Jako technický ředitel a senior viceprezident pro produktovou strategii má Danny Allan na starosti globální produktovou mapu a strategii společnosti Veeam Software, která je předním světovým poskytovatelem řešení pro zálohování podnikových dat a obnovu po ransomwarových útocích. Nadšenec do softwarových technologií má více než 20 let zkušeností z vedení největších globálních IT firem včetně IBM či VMware. Sám je držitelem několika softwarových patentů v oblasti cloudových a bezpečnostních technologií.
Jaká jsou dnes nejzávažnější kybernetická rizika a proč?
Na tuto otázku nelze odpovědět jednoznačně, protože téměř všechna kybernetická rizika dnes představují pro organizace hrozbu finančních a obchodních ztrát – až do té míry, že mohou zkrachovat. Ale samozřejmě jsou některé kybernetické hrozby rozšířenější než jiné. Blízko vrcholu tohoto seznamu je jistě ransomware. Nicméně, pokud máte například nedostatečně zabezpečené úlohy v cloudu, může je někdo napadnout, ukrást všechna data zákazníků, prodat je na dark webu a výsledkem může být krach firmy. Proto jsem vždy zastáncem toho, abychom se spíše než na nejzávažnější kybernetické hrozby zaměřili na základy zabezpečení a odolnost podniku než se snažit upřednostňovat rizika, kterým čelíme.
Vyvíjí se prostředí hrozeb v souvislosti s technologií umělé inteligence?
Není pochyb o tom, že se prostředí hrozeb vyvíjí. Umělá inteligence (AI) se využívá především k vytváření sofistikovanějšího a složitějšího malwaru, než jaký kdy existoval v minulosti. I když například ChatGPT nutně neslouží ke generování škodlivého kódu, můžete jej v podstatě naučit, aby vám vytvořil sofistikovanější malware. Ale jde ještě o mnohem víc. Generativní umělá inteligence umožňuje takové věci, jako jsou deepfake podvrhy, u kterých lidé nejsou schopni rozlišit, zda je například video, které vidíte, skutečné. A už dnes máme i spoustu botů, u kterých si lidé vlastně ani neuvědomují, že interagují s generativní umělou inteligencí. AI lze použít také k prolomení běžných procesů pro rozlišení počítačů a lidí. Výsledkem je, že spousta bran a bariér, které byly v minulosti zavedeny, už k ochraně organizací nestačí.
Kam to může vést?
Očekávám, že zaznamenáme mnohem více útoků založených na hloubkové analýze, kterým říkáme „deep exploits“. To znamená vrstvení zranitelnosti na zranitelnost a vytvoření superzranitelnosti. Pro člověka je to komplikované, ale pro AI relativně snadné. Může se podívat na prostředí a vytvořit exploit na základě dané infrastruktury – využije konkrétní cloudovou službu ve spojení s typem kontejnerů, kódovacím jazykem Python a určitým druhem a verzí databáze. To všechno se spojí dohromady a vznikne deep exploit.
Jak může AI pomoci na straně obránců?
Už dnes používáme AI při sledování souvislostí mezi událostmi v podnikové síti pro efektivnější odhalování útoků. Takže například může existovat událost, kdy uživatel klikne na reklamu, a samostatná událost, kdy tento uživatel získal zvýšená oprávnění, a pak třetí událost, kdy ten samý uživatel získal přístup do zcela nesouvisejícího systému. Korelace všech těchto událostí téměř s jistotou znamená, že se jedná o exploit nebo že se někdo naboural do vašeho systému. Pro umělou inteligenci je mnohem snazší dát takové události do souvislostí a zjistit, že se něco děje. AI navíc může útok nejen detekovat, ale také na něj velmi rychle reagovat – třeba izolovat konkrétního uživatele nebo síť.
Je možné zásadní hrozby, jako je ransomware, nějak definitivně zastavit?
