Rozhovor se Zdeňkem Grmelou, ředitelem pro oblast security T-Business v T-Mobile Czech Republic

Podle německé ministryně vnitra Nancy Faeserové je situace v kybernetickém prostoru dynamická a může kdykoli eskalovat. Zdeňku, popsal byste situaci v České republice podobně?

Ano, určitě. Situace je extrémně dynamická. Nikdy nevíte, co se stane v příštích týdnech nebo měsících. Kybernetická bezpečnost musí mít v příštích letech tu nejvyšší prioritu.

Pokud se podíváme na trendy v České republice, jak se v současnosti kyberkriminalita vyvíjí?

Podobně jako v ostatnich zemích světa. V současné době jsme svědky rostoucího počtu útoků ransomwaru a DDoS. Útok DDoS je zaměřen na vaši infrastrukturu s cílem ochromit ji. Stále více útoků však cílí také na zaměstnance a koncové body.

Je digitalizace, pro firmy tak důležitá věc, v souvislosti s kyberkriminalitou spíše příležitostí, nebo spíše rizikem?

Digitalizace je nutností! Je to cesta do budoucnosti. Musíme však zajistit, aby každý projekt digitalizace byl doprovázen odpovídající kybernetickou bezpečností, což v minulosti ne vždy platilo. Pro řadu firem, když přecházely na digitalizaci, nebyla kybernetická bezpečnost prioritou. A nyní mají v této oblasti před sebou kus práce.

S digitalizací přichází do hry umělá inteligence. Jak se vám daří sladit hrozby a přínosy umělé inteligence?

Hodně se o tom diskutuje. Pokud útočníci používají umělou inteligenci, pak ji samozřejmě musíme používat i my. Chceme-li se chránit, musíme pochopitelně trendy i vývoj v oblasti hrozeb monitorovat.

Umělá inteligence už hraje významnou roli, pokud jde o vstupní bránu pro kybernetické útoky. Co se může stát firmám, jak se do nich hackeři dostanou?

V současné době jsou vstupní bránou především zaměstnanci, koncové body a infrastruktura. Na úvod jste zmínil slabá místa. Nedovedete si představit, kolik firem stále má zranitelné sítě. Skrz zranitelnou infrastrukturu je skutečně velmi snadné získat přístup. Trvá to jen několik sekund. Přestože máme rok 2023, stále nám chybí správné modely softwarového a hardwarového patchování (záplatování; aktualizace softwaru a update hardwarového firmwaru, pozn. redakce). A nesmíme zapomínat na lidi, kteří za tím stojí. Musíme dbát na řádné školení zaměstnanců, protože ti jsou jedním z hlavních vstupních bodů do systému. Ochrana je vždy kombinací technologie a školení zaměstnanců. Zároveň je potřeba nastavit vhodný nouzový proces.

Jako odborník na kybernetickou bezpečnost hodně pracujete s lidmi a nejste tedy nerd…

Přesně tak, momentálně se věnuji spíše lidem než technologiím.

Jak se hackeři dostanou dovnitř? Phishingové e-maily, jiné příklady, zkuste být prosím konkrétnější.

Velmi často přicházejí v důsledku řady událostí. Mnoho lidí si myslí, že k vyřešení všech problémů stačí systém patchovat nebo více investovat do kybernetické bezpečnosti. Při nedávných útocích na naše zákazníky a také na nás samotné jsme však viděli, že útok je stále častěji kombinace několika drobných problémů, která se zpočátku zdála v podstatě nemožná. Často to může ve firmách začít drobnými problémy v procesech, při školení zaměstnanců nebo dokonce v technologiích. Když někomu vysvětluji, co by se mohlo stát, všichni říkají: Ne, to je příliš nepravděpodobné, moc nás strašíte.

A kombinaci slabých míst hackeři také najdou pomocí umělé inteligence?

Je to jedna z možností, ale mají i další nástroje. Rozesílají firmám tisícovky phishingových e-mailů, a to stále dokola. I když na e-mail klikne a útočníkům poskytne přihlašovací údaje jen půl procenta lidí, problém je na světě.

Co nám můžete říct o tom, z jakých regionů útoky v současnosti přicházejí a kdo je pachatelem?

Na tohle se mě lidi opakovaně ptají, když navštíví naše bezpečnostní centrum. Většina útoků pochází z rozvinutých průmyslových zemí, z USA, Japonska, Německa, protože útočníci zneužívají existující a dobře rozvinutou infrastrukturu těchto zemí. Analyzujeme profily útočníků a snažíme se je přiřadit k určité skupině, k určité zemi. Ale ne vždy si můžeme být stoprocentně jisti. Často to jsou klasické podezřelé země, u kterých nám pak zákazníci říkají: Hele, prostě je zablokujte, tam nepotřebujeme přístup…

Například Čína a Rusko.

