facebook LinkedIN LinkedIN - follow
IT security , IT Security

„V pohledu na kybernetickou bezpečnost nastal obrovský posun,“

říká Michal Merta, ředitel pražského Cyber Fusion Centra společnosti Accenture

Ing. Lukáš Grásgruber


Michal MertaAccenture je globální poradenská společnost poskytující profesionální služby v oblasti digitalizace, cloudu a kybernetické bezpečnosti. Dlouhodobě je zastoupena i v České republice. Zdejší zastoupení se může pochlubit i jedním unikátem – jako jediné ze zemí střední Evropy disponuje vlastním Cyber Fusion Centrem (CFC) ‒ unikátním expertním centrem sdružujícím více než 150 bezpečnostních odborníků. S Michalem Mertou, ředitelem pražského CFC, jsme se bavili o proměnách v oboru kybernetické bezpečnosti, hrozbě v podobě organizovaných hackerských skupin a také o nových typech útoků, kterým čelí nejen soukromé firmy, ale i státní instituce.


Michal Merta

Michal Merta je absolventem Fakulty informatiky Masarykovy univerzity v Brně, kde vystudoval obor zaměřující se na informační bezpečnost. Od roku 2006 pracuje ve společnosti Accenture a v současné době působí jako ředitel Cyber Fusion Centra v Praze zaměstnávajícího 150 profesionálů z oboru kybernetické bezpečnosti. Michal je držitelem mnoha certifikací z oboru informační bezpečnosti, například CISSP, CISA, CRISC, ISO27001 Lead Auditor a SABSA. Michal je také členem představenstva spolku (ISC)2 Czech Chapter sdružujícího experty z oblasti ochrany dat a kybernetické bezpečnosti.

Michale, v oboru kybernetické bezpečnosti se pohybujete již dlouho. Vnímáte nějaký rozdíl mezi bezpečností dnes a řekněme před 15 lety?

Obrovský posun nastal především v samotném pohledu na kybernetickou bezpečnost. Dříve se bezpečnosti věnoval pouze ten, kdo musel, a několik nadšenců. A dbalo se především na zabezpečení sítí, velký důraz byl kladen i na fyzickou bezpečnost. Dnes žijeme ve světě cloudu, digitalizujeme celá odvětví a téměř na všechno máme aplikace na různých platformách. Obrovský pokrok samozřejmě nastal v technologiích a jejich dostupnosti uživatelům. Když se tedy na celou problematiku podívám z pohledu útočníka, tak dnešní situace je pro ně rájem.

Co tím myslíte?

Na internetu dnes najdete obrovské množství nástrojů, školicích materiálů a dokumentace. Pokud někdo ovládá angličtinu, což je v IT téměř nutnost, je schopen naučit se téměř cokoliv. A často i zadarmo, investuje pouze svůj čas. Uvedu příklad. Phishing – technicky lehce proveditelný útok. Stačí si zaregistrovat doménu, certifikát a nakonfigurovat volně dostupnou aplikaci. Landing page vytvoří téměř každý za pár minut, nebo se udělá kopie již existujících stránek. Navíc dokonce existují zip balíčky, které se pouze rozbalí v domovském adresáři domény a vše je funkční. Na druhou stranu bránit se phishing útokům a v ideálním případě blokovat tyto podvodné e-maily v rámci organizace není tak jednoduché a je zapotřebí okamžité reakce. Útoky mířící na jednotlivce je zastavit téměř nemožné, jelikož používáme různá e-mailová řešení a poskytovatele internetu.

Zní to jednoduše, jak se tedy takovým útokům bránit?

