„Off-line a on-line svět se prolínají. Povědomí a ostražitost jsou alfou a omegou kybernetické bezpečnosti,“ říká v rozhovoru expert na cyber security Karol Suchánek. Přitom je stále velmi podceňovaná.
Alarmující je zejména skutečnost, že podle nedávného průzkumu MasterCard 70 procent respondentů mění heslo jen jednou v roce nebo ještě méně často. Není se tedy, čemu divit, že například malware naprogramovaný ke krádežím uživatelských digitálních dat – známý pod anglickým označením password stealer – zaznamenal tento rok velký vzestup. Podle dat společnosti Kaspersky vzrostl počet uživatelů za první pololetí napadených tímto škodlivým softwarem z loňských necelých 600 000 na letošních více než 940 000.
Kybernetická bezpečnost je stále akcentovanější téma, řeší ho firmy i jednotlivci. Proč je v současné době tak důležité?
Žijeme ve dvou světech. Přirovnal bych je k jing a jang. Jsou oddělené, a zároveň propojené. Informace, které o sobě sdělujeme v on-line světě, mohou ovlivnit náš off-line svět a naopak. Když vám někdo ukradne heslo k e-mailovému účtu, ohrozí to váš on-line svět. Obecně je velmi důležité nepsat si hesla na papírky do peněženky, do kalendáře v práci nebo do poznámek v telefonu. Heslo byste neměli ani sdílet s kamarády, rodinou, partnerem. A pokud se s partnerem, který zná vaše heslo, rozejdete, je vhodné si ho co nejrychleji změnit. Povědomí a ostražitost jsou alfou a omegou kybernetické bezpečnosti.
Jaké heslo je podle vás dobré?
Dobré heslo je silné, lehce zapamatovatelné a bezpečné. Tahle trojčlenka se ale těžko konfiguruje. Doporučuju, aby si lidé nastavili heslo pomocí vhodné asociace. Třeba do facebookového účtu to může být heslo „MODRAknihapratel2018“. Heslo by mělo být dostatečně dlouhé, minimum je patnáct znaků, záhodné je střídat velká a malá písmena, číslice nebo speciální znaky. Heslo mohou tvořit i tři náhodná slova, třeba menu z jídelního lístku. Důležité je, aby heslo nebylo ztotožnitelné s danou osobou.
Můžete to upřesnit?
Když vás poznám, klidně i po e-mailu nebo na chatu, můžu se pokusit odhadnout, jaké heslo asi použijete. Tak to dělají i hackeři. Mají několik postupů – snaží se uhádnout heslo na základě informací, které od vás nebo o vás získají, pokouší se podvodem od vás heslo vylákat, k tomu používají například phishingové e-maily, nebo využijí chybu v zabezpečení či úniky dat. Můžu vám dát příklad ještě z doby, kdy jsem studoval vysokou školu. Tehdy frčely seznamky, na jedné jsem si psal se slečnou. Nakonec souhlasila se schůzkou, ale chtěla, abych jí dobil kredit. Moje kontrolka zablikala, že je něco špatně, rozhodl jsem se hacknout její účet. Heslo jsem uhádl na třetí pokus, jen podle indicií, které mi prozradila, zjistil jsem, že si takhle píše s dalšími asi padesáti muži a také po nich chtěla dobít kredit. Odhalil jsem tak vlastně podvod.
Radíte používat na každý účet jiné silné heslo, zároveň by si je lidé neměli psát do diářů nebo do poznámek do mobilu. Jak si je všechny zapamatovat?
Existují různé password managery, které je snadné používat. Vybrat si můžete off-line i on-line správce hesel. U off-line nástrojů je výhodné, že je nikdo nemůže hacknout.
Hackerům to často usnadňujeme. Sami o sobě prozrazujeme hodně informací na internetu nebo na sociálních sítích. Jak na to nahlížíte?
