Globální boj s hackery roste exponenciálně. Útočníci se víc zaměřují na státní instituce, říká Hinderyckx z NTT Data

Belgičan Stefaan Hinderyckx se v oblasti kyberbezpečnosti pohybuje 25 let a svůj obor popisuje jako „závody ve zbrojení“. Probíhají podle něj už léta, navíc čím dál tím rychlejším tempem, jen možná trochu stranou pozornosti. „Dark Side“ – temná strana čili hackeři – se snaží stále sofistikovanějšími způsoby ochromit elektronické systémy firem nebo institucí, ukrást data nebo získat výkupné. Proti nim stojí armády specialistů, kteří vymýšlejí nové a nové metody, jak sítě a data účinně ochránit.

„Rozdíl je, že zatímco v minulosti rostlo tempo těchto závodů lineárně, nyní jedeme exponenciálně,“ říká Hinderyckx, viceprezident NTT Data, zodpovědný za kyberbezpečnost pro Evropu a Latinskou Ameriku v online rozhovoru s HN. Důvodem je nejen napjatá situace ve světě a s tím spojené hybridní války, ale také vzestup nových nástrojů, které útoky umožňují. Jde hlavně o umělou  inteligenci, deep fakes a strojové učení. Skupina NTT Data dodává v oblasti IT různá řešení a služby a v kybernetické bezpečnosti patří mezi pětici největších hráčů. 

Podle Hinderyckxe se v posledním období mění cíle útoků hackerů. Zatímco dřív šlo často o banky a finanční společnosti, nyní se útočníci zaměřují i na odvětví „s nižší vyspělostí zabezpečení“, tedy na výrobní firmy nebo na zdravotnictví. A týmy hackerů placené nepřátelskými státy navíc masivně napadají i státní či evropské instituce.

Vzhledem ke své pozici jste častým řečníkem na různých konferencích a fórech o kybernetické bezpečnosti. Co jsou nyní v této oblasti nejvíce diskutovaná témata?

Jedním z nich je určitě „zero trust“ – nulová důvěra. Není to technologie, nýbrž určitá filozofie, koncept ochrany proti elektronickým hrozbám. Opírá se to o tři pravidla. Zaprvé nikomu nedůvěřujte, zadruhé vždy ověřujte, zatřetí vždy předpokládejte narušení ochrany.

Vezměme si příklad, kdy se notebook uživatele připojuje k aplikaci v cloudu. V tradičním zabezpečení bychom měli firewally, systémy prevence průniku a podobně. Pokud proběhne ověření uživatele, může se pak jednoduše připojovat k aplikacím, k souborovým serverům a ke všemu ostatnímu. Pokud použiju určité přirovnání, tak ho pustí přes hradní příkop, u vstupu do hradu zkontrolují a pustí dovnitř. Jakmile je uvnitř hradu, už se dostane kamkoli: do všech věží a třeba i ke korunovačním klenotům.  To je ale velmi nebezpečné, protože pokud je identita ukradená nebo když je notebook napaden, hacker může překročit počáteční zábranu a dostat se ke všem informacím. Říkáme tomu paradigma hradu a příkopu. V konceptu zero trust se pracuje spíš s modelem, který se dá připodobnit k letišti. Nikdy nikomu nedůvěřujete a vždy předpokládáte útok. Pokud někdo chce nastoupit do letadla, musí se prokázat pasem a palubní vstupenkou. S palubním lístkem ale můžete nastoupit jen do letadla do Prahy, ne do letadla do Barcelony. 

Podobně u modelu „zero trust“  – dochází k ověření a povolení, konkrétní osoba má přístup na základě určitých rolí. Aplikace ví, že jsem to já, a proto mám přístup jen na určitá místa, k určité datové sadě. Princip je, že zpočátku mi aplikace nedůvěřuje a můj notebook není důvěryhodný, dokud se neprokáže opak.  

To ale znamená rozsáhlé změny v dosavadní bezpečnostní architektuře firem, nebo ne?  

Ano, je to velká věc. Je třeba zcela přepracovat celé nastavení oblasti kybernetické bezpečnosti, všechny kontroly přestavět na prostředí nulové důvěry. Obvykle se nahrazuje například VPN novou kyberbezpečnostní technologií, která se přesouvá do cloudu. To zároveň dává flexibilitu zabezpečení v cloudu škálovat výš nebo níž. 

