V různých pozicích spojených s kybernetickou bezpečností pracuje Michal Merta ve společnosti Accenture už téměř 18 let. Kyberútoky se podle něho neustále vyvíjejí a v poslední době roste například množství útoků na dodavatelský řetězec. „Útočník napadne svoji oběť skrze dodavatele. Úspěšné napadení dodavatele podnikového softwaru pak může kyberzločincům otevřít dveře k tisícům firem, které takový software používají,“ říká Merta. Accenture se kyberbezpečnosti věnuje dlouhodobě a Cyber Fusion Center je podstatným rozšířením jejích aktivit v této oblasti. Michal Merta v rozhovoru hodnotí současný stav prostředí kybernetických hrozeb a možnosti obrany podniků vůči nim.

Proč se společnost Accenture rozhodla umístit Cyber Fusion Center právě do Prahy a čím se vlastně zabývá?

Pro umístění do Prahy hovoří především atraktivita našeho hlavního města pro specialisty na informační bezpečnost z celého světa. Takže zde dnes máme kolem 200 specialistů asi 40 různých národností. Tato různorodost je pro nás velmi důležitá, protože kybernetická bezpečnost nepředstavuje pouze jeden obor, ale řekněme třeba až tři desítky různých podmnožin expertních znalostí.

Naším úkolem je poskytovat své znalosti klientům po celém světě. Takže například prostřednictvím simulovaných útoků prověřujeme bezpečnost infrastruktur, systémů či aplikací. A na druhou stranu poskytujeme i služby kybernetického zabezpečení, kdy monitorujeme síť klienta a reagujeme na incidenty.

Zabýváte se i bezpečností fyzických zařízení a hardwaru obecně?

Ano, máme laboratoř, kde jsme schopni testovat bezpečnost různých druhů zařízení napříč průmyslovými odvětvími. Pro taková zařízení je typické, že mohou komunikovat vzdáleně po síti – příkladem mohou být telekomunikační systémy, síťové prvky, systémy kritické infrastruktury, řídicí jednotky vozidel či celá auta, zdravotnické přístroje nebo zařízení chytré domácnosti. Mezi našimi prvními zákazníky byly například firmy, které používaly v kancelářském prostředí ke zpracování důvěrných dokumentů „chytré“ tiskárny, ale třeba i podniky, které chytrou elektroniku prodávají nebo navrhují. A my jsme pak dokázali najít způsoby, jak se přes takovou chytrou pračku či kávovar dostat do interní sítě a rozšířit útok na zajímavější místa v síti.

Dalším prostorem je naše „Cyber Garage“, což je laboratoř specializovaná na výzkum v oblasti kyberbezpečnosti moderních vozidel a souvisejících systémů. Zde se věnujeme bezpečnostnímu testování jednotlivých řídicích jednotek i celých vozidel.

Jsou mezery v produktech nebo v zařízeních internetu věcí časté?

Každé odvětví je jiné. Řekl bych, že v oblastech, kde na výrobce tlačí spotřebitelé nebo odborná komunita, je situace lepší. Příkladem jsou již zmíněné oblasti telekomunikací či automobilového průmyslu. Přirozeně, pokud systém zpracovává platební informace, je tlak na bezpečnost velmi vysoký. Ale i v těchto citlivých ekosystémech jsme objevili místa, kde se situace může zlepšit. Konkrétní detaily ale komunikujeme jen s našimi zákazníky. Když se bavíme o tradičních konzumních odvětvích, tam je situace mnohdy horší. Výrobci jsou pod silným tlakem vydat produkt co nejdříve a to se může následně projevit i na nízké úrovni jeho kyberbezpečnosti. Kdybych měl uvést příklad na již zmíněné chytré tiskárně, ta se může skládat z různých prefabrikovaných komponentů. A v jedné z nich jsme našli mikrofon, který bylo možné vzdáleně použít k odposlechu.

Je podobná situace i s automobily, které prověřujete?

Pokud jde o bezpečnost jednotlivých komponentů, jako jsou řídicí jednotky, je zde jen několik hlavních výrobců, kteří dodávají tyto součástky prakticky všem automobilkám, a zpravidla jde o dobře prověřené dodavatelské řetězce jednotlivých součástek. Jiná situace je u softwaru, kdy jsme už několika automobilkám reportovali poměrně vážné bezpečnostní mezery.

