, že zaměstnanec, člověk, uživatel, nebo jak tu osobu chcete nazvat, je nejslabším kamenem v té společnosti, což za nás není vůbec pravda. Já si myslím, že jediné, co se dá skutečně říct, že je nej, tak je nejméně investovaným prvkem té organizace, do kterého se investuje. Protože když byste dneska vzal nějakou, řekněme, ne úplně malinkou firmu, středně velkou společnost a zeptal byste se: „Ukažte mi, do jakých bezpečnostních opatření investujete jaké peníze“, tak zjistíte, že tady se platí, teď řeknu nějaké částky, miliony za nějaké licence, hardware nebo desítky milionů, a pak tak sto, dvě stě tisíc se zaplatí za uživatelské školení.


MZ: Takže to školení je podceňované.

JM: Je to podceňované. Na druhou stranu retrospektivně po nějaké době, my už tohle téma otevíráme osm let, do toho není potřeba investovat. To je čistě náš subjektivní pocit, jenom chci říct. Ono to možná firmy uvidí různě, myslím dodavatelé nebo poskytovatelé těchto různých assessmentových a simulačních služeb. Ale dívejte, když vezmu firmu, kde je tisíc zaměstnanců a dám jim školení. Oni to mají jako jedno z několika školení za rok.

Typicky, jak to školení probíhá: je nejčastěji online. Dobře. I když není online, tak je ale osobně způsobem alá online. Někdo jde dál a dělá ho osobně a s formou, aby to bylo zajímavé, aby ti lidé tam nespali, aby se něco naučili. To je takový nový trend. Ale oni se spíš ti lidé více baví na tom školení, než že by se něco reálně dozvěděli, takže to také nefunguje. Ale i kdybychom vybrali nejlepší variantu z těch všech, což nechci hodnotit, která to je, tak pořád máte tisíc zaměstnanců, kterým něco jednosměrně předáte a máte mít ideálně stoprocentní možnost, že oni se poučí a nikdy nějakou operaci, kterou jsme jim ukázali, že by měli dělat, tak nebudou dělat? To se nestane. Takže nechci říkat, že to nemá smysl, jenom chci říct, že ano, dělejme to.

Dáváme těm lidem i, řekněme, nějaký, nechci to říct špatně, ale benefit, protože jim se bude hodit i kdekoliv jinde ta informace, že nemají klikat v emailech na nesmysly. Ale nemysleme si, že tady vyškolíme tisíc zaměstnanců a můžeme se vykašlat na bezpečnost koncových stanic nebo mobilních telefonů. Nebo, že to pro nás bude nějaký, jak bych to řekl, soud, obhajoba toho, že nás kompromitovali. Takové ty scénáře typu: „Hackli nás.“ „Proč?“ „Uživatel kliknul.“ „Aha, no tak s tím nikdo nic neuděláme, tak to si to zasloužíme.“ Nevím, jaká je ta myšlenka za tím, ale prostě takhle to není.

Ta investice tam určitě má být, ale chtěl jsem hlavně zmínit, že často se z těchhle školení, ať už jsou jakéhokoliv formátu, vynechává IT. Ještě častější je, že ho vynechává management. Znám pár manažerů různě vysoce postavených a když jsem se jich zeptal, kdy naposledy si procházeli nějakým takovým bezpečnostním školením, tak řekli: „Já to nedělám, za mě to dělá asistentka. Já na to nemám čas. Já mám mítinky a řeším byznys. Tady se nebudu učit tohle, já to stejně všechno znám. Kdybych to neznal, tak nemůžu dělat práci, kterou dělám.“


MZ: To asi není úplně v pořádku.

JM: To rozhodně není v pořádku. Ten člověk je úplně stejný, jako kdokoliv jiný. A pak je problém i v tom IT, které se z toho také vynechává. Zase nemají třeba kapacity, tak se jim to nějak uleví nebo cokoliv se s tím, nějak se to zastrčí do kouta. Ale tam je hrozně důležité spíš to vzdělávání upřít jiný způsobem.

Pokud se chceme bavit o vzdělávání v té společnosti, tak neříkám, že tohle obecné vzdělávání nedává smysl, ale musíme vzdělávat ty klíčové osoby v té organizaci. Takže kdybych měl organizaci a chtěl začít z té obranné části, tak přijdu a řeknu, kdo jsou ti klíčoví lidé. Ale klíčový člověk není jenom management. Klíčový člověk je paní, která schvaluje faktury nebo pán, který schvaluje faktury. A za ní půjdu a řeknu, tohle se ti může stát, takhle se to projevuje. Dám ti k tomu i video a kontakt na člověka.

