Kyberzločinci fungují jako firma, říká technický ředitel Esetu Miroslav Dvořák

Technický ředitel Eset ČR Miroslav Dvořák

Technický ředitel Eset ČR Miroslav Dvořák Zdroj: Eset

Za řadu bezpečnostních problémů uživatelů mohou firmy, které nedomyslely svůj byznys model. „Vezměte si, že je vaším plánem dostat na trh každý druhý kvartál nový typ mobilu za 1500 korun. S takovouto konstelací okolností je nepravděpodobné zvládnout i pravidelné aktualizace po dobu několika let. To je samozřejmě neuvěřitelná bezpečnostní zátěž,“ tvrdí technický ředitel české pobočky společnosti Eset Miroslav Dvořák.  Uživatel, který nechce jinak funkční telefon vyhodit, s tím ale nemá šanci cokoliv udělat.

Proč je v poslední době tolik odhalených hackerských útoků na firmy a uživatele?

To je takové zdání. Musíte se dívat v rámci segmentů. V jednu chvíli jsou na špičce útoky na domácnosti, příkladem je třeba nedávné odhalení zavirované aplikace QRecorder, pak se zase na chvíli stávají terčem firmy, mezitím se odehrávají cílené útoky. Kriminálníci udělají krok, bezpečnostní firmy udělají protikrok, a tak to jede dokola. Je to neustálá přetlačovaná.

Jaké nejčastější útoky na síti jsou aktuálně v kurzu?

Minulý rok měli všichni starosti s ransomwarem (vyděračský software blokující data uživatele a požadující výkupné – pozn. red.), to byla záležitost, která se týkala domácností i firem. Bylo to takové plošné bombardování. Postupně ale odeznívalo, protože nastoupilo šílenství kolem bitcoinu a kryptoměn obecně. Jelikož se dnes organizovaní kyberzločinci chovají jako regulérní firmy, tedy je zajímá hlavně co nejefektivnější zisk, tak průběžně měnili svoji specializaci.

Největší zisk začaly v druhé polovině roku generovat coinminery (programy, které potají na uživatelově PC těží kryptoměny - pozn. red.). Jejich trend dobíhal v letošním prvním kvartálu. Po opadnutí kryptohorečky se situace začala vracet do starých kolejí k zaběhlým taktikám hromadným útoků, například phishingu.

Jaké jsou další hrozby?

Vidím pak ještě jeden velmi nebezpečný trend, a tím jsou botnetové sítě vytvořené ze zařízení internetu věcí (IoT). To je podle mě velmi nebezpečná věc, která bude hrát velkou roli v budoucnosti. Dnes máte obrovskou škálu zařízení, která jsou připojena k internetu – routery, kamery, síťová uložiště – tedy věci, které nevnímáte jako zařízení, která byste měl pravidelně opečovávat jako osobní počítače. A kyberzločinci tohle moc dobře vědí.

V tom jsou ale trochu na vině i samotné firmy, které ta zařízení vyrábějí.

Částečně ano. Typickým příkladem jsou třeba routery. V momentě, kdy si jej kupujete, tak zařízení může být klidně rok i více staré, tedy se starým firmwarem (programové vybavení přístrojů – pozn. red.). A stojí-li vás to zařízení řádově pár stovek, můžete jen doufat, že výrobce ještě někdy vydá novější verzi firmwaru. Vy pak to zařízení provozujete další tři čtyři roky, než jej vyměníte za nové. Po celou tu dobu mohou útočníci zneužít některou ze zranitelností firmwaru, které se v průběhu provozu zařízení s jistotou objeví.

A ještě s přihlašovacím jménem a heslem admin – admin.

Uživatelé si často neuvědomují rizika a chybí jim základní znalosti o dané technologii. Z takto špatně spravovaných zařízení se pak snadno skládají ony útočné sítě.

Bavíme se tu o množství – takže hrubá síla stále hraje prim nad sofistikovanými útoky?

