Devadesát procent českých napadených firem o kyberútoku ani neví. Evropa strašlivě podceňuje kybernetickou bezpečnost. Expertů na internetovou bezpečnost je zoufale málo. V rozhovoru pro Reflex to říká Justin Harvey, bezpečnostní ředitel společnosti Fidelis CyberSecurity. Co nás na internetu nejvíc ohrožuje?
– Koncem minulého roku jste uvedl, že největší kyberbezpečnostní hrozbou bude letos další legislativa zasahující do soukromí lidí. Co tím myslíte?
Po útocích v Paříži a Bruselu jdou politici přehnaně do kolen. Ano, teroristé se dorozumívali šifrovaně. Ale to přece ještě neznamená, že musíme šifrování limitovat nebo je zakazovat. Politici by měli být kurážnější a neomezovat hned naši svobodu. Spíše by třeba měli více investovat do zpravodajských služeb, jež by příště takový útok v předstihu odhalily.
– Nejsou podobné útoky pro politiky nakonec jen záminkou?
Do hlav jim nevidím. Ale jistě si uvědomují, že to upevňuje jejich moc. Když budou moci třeba takové firmě Apple nařizovat, aby dešifrovala komunikaci probíhající na tom či onom iPhonu, získávají nové možnosti, nové informace, další vliv. Už nyní známe případy států, které špehují třeba byznysmeny.
– Které to jsou?
Známá je tím například Čína. Tamní bezpečnostní složky se nerozpakují vzít chytrý telefon nebo notebook vytipovaných lidí, ať už jde o obchodníky, diplomaty, nebo vysoké vládní úředníky, při letištní kontrole někam „za plentu“. Tam data kopírují. Pokud tedy nejsou šifrovaná. Když budou šifrovaná, do systému se nedostanou. Nic nezkopírují. Proto by Čína určitě moc ráda, pokud by dešifrování mohla nařídit. Z důvodu špionáže nebo třeba z důvodu krádeže duševního vlastnictví. Podobně ale mohou uvažovat i jiné vlády, třeba americká. Ať už by dané zařízení dešifrovala tajně, nebo soudním příkazem, zajišťuje jí to přístup k cenným informacím.
– Jeden z expertů označuje za největší kyberbezpečnostní hrozbu uživatele samotné. Doslova říká, že hrozbou jsou nezaškolení, nevzdělaní nebo prostě jen tupí zaměstnanci, kteří své firmy ohrožují tím, že klikají na podezřelé odkazy, navštěvují neprověřené stránky nebo užívají pro všechny přístupy jedno a totéž heslo…
(Smích) Je to tak. Lidé jsou vždy tím nejslabším článkem. Někteří jsou prostě jen líní, ale obecně chybí širší povědomí o kyberkriminalitě. Je to otázka vzdělávání a informování veřejnosti. Potíž však je, že se zoufale nedostává expertů. Celosvětově jde o tisíce a tisíce profesionálů, kteří by se okamžitě uplatnili, ale bohužel lidi s takovým vzděláním nemáme. Kyberbezpečnost je do budoucna neuvěřitelně perspektivní obor.
– Dá se tedy říci, že firmy stále problém kyberbezpečnosti trestuhodně přehlížejí? Jak jsou na tom ty české? Ono se není svým způsobem čemu divit. Řada firem se vůbec nedozví, že byla hacknuta. Jsou dva typy společností. První typ má už zkušenost s nějakým typem kyberútoku. Byly hacknuty a odhalily to. Druhý typ společností, to jsou ty, co byly napadeny, a ani o tom nevědí. Pokud se ptáte na Českou republiku, společností druhého typu je zde přes devadesát procent. To je opravdu vysoké číslo. Opět: částečně jde o problém nedostatečného povědomí, částečně
– Týká se to soukromých firem, nebo i státních či strategicky významných institucí?
Obojího. Ale je to problém celé Evropy. Stále žijeme v době, kdy elektrárny včetně těch jaderných nebo systémy řízení letového provozu řídí software jedoucí na nějakých obyčejných Windows, Linuxu nebo Maku. Je vlastně jen otázkou času, kdy nějaký kyberútok povede ke ztrátám na životech. Osobně prognózuji, že se tak stane během jednoho roku až tří let.