V rámci Cyber Fusion Center máte tedy komplexní přehled o bezpečnostních hrozbách. Které jsou aktuálně největší a jaká rizika se už obránci naučili dobře zvládat?

Věřím, že velmi dobře už umíme ošetřit především síťové zranitelnosti. Ještě před deseti lety byly hlavním cílem útočníků zranitelné či špatně nakonfigurované aplikace běžící na různých portech. Dnes už ale takové pokusy velmi spolehlivě detekují a odrazí firewally a jim podobné nástroje. Naopak největším problémem je v současnosti phishing, tedy podvržené zprávy s cílem vyvolat nějakou akci uživatele. Snad nejnebezpečnější je pak kombinace phishingu s ransomwarem, kdy oběť v dobré víře otevře škodlivý odkaz nebo spustí zaslaný soubor. Tím vpustí škodlivý kód do sítě, kde dojde k zašifrování důležitých dat a následně ke katastrofálnímu výpadku služeb.

Útoky se ale neustále vyvíjejí a v poslední době roste například množství útoků na dodavatelský řetězec. Jde o to, že útočník napadne svoji, třeba i dobře zabezpečenou, oběť skrze dodavatele. Úspěšné napadení dodavatele podnikového softwaru pak může kyberzločincům otevřít dveře k tisícům firem, které takový software používají.

Hodně se dnes hovoří o komercializaci nástrojů na provádění kybernetických útoků, se kterými se může stát hackerem skoro každý. Jak velké riziko to představuje?

Pro současné bezpečnostní produkty je celkem snadné odrazit útok provedený prostřednictvím takových standardních nástrojů. Sofistikovaný, cílený útok pak potřebuje přece jen o hodně vyšší úroveň znalostí. Ale za mnohem větší hrozbu považuji dostupnost nástrojů na phishingové útoky. Phishingovou kampaň lze vytvořit a rozeslat na tisíce e‑mailových adres prakticky během několika minut. A pak už stačí jen čekat, až se někdo chytne – což je více než jisté. Sami totiž takové testovací kampaně pro naše zákazníky připravujeme a z vlastní zkušenosti víme, že dobře připravená phishingová kampaň, zaměřená na zaměstnance konkrétní společnosti, má značnou „úspěšnost“. Lidé jsou zkrátka z pohledu kyberbezpečnosti stále tím nejslabším článkem.

Jaká rizika podniky především podceňují?

Často jde o starší zařízení využívající prověřené technologie. V době jejich vzniku ale dnešní hrozby ještě neexistovaly, tudíž nad nimi nikdo neuvažoval. Pro jednoho zahraničního zákazníka jsme například prověřovali vodovodní systém a zjistili jsme, že by útočník mohl relativně snadno převzít kontrolu nad elektromagneticky ovládanými ventily a zastavit dodávku vody pro miliony lidí. Podniky si ale i tato rizika začínají uvědomovat a umí si spočítat, jak velké ztráty a problémy by případný výpadek způsobil.

Podceňuje se také fakt, že čím víc jsou technologie chytré a čím rychleji k nim můžeme přistupovat, tím víc roste potenciál útočníka je zneužít ve svůj prospěch. Zatímco dříve stačilo zabezpečit centrální server a počítače v kancelářích, dnes jsme úplně jinde. Musíme se postarat o mobilní zařízení, vzdálený přístup, cloud, zmíněné tiskárny nebo celé výrobní technologie a zařízení internetu věcí, jako jsou kamery, termostaty nebo chytrá světla v budovách.

Je vůbec v silách běžného podniku zabezpečit opravdu vše?

Pravda je, že kyberzabezpečení ve všech aspektech, které je dnes potřeba řešit, je velmi náročné a nákladné. Navíc nestačí nakoupit různé krabičky a bezpečnostní software – o všechno se musí prakticky nepřetržitě někdo starat. Celkem často se setkáváme s tím, že se pořídí i velmi drahá zařízení, která ale bez kvalifikované obsluhy prostě neplní svůj účel.

I firmy, pro které třeba nejsou problém peníze, narazí na kritický nedostatek specialistů na kyberbezpečnost. Ti na trhu jednak chybí, jsou drazí a také je velmi náročné je motivovat, aby ve firmě zůstávali. Opravdu schopným lidem totiž práce na zabezpečení jednoho, třeba i středně velkého, podniku přestane časem profesně stačit – nebudou mít možnost se dále rozvíjet jako ti, kteří v praxi každodenně zkoumají nové techniky útočníků. I proto si myslím, že bude růst poptávka po kyberbezpečnosti poskytované formou služby.