Záleží na typu útoku, motivaci útočníka a jeho možnostech. Samozřejmě existují mechanismy, které útočníka mohou detekovat, či dokonce zastavit. Namátkou zmíním funkční SIEM řešení, simulování útoků, threat hunting, správu privilegovaných účtů či bezpečný vývoj aplikací. Nicméně musíme si uvědomit, že pokud je daný cíl pro útočníka atraktivní, bude zkoušet nové a nové techniky, které nemusí být obranným týmům známé. Zvláště organizované skupiny mívají ve svých řadách experty na vývoj zero day exploitů či threat intelligence analysty. My, co se v kybernetické bezpečnosti pohybujeme každý den, máme takové pořekadlo: „Není otázka, jestli na společnost někdo zaútočí, ale kdy se tak stane.“ I proto v posledních letech zaznamenávám obrovský nárůst v oblasti Incident Response, tedy být schopen na případný útok správně a včas reagovat, a hlavně co nejrychleji vše obnovit do původního funkčního stavu.

Dovolte mi vrátit se ještě k těm organizovaným skupinám, které jste zmiňoval. Vaše společnost také každým rokem vydává zprávu Cyber Threatscape Report, která upozorňuje na nejnovější trendy v oblasti kybernetické bezpečnosti. Z dokumentu vyplývá, že stále více útočí organizované hackerské skupiny, jež jsou podporované různými státy, jako je Írán či Rusko. Na koho tyto útoky směřují? Jedná se o státní instituce, nebo jsou v ohrožení i soukromé firmy?

Opět jsme u motivace a cílů dané skupiny. Když se podíváte na poslední Cyber Threatscape Report, který jsme vydali v říjnu 2020, tak zjistíte, že jsme v průběhu roku zaznamenali zvýšenou aktivitu organizovaných skupin, jež se k dosažení svých cílů mimo jiné snaží zkompromitovat dodavatele služeb a softwaru. A o dva měsíce později, v prosinci, se přesně toto stalo. Co víme, tak v tomto případě byly napadeny vládní instituce i korporátní zákazníci. Ale je třeba si uvědomit, že software, který celosvětově používaly tisíce firem, v sobě daný malware obsahoval již od jara roku 2020. Útočící skupina měla tedy dost času zaměřit se na zajímavé cíle.

Michal Merta

Zpráva také zmiňuje rostoucí oblibu útoků známých jako ransomware. Roste počet takovýchto útoků i u nás? Jde útočníkům vždy o peníze, nebo sledují i něco jiného?

Je pravda, že v roce 2020 jsme zaznamenali nárůst ransomware případů a útočníci k šíření ransomwaru chytře využili globálního tématu COVID-19 a metodu phishingu. Ale výrazněji se ransomware v České republice projevil již v druhé polovině roku 2019, kdy bylo napadeno OKD a později benešovská nemocnice. V březnu roku 2020 dokonce Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) zveřejnil sérii doporučení pro chování v případě spear-phishingu primárně určenou nemocnicím. Opravdu zde byly indicie, které takovým útokům nasvědčovaly. Nejčastěji jde v případě ransomwaru opravdu o peníze, případně získání kryptoměny. Existuje řada společností, které za tzv. ransom zaplatí i miliony dolarů. Na druhé straně ovšem může být i velmi organizovaný protivník se svým vlastním call centrem. A pokud napadená společnost nechce zaplatit? Útočník vydírá zveřejněním odcizených dat nebo faktu, že útok byl úspěšný. Takže mít funkční zálohy samo o sobě nestačí. Je opravdu potřeba útoky zastavit již v počátku.

Ve společnosti Accenture vedete Cyber Fusion Centrum v Praze. Můžete čtenářům přiblížit, čím se zabýváte?

Cyber Fusion Centrum je unikátní expertní centrum v Praze. V současné době zde pracuje asi 150 lidí a klientům z celého světa poskytujeme služby v oblasti kybernetické bezpečnosti. Jsme schopni simulovat reálné útoky na aplikace, infrastrukturu, zařízení, nebo na celou společnost za využití propracovaných scénářů. Zároveň samozřejmě pomáháme klientům i s ochranou proti útokům, se správou privilegovaných účtů, nebo zabezpečením komunikace v cloudu. Máme i vlastní 24/7 dozorové centrum, abychom mohli okamžitě detekovat a následně správně reagovat na incidenty.