– Jaký je nejpravděpodobnější scénář takového útoku?
Nemyslím hned útok přímo na jadernou elektrárnu. Může jít třeba o napadání elektrické přenosové soustavy, která zkolabuje, a lidé budou od proudu odříznuti. Prostě blackout. To bude zvlášť závažný problém třeba v nemocnicích, kde přístroje udržují při životě mnohé pacienty. Není těžké si domyslet, že do situace, kdy umírají lidé, už pak mnoho nechybí. To je však jen jeden, spíše prostší scénář. Nabízí se také třeba možnost útoku na řízení letového provozu a v takovém případě mohou být důsledky ještě daleko závažnější.
– Které části světa jsou nejzranitelnější?
Spojené státy mají bohatší zkušenost s kyberútoky než Evropa. Jsou častým terčem takových útoků a tato zkušenost je učí. Tím neříkám, že Evropa terčem nebývá. Co se týče povědomí o problematice kyberbezpečnosti, za USA však hluboce zaostává. Obávám se, že země typu České republiky činí zranitelnými právě nedostatek dosavadní zkušenosti s kyberútoky. Nepřipouštění problému a s tím související kritická poddimenzovanost jak v oblasti procesů a technologií, tak i příslušných expertů zranitelnost umocňuje.
– Už jsme zmínili kyberkriminalitu, hackerství, kyberšpionáž, či dokonce kyberválčení. Ačkoli jsou to všechno činy prováděné v kybersvětě, zjevně se liší. Jak byste je vymezil a vzájemně odlišil?
V zásadě jste vyjmenoval čtyři základní druhy kyberútoků. Motivací kyberkriminálníků je ukrást data a prodat je. Kyberšpiónům jde o krádež manuálů, komerčních postupů či receptů nebo algoritmů. Prostě čehokoli, co poskytuje konkurenční výhodu. I tato data se pochopitelně dají dobře zpeněžit. Hackerství neboli hackaktivismus a kyberválčení jsou si velmi podobné. Jejich cílem není ukrást data a transferovat je. Cílem je narušování, paralýza atakované organizace. Útočníci zamýšlejí znemožnit poskytování služeb ze strany těch organizací, třeba vlády nebo firmy, příslušným občanům nebo klientům. V případě kyberválečnictví se ještě přidává snaha o infiltraci organizace, vlády nebo armády. Infiltrace může proběhnout ve značném časovém předstihu. Když pak dojde, řekněme, k vojenskému konfliktu, infiltrátor se aktivizuje, armádu paralyzuje a danou vojenskou operaci znemožní. Vidíme, že škála kyberútoků je pestrá. A to lidé přitom kyberútočníkům stále nabízejí nové a nové příležitosti.
– Jak to myslíte?
Trendem doby je internet věcí. Před dvěma nebo třemi lety bychom ani nepomysleli, že si on-line napojíme třeba i náš termostat. Ale dnes ano. Američané to milují. Netuším proč. Co je na tom, že si mohu termostat v pokoji zapnout třeba z druhého konce světa? Kdo tohle doopravdy potřebuje? Jenže oni už mají on-line nejen termostat, ale i televizi, chladničku, toaster či kávovar. Nebo auto. V případě aut jde o zvláště nebezpečný trend. Osobně musím říci, že u sebe doma internet věcí nepoužívám. Proč bych měl sebe i svoji rodinu vystavovat – a ještě k tomu zcela zbytečně – dalším rizikům a dalšímu nebezpečí?
Vyšlo v Reflexu.
Lukáš Kovanda, Ph.D., je český ekonom a autor ekonomické literatury. Působí jako hlavní ekonom Trinity Bank. Analyzuje a komentuje makroekonomická témata, investice i nové fenomény typu sdílené ekonomiky, kryptoměn či fintechu. Přednáší na Národohospodářské fakultě Vysoké školy ekonomické v Praze.
Je členem vědeckého grémia České bankovní asociace.