Co bude pro podniky takový outsourcing kyberbezpečnosti znamenat?

Především se zbaví hodně starostí – se sháněním kvalifikovaných lidí a nasazením i správou potřebného vybavení. Důležitá je ale i otázka organizace a koordinace bezpečnostních týmů. Ve firmách jsou dedikované role nebo týmy na konkrétní úkoly, jako je zabezpečení sítě, koncových zařízení a podobně, ale tito lidé spolu příliš nekomunikují a nepředávají si aktuální informace. Mnoho firem také vůbec nemá konkrétní plány reakce na kybernetické útoky. Kyberbezpečnost je ale tak komplexní disciplína, že je úspěšnost obrany založena právě na pečlivém plánování, kvalifikaci rizik a předávání informací. Takovou koordinaci musí umět nabídnout poskytovatel kyberbezpečnosti jako služby. Interní IT se pak určitě nemusí bát o práci, naopak – když se nebude muset intenzivně zabývat bezpečností, získá více prostoru pro úkoly související přímo s podnikáním firmy.

Michal Merta

ředitel Cyber Fusion Center, Accenture

V různých pozicích spojených s kybernetickou bezpečností pracuje Michal Merta ve společnosti Accenture už téměř 18 let.

Jeho současnou rolí je vedení Cyber Fusion Center – expertního centra, které společnost Accenture před pěti lety otevřela v pražských Holešovicích.

Je držitelem řady certifikací z oboru informační bezpečnosti a členem představenstva sdružení expertů v kyberbezpečnosti (ISC)2 Czech Chapter.

Jak se projevuje zapojení umělé inteligence do činnosti obránců i kyberútočníků?

Na straně kybernetického zabezpečení se technologie umělé inteligence a automatizace používají už delší dobu. Typicky pro analýzu dat a detekci anomálií, které mohou být indikátorem probíhajícího útoku. Konečné rozhodnutí a konkrétní kroky ale většinou zůstávají na lidech. A pokud jde o útočníky, je jisté, že umělá inteligence bude schopná psát velmi dobrý programový kód – dost možná i ten škodlivý.

Bude možné umělou inteligenci zneužít i pro masivní, dobře cílené phishingové kampaně?

To si nemyslím – už proto, že s pomocí dostupných nástrojů a automatizace lze takové kampaně celkem snadno realizovat i bez umělé inteligence. Možná by pomohla zvýšit jejich úspěšnost, pokud bude vyhledávat potřebné informace a generovat individuálně upravené phishingové zprávy. Ale nevidím možnost velkého posunu ze stavu, který už je dnes. Vysoce cílené útoky na nejhodnotnější cíle, jako jsou ředitelé a topmanažeři velkých firem, vyžadují hodně lidské práce a úsilí, včetně třeba i fyzického sledování těchto lidí. Takové útoky umělá inteligence příliš neusnadní.

ICT revue

Stáhněte si přílohu v PDF

S připravovanou novelizací zákona o kybernetické bezpečnosti se blíží účinnost nové směrnice NIS2 o společné úrovni kybernetické bezpečnosti v EU. Jde o krok správným směrem?

Jednoznačně ano. Navíc si myslím, že většinu opatření, která bude nový zákon vyžadovat, by měly mít ošetřeny všechny podniky a organizace – bez ohledu na to, jestli spadají mezi ty, kterých se NIS2 týká. Kyberbezpečnost je prostě záležitostí všech.

Budou české podniky schopné zajistit všechny požadavky nového zákona – i s ohledem na zmíněný nedostatek specialistů na kyberbezpečnost?

Můžeme to trochu přirovnat k situaci se zavedením GDPR. Velmi se o tom diskutovalo, ale nakonec se prakticky všem podařilo implementovat příslušná opatření – alespoň tedy nevidíme, že by se za nedodržování GDPR českým firmám a organizacím udělovaly pokuty. Podobně určitě zvládneme i soulad s NIS2 – třeba i pomocí outsourcovaných služeb.

Článek byl publikován ve speciální příloze HN ICT revue.