Přelom roku je tradičně obdobím, kdy vychází řada předpovědí různých trendů a oblast kybernetické bezpečnosti není výjimkou. Nemáme zde prostor, abychom vyjmenovali a popsali všechny aktuální trendy, ale zkuste prosím vybrat alespoň několik, které považujete za nejdůležitější pro nadcházející rok. Nejprve prosím, jaký vývoj očekáváte v oblasti rizik?

Vývoj v oblasti kybernetických hrozeb pozorně sledujeme a snažíme se na jeho základě předvídat budoucí rizika. V tomto roce očekáváme, že kyberzločinci přijdou s novými originálními a neobvyklými metodami. Přímé útoky na firemní počítače například vymění za postupné nabourávání informačních systémů skrz infrastrukturu subdodavatelů a partnerů. Už nyní také pozorujeme narůstající oblibu kybernetické špionáže prostřednictvím mobilních zařízení. V roce 2018 nebudou výjimkou ani útoky na UEFI a BIOS, hackování routerů a modemů nebo hrozby zacílené na finanční sektor. Celý trh finančních služeb se musí připravit na novou vlnu hrozeb, které navíc rozšíří nově zaváděné služby podporující kryptoměny. Pro celý segment je tedy nezbytné, aby zajistil ochranu i kryptoměnového tržního prostředí včetně peněženek.

A jak se podle vás bude vyvíjet situace na straně prostředků kybernetické obrany? Pomohou nám nějaké nové technologie?

Nové, chytré technologie jsou v moderní kybernetické bezpečnosti nezbytností. Podívejme se například na zabezpečení průmyslových podniků, které využívá strojové učení. Současný stav zabezpečení průmyslové infrastruktury je na velmi nízké úrovni, takže téměř jakýkoliv kybernetický útok naruší proces výroby. Takový výpadek může napáchat nejen vysoké finanční škody, ale ohrozit i existenci podniku. Účinná ochrana této infrastruktury proto vyžaduje nepřetržitý monitoring informačních systémů i provozních procesů. Ten zajistí řešení se schopností strojového učení, které je na rozdíl od expertních systémů pracujících na základě striktně definovaných pravidel mnohem flexibilnější. Aby totiž expertní systémy mohly pracovat v různých provozech, jsou jejich pravidla často zobecněna. To se projevuje ve zpožděných reakcích na rizikové situace. Systémy se strojovým učením tato zpoždění nedovolují.

Není tajemstvím, že na trhu práce dnes chybí nejen experti na počítačovou bezpečnost, ale i administrátoři a další IT profese. Jak mohou firmy čelit rostoucím bezpečnostním rizikům, aniž by musely shánět nové pracovníky pro IT oddělení?

Zajištění kybernetické bezpečnosti firmy se dnes týká všech zaměstnanců. Aktuální informace o případných rizicích proto potřebují nejen profesionální IT bezpečnostní administrátoři, ale i ostatní pracovníci, na které se navíc kyberzločinci zaměřují nejčastěji. Proto jsou podle mě velmi důležitá školení zaměřená na zvyšování povědomí o kybernetické bezpečnosti a vývoji aktuálních hrozeb. Lidský faktor ve spojení se softwarovými zranitelnostmi stojí za většinou úspěšných útoků na firmy. Proto už dnes podle našich dat okolo 65 % všech firem investuje do pravidelných školení kybernetické bezpečnosti, kde se zaměstnanci dozvědí, jak incidentům předcházet i jak na ně reagovat.

Zajištění kybernetické obrany se stává stále komplexnějším problémem. Firmy a organizace tak musí řešit dvě základní otázky „Odkud začít?“ a „Na co nezapomenout?“ Jaká by na ně byla vaše odpověď?

Kybernetická obrana firem je závislá na celkovém povědomí jejích zaměstnanců o této problematice. Celkově si myslím, že v tomto ohledu mají firmy stále co dohánět. Základ by mělo tvořit nastavení jasných a účinných bezpečnostních pravidel. Zdaleka ne všichni zaměstnanci jsou totiž zvyklí vytvářet si silná hesla nebo nevědí, jaké podoby má phishing. Útoky se navíc častěji týkají menších firem, které si nemohou dovolit vlastního IT bezpečnostního specialistu. Přitom lze rizikům a napadením předcházet účinnými bezpečnostními řešeními a pravidelným školením zaměstnanců.

Jedním z nejčastěji skloňovaných pojmů, resp. zkratek, je dnes ve firmách GDPR. V důsledku nového nařízení budou muset prakticky všechny firmy podniknout nejen různá organizační opatření, ale zajistit ochranu dat také technicky. Na jaké typy bezpečnostních řešení by se přitom podle vás měly zaměřit?

Nové nařízení klade na firmy a instituce organizační a technické nároky. Proto budou muset důkladně promyslet jednotlivé kroky a implementovat technická opatření, aby se vyhnuly případným trestům. Nařízení ale konkrétně nedefinuje, jaká opatření musí firmy přijmout. V tomto ohledu jim nechává zcela volné ruce. Vzhledem k tomu, že jsou útoky čím dál sofistikovanější a jejich zvládnutí klade na firmy a jejich IT operátory vysoké nároky, měly by zajistit vícevrstvou ochranu své IT infrastruktury. Základem by měl být antivirový software, který ale sám na všechno nestačí. Pokud bych měl jmenovat jen pár pokročilejších řešení vhodných pro implementaci v rámci GDPR, doporučil bych především patch management, bezpečné a šifrované ukládání dat, firewally, digitální certifikáty a antispamové filtry.