On jednou za dva měsíce za tebou přijde, pobaví se s tebou, jak to jde. Bude se ptát: „Nepsal ti někdo, nevolal ti někdo, byly tam nějaké pokusy o to zneužití atd.“ Takhle to musí nějakým způsobem fungovat. Jinak podle mě ti lidé nemají šanci se toho udržet, protože i kdybyste posílali kohokoliv na jakékoliv školení, tak je tam nějaká doba toho, že cokoliv nepoužívám, tak zapomínám. A logicky, když na mě nikdo nevede útoky, což je dobře, tak zapomínám, jak se mám bránit. Přestávám poznat, co je špatně. A sofistikovanost útočníků je dneska vysoká.


MZ: Pak jsem chtěl s vámi probrat jednu věc, o které jsme se bavili před rozhovorem, a to bylo to, k čemu došlo letos v červenci. To byl ten incident CrowdStrike.

JM: Který se zapíše do kroniky.

MZ: Řekněte, o co vlastně šlo z vašeho pohledu a hlavně, co z toho vyplývá?

JM: Když to zjednodušeně popíšu, CrowdStrike je bezpečnostní firma, která kromě jiných věcí poskytuje platformu Falcon, což je tzv. EDR řešení, Endpoint Detection and Response. Když to extrémně zjednoduším pro všechny, je to extrémně chytrý antivir. Hodně jsem to zjednodušil, ale tak to je. Takže si dokážete představit, že je to velká společnost, etablovaná na různých trzích a poskytuje technologii, která je, řekněme, základní v dnešní době pro bezpečnost koncových zařízení nebo i serverů. Je logické, že velké množství organizací má toho jejich agenta.

Došlo k tomu, že CrowdStrike vydal chybnou aktualizaci, která, aniž bych popisoval jakékoliv technické detaily, způsobila, že na všech Windows systémech, které si tu aktualizaci stáhly, se 19. července mezi půl pátou a půl šestou ráno UTC času spustila modrá smrt. Systémy byly nedostupné a ta modrá smrt ne, že se stala jednou, ale byla kontinuální. Ten systém se nedokázal sám zotavit z té chyby.

Pokud to někdo nezažil, tak když si to zadáte do internetu, najdete různé obrázky, vtipné situace typu, že máte různé takové krásné kulaté panely na letištích, kde vidíte tu modrou smrt Windows. Ani vás nenapadlo, že tam běží Windows na těch systémech a tam všude to je. Ale když se vážně k tomu otočíme, tak tohle mělo, z čísel, která jsou veřejně známá, dopad na pravděpodobně 8,5 až 17 milionů zařízení celosvětově. Koncové stanice, servery, notebooky atd s Windows operačním systémem.

Bohužel to postihlo samozřejmě napříč světem ty organizace, CrowdStrike je výborná technologie, které do ní zainvestovaly a řekněme jsou na určité úrovni, že CrowdStrike mají, když to zjednoduším. Tím nechci shazovat nikoho, kdo CrowdStrike nemá, ale je to určitá kvalitní technologie. Samozřejmě organizace jako Delta Airlines, Emergency služby ve Spojených státech, nemocnice po celém světě, Austrálie byla extrémně zasažená třeba z pohledu hospital sektoru, tak tím trpěly. A dokážete si představit, jaké dopady to mělo.

Na letištích nelítala letadla. Myslím, že FAA v Americe donutilo přistát všechna letadla, protože se báli, co se děje. V určitou chvíli nikdo nevěděl, o co jde, takže to mělo velký dopad. Co se s tím dalo dělat bylo, že administrátoři museli udělat nějakou manuální akci na každém tom systému a tím ho zotavili, což je strašná práce.

Když vezmete, že to budou minuty práce, tak se bavíme o obrovském množství systému. Některé organizace mají 50 tisíc koncových stanic. A teď si vezměte, že to je modrá smrt. Tam nemůžete síťově přistoupit, ten systém nežije na síti. Vy tam musíte dojít, anebo máte uživatele, který je v nějaké lokalitě, kam nedojedete ani v nějaký čas, takže ho máte na telefonu. Teď mu vysvětlujete relativně sofistikovanou činnost, kterou on tam má do příkazové řádky napsat, aby zotavil ten systém, a ještě musí zadat nějaká hesla, aby se do toho systému přihlásil a podobně, takže to je velký problém.

Ale já teď zpětně, když nebudu hodnotit vůbec, jak se k tomu postavil CrowdStrike atd., tak vidím jednu věc, a to je, že organizace na to reagují dobře i špatně. Některé na to reagují špatně tím, že říkají, stalo se to, stane se to i v budoucnu. To je dobré myšlení, připravíme se na to. Dobře, připravíme se na to tak, že ty technologie nebudeme používat. Takže my tady vezmeme jeden ze stavebních kamenů bezpečnosti koncových zařízení, což jsou ty EDR technologie, to je opravdu důležitá věc pro moderní hrozby. Určitě.