Určitě ne. Jednoduše proto, že se nám dosud nepodařilo vyhladit žádné zranitelnosti, které se vyskytly od počátku věku počítačů. O technikách, jako je přetečení bufferu, víme už 30 let, o SQL injection už 25 let, o cross site scriptingu už 25 let. A lidé budou vždycky dělat chyby. Ransomwarové útoky obvykle začínají tím, že někdo klikne na odkaz ve phishingovém e‑mailu nebo najde na parkovišti flash disk a připojí ho k počítači. Lidské chování nemůžeme pokaždé napravit, takže tyto typy útoků nelze navždy zastavit. A ransomware se bude nadále vyvíjet ve své sofistikovanosti. Můžeme se ale zaměřit na základy zabezpečení a na to, aby uživatelé věděli, že nemají otevírat phishingové e‑maily a že nemají klikat na podezřelé odkazy. Ale stále musíme předpokládat možnost kompromitace, připravit se na útoky a navrhovat systémy pro kybernetickou odolnost.
Danny Allan
technický ředitel a senior viceprezident pro produktovou strategii, Veeam Software
Nadšenec do softwarových technologií má více než 20 let zkušeností z vedení největších globálních IT firem včetně IBM či VMware.
Je držitelem několika softwarových patentů v oblasti cloudových a bezpečnostních technologií.
Je tedy „lidský firewall“ vlastně první linií obrany?
Domnívám se, že první linií obrany je vzdělávání uživatelů v oblasti uvědomělého chování. Jaká je nejúčinnější obrana v letadlech proti teroristům? Taková, že si cestující uvědomují, že by se jejich letadla mohl nějaký terorista zmocnit. Lidé jsou proto obecně nejlepší obrannou linií, protože je jich vždy více než útočníků. Mohou sledovat, co se děje, a mohou vás upozornit na přítomnost hrozby. Takže věřím, že bychom se měli zaměřit na první linii obrany – tedy na lidi a jejich informovanost –, ale současně předpokládat, že někdy omylem udělají špatnou věc.
Pokud ransomware nelze zastavit, co dělá společnost Veeam, aby pomohla firmám v boji proti této hrozbě?
Samozřejmě se přizpůsobujeme všem součástem rámce kybernetické bezpečnosti NIST (Národní institut standardů a technologie při ministerstvu obchodu USA – pozn. red.), jehož cílem je zlepšení bezpečnosti kritické infrastruktury podniků. To znamená, že nejprve identifikujeme data, která organizace má, protože některá z nich jsou pro podnik kritičtější. A to se liší podle povahy organizace. Jádrem toho, co Veeam dělá, je pak druhá úroveň rámce NIST, která spočívá v ochraně těchto dat. Toho dosahujeme především tím, že vytváříme tři kopie dat na dvou typech médií, z nichž jedna je uchovávána mimo pracoviště a další je offline, tedy neměnná záloha. Třetí úrovní rámce NIST je detekce, která pomáhá organizacím zjistit, že se v jejich podnikové síti děje něco nestandardního. Následuje poslední stupeň rámce NIST v podobě plánování, dokumentace a testování reakce, kterou je v případě ransomwarového útoku obnova dat.
Jak je to s pojištěním proti kybernetickým útokům? Pokud je cílem stát se odolným vůči ransomwaru, nepomůže zotavení po útoku právě pojištění?
Kybernetické pojištění je důležitým nástrojem v rámci bezpečnostního portfolia a vlastně se domnívám, že nejdůležitější hodnotou pojištění jsou požadavky, které na pojištěné subjekty klade. Například se vyžaduje, abyste měli více kopií dat, z toho jednu neměnnou, stejně jako zavedené vzdělávací a tréninkové programy pro uživatele. Myslím, že největším přínosem kybernetického pojištění je to, že vrhá světlo na osvědčené postupy. Ale kybernetické pojištění samozřejmě nepomůže zotavit se z ransomwarového incidentu. Z naší nejnovější studie o ransomwaru vyplývá, že ani s kybernetickým pojištěním a vyplacením výkupného nedojde ke stoprocentní obnově dat. Spoléhat se na kybernetické pojištění tedy není správnou strategií, pokud usilujete o co nejrychlejší obnovu nejdůležitějších dat.
Není ale neustálé zálohování a testování záloh už tak časově náročné a nákladné, že tato forma prevence již není rentabilní?
