Po kariéře oceňované technologické novinářky, autorky a televizní moderátorky se Angela Gunnová rozhodla vyzkoušet život na druhé straně reportérského zápisníku. Stala se výzkumnicí kyberbezpečnostních hrozeb ve společnosti Sophos, kde se specializuje na reakci na incidenty a ochranu osobních údajů – dvě oblasti, které jí umožňují, jak sama říká, „živit se řešením hádanek“.
Roky naléhavé a dramatické práce při řešení incidentů přivedly Angelu Gunnovou k otázce, jak řešit problémy kybernetické bezpečnosti dříve, než k nějakému incidentu dojde. Od toho už byl jen krůček k jejímu současnému výzkumu v oblasti navrhování atraktivních a účinných bezpečnostních školení pro netechnické lidi.
V posledních letech se zvýšil počet útoků ransomwaru. Změnilo se to v uplynulých týdnech v souvislosti s geopolitickou situací?
Skutečný ransomware, tedy situace, kdy útočník, který se dostane do systému, zašifruje v něm uložená data a požaduje po oběti peníze za jejich dešifrování, se v posledních týdnech zdaleka nevyskytuje tak často jako běžné podvody, zejména ty, kdy se zločinci snaží podvést lidi s dobrými úmysly, aby „přispěli“ na falešné charitativní organizace. To je bohužel běžný vzorec chování útočníků po přírodních katastrofách nebo jiných hrozných událostech, které zločinci zneužívají.
Jaké typy útoků tedy nyní převažují?
Všichni se přirozeně obávají možnosti větších kybernetických útoků a objevily se i zprávy o bezpečnostních incidentech s velkým dopadem, jako byl výpadek Viasatu nebo nešifrovaná válečná komunikace Rusů, která byla zachycena a manipulována. Je však překvapivé, k jak velkému množství nesofistikovaných útoků nebo pokusů o podvody z příležitosti dochází – ať už jde o prosté krádeže a podvody, nebo útoky typu DDoS (distribuované odepření služby), které zahlcují provoz na konkrétních cílových webových stránkách.
Jak velkou hrozbu představují trendy jako Ransomware as a Service nebo Cybercrime as a Service? Hovoříme o sofistikovaných útocích, nebo jde spíše o jednoduché nástroje v rukou amatérů?
Úroveň technických dovedností potřebných k používání těchto nástrojů a služeb je nízká, a o to jde – takovou službu může používat kdokoli. Problémem je, že i nekvalifikovaný útok může uspět, pokud cíl nereaguje na včasné náznaky takového útoku. Útočníci s nízkou kvalifikací mohou být neznalí, ale nejsou hloupí. Pokud si oběť nevšimne příznaků útoku a nechá ho nějakou dobu pokračovat, útočník se může na úkor oběti zdokonalovat ve svých dovednostech nebo může upozornit nějakého jiného útočníka, který ví, co dělá, a může oběti výrazně ztížit život.
Jak se v průběhu času vyvíjí podíl investic do kybernetické bezpečnosti na celkovém rozpočtu IT?
Určitě roste, protože si příslušní manažeři uvědomují zásadní důležitost kybernetické bezpečnosti. Jak covid, tak četné incidenty v oblasti kybernetické bezpečnosti v posledních několika letech zanechaly hluboký dojem. Investice do bezpečnosti rostly jistě i předtím, ale události posledních několika let vyvolaly skutečnou potřebu, aby kybernetická bezpečnost tvořila větší část rozpočtů na IT. A společnostem nyní nestačí pouze budovat „pevnost“, ale musí být silné a zároveň odolné vůči aktuálnímu vývoji hrozeb. A to je společné úsilí. Je třeba, aby oddělení IT implementovalo bezpečnostní záplaty, konfigurace a další kvalitní kontrolní mechanismy. Potřebujete zabezpečení, abyste vytvořili vhodné zásady a postupy, a samozřejmě je nutné sledovat prostředí. Mnoho podniků si uvědomuje, že potřebují navázat chytrá partnerství s externími bezpečnostními odborníky, a to jak kvůli odborným znalostem, tak kvůli perspektivě.
Odhadujete na základě současné situace, že podniky a organizace budou investovat ještě více?