Mimochodem, můžeme říct konkrétní příklad, Elon Musk to i tweetoval na Twitteru. Ten napsal: „Žádný rollback nemusíme dělat, protože jsme právě odinstalovali CrowdStrike senzory z celé organizace.“ Chápu tu prvotní reakci, ale říct si odinstaluji to a nepoužiji ani nic jiného, tak to je jako jednou mi upadlo kolo u auta, tak ho nevyměním a budu pořád jezdit bez něj. To nedává vůbec smysl. Takže to je záležitost, která je pro mě absurdní.

Některé organizace do toho jdou sofistikovaně a říkají: „Dobře, tak my na část infrastruktury dáváme EDR senzor od jednoho výrobce a na jinou část EDR senzor od druhého výrobce.“ Ale pak je tady chudák sekuriťák často v těch firmách, který nezvládá ani tu jednu technologii, má dvě rozdílné technologie, musí se naučit, jak fungují, musí se je naučit spravovat a jsou to Cyber Security technologie. On musí nějak vědět, jak se v nich pohybovat atd., takže to má zase velký dopad.

A pak je tady nějaký přesah, řekněme, společenský nebo jak to nazvat. Říct, že tím pádem nevěříme ničemu, protože tady přišel CrowdStrike a položil obrovské množství systémů, takže k čemu to všechno je? Kam to spěje? Má smysl, aby měli všichni Windows a už jdou ty organizace strašně za hranu. Ale stala se jednoduchá věc. Podle mě důležité, co je potřeba se z toho poučit, je být odolný na jakýkoliv problém. To je jedno, že ho způsobil CrowdStrike. Mohli mít ransomware. Mohlo to způsobit cokoliv jiného. Chyba správce mohla způsobit tu modrou smrt.

Dají se udělat akce, které vyvolají na systémech modrou smrt taky podobným způsobem. A já vím, že to bude znít hrozně špatně vůči těm, kteří si tím prošli. Dokážu si představit, jak hrozná situace to byla, ale omlouvám se, ale můžete si za to sami. Nebyli jste na to dost připravení a je jedno, že to způsobilo CrowdStrike. Jestli jste si nechali systémy položit takovým způsobem a extrémně vás to zasáhlo na delší dobu, tak stejně vaše odolnost není na dobré úrovni.


MZ: Takže není řešení tu věc přestat používat, ale začít pracovat na té odolnosti.

JM: Přesně tak. Myslím, že na každém špatném je něco dobrého. Myslím si, že je dobře, že se to stalo v takovém měřítku samozřejmě, protože si všichni uvědomili, že se to může stát komukoliv, v jednu chvíli a že na to všichni musí reagovat, a že musí vyřešit i takové základní věci typu: Potřebuji rychle ve firmě místo pěti ajťáků tři sta. Kde je vezmu? I kdyby to měly být ruce a nohy, tak neříkám je najmout dopředu, jenom říkám, představte si tu situaci. Mimochodem, tohle je třeba věc, kterou také s klienty děláme, říká se tomu tabletop cvičení, kde jenom se o tom bavíme, jenom si říkáme, může se to stát.

A je to dobré, když tam je zase někdo, ať už interně nebo externě, kdo se věnuje téhle oblasti, protože ten management řekne: „Nám se to nestane“, ale ten druhý člověk trvá na svém a řekne: „Stane“. Pojďme se dostat od toho, že se to nestane, k tomu se to stane a pojďme se bavit o tom, co budeme dělat. A to zase je velký problém, který často ty firmy nemají, zase se to projevilo.

Já si nemyslím, že bychom objevili díky tomu něco, co jsme nikdo nevěděli. Já si myslím, že se projevily zase nedostatky. Během covidu se projevily nedostatky, zase se projevily nějaké nedostatky. Budeme s tím pracovat, ale nějak konstruktivně si myslím.


MZ: Honzo, ještě poslední věc, kterou jsem chtěl s vámi probrat, a to je, že vy několik let organizujete akci, která se jmenuje Cyber Days. Nedávno proběhl poslední ročník, tedy ne poslední, letošní ročník.

JM: Poslední pro tento rok.

MZ: Poslední pro tento rok. Přesně tak, děkuji. Dalo by se třeba říct, jestli tam byla nějaká jednotící témata, o kterých se teď diskutuje?

JM: Chápu. Mohla by být, kdybychom chtěli. My máme ten formát naší konference, která se tedy koná každý rok v září a příští rok se zase bude konat, počítáme s tím.

MZ: Takže to nebyl poslední ročník.