Jednoznačně. Vrátím se k tomu, co jsem říkal na začátku: kyberzločinci fungují jako firma, a tento model práce je nejefektivnější, protože má minimální náklady a potenciálně vysoké výnosy. Třeba když se s tou sítí zrovna neútočí, lze ji použít k distribuci spamu nebo těžbě kryptoměn.

Která ze zařízení jsou nejvíce zranitelná? Kávovary, televize, konzole?

To je asi jedno. Je to o tom, že pokud výrobce uvádí na trh produkt, který bude trvale připojen k internetu, tak by jej měl z našeho pohledu podporovat během celého jeho životního cyklu – tedy řešit zjištěné bezpečnostní problémy formou aktualizace firmware. Pokud se má stát nějaký kvalitativní posun v této oblasti, ze kterého by profitovali především uživatelé, musí se začít právě u výrobců. Je to o přijmutí teze, že IT bezpečnost je integrální součástí životního cyklu zařízení.

Dělá to vůbec někdo?

Naštěstí ano, ale není jich dost. Vymýšlet své výrobky s dostatečným důrazem na bezpečnost je samozřejmě složitější a stojí to více času a peněz.

Jak si třeba stojí mobily a mobilní platformy, o kterých se dříve hovořilo jako o primárním cíli? Dříve se často citovala jako nejzranitelnější platforma Android, která je na zhruba 80 procentech aktivních mobilů v Česku.

Mobilní operační systémy procházejí stejným vývojem jako kdysi desktopové operační systémy. Když se podíváte na grafy množství hrozeb, tak je vidět krásná analogie třeba s historickými daty pro Windows a jeho konkurenty. To nás zase vrací k tezi, že se útočníci chovají jako byznysmeni a myslí ekonomicky. S jedním malwarem se snažíte zasáhnout co nejvíce jedinců na trhu. Není to tedy o tom, že by aktuální Android byl někdy výrazně zranitelnější než třeba iOS (operační systém společnosti Apple – pozn. red.), ale o tom, že má násobně více uživatelů.

Za vnímání Androidu jako méně bezpečného může i fakt, že Google nemá na rozdíl od Applu pod palcem celý životní cyklus zařízení, která na jeho operačním systému běží. Nejnovější verzi Androidu tak i několik měsíců po uvedení najdete často jen na jednotkách procent zařízení, kdežto u iOS je to naprostá většina.

Což nás dostává zase do sféry toho, že výrobci svá zařízení neaktualizují, nebo že uživatel prostě někdy udělá chybu…

Uživatel ne. Tady je problém skutečně hlavně na straně výrobců. Android má nevýhodu kvůli řetězci Google-výrobce-uživatel. Google pravidelně opravuje chyby a vydává nové verze Androidu, problém je ale u výrobce, který tu verzi musejí zaimplementovat na svá zařízení, dodat ovladače, které „oživí“ to zařízení. A to za ně Google samozřejmě nemůže udělat. Kdyby ano, tak se samozřejmě dostane takřka do stejného režimu jako Apple a jeho iPhony. Google si je tohoto faktu samozřejmě vědom a snaží se to napravit, ale kdy to bude hotovo, to nevím.

Takže na vině jsou výrobci…

Z mého pohledu ano, možná to neumí časově zvládat nebo v některých případech snad ani nechtějí.

Proč?

Vezměte si, že je vaším byznys plánem dostat na trh každý druhý kvartál „nový“ typ mobilu za 1500 korun. S takovouto konstelací okolností je nepravděpodobné zároveň zvládnout i pravidelné aktualizace po dobu několika let. A tak jsou mezi uživateli k vidění zařízení se čtyři i pět let starými verzemi Androidu. To je samozřejmě neuvěřitelná bezpečnostní zátěž.  A jako uživatel, který nechce jinak funkční telefon vyhodit, s tím moc nenaděláte.

Ani třeba stažením antiviru do mobilu?