Dnes chce být na internetu viditelný každý, je éra influencerů, kteří o sobě sdílí mnoho soukromých informací. Neříkám, zda je to dobře, nebo špatně, jen poukazuju na rizika, která jsou s tím spojená. A není jich zrovna málo. Každý s sebou dnes a denně nosíme malý kapesní počítač. Mobil se z nástroje pro volání stal technologií pro komunikaci, to se pochopitelně neobejde bez nebezpečí.
Jaká rizika jsou podle vás největší nebo nejčastější?
Největší riziko je spojené s neznalostí. Generace současných rodičů se narodila v off-line světě, ale jejich děti v on-line světě. Rodiče neprošli tréninkem, a tak neumí předat znalosti ohledně kybernetické bezpečnosti svým potomkům. Do budoucna bude dětská cyber security velké téma. Proto říkám, že je velmi důležité vzdělávání v této oblasti, a tudíž s cyber security není nikdy příliš brzy začít.
Jak konkrétně dáváme všanc své soukromí?
Dnes stačí, aby člověk internet používal. Nemusí mít ani účet na Googlu, ale ten podle vašich návyků dokáže rozpoznat, zda jste muž, nebo žena a kolik vám je let. Protože mobil nosíme pořád u sebe, neustále vytváříme digitální stoupu, nemluvě o aplikacích, které o nás mohou zaznamenávat informace, třeba o vaší poloze. Když si uvědomíte, že mobilní telefon u sebe máte dvacet čtyři hodin denně, je to obrovské množství dat.
Říkáte, že data, která po sobě zanecháme, žijí navždy. Lze vůbec zamést digitální stopu?
Velmi těžko. Je to téměř nemožné. Člověk by si měl zmapovat svoji stopu v on-line světě, zjistit, kde všude má účty, a smazat ty, jež nepoužívá. Vím, že dnes potřebujete účet téměř všude, osobně si vedu jejich seznam a ty, které nepoužívám, mažu. Pak je tu další věc – existují internetové archivy, například Internet Archive, což je neziskovka, která archivuje dřívější podoby webových stránek, a tam mohou být informace, které jste jinde smazali. Existuje ale právo na zapomenutí, takže můžete požádat o jejich zpětné vymazání. Doporučuje také zkusit alespoň jednou ročně, jaké informace o sobě najdete v seznamu vyhledávání, jde o takzvaný „ego surfing“. Google pak můžete požádat, aby smazal odkazy, které vám nevyhovují. Samostatným tématem jsou státní orgány, například justice.cz. Stačí mít jako živnostník DIČ, což je vlastně rodné číslo, a když si zadáte své jméno, je vaše rodné číslo snadno dohledatelné a také zneužitelné. Záškodník může zavolat na pojišťovnu, představit se vaším jménem, dodat vaše rodné číslo a na potíže je zaděláno.
Co dalšího se může stát, pokud se někdo rozhodně využít naše údaje na internetu?
Nejméně škodlivou záležitostí je reklama, která je optimalizovaná podle vašeho zájmu. Existuje řada historek o tom, jak někdo pomyslel na určitý produkt, vyhledávače to vycítily, a pak se mu měsíc zobrazovaly reklamy na daný výrobek nebo službu. To je menší zlo. Když se ale k obsahu vašeho mobilu nebo počítače dostanou nepovolaní lidé, mohou zneužít třeba pracovní dokumenty nebo citlivá data. Bývalí partneři se mohou různě kompromitovat, například nevhodnými fotkami sdílenými na takzvaných „porn revenge“ strankach.
I proto radíte oddělovat pracovní a soukromé počítače nebo účty?
Ano, to je velmi důležité. Když si vytvoříte soukromý e-mailový účet, tak po vás bude chtít i takzvaný recovery e-mail, kam vám pošlou heslo, pokud ho zapomenete. Jestliže zadáte svůj pracovní e-mail, později z podniku odejdete a o firemní účet přijdete, tak vám moc nepomůže. Na harddisk v práci neradím ukládat soukromé dokumenty. Mimo jiné i proto, že k nim mají přístup IT pracovníci, a ti bývají zvědaví. Pak je tu další rozměr, k tomu uvedu příklad. Není to tak dávno, co hackeři ukradli třicet milionů účtů ze seznamky, kde především ženatí muži a vdané ženy hledali povyražení. Protože hackeři nedostali za vrácení účtů zaplaceno, zveřejnili je, dodnes je můžete na internetu dohledat. Jedna německá firma pak zjistila, že někteří její zaměstnanci se na seznamce registrovali přes firemní e-maily. Nešlo o to, že hledali aférky, ale že k tomu používali firemní účty. To se vedení společnosti pochopitelně nelíbilo.