JM: Nebyl, příští rok zase a zase v září to určitě uděláme. Naše konference je postavená na tom, že tam chceme mít diverzitu těch témat. Nechtěli jsme, abychom vždycky každý rok sledovali nějaký trend a nechtěli jsme, aby ta konference byla zaměřená čistě z nějakého pohledu typu: je to nuda. Konferenci máme hodně nabitou.

Máme program od osmi do osmi do večera a když tam uslyšíte za sebou deset přednášek na stejné téma, tak vás to omrzí a oni i ti řečníci se začnou překrývat. Takže takové téma tam nebylo, ale určitě jsme pokryli věci, které jsou stálice alá testování právě třeba odolnosti. Pokrývali jsme věci, které jsou starší témata, ale dneska je nikdo nepokrývá, třeba používání IPv6 protokolů ve firmách, což by mělo být standardem, ale nikdo neví, jak to pořádně funguje, nebo hodně firem to neví. Ale šli jsme i po aktuálních věcech.

Například já jsem měl přednášku právě o CrowdStrike incidentu, kdy jsme šli do detailů technicky, jak to zafungovalo, protože okolo toho bylo velké množství fám a kolega Dan Hejda měl přednášku třeba na Deep Fakes a vůbec tento problém v dnešní době. Vždycky se snažíme, aby ty přednášky rozkrývaly to téma do hloubky, aby tam nezůstávaly nějaké otevřené body typu: „Aha, vy o tom mluvíte, ale to se udělat nedá.“ Takže my se vždycky ty přednášky snažíme koncipovat tak, aby ten účastník odcházel s tím, že nám věří.

A nejde o to, že nám, ale že si uvědomuje, že ten problém skutečně existuje, že by se mu měl věnovat, aby z toho měl nějaké praktické poučení. Takže ano, pokrývali jsme různá témata, věnovali jsme se i těm moderním, ale nezaměřili jsme se na jedno téma a určitě ani příští rok nebudeme.


MZ: Ale říkal jste mi, a to nepochybně je pro vás potěšující, že si budete muset najít větší prostory, protože ten zájem je opravdu velký.

JM: Ano, už několikátý rok se nám ten zájem zvyšuje a zvyšuje, za což jsme samozřejmě rádi. Nejsme eventová organizace. Pro nás je to akce, kdy chceme tu naši myšlenku typu, teď to nemyslím jako mír pro celý svět, ale naše myšlenka je pomoci všem, aby bezpečnostně na tom byl lépe, aby měli lepší tu odolnost, tak pro nás je to další pilíř, pojďme tu veřejnost vzdělat, pokud o to má zájem. A ten zájem je velký. Vždycky „přetékáme“, máme více účastníků, než dokážeme pokrýt, ten prostor je limitovaný.

Takže určitě plánujeme nějaký nárůst na příští rok. To si myslím, že je jisté z 99 procent, že se to stane a díky tomu zase třeba budeme schopni tam přinést, protože ten prostor se zvětší, třeba i nějaký další doprovodný program. Aby i třeba účastníci, kteří v programu vidí přednášku, u které ví, že by ji nepochopili, nebo by pro ně nebyla až tak užitečná, tak můžou jít do nějakého doprovodného programu.

Něco jsme měli třeba už teď, kde se snaží odemykat zámky, lock picking a podobně. Nebo máme v plánu nějakou OT Village, kde si budete zkoušet třeba hackovat helikoptéru. Nevím, co všechno se nám podaří připravit. Neříkám reálnou helikoptéru, nějaký model, ale takové různé programy, aby tam byla i nějaká forma zábavy pro účastníky, která ale zase povede k tomu, že si uvědomí, že tam nějaký problém je a že tam je nějaký dopad.

Tohle téma se u nás vyskytuje všude v našich službách, v konferenci, v realizacích těch programů. Chceme, aby ten člověk vždycky viděl, k čemu to vede. Takže když vím, že si odemknu zámek a podařilo se mi to bez klíče, tak si uvědomím, že to jde i u mě doma nebo ve firmě. Když si dokážu tady hacknout vodárnu, virtuální nebo maličkou zmenšenou vodárny a pracuji ve vodárenství, tak zase se budu na to lépe dívat, asi to jde. A neděláme to nesmyslně. Jsou tam technologie, které odpovídají tomu reálnému světu. Tak, aby to nějak vždycky mělo přínos pro ty naše účastníky.


MZ: Určitě v tom kontextu, o kterém jsme se bavili, je dobrá zpráva, že zájem o to téma roste. Takže přeji, ať se konference rozvíjí dál, děkuji za rozhovor a přeji, ať se daří.

JM: Děkuji, hezký den.

Zpět na začátek

• Teritorium: Česká republika
• Oblasti podnikání: Bezpečnost | Software a ICT služby

Doporučujeme