To je samozřejmě správný přístup, ale zranitelný systém vám to stoprocentně nezachrání.

Pro uživatele to pak znamená co? Nepřipojovat se zbytečně na otevřené wi-fi?

O tom to úplně není. Je to více o způsobu vašeho chování vůči rizikům. Protože pokud doma máte například výše popsaný router za pár stovek a v životě jste mu neaktualizoval firmware a myslíte si, že i po pěti letech vás nějak „chrání“, tak je potom celkem jedno, kde se připojujete.

Jakou roli v boji „dobra a zla“ v IT světě hraje umělá inteligence?

To je téma, které zbožňuji. Zaprvé žádná opravdová umělá inteligence dnes ještě neexistuje a ještě dlouho existovat nebude. Jde jen o marketingové zkratky. Máme k dispozici především expertní systémy – to je ten správný název. A to nebývá nic jiného, než aplikace metod strojového učení, jako rozhodovací stromy, neuronové sítě apod. Ten systém ale stále někdo musí vytvořit či naprogramovat a na základě tréninkových dat naučit, jak klasifikovat. Žádná vlastní inteligence, jak ji známe z filmů, tam není.

Techniky strojového učení jsou vítanou pomocí bezpečnostních společností, bohužel však neušly pozornosti i našich protivníků. Nicméně pořád je to souboj mozků – na začátku toho systému je vždy člověk.

Bez expertů to ale stejně nepůjde, ne?

Dlouhodobě úspěšná firma bez chytrých lidí nemůže existovat. Firmu vždy táhnou nějací výjimeční jedinci, zpravidla s bláznivými nápady, které ostatním občas připadají jako nesmysly. Ale jsou to tito lidé, kteří tu firmu někam posouvají. Právě metody strojového učení v podobě neuronových sítí jsme díky tomu začali používat k detekci už před více než 20 lety. Jiné metody strojového učení nám pro změnu pomáhají klasifikovat automatizovaně získané vzorky malware. Když totiž uvážíte, že denně naše systémy zachytí na 300 tisíc unikátních vzorků, je jasné, že takové množství by nebyla schopná analyzovat ani armáda expertů. Ti se tak díky pomoci expertních systémů mohou věnovat jen těm nejsložitějším hrozbám.

Jak často se vám stává, že narazíte na nějakou zajímavou a takto vyfiltrovanou hrozbu?

Na to se těžko odpovídá. Jestli myslíte něco, o čem se pak píše v médiích, tak to rozhodně není na pravidelné bázi.

Mají útoky i určitou sezónnost?

Třeba u phishingu jisté periody pozorovat lze. Spoléhá totiž na techniky sociálního inženýrství, kdy se snaží donutit uživatele k impulzivnímu rozhodnutí. Tudíž potřebujete docílit stavu, kdy lidé na předešlou vlnu již zapomenou. Pokud byste ho totiž rozesílal týden co týden, spíše vycvičíte uživatele k tomu, jak se takovým útokům lépe bránit. Například bankovní phishingy se objevují jednou za dva tři měsíce. Setkat se můžeme ale i s kampaněmi, které jsou skutečně vázány na konkrétní období roku jako Vánoce či dovolené.

Jak se vám dnes dělá byznys? Je to snazší nebo těžší než v době, kdy byl internet v plenkách?

Těžko se to dá porovnávat. Výrazně se zvýšil výkon i počet připojených zařízení, internet je mnohem větší a rychlejší a hlavně se kyberzločin profesionalizoval. Pokud chcete škodit, máte k tomu díky třeba botnetovým sítím mnohem více snadno dostupných prostředků a díky množství připojených zařízení i spoustu cílů. Je to prostě výrazně složitější.

Takže se vám antivir prodává snáz nebo hůř?

Z pohledu našich tržeb, které nám v posledních letech poměrně výrazným tempem rostou, to může vypadat, že je to dnes snazší. Nicméně ani konkurence nespí.