Přesně tak. Ale útočníci nemusí nutně používat vlastní infrastrukturu. Někdy jim k útoku stačí řada zranitelných serverů v jiných zemích.

Existují konkrétní firmy, odvětví nebo oblasti podnikání, které jsou obzvláště ohroženy?

Obecně vždy hovoříme o naší kritické infrastruktuře. T-Mobile jako operátor, ale i některé další firmy, jsme součástí kritické infrastruktury a musíme se chránit, protože rozhodně jsme oblíbeným cílem útoků. To, na koho se útočí, velmi často souvisí s geopolitickou situací. Ale někdy útočníky láká i finanční zisk. Skutečný finanční dopad útoku si firmy bohužel často uvědomí až dodatečně. A to je také důvod, proč zpočátku nechtějí investovat do kybernetické bezpečnosti. Nejdřív se necítí ohroženy.

Pojďme teď k vašim vlastním zkušenostem v T-Mobile: K čemu u vás ve firmě již došlo? Co jste už zažili?

Neustále čelíme různým typům útoků. Obecně zaznamenáváme prudký nárůst útoků DDoS na naši infrastrukturu i naše zákazníky, především na banky. Tyto útoky obvykle trvají minimálně 24 hodin. A vždy se jednalo o kombinaci drobných problémů v infrastruktuře. Také jsme si mysleli, že se to nikdy nemůže stát, a přesto se to stalo. Museli jsme tedy přizpůsobit analýzu problémů a ochranu. Pokud nedojde k žádným větším škodám, je to dobrý způsob, jak zjistit, kde jsou vaše slabá místa a co zlepšit.

My právě provádíme anonymní průzkum, ve kterém se firem ptáme, zda byly někdy napadeny hackery a jaké s tím mají zkušenosti. Upřímně řečeno, moc odpovědí jsme nedostali. Nikdo o tom nechce mluvit. Jak by měla vypadat „první pomoc”, když už došlo k útoku, co rychle pomůže?

Nikdo nechce mluvit o tom, že byl hacknut. Částečně je to otázka reputace a strach z toho, co se stane příště. Jsme svědky mnoha útoků na naše zákazníky a partnery, ale oni nám o tom ani neřeknou. Útok musíme odhalit sami. To se děje každý den. A co dělat v případě útoku? Velmi často dochází k velké panice. Vždy je dobré mít interní tým, který se incidentem zabývá a organizuje komunikaci s vedením a partnery a pravidelně se v tom školí. Velmi užitečné je mít dopředu zavedené nějaké nouzové procesy pro případ kybernetického útoku, ty průběžně testovat, aktualizovat. Je velmi důležité učinit kritická rozhodnutí včas. To vás může dost často zachránit.

Jak má firma postupovat? Mlčet a platit, nebo zveřejnit a bojovat?

Obecně se nedoporučuje, aby firma platila, protože to útočníci chtějí a jen je motivujete, aby to dělali znovu a znovu. Velmi často jsou tyto informace a údaje předávány v rámci vaší vlastní sítě, ale ne vždy na veřejnost. Je také velmi obtížné vysvětlit veřejnosti, co se skutečně stalo. Někdy to vypadá jako kybernetický útok, ale je to jen provozní problém. Nebo naopak.

Často jsou to právě zaměstnanci, kdo útočníkům umožní proniknout do systému. Jak je vyškolit a jak ve firmě vytvořit správné povědomí o problému?

Ano, to je skutečně nekonečná otázka. Při všech technikách, které útočníci v současné době používají, je poměrně obtížné rozpoznat, zda se skutečně jedná o phishingový e-mail, nebo ne. Musíte tedy školit zaměstnance a používat technologie, které jim pomohou chránit se a rozpoznat potenciální problém. Je to o kritickém myšlení: Mám tuto informaci sdílet, nebo ne? Je to tedy kombinace obojího. Osobně si myslím, že je dobré školit zaměstnance interaktivnějším způsobem, aby pochopili, co dělají, co udělali, co by měli udělat a jaké to má důsledky. Útočník se vždy snaží dostat oběť do časové tísně: Hele, musíš kliknout sem, musíš mi dát tyhle informace, aby se ti nezablokoval účet atd. Proto musíte být vždy opatrní, když je na vás vyvíjen nátlak. A to se netýká jen obchodních, ale také osobních záležitostí. Pokud na vás tedy někdo vyvíjí tlak po telefonu nebo e-mailem, textovou zprávou nebo jinak, dobře si rozmyslete, zda to máte udělat, nebo ne.

