Nemyslím si, že je v kauze Huawei namístě hysterie, tyto technologie by se ale neměly objevovat ve vojenských systémech, říká bezpečnostní analytička Kristina Soukupová

Nemyslím si, že je v kauze Huawei namístě hysterie, tyto technologie by se ale neměly objevovat ve vojenských systémech, říká bezpečnostní analytička Kristina Soukupová
Popisek: Kristina Soukupová
26 / 05 / 2019, 17:30

Security magazínu poskytla rozhovor bezpečnostní analytička a prezidentka inovativního hubu DefSec Kristina Soukupová. V interview jsme hovořili mimo jiné o možných kyberhrozbách, kauze Huawei či kyberkriminalitě, která může v dlouhodobějším horizontu nadělat větší škody než ta klasická.

Paní Soukupová, jaké budou podle Vás největší kyberhrozby roku 2019?

To se podle mě nedá vůbec odhadnout. Je to stejné, jako bychom řekli, jaká bude zítra nebo pozítří válka. My se vždy připravujeme na konkrétní válku podle té války, která byla včera. To znamená, že my se učíme z toho, čím jsme si prošli, ale nikdo nedokáže předpovědět, jak svět bude vypadat zítra. Velkým problémem je právní rámec, v němž se pohybujeme. Obecně je také velký rozdíl mezi kyberbezpečností a kyberobranou. Bezpečnost, tak, jak ji máme nastavenou v našem právním rámci, je vnitřní, kdežto obrana znamená se bránit před vnějším nepřítelem. Pojmy ,,vnitřní” a vnější” však v kyberprostoru neexistují. 

V poslední době se zvlášť rozšířil phishing, kdy chtějíútočníci získat od lidí citlivéúdaje k přístupu například k bankovním účtům. Jak se člověk může proti těmto útokům bránit?

Řekla bych to jednoduše – selským rozumem. Já patřím k těm lidem, který říká, že v tomto případě je největším problémem uživatel. Když vám něco řekne, abyste neklikali na e-mail, který je nevyžádaný, a vy na něj přesto kliknete, tak si ten trest prostě zasloužíte. Existuje v současné době řada firem, které v tomto směru své zaměstnance vychovávají. Sami generují phishingové nebo podobné e-maily a kontrolují zaměstnance, jestli na na ně skutečně klikli. Zásadní věcí je vzdělávání a pak je věcí firem, aby zaměstnance informovaly o těchto nebezpečích, ale hlavně jim ukázaly, co všechno zmíněné hrozby dokáží.

Jak má běžný člověk číst kauzu Huawei? Je to nafouknutá bublina, nebo je namístě varovat před čínskými technologiemi jakožto bezpečnostním rizikem?

Já bych si dovolila říct, že běžný člověk, který se nedostane k žádnému státnímu tajemství, se obávat nemusí. Pokud to vztáhneme na ČR, která je na rozdíl od Číny velmi malou zemí, tak si nemůžeme představit, že každého jednotlivce, který vlastní nějakou technologii Huawei, Číňané budou sledovat. Jsou samozřejmě určité strategické zájmy, ale to už se bavíme v úplně jiných dimenzích. Dlouhodobě se ví, že před technologiemi, které přichází z Číny, bychom se měli mít na pozoru, protože nevíme, co v nich vlastně je. Nemyslím si, že je namístě hysterie, na druhé straně by se neměly tyto technologie objevovat ve vojenských či bezpečnostních systémech. Přece jen žijeme ve světě, kdy si musíme říct, kdo je přítel a kdo naopak nepřítel.

Nezvrhl se ,,boj o Huawei" spíše v ostrý politický střet a hlavně konkurenční boj proti čínským výrobkům?

Samozřejmě, bohužel Česká republika se nachází v jakémsi ,,dvojakém” stavu, kdy máme prakticky dvojí zahraniční politiku. Jednu, kterou zastává náš prezident, a druhou, kterou razí vláda, což nás bohužel staví do velmi nevýhodné pozice, kdy jsme pro naše partnery nečitelní.

Odborník na kyberbezpečnost Aleš Špidla v našem rozhovoru řekl, že hacking je už regulérním byznysem, stačí říct, jaký typ útoku si chcete objednat. Dospěl hacking podle Vás skutečně už do této fáze?