Konkurence jakožto protistrana, tedy útočníci, nebo konkurence jakožto jiné bezpečnostní firmy?

Nespí ani jeden z nich. Ale myslel jsem tím jiné bezpečnostní společnosti. Trh se postupně konsoliduje. Vzpomeňme sloučení AVG a Avastu nebo různé jiné nedávné akvizice. Trh bezpečnostních produktů je silně konkurenční prostředí.

Jaké máte plány pro další rok? Dá se v segmentu ochrany před útoky vůbec plánovat, nebo jste „závislí“ na tom, co se zrovna děje?

Je to kombinace obojího. Reagujeme samozřejmě na aktuální dění, ale zároveň plníme naše dlouhodobé plány, kdy zkoušíme vymýšlet nová preventivní či detekční řešení. Pravidelně tak doplňujeme portfolio o nové produkty a služby, o kterých víme, že na trhu chybí.

Jaké například?

Je to necelé dva měsíce, kdy jsme uvedli několik produktových novinek pro firemní segment, včetně služeb, protože víme, že firmám i na trhu chybí IT odborníci.

Takže nabízíte poradenství?

Nebo outsourcing služeb. Chceme dodávat komplexní službu. Umíme nabídnout software, know-how i lidi, kteří firmě pomohou zajistit požadovanou úroveň bezpečnostních procesů i technologií.

Je o takovou formu služeb v Česku zájem, nebo jde spíše o řešení pro globální firmy?

Je cílena skutečně na velké firmy. Česko z tohoto pohledu není zcela ideální trh, ale na hodnocení je nyní příliš brzy. Obchodní případy v tomto segmentu se vyjednávají měsíce nebo i roky.

A co malé a střední firmy? Změnilo se nějak zdejší prostředí, respektive přístup byznysmenů?

V tomto segmentu jsme majoritním dodavatelem bezpečnostního softwaru. Malé a střední firmy trápí stejně jako velké firmy nedostatek IT lidí. Proto jsme přišli s cloudovým řešením pro menší společnosti, kde na sebe bereme správu a provoz infrastruktury centrální správy. Firmám tak šetříme lidské zdroje a čas.

Jaká rizika firmám nyní nejvíce hrozí?

Těžko paušalizovat, na jedné straně máte neadresné hromadné útoky různých typů malware a na druhé cílené a vysoce sofistikované útoky na banky, státní instituce či kritickou infrastrukturu. U cílených útoků se v poslední době sekáváme stále častěji s technikou průniku pomocí postranního kanálu v podobě externistů či dodavatelského řetězce. Vzpomeňme kauzy BlackEnergy, Industroyer či Turla.

Je zřejmé, že velké společnosti si dnes umí poměrně spolehlivě zabezpečit svůj perimetr, až na jednu výjimku v podobě zadních vrátek pro své dodavatele. Pro útočníky je pak samozřejmě mnohem pohodlnější a snazší napadnout právě dodavatelskou a většinou mnohem hůře zabezpečenou společnost než frontálně útočit na tu velkou.

Tudíž firmám doporučujete jakýsi koncept kolektivní bezpečnosti?

V zásadě ano. Bezpečnost je jedna velká a složitá skládačka. Nelze se soustředit na jednu věc, v tomto případě vlastní společnost, a opomíjet při tom jinou, neméně důležitou v podobě zabezpečení dodavatele. Když si kooperující firmy představíme jako řetěz, je zřejmé, že selže právě na nejslabším místě.

Miroslav Dvořák (44)
Je technickým ředitelem české pobočky bezpečnostní společnosti ESET. V rámci této pozice odpovídá za veškerá technická a technologická aktiva společnosti, což znamená řízení vývoje interních systémů v České republice, řízení provozu IT a v neposlední řadě také technickou podporu produktů ESET. V minulosti zastával pozici vedoucího vývoje infrastrukturních služeb v České spořitelně.