Je cloud bezpečnější řešení i pro menší společnosti, nebo je to jen marketing velkých firem, které provozují datová centra?

Věřím, že cloud je bezpečnější než stavba vlastního datového centra a nasazení vlastních bezpečnostních kontrol, zejména pokud jste malá společnost. Menší firmy obvykle nemají rozpočet na armádu odborníků na kybernetickou bezpečnost, na to, aby postavily velmi komplikovanou architekturu systémů nulové důvěry. Data na veřejném cloudu, tím myslím cloud těch největších hráčů jako AWS, Microsoft, Google, SAP, IBM či Oracle, jsou extrémně dobře zabezpečená.

Mohou ale být dva důvody, proč nejít s pracovním provozem do cloudu. První jsou důvody regulatorní a obranné. NATO hned tak na cloud nepřejde. Ale to jsou samozřejmě výjimky, to nejsou běžné firmy nebo instituce. Druhý důvod mohou být náklady. Vidíme, že některé firmy vracejí provoz zpět z cloudu do datových center, protože je překvapily různé platby, které si provozovatelé cloudu za služby účtují. Pokud ale tyto dva důvody nejsou pro vás jako firmu přesvědčivé, a zejména pokud jste středně velká společnost, vždy doporučuji přesunout pracovní provoz do cloudu. Provoz vlastního datového centra a správné zabezpečení jsou velmi drahé. 

Co dalšího se v oboru hodně řeší? 

Další velká věc se nazývá zkratkou XDR – rozšířená detekce a reakce (anglicky Extended Detection Response – pozn. red.). Opět dám analogii s fyzickým světem: Pokud stavíte nový dům, můžete si do něj nainstalovat bezpečnostní prvky podle potřeby – kamery, čidla, plot s ostnatým drátem, cokoli. To může být na první pohled skvělé a utratíte za to určitě hodně peněz. Ale pokud ten dům není nepřetržitě monitorován, pořád se do něj někdo v nestřežený okamžik může vloupat. Čili: potřebujete monitoring 24/7 a také systém na detekci událostí. Totéž platí i v kybernetickém světě. Nejde prostě jen o infrastrukturu, ale také o dohled nad celým systémem. 

Pokud se například hacker dostane do vašeho pracovního notebooku, obvykle tam nic moc cenného není. Všechny zajímavé dokumenty jsou v cloudu. Hacker se tedy musí z notebooku dostat někam jinam, třeba k takzvanému řadiči domén, kde jsou uloženy všechny identity, odkud se spravují hesla a podobně. Jenže takový přechod udělá „hluk“, který je detekovatelný. Pokud se hacker zkouší dostat dál, třeba k dokumentům, které pak zkusí prodat na dark webu, bude opět detekován. Zkrátka existuje řada kontrol, a to vše dohromady je rozšířená detekce a reakce – XDR. NTT Data nabízí tuto technologii, tuto správu jako službu pro klienta. Máme po celém světě pět bezpečnostních operačních center, kde naši odborníci nedělají nic jiného, než že nepřetržitě sledují výstupy. Jsou to takoví „lovci hrozeb“. Pomáhá jim v tom technologie strojového učení, odnož umělé inteligence, chcete-li. Pokud dojde k narušení některých námi spravovaných systémů, okamžitě kontaktujeme klienta, doporučíme například zablokovat přístup do cloudu nebo navrhneme karanténu notebooku nebo cokoli jiného, co je třeba udělat. 

Říká se, že umělá inteligence se v oboru kyberbezpečnosti stává požehnáním a katastrofou zároveň. Tato technologie se totiž stává přístupnou i pro útočníky. Jaký je váš názor? 

Tu část, kdy AI je požehnáním, jsem už trochu popsal. Ale ona Dark Side, temná strana – tedy útočníci a zločinecké organizace, vydělávající miliardy dolarů na kyberútocích – jsou obrovský průmysl, který také samozřejmě objevil sílu například generativní AI. Nutno ovšem říci, že všechny veřejné velké jazykové modely, jako je ChatGPT-4, Gemini nebo Llama, mají vestavěné zábrany. Takže pokud po nich budete chtít, aby napsali třeba phishingový e-mail řediteli banky, odmítnou to udělat. Bylo to dokonce jedno z prvních vylepšení, protože se okamžitě po spuštění objevili ti, kdo tyto modely okamžitě zkoušeli zneužít. Další věci je, že generativní AI je velmi dobrá v programování. To se dá použít dobrým způsobem, i zneužít. Ti, kdo jsou na temné straně, mohou použít AI k vytvoření programu, který využívá nějaké konkrétní zranitelnosti. Dnes už to ChatGPT, Llama nebo Gemini odmítnou, ale jsou dostupné velké jazykové modely v open source, takže si útočníci mohou postavit vlastní velký jazykový model a ten pak vytváří malware bez omezení. A to nyní pozorujeme v našich monitorovacích centrech – vidíme silný nárůst škodlivého softwaru napsaného strojem. To je jasný důkaz, že temná strana už velké jazykové modely používá. 