Pokud to řekl nějaký odborník, tak s ním nebudu polemizovat. My máme tzv. hodné hackery, kdy se dělají tzv. penetrační testy, aby například firma věděla, jakým způsobem je chráněna ať už technicky či technologicky. Takže si objednáte profesionální tým těchto ,,hodných hackerů” , ti udělají penetrační test a řeknou vám, jaké nedostatky v zabezpečení máte, kterou technologii si třeba koupit atd. Takže v tomto ohledu je to velký byznys, protože tito lidé si to nechají velmi slušně zaplatit. Nicméně když vám odhalí nějakou fatální chybu v systému, kvůli které by mohla firma i zbankrotovat, tak jsou tyto služby do určité míry k nezaplacení.

Na loňském Security summitu ASIS zaznělo, že ČR patří z hlediska kyberbezpečnosti k nejbezpečnějším zemím na světě, nicméně v předminulém roce došlo k napadení českého ministerstva zahraničí ruskými hackery a v roce 2014 čínskými. Tak jak si vlastně skutečně stojíme v oblasti kyberbezpečnosti?

Já si myslím, že Česká republika má v tomto směru excelentní know-how. Velmi dobrým příkladem je například ČVUT, která například dlouhodobě spolupracuje a americkou výzkumnou agenturou DARPA. Takže šikovné lidi u nás určitě máme. Fakt, že se objeví nějaká zpráva, kdy Čína nebo Rusko nám napadly naše organizace nebo úřady, a je prakticky jedno jaké, je jedna věc, ale na druhé straně to musíme brát s rezervou, protože to jsou informace, které prostě vyplavou na povrch. Nicméně my se naopak nikdy nedozvíme, kolik těch útoků se jednak nepovedlo a zadruhé kolik z nich jsme dokázali odvrátit.

Kriminalita se stále více přesouvá právě do kyberprostoru. Může podle Vás nadělat v dlouhodobějším horizontu více škod než ta klasická?

Neznám sice poslední statistiky, ale řekla bych, že ano. Trend je takový, že každý ,,kyberkriminálník” jde za tím, kde maximalizuje svůj zisk. Je to skoro jako v byznysu. Oni nebudou páchat takové útoky, aby si jen ,,přilepšili”,nebo si zvýšili ego, ale jde se skutečně za maximalizací zisku. Kyberprostor v tomto smyslu je velmi úrodná půda, protože s minimálním úsilím dokážete vytěžit spoustu zdrojů. Vymyslíte jeden phishing či ransom, a ten když rozešlete, tak vás to prakticky nic nestojí.

Jak jsou podle Vás zabezpečeny proti vzrůstajícím kyberhrozbám tuzemské firmy a liší se stupeň jejich zabezpečení podle velikosti?

Na to nedokážu úplně přesně odpovědět, protože žádná firma vám neřekne, že má nějakou díru v zabezpečení. Firmy si totiž myslí, že zabezpečení mají velmi dobré, nicméně my na druhé straně víme, že nejen v ČR je obrovský nedostatek odborníků na kyberbezpečnost. A odborník na kyberbezpečnost je něco jiného než ,,ajťák”. A právě proto, že kyberbezpečnost se rozvíjí tak rychle, tak ty lidi musíte velmi rychle vzdělávat. Musíme si rovněž uvědomit, že každoročně rostou statistiky, kolik nám chybí na tuto problematiku odborníků. Navíc berme v potaz nízkou nezaměstnanost, kdy ti nejlepší odborníci už někde pracují a firmy se tak o ně přetahují.

Mají naše firmy obecně zájem o poskytování poradenství v oblasti kyberbezpečnosti?

Vzhledem k tomu, že je to poměrně finančně nákladná záležitost, tak tam se to bude lišit podle velikosti firmy. Asi těžko si můžeme představit, že nějaký startup bude jako první věc řešit kybernetickou bezpečnost. To až od nějakého objemu peněz, kdy se startupu daří, se může přemýšlet o tom, že firma investuje finanční prostředky do poradenství v oblasti kyberbezpečnosti. 

A co konkrétně firmy podceňují nejvíce ohledně kyberbezpečnosti?

Zmíním opět vzdělávání, které je zásadní. Můžete mít ten nejlepší zabezpečovací systém, který existuje, ale někdo stejně otevře dveře, které otevírat nemá. Navíc v době, kdy se jednotlivé firmy perou o zaměstnance, je prostor k tomu toto vzdělávání poskytovat. Ale vzdělávání musí být samozřejmě systematické, dlouhodobé a lidé si to musí skutečně osahat v praxi.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Tagy článku

-->