Pracujete pro renomované společnosti. Jak celkově hodnotíte zabezpečení firemních serverů, dat a počítačů?
Korporáty mají zabezpečení vyřešené dobře. Mateřské společnosti totiž mívají na kybernetickou bezpečnost vyhrazený rozpočet a svým pobočkám poskytují potřebné know-how. Horší je to ale s menšími společnostmi nebo živnostníky. Třeba malá firma bude zvažovat, jestli investuje 50 tisíc korun do marketingu, který přinese konkrétní výsledky, nebo do kybernetické bezpečnosti, což není tak hmatatelná záležitost.
Co byste menším podnikům doporučil?
Nejlepší je začít tím, že si najmou cyber security experta, který zmapuje firemní on-line svět a provede digitální audit, jenž nemusí stát moc, řádově tisícovky nebo desetitisíce korun. Audit ukáže, co je špatně a co je třeba zlepšit. Odborník zároveň doporučí řešení nebo technologické produkty, které mohou vyjít i jen na pár dolarů měsíčně, ale samozřejmě i více, záleží na rozpočtu.
Kam se podle vás posouvají komunikační technologie a obor cyber security jako takový? Lze říci, co nás čeká za pět nebo deset let?
Budoucnost nám přinese zjednodušení, stačit by nám mohl jen mobil – bude sloužit místo občanky, kreditní karty, klíče. To s sebou ale nese i centralizaci a z toho budou těžit státní organizace, což posílí jejich kontrolu nad občany. Tento trend je patrný v Číně. Není to tak dávno, co vyšlo najevo, že nadnárodní technologické společnosti pracují pro čínskou vládu a vyvíjí technologie rozpoznávající obličeje z kamer. Podle toho, kde se lidé pohybují, bude snižován nebo zvyšován jejich sociální kredit. A podle sociálního kreditu pak bude rozhodováno, zda si mohou koupit auto nebo vycestovat. I takto mohou být moderní technologie zneužity ve prospěch moci.
Co může pro svoji cyber security právě teď udělat každý z nás? Třeba i na firemní úrovni?
I firmy jsou složené z lidí, proto moje doporučení platí jak pro společnosti, tak pro jednotlivce. Jde o několik základních věcí. Důležité je používat silná, bezpečná a unikátní hesla. Dobré je spojit je s dvoufaktorovým ověřováním, třeba když se do účtu přihlašujete ještě pomocí kódu, který vám přijde SMS zprávou. Dalším krokem je silný antivirus a zálohování dat, protože pokud se setkáte s vyděračským virem, můžete o data snadno přijít. A potom je to vzdělávání. Každý z nás by se měl zajímat, kam se technologie posouvají a jak zabezpečit své účty. Tyto kroky bude řešit i start-up, na kterém právě pracuju.
Čeho konkrétně se bude váš start-up týkat?
Půjde o aplikaci, která uživatelům pomůže nastavit správná opatření pro cyber security. Zmapuje váš on-line svět, pomůže s jednotlivými kroky, provede vás celým procesem a ukáže co, kdy a jak udělat, abyste byli v bezpečí. Nebude to nic komplikovaného. Aplikaci vyvíjíme jako uživatelsky příjemné řešení zaměřené především na ženy.
Medailonek
Karol Suchánek je expert na cyber security. Získal MBA na University of New York in Prague a absolvoval speciální cyber-security program na MIT v Bostonu a trénoval například s legendárními Hack5 ve Washingtonu. Má bezpečnostní prověrku NATO. Pracoval na pozici vývojáře. Posledních deset let se stará o soukromí rodinných firem.