Kdo bude v silnější pozici v nadcházejících letech? Bude „temná strana“ napřed před těmi, kteří proti kyberzločincům chrání? 

To je obtížná otázka. Jsou to závody ve zbrojení. Ty závody ale probíhají už 30 let, od dob, kdy se v 90. letech objevily první firewally. Rozdíl nyní je, že zatímco v minulosti rostlo tempo těchto závodů poměrně lineárně, nyní jdeme exponenciálně. A to je problém. Počet útoků a zranitelností se v minulosti více méně zdvojnásobil každý rok. Nyní to je už exponenciální křivka. Není ale super exponenciální. Je to stále zvládnutelné. Také vidíme exponenciální růst v malwaru, který je generován soukromými velkými jazykovými modely. 

Je to způsobeno zhoršením geopolitické situace, že kybernetická válka ještě eskaluje?

Ano, kybernetická válka už běží mnoho let. Útoky státních aktérů jsou ty nejsofistikovanější. Proč? Protože státy mají obrovské rozpočty, pravděpodobně nejlepší analytiky a programátory, mohou si například za hodně peněz koupit takzvanou zranitelnost nultého dne (zero day exploit – využívá zranitelnosti softwaru, která není ještě obecně známá, a tedy neexistuje proti ní zatím obrana například formou aktualizace systému – pozn. red.). Pokud si jako státní aktér můžete koupit toto na černém trhu a nikdo jiný o tom ani neví, máte obrovskou výhodu. 

Pak existují techniky jako tzv. velrybí phishing – nechytáte malé ryby, ale ty největší a používáte k tomu rovnou harpunu. Pokud chcete cílit na mobil třeba premiéra, budete potřebovat zranitelnost nultého dne a nějaké velmi pokročilé zbraně, protože samozřejmě jakékoli zařízení takového člověka je z kybernetického hlediska velmi dobře chráněno. 

Jaké jsou nejběžnější způsoby, jakými se společnosti stávají oběťmi kybernetického zločinu?

Nejběžnější a stále velmi populární je phishing. A samozřejmě ransomware. Phishing se obvykle používá k tomu, jak dostat ransomware do systému podniku nebo organizace. Nyní vidíme často trojitý ransomware – nejenže útočníci žádají peníze za to, že vám pak dají klíč k dešifrování vašich dat, ale pokud nezaplatíte, citlivá data zveřejní na internetu. A třetí část příběhu ransomwaru je, že se útočníci dostávají k vašemu dodavatelskému řetězci. Takže pak vydírají celý dodavatelský řetězec, což je ještě výnosnější. Existuje dokonce ransomware jako služba – můžete si něco takového „pronajmout“, mít nepřetržitou technickou podporu… Je to celý rozvinutý průmysl. 

Máme vůbec spolehlivý obrázek o tom, kolik společností poškodí kybernetický zločin? Firmy o těchto nepříjemných situacích obvykle nerady mluví, protože to má právní dopady, ohrožuje to reputaci a podobně… 

Řekněme, že obrázek se v posledních letech výrazně vyjasnil. A hlavní důvod pro to je GDPR. Toto nařízení zavazuje společnosti, aby hlásily narušení ochrany dat. V minulosti nemusely nic hlásit, zaplatily útočníkovi a bylo to. Proto také dnes registrujeme mnohem více narušení než v minulosti.

Jsou některé sektory obzvlášť zranitelné z hlediska elektronických útoků?  

Ano, liší se to i podle sektorů. V počátcích byly nejvíc napadány banky a finanční společnosti. Přepadnout je elektronicky je bezpečnější než vběhnout dovnitř s pistolí. Pak ale banky do kybernetické bezpečnosti poměrně významně investovaly. Takže už je to mnohem těžší.