O kybernetické bezpečnosti se často mluví jako o nikdy nekončícím soupeření mezi obránci, tedy samotnými uživateli IT a dodavateli bezpečnostních řešení, na jedné straně a útočníky na straně druhé. Útočníci přitom mají vždy výhodu prvního kroku a jsou tak neustále napřed. Jenže praxe nám ukazuje, že dopad nově objevených zranitelností, tedy zmíněného prvního kroku, je ve skutečnosti menší, než dopad útoků zneužívajících již dávno objevené a odstranitelné zranitelnosti. Jaké jsou podle vás příčiny a možnosti řešení této situace? Spočívá hlavní příčina ve špatném přístupu firem a organizací k bezpečnosti, nebo jde o přirozený důsledek rostoucí složitosti problematiky kyberbezpečnosti, kterou ani zodpovědné firmy nezvládají dostatečně pokrýt?

Hlavní příčinu těchto problémů lze spatřit v mnoha oblastech. Předně si myslím, že samotní výrobci nových technologií kladou při jejich vývoji minimální důraz na bezpečnost. Vidíme to především na zařízeních IoT, se kterými přicházejí běžní uživatelé do styku každý den. Takové technologie mohou sloužit jako vstupní brány hackerů do firemních sítí nebo osobních počítačů. Druhým faktorem je narůstající komplexnost IT technologií, které jsou stále více propojené, decentralizované a poskytují množství slabých míst, která mohou kyberzločinci zneužít. V neposlední řadě hraje velkou roli také lidský faktor. Podle našich studií zná pouze 12 % zaměstnanců pravidla IT bezpečnosti své firmy. Není proto náhodou, že jsou ve 46 % případů zodpovědní za IT bezpečnostní incidenty ve svých firmách. Řešení nabízí kombinace pravidelného proškolování zaměstnanců o kybernetických rizicích s využíváním účinných bezpečnostních řešení.

Již dlouho se mluví o tom, že kyberzločin se profesionalizoval. Z pochybné zábavy se stal byznys, za útoky stojí bezprostřední snaha útočníků se obohatit (např. u ransomware, phishing...), nebo jsou dokonce prováděny na objednávku (DDoS útoky, kyberšpionáž...). Jaké to má důsledky pro zajištění kybernetické bezpečnosti, když na straně útočníků nejsou nadšení amatéři, ale dobře motivovaní profesionálové?

Je pravda, že kyberzločinci přicházejí se stále dokonalejšími nástroji a technikami, jak obelstít IT zabezpečení. Na druhou stranu ani kyberbezpečnostní obor nezaostává a vyvíjí čím dál účinnější technologie. Pro boj s profesionálními hackery je v současnosti nezbytné kombinovat moderní postupy zahrnující umělou inteligenci a strojové učení s dlouholetou expertízou bezpečnostních odborníků. Nástroje proti cíleným útokům tak například musejí zahrnovat technologie umožňující viditelnost všech kriticky důležitých síťových komponent, širokou databázi hrozeb a pokročilé algoritmy strojového učení. Jen díky tomu může být zaručena včasná detekce hrozeb případně rychlá reakce na napadení.

Na závěr mi dovolte otázku, která bude možná nepříjemná, ale věřím, že naše čtenáře bude zajímat. Kaspersky Lab čelí zejména ve Spojených státech podezření, že vaše produkty mohou být nástrojem špionáže ze strany Ruska. Vládním úřadům proto bylo nařízeno, aby je nepoužívaly. Vaše společnost se již proti těmto podezřením oficiálně ohradila, ale přesto bych vás chtěl požádat o vyjádření k této kauze a zeptat se, zda-li jste podnikli nějaké kroky, abyste podobná nařčení vyvrátili nyní i v budoucnosti.

Předně bych chtěl zdůraznit, že Kaspersky Lab nemá žádné nepatřičné vazby na vlády, včetně té ruské. Zdá se, že jsme se, jakožto soukromá firma, stali nástrojem geopolitického boje, kdy se nás každá ze stran snaží využít jako pěšáka ve své politické hře. Celou dobu jsme připraveni spolupracovat se všemi vyšetřovacími orgány, především pak v USA, abychom mohli vyřešit veškeré jejich otázky vztahující se ke společnosti. Musím také poukázat na to, že všechna doposud vznesená obvinění pocházejí z anonymních a neověřených zdrojů. Abychom podobná nařčení vyvrátili, spustili jsme globální iniciativu nazvanou Global Transparency Initiative. Jejím prostřednictvím chceme zapojit do prověření důvěryhodnosti svých produktů, interních procesů a obchodních praktik širší informačně-bezpečnostní komunitu a další zainteresované strany. Do roku 2020 chceme také vybudovat tři Centra transparentnosti, kde budou mít důvěryhodní partneři přístup k přezkoumání firemního kódu, aktualizacím softwaru a pravidlům pro detekci hrozeb. První takové zařízení vznikne již tento rok.