Ve skutečnosti je to právě naopak. Pokud organizaci zasáhne ransomware nebo jiná kybernetická hrozba a firma zkrachuje, už těžko můžeme mluvit o nákladové efektivitě. Ale pokud máte jednoduchou a komplexní platformu, která zahrnuje celé spektrum podnikových procesů v lokálním prostředí, v datových centrech i v cloudu, získáte nejen funkce ochrany dat a monitorování prostředí, ale také automatizovanou obnovu a orchestraci pro co nejrychlejší zotavení z incidentu. A právě v tom spočívá nákladová efektivita, protože technologie vždy dokáže dělat věci rychleji než lidé.
Firmy se často spoléhají na cloudové služby jako na spolehlivou zálohu dat. Jak je to ale s ochranou dat v rámci těchto služeb?
Hodně organizací věří, že když přejdou na cloudové služby, je v nich automaticky zahrnuto i zálohování dat. To je ale mylná představa. U služeb typu Microsoft 365 nebo například EC2 v AWS sice platí, že po určitou dobu uchovávají data, která nechtěně smažeme, ale o skutečnou zálohu se nejedná. Většina z těchto služeb totiž jednoduše pořizuje snímky prostředí, a tak se snadno může stát, že pokud dojde k zašifrování dat nebo jejich poškození, často se v tomto stavu replikují podle pořízeného snímku. Nevím o žádné cloudové službě, která by skutečně uchovávala neměnnou kopii dat. Další problém je, že tyto služby neposkytují granularitu obnovy. Řekněme, že vás před třemi měsíci zasáhl ransomware a vy jste o tom zatím nevěděli. Ale při obnově se nechcete vrátit tam, kde jste byli před třemi měsíci, protože byste přišli o data za poslední čtvrtletí. Proto je granulární obnova konkrétních souborů nebo konkrétních záznamů tak důležitá.
Myslíte si, že útočníci přijdou s nějakou novou taktikou, proti které nepomůže ani zálohování?
Ano, je to vždycky hra na kočku a myš. Nejvíce mě teď znepokojuje krádež dat, protože i když máte zálohu a můžete z ní data obnovit, co se stane, když útočník data ukradne a bude organizaci vydírat pod pohrůžkou jejich prodeje na dark webu? To je zásadní argument pro zaplacení výkupného. Proti takovému útoku ochrana dat nepomůže a já očekávám, že v budoucnu dojde k většímu propojení mezi systémy prevence ztráty dat a monitoringem sítě, což bude vyžadovat i hlubší spolupráci mezi technologickými společnostmi na různých vrstvách kybernetické ochrany. Už proto je důležité mít velmi otevřenou architekturu, kde je možné integrovat softwarově definované síťové, úložné nebo šifrovací nástroje do komplexního řešení pro zákazníka.
Stáhněte si přílohu v PDF
Veeam má také výzkumné a vývojové centrum v Praze. Na čem konkrétně tento tým pracuje?
Praha je naše největší výzkumné a vývojové pracoviště na světě, kde pracuje velmi talentovaná skupina zaměstnanců. Podle mě je aktuálně asi nejzajímavějším projektem inline detekce ransomwaru. Jde o opravdu inovativní přístup, kdy na datovém proxy serveru při přesunu dat z jednoho místa na druhé či na jiný typ média provádíme inline detekci ransomwaru. Výhodou je to, že každou noc nemusíte kontrolovat všechna svá data. Takže pokud máte třeba šest petabajtů dat, neskenujete všechna data, ale kontrolujete pouze to, co se od včerejška změnilo. Skenování je tak mnohem efektivnější a úspornější. A druhou velkou věcí je, že v Praze probíhá většina vývoje ochrany dat v rámci špičkové infrastrukturní technologie Kubernetes. Ale samozřejmě zde máme i mnoho dalších výzkumných a vývojových projektů.
Pociťujete s ohledem na globální zpomalení ekonomiky zlepšení situace s dostupností talentovaných zaměstnanců na trhu práce?
Určitě narostl počet lidí, kteří hledají práci. Ale uchazečů, kteří mají dobré povědomí a talent v oblastech kolem bezpečnosti, cloudu, Kubernetes nebo platforem nové generace jako SaaS, Microsoft 365 či Salesforce, je stále velmi, velmi málo. V Česku o ně stále soutěžíme, protože je zde spousta firem vyvíjejících inovativní technologie, a tedy i vysoká poptávka. Neočekávám, že by se to mělo brzy změnit.
Článek byl publikován ve speciální příloze HN ICT revue.