Je tedy velmi důležité nenechat na sebe vyvinout tlak.

Přesně tak. Mnoho útoků se odehrává v pátek nebo den před státním svátkem. V té době jsou lidé pod tlakem: chtějí opustit kancelář, mít uklizený stůl a jít domů a chtějí všechno rychle vyřešit.

Takže pátek pro vás není úplně dobrý den?

Ne, jen čekáme na to, co se stane odpoledne.

Nabízíte workshopy pro zvýšení informovanosti partnerských firem?

Workshop je začátkem každé spolupráce. Hovoříme s klienty o tom, co potřebují chránit, co jim můžeme nabídnout, a jak už jsem říkal, musí pochopit, jaké to může mít finanční důsledky. Nakonec vždy jde o záchranu byznysu. A to znamená najít správnou rovnováhu mezi zabezpečením a snadným používáním. Je to vždycky výzva, ale je to cesta, kterou jsme si vybrali.

Kdo musí ve firmě dělat domácí úkoly? Generální ředitel, nebo IT expert? Objevují se návrhy, že by každá firma měla mít svého pracovníka pro bezpečnost podnikových informací, BISO. Pomohlo by to?

Nejsem příznivcem toho, aby se uměle vytvořila nová funkce. Za kybernetickou bezpečnost je v zásadě ve firmách zodpovědný vrcholový management.

A jsou si toho vrcholoví manažeři dostatečně vědomi?

Začínají si to uvědomovat. Všímáme si toho, když s jejich managementem mluvíme. Nakonec jsou to oni, kdo musí rozhodnout a stanovit rozpočet na kybernetickou bezpečnost. Lidé z IT obvykle odvádějí velmi dobrou práci, ale často nerozumějí celé firmě v její komplexnosti. I na to je dobré myslet.

Na jedné straně firmy nechtějí o útocích mluvit, ale na druhé straně je výměna zkušeností nesmírně důležitá. Je to tak?

Určitě ano, náš T-Mobile je součástí Deutsche Telekom a máme poměrně dobrý model sdílení informací v rámci celé skupiny a také s ostatními německými firmami. Máme platformy, kde sdílíme informace o útocích. Protože co se dnes stane nám, to se druhý den může stát někomu jinému. Všechny firmy v tomto modelu musí být ochotné sdílet informace. To je nesmírně důležité. Tyto znalosti mohou pomoci i zákazníkům, protože ti velmi často používají stále stejné vzory. Mají zkušenosti pouze z vlastní firmy, zatímco my jsme se podívali hned do několika firem a máme srovnání, můžeme vylepšovat. To nám pomáhá.

A co byste na závěr poradil firmám, jak se mají připravit na možné kybernetické útoky?

Kybernetické útoky tady jsou a vždycky budou. Proto se snažte být připraveni; snažte se mít partnera, který vám může pomoci; snažte se mít zavedené základní kybernetické zabezpečení, protože je to jen otázka času. Může to zasáhnout kohokoli. Jak jste říkal, množství slabých míst, která jsou každý den objevena, je ohromující.

Je pro firmu bezpečnější mít vlastní server, nebo pracovat v cloudu?

Ano, tuhle otázku dostávám velmi často. Existuje spoustu důvodů, proč se firmy bojí přejít na cloudové řešení. Co je lepší: mít řádně záplatovaný, udržovaný a monitorovaný server v cloudu, nebo mít vlastní server někde ve sklepě, který není několik týdnů či měsíců záplatovaný a řádně udržovaný a monitorovaný?

Mnoho malých a středních podniků nemá dostatečné kapacity, pokud jde o technologie, digitalizaci, pracovní síly a odborníky. A mnohé si myslí, že kybernetická bezpečnost je tak složitá a komplikovaná věc, že ani nevědí, kde začít. V současné době se tyto podniky stále častěji stávají středem zájmu kybernetických útočníků. Co byste jim poradil?

Vždycky jim říkáme: Hele, moc nepřemýšlejte! Samozřejmě můžete vybudovat 99% ochranu, ale budete o ní přemýšlet jeden, dva nebo tři roky a mezitím dojde k útoku. Proto jim často radíme, aby nejprve implementovali tzv. security basics.

Jaké jsou tři nejdůležitější „basics“?

Záplatování slabých míst, která se objeví každý den, informování a školení lidí, kteří za nimi stojí, a základní ochrana koncových bodů, přes které často útočníci do infrastruktury pronikají.

Rozhovor: Christian Rühmkorf
Foto: T-Mobile

Leave a Reply

Your email address will not be published. Required fields are marked *