Útočníci nyní přešli na jiná odvětví, která mají nižší vyspělost zabezpečení. Například výroba a zdravotnictví jsou dva segmenty, které jsou stále více napadány. Motivy jsou různé. Ve zdravotnictví to je velmi smutné. A mimochodem, v Česku máte pozoruhodný příklad útoku na nemocnici v Brně během covidu. Když nemocnici zašifrujete všechny systémy, kritické přístroje přestanou fungovat a lidé umírají. Většina kyberzločinců by do toho nešla, protože i v tomto oboru jsou někteří lidé s určitou etikou, ale ti, co útočili, těm to bylo jedno. Takže pokud jste ředitel nemocnice, máte na výběr zaplatit, nebo nechat lidi umřít, což je velmi kruté. Bohužel, v mnoha zdravotnických organizacích nebyla kybernetická bezpečnost prioritou. Pokud vedení mělo vybrat mezi například novým CT skenerem nebo novým firewallem, asi tušíte, čemu většinou dali přednost. 

Mění se ve světle mnoha medializovaných případů útoků pohled na důležitost kyberbezpečnosti? 

Mění. A také tu máme evropskou směrnici NIS2. Kyberbezpečnost se nyní stává prioritou i pro národní státy. Ale v minulosti jsem měl pocit, že tomu tak není. Samozřejmě můžete říci, že teď mluvím jako zástupce firem, které na bezpečnostních opatřeních vydělávají, ale fakt je ten, že většina například evropských zemí nevynakládala dostatek na kybernetickou bezpečnost. 

Co společnostem a institucím radíte, když se stanou obětí ransomwaru? Měly by útočníkům zaplatit?

Vždy doporučuji neplatit. Vždy. Protože ten, kdo zaplatí, podpoří celý tento průmysl vydírání a obětí bude ještě víc. 

Pokud ale jste v kůži ředitele podniku nebo nemocnice, je to těžké rozhodování…

To ano. Ale napadená organizace by měla udělat všechno, co je v jejích silách, aby se z útoku zotavila. Měla by mít data zálohovaná, zálohy validované, správně provedené a samozřejmě uložené offline. Pokud je to uděláno technicky správně, v 95 procentech případů existuje způsob, jak všechna data obnovit. Samozřejmě ale můžete být několik hodin nebo i dní mimo provoz. Vždy doporučujeme udělat vše pro obnovu systémů ze záloh, placení výkupného je až poslední možnost. NTT Data má specializovanou divizi, která pomáhá s řízením takových případů a krizí. Při ransomwaru lidé často panikaří, je velmi těžké udržet chladnou hlavu a začít postupovat podle plánu obnovy. Musí se řešit spousta věcí a naši specialisté už pomohli stovkám klientů. Kde jsou zálohy? Byly ověřeny? Jak obnovit datové centrum, pokud bylo také infikováno? Jak komunikovat s novináři? Máte účet v bitcoinu pro případ, že byste nakonec museli platit? 

Platí se vždy v kryptoměnách?

Ano, téměř vždy. Kryptoměny jsou pro Dark Side fantastický nástroj, protože jsou téměř nevysledovatelné, anonymizované. Nejsou tak snadno vysledovatelné jako platby převodem. Platba v hotovosti je zase velmi staromódní, někde musí dojít k předání a tam může být už policie.

Existují v kyberzločinu nějaké regionální rozdíly? 

V USA vidíme vyšší výskyt ransomwaru než v Evropě. Obecně vidíme také časté případy zneužití obchodního e-mailu, označované zkratkou BEC (Business Email Compromise – pozn. red.). Tyto útoky cílí na vysoce postavené manažery, na ty, kdo rozhodují o financích. Je to velmi sofistikovaná forma phishingu, kdy se nastaví celý scénář, který má například zmást představenstvo, aby se zaplatila nějaká velká faktura, obvykle stovky tisíc eur. A tady se začíná využívat deepfake. Existuje medializovaný případ z Hongkongu z letošního února, kdy manažer britské firmy Arup měl konferenční hovor prostřednictvím Teamsů a myslel si, že mluví s obchodním partnerem, ve skutečnosti to byla zločinecká organizace, která použila avatary. A odeslal jim 25 milionu dolarů. 

Obáváte se, že útoky s využitím AI, deepfakes a dalších velmi sofistikovaných nástrojů způsobí ve firmách chaos?