Všechny průzkumy, které jsem měla možnost vidět, ukazují, že ano, že je to jasný směr. A ohledně „současné situace“ nezapomeňte na důležitou, ale možná nudnou věc, kterou je ochrana osobních údajů. Bezpečnost a soukromí patří k sobě a zákazníci právem očekávají obojí.
Specializuje se na reakci na incidenty a ochranu osobních údajů.
Před nástupem do společnosti Sophos pracovala téměř dvě desetiletí jako technologická novinářka, autorka či televizní moderátorka se zaměřením na kyberbezpečnost, vývoj softwaru a ochranu soukromí a osobních dat. Je autorkou několika knih a řady technologických publikací.
Mnoho zkušeností získala také v největších společnostech v oboru, jako jsou Microsoft, HPE a BAE Systems.
Vystudovala filozofii na Occidental College a je „certified information systems security professional“ a „certified information privacy professional“.
Žije v Seattlu a těší se, jak se po pandemii vrátí ke svému oblíbenému cestování.
Odvětví kybernetické bezpečnosti se neustále vyvíjí a rozvětvuje. Je vůbec v možnostech podnikových týmů IT zvládnout celou problematiku?
Tradiční oddělení IT si každým dnem stále více uvědomují důležitost a složitost kybernetické bezpečnosti. Požadavek, aby oddělení IT řešilo všechny potenciální problémy kybernetické bezpečnosti, ale představuje riziko jeho zahlcení, protože má už tak důležitou a složitou práci. Najímání pracovníků v oblasti kyberbezpečnosti je však obtížné. Člověk, který je zběhlý v jedné oblasti bezpečnosti, může mít v jiné jen základní dovednosti. Bezpečnostní odborníci s hlubokými a aktuálními znalostmi všech významných aspektů kybernetické bezpečnosti jsou neuvěřitelně vzácní a jejich udržení v interním týmu je velmi nákladné, protože nemusí mít důvod využívat své specializované znalosti každý den. Vzestup řízených služeb – tedy zabezpečení jako služby – je skvělým a rozumným protipólem jak rostoucích nákladů, tak neustálého vývoje hrozeb.
Bude více společností využívat zabezpečení jako službu?
Tímto směrem se vývoj určitě ubírá. Je to praktický způsob, jak ve špičkové kvalitě uspokojit potřeby podniku a zároveň nechat záležitosti jako specializované odborné znalosti a monitorování hrozeb s nízkými náklady mimo podnik. Když se zákazníci spolehnou například na službu Sophos Managed Threat Response, získají výhody chytrého a důkladného bezpečnostního týmu, který se nezabývá ničím jiným než řešením hrozeb a dalších bezpečnostních problémů, bez dopadu na personální náklady firmy. Hlídáme bezpečnostní perimetr, aby se naši zákazníci mohli věnovat své vlastní práci, a sdělujeme jim, co vidíme a proč. Přirovnávám to k situaci, kdy máte rodinného lékaře nebo právníka na smlouvu – nepotřebujete specialisty každou hodinu pracovního dne, ale když je potřebujete, chcete ty nejlepší.
Jaká jsou úskalí outsourcingu kybernetické bezpečnosti?
Klíčová je komunikace. Na začátku vztahu je třeba si ujasnit, kdo bude za co zodpovědný, jaká doba odezvy se očekává, co je a co není v kompetenci poskytovatele služeb. Toto musí být zkrátka všem zúčastněným jasné a měly by existovat záložní plány pro případ, že původní plán nefunguje nebo že někdo nezvedá telefon. A je bohužel velmi snadné, aby se tento vztah mezi klientem a poskytovatelem služeb narušil. Pokud například klient provede velké změny v IT a nezapojí do nich poskytovatele bezpečnostních služeb, může to v případě krize vést ke ztrátě času a zbytečnému úsilí.
Pojišťovny chtějí přestat hradit výkupné za pojištěné společnosti napadené ransomwarem. Pomůže to zastavit finanční toky směrem ke kyberzločincům?