Troufám si tvrdit, že jsme největší centrum svého druhu ve střední Evropě. Určitě nejrozmanitější, jelikož u nás pracují experti z více než 30 zemí světa.

To zní zajímavě, proč tomu tak je?

Vsadili jsme na kvalitu a nabíráme lidi s relativně úzkým záběrem na specifické oblasti. V praxi to znamená, že pokud někoho přijmeme na pozici penetračního testera, bude dělat penetrační testování. A podobně to platí i pro ostatní pozice. Praha je velmi atraktivní město zejména pro mladé lidi, kteří jsou více otevřeni stěhování se za prací.

Předpokládám, že češtinu u vás na pracovišti téměř neuslyším.

Spíše výjimečně. V tomto oboru ale musíte angličtinu ovládat. Navíc většina klientů je ze zahraničí. Často se nám stává, že i pro klienty v České republice pracují naši nečesky mluvící zaměstnanci, jelikož se na danou práci nejlépe hodí.

Vidíte smysl v investicích do vývoje a nových trendů?

Samozřejmě. Máme obrovskou výhodu, že Accenture je obrovská společnost, takže na vývoji se spolupodílíme s kolegy z USA nebo Izraele. A od klientů víme, co je trápí a případně bude trápit za rok či dva. Proto jsme například vybudovali tým zabývající se bezpečností ve vestavných systémech a provádíme bezpečnostní testování aut, IoT zařízení nebo 5G síťových prvků. Zároveň investujeme do akvizic – za poslední dva roky jsme koupili více než desítku společností zabývající se čistě kybernetickou bezpečností.

Zmínil jste IoT. Co si myslíte o zabezpečení IoT zařízení a produktů chytré domácnosti?

Výběr takových produktů je obrovský a pro koncového uživatele je prakticky nemožné zjistit, co se skrývá uvnitř a jak je to zabezpečeno. Spousta výrobců bohužel nakoupí levné součástky z Asie, smontuje dohromady, vytvoří aplikační rozhraní a výrobek jde na trh. A jelikož se tlačí na cenu, o nějaké bezpečnostní architektuře nebo vývoji nemůže být ani řeč. My jsme třeba u testování tiskárny narazili na mikrofon, který by tam nikdo nečekal. Byl součástí ovládacího prvku tiskárny, tabletu a ani výrobce tiskárny o tom neměl ani ponětí. A právě proto by výrobky měly projít bezpečnostním testováním, než se dostanou do produkce. Představte si situaci, kdy poskytovatel internetu vynucuje zapojení jím dodávaného routeru. Statisíce routerů v domácnostech s možností fyzického přístupu k zařízení. Co když se za několik měsíců ukáže, že se dá router napadnout a vzdáleně kontrolovat? Pro poskytovatele by to znamenalo vyměnit obrovské množství zařízení, nehledě na náklady spojené s logistikou, pošramocenou pověst a důvěryhodnost.

Takže u vás bychom žádnou chytrou domácnost nenašli…

Ale ano, našli, ale asi méně, než byste čekali. A všechno je samozřejmě kompletně odříznuto od internetu.

Chcete získat časopis IT Systems s tímto a mnoha dalšími články z oblasti informačních systémů a řízení podnikové informatiky? Objednejte si předplatné nebo konkrétní vydání časopisu IT Systems z našeho archivu.

Inzerce

Konec papírování, digitalizujte a usnadněte si práci!

IT Systems 3/2024V aktuálním vydání IT Systems jsme se zaměřili na vývoj digitalizace ve světě peněz, tedy v oblasti finančnictví a pojišťovnictví. Dozvíte se například, proč je aktuální směrnice PSD2 v inovaci online bankovnictví krokem vedle a jak by její nedostatky měla napravit připravovaná PSD3. Hodně prostoru věnujeme také digitalizaci státní správy a veřejného sektoru, která nabírá obrátky.