Nerad bych řekl, že přinesou chaos. Ale je to nový faktor, se kterým je třeba počítat. Ještě před dvěma lety jsme nevnímali hovor po Teamsech jako možnou hrozbu. Takže teď musí firmy být opatrnější v tom, jak řídí videokonference, jak ověřují účastníky těchto schůzek, měly by po nich chtít nějaký certifikát totožnosti a podobně. Je prostě třeba aplikovat zero trust i na hovory přes Teamsy. A technické způsoby, jak to udělat, existují. 

Několik kyberbezpečnostních odborníků, se kterými jsem mluvil, vyjádřilo soukromě velkou obavu z čidel a  dalších zařízení pro internet věcí (IoT). Zejména v domácnostech – lidé často tato zařízení moc nezkoumají, neaktualizují firmware a podobně. Vidíte takový problém i u firem? 

Rizika v oblasti domácího IoT jsou opravdu reálná. Někdo si v e-shopu koupí levný termostat, nainstaluje ho do své sítě a je to. Většina lidí síť nesegmentuje, termostat je ve stejné síti jako domácí kancelář, což by profesionál v oblasti kybernetické bezpečnosti nikdy neudělal. Ale 99,9 procenta lidí nemá tušení, co je to segmentace sítě. Takový termostat, pokud je napaden, může být přístupný na dálku a někdo přes něj může monitorovat provoz celé domácí sítě. A představte si, že je to domácnost manažera pracujícího z domova, který se připojuje k podnikovým systémům. 

Další téma jsou sítě ve výrobě, v závodech. Tam jsou sítě pro operační technologie, s desítkami různých protokolů, většinou staršího data. Problém také je, že v těchto provozech mohou být roboty řízené na poměrně starých technologiích. Stále tam jsou třeba Windows 2000 nebo NT servery. Není to jako v kancelářích, kde se každé zařízení neustále aktualizuje. Proč to říkám? Z pohledu útočníka mohu způsobit víc škod a možná vydělat víc peněz, pokud zaviruji síť pro operační technologie třeba v případě automobilky, kde jednodenní odstávka závodu přijde typicky na jeden nebo dva miliony dolarů.

Včera bylo pozdě. Tisíce firem podceňují přípravu na nástup rozsáhlé regulace v kyberbezpečnosti, hrozí jim masivní pokuty

11. 3. 2024 ▪ 6 min. čtení

Velké změny se chystají s novou kyberbezpečnostní směrnicí Evropské unie, označovanou zkratkou NIS2. Až se tato směrnice za několik měsíců převede do českých zákonů, přinese nové povinnosti asi pro čtyři tisíce firem. Budou muset přijmout nové postupy, vytvořit týmy expertů, hlásit incidenty a podobně. Dá se říci, že menší firmy jsou v Česku zatím pozadu v přípravách na tyto nové povinnosti? Vždyť velké korporace mají oproti tomu na přípravu celé týmy lidí...

Vidíme, že existuje korelace mezi velikostí společnosti, a tedy jejím rozpočtem na IT a kybernetickou bezpečností. Velké společnosti se na NIS2 připravují roky, navíc některé už prošly certifikací NIS1. Takže se poměrně dobře připravují a nebudou překvapeny, až se NIS2 převede do místního práva. V roce 2025 bude NIS2 už v místních zákonech členských zemí a firmy, kterých se týká, budou muset být s novou legislativou v souladu. Pokud ne, budou platit pokuty. Je to opravdu velká věc, protože v celé EU se to dotkne desítek tisíc firem. Problém, který už začínáme vidět, je, že není dostatek lidí, kteří by se tomu mohli věnovat. 

Vytváří to byznysové příležitosti i pro NTT Data?

Samozřejmě. Jsme do toho plně zapojeni a s NIS2 pomáháme stovkám klientům. Firmy mají obecně v EU tak asi rok, než se NIS2 propíše do místních zákonů, pak možná ještě bude rok nebo dva nějaké přechodné období. Pak už lze očekávat první pokuty.

Zaměřujete se hlavně na větší firmy a globální korporace. Nestálo by za to vrhnout se kvůli NIS2 i na menší zákazníky? 

V České republice máme, co se týče kybernetické bezpečnosti, jen velmi málo klientů, kteří mají méně než 500 zaměstnanců. Toho se budeme držet, protože jak už jsem naznačil, nejsou lidi. Docházejí odborníci, kteří by obsluhovali střední, velké a velmi velké podniky. Je to pro nás otázka priorit.