Jistě to změní rizika pro pojištěné podniky. Pokud se pojišťovny rozhodnou, že již nebudou krýt požadavky na výkupné nebo sníží úroveň krytí, bude muset většina podniků vyčlenit zdroje na pokrytí tohoto rizika. Myslím, že většina podniků by raději vynaložila své peníze na další posílení své obrany a možností obnovy, než aby si odkládala velký balík peněz pro zločince. Takže se možná dočkáme toho, že podniky budou více odolávat požadavkům na výkupné a zaměří se na obranu. A co víc, podniky se možná začnou zcela bránit placení. Ostatně, placení výkupného jen podporuje další útoky – a upřímně řečeno, oběti ne vždy dostanou svá data zpět nebo jsou dále vydírány, i když zaplatí.
Existuje nějaká šance, že budou kybernetičtí útočníci častěji stíháni? Třeba díky lepšímu sledování finančních toků?
Můžeme v to doufat, ale jak mezinárodní právo, tak vnitrostátní zákony mají co dohánět, než se činnost kyberzločinců stane skutečně rizikovou. Stíhání je náročné také proto, že útočníci se často nacházejí v zemích, které nemusí mít zájem při jejich stíhání a zatýkání pomáhat.
Za jak velkou hrozbu považujete různé „deepfake“ technologie v oblasti hlasu a videa?
Rozhodně se jedná o rostoucí hrozbu, protože naše lidské mozky nedokážou tyto podvrhy dobře rozpoznat. V případě deepfaků žádáte lidské bytosti, aby neuvěřitelně sofistikovaně posuzovaly, zda je řečník skutečně člověk, kterého znají, když se zároveň snaží analyzovat obsah jeho sdělení. Naše mozky na to nejsou stavěné, takže mám jisté obavy. Například deepfake prezidenta Zelenského, který údajně nabádá Ukrajince, aby se vzdali boje, nebyl nijak zvlášť dobře provedeným deepfake videem a většina lidí, kteří ho viděli, pravděpodobně vycítila, že jde o obraz vytvořený počítačem. Obávám se však, že se dočkáme dalších a lepších podvrhů. Dobrou zprávou je, že technologie, které je umožňují dobře provést, jsou prozatím stále drahé a komplikované. Boom deepfakeů proto ještě nepřišel. Zatím.
Stáhněte si přílohu v PDF
Jak se proti nim bránit?
Viděla jsem několik zajímavých „menších“ technologií, jako jsou plug‑iny do internetových prohlížečů, které byly vytvořeny s cílem pomoci uživatelům identifikovat „fotografie“ vytvořené jedním z populárních generátorů deepfake portrétů. Prozatím jsou ale nejlepší obranou proti deepfakeům osvědčené způsoby ochrany proti jiným druhům podvrhů: Je zdroj těchto informací všeobecně respektovaným zdrojem jiných zpráv? Potvrzuje tuto informaci více respektovaných zpravodajských zdrojů? Dalo by se očekávat, že mluvčí, který informaci poskytuje, by opravdu řekl to, co říká? Kdo má prospěch z toho, co se říká? Jakou reakci se snaží vyvolat a proč? A pokud ve vás informace vyvolává pocit, že nemáte čas si toto tvrzení potvrdit – i to je podezřelé. Ukvapené rozhodování je přítelem těch, kdo se snaží manipulovat vaším strachem, nejistotou a pochybnostmi. Snažte se odolat.
Jaké jsou hlavní trendy kybernetické bezpečnosti pro rok 2022?
Jedním z trendů je nepochybně vývoj ransomwaru, což souvisí s tím, na co se ptáte, tedy s bojem proti deepfakeům a velmi sofistikovaným útokům. Lidé jsou bohužel stále zranitelní vůči starším formám podvodů. Útočníci zjišťují, že je levnější vyvinout přesvědčivý sociálně inženýrský útok než najít nové technické taktiky nebo překonat bezpečnostní obranu. Útočné kampaně jako BazarLoader a Lapsus$ nespočívají v technickém kouzlení, ale v oklamání lidí, aby odhalili své přihlašovací údaje. Běžně se říká, že slabinou kybernetické bezpečnosti jsou lidé, ale já věřím, že mohou být naopak silným místem. Mým cílem pro rok 2022 je pracovat na způsobech, jak lidem pomoci, aby byli v tomto ohledu silnější.
Článek byl publikován ve speciální příloze HN ICT revue.
