Dalibor Kačmář: Kybernetický útok předchází konvenčnímu
Současné ozbrojené konflikty se sice stále dějí konvenčním způsobem za použití klasických zbraní, avšak kromě tohoto klasického fyzického bojiště se stále více pozornosti přesouvá na nový typ bojiště, kterým je kyberprostor. Sofistikované kyberútoky míří nejen na kritickou infrastrukturu, ale daleko častěji na státní instituce, firmy a konkrétní osoby, kdy může takováto hrozba efektivně poškodit protivníka bez použití jediného náboje. O tom, jak je před kyberútoky chráněna Česká republika, jaké potenciální hrozby nám hrozí a jak budovat efektivní obranu v kyberprostoru jsme si v dalším díle našeho diskusního pořadu CZ DIALOGY povídali s ředitelem pro technologické standardy společnosti Microsoft Daliborem Kačmářem.
Video: Rozhovor s ředitelem pro technologické standardy společnosti Microsoft Daliborem Kačmářem / CZ DEFENCE
Útoků na Českou republiku jako členskou zemi NATO v geopolitickém kontextu existuje velké množství. „Je dost prostoru na to řadu věcí zlepšovat. Myslím si ale, že ČR je relativně dobře chráněna. Už jenom proto, že tady máme velkou řadu organizací, které se zabývají kybernetickou obranou, ať řekněme ve státním sektoru nebo nakonec i v prostředí armády,“ říká Dalibor Kačmář. Zajímalo nás, kdo je vlastně nepřítel – jsou to jednotlivci, skupiny, organizace? „Kybernetický zločin se do značné míry vyvíjí. Když se podíváme o mnoho let zpátky, tak to možná byli jednotlivci nebo nějaké organizované skupiny se svými cíli, ať ekonomickými nebo politickými,“ říká Kačmář. Podle něj je dnes kybernetický zločin vlastně už průmysl, kdy není jednoduché rozplést souvislosti. Na různé části kybernetického spektra se specializují zvláštní skupiny. „Dneska se práce dělí do jednotlivých částí. Skupiny spolu navzájem spolupracují. Každý z nich je dobrý ve své oblasti a vzniká v podstatě legitimní – pokud to takhle lze nazvat – byznys. Jsou například specialisté nebo skupiny, které se věnují napadením nějaké infrastruktury, například zcizení identit. Ale dále s tím útokem nepokračují a zcizené identity následně prodávají. Někdo jiný ví, proč takové identity potřebuje a co s nimi chce dokázat a provede nějaký úspěšný nebo méně úspěšný útok. Ale to také nemusí být konec celé operace,“ vysvětluje Kačmář.
Foto: Cíle kyberútoků | Dalibor Kačmář / Microsoft
Součástí obrany proti případnému kybernetickému útoku je velmi důležité dodržování bezpečnostních pravidel ze strany zaměstnanců. Každý externí přístup do systému firmy či instituce je problém a slabé místo. „To, co se dnes odehrává na kybernetické scéně je, že se útočníci nevlamují, ale přihlašují,“ říká Kačmář, který dodává: „Když bych to přirovnal ke krádežím v domech, tak nám nerozbije vstupní dveře, ale ukradne klíče a naprosto legitimně do domu vstoupí. Je to daleko méně detekovatelné. Když mám klíče k dispozici a jsem osoba, která je privilegovaná, tak díky mým privilegiím má potom útočník daleko snadnější roli se v systému pohybovat. Proč to říkám je, že nejvíce útoků se dnes děje právě prostřednictvím zcizení identit. To znamená, pokud bych chtěl v téhle oblasti provést nějakou vyšší míru ochrany, tak je to v oblasti zajištění identit.“ Existuje řada nástrojů, které dovedou například identifikovat chování jedince. „V případě, že se někdo přihlásí v jedné chvíli z ČR, za chviličku z Indie, za chviličku z Ruska apod., tak to je samozřejmě podezřelé. Takové chování nemůže být legitimní. Dnes máme obranné systémy, které dovedou nejen technicky chránit prolomení identit, ale zároveň sledují a monitorují chování jednotlivce. Zjišťují, jestli chování není odlišné a neindikuje nějaký pokus o prolomení nebo nedej bože již jde o pohyb v IT systému, což je následující krok po úspěšném průniku,“ vysvětluje Kačmář.
Foto: Vzorek aktivit národními státy sponzorovanými aktéry | Dalibor Kačmář / Microsoft
Vedení hybridní války je dnes nedílnou součástí konvenčních bojů, což je patrné také v rámci ukrajinského konfliktu. „Už máme jasné stopy, které říkají, že povětšinou kybernetický útok předchází tomu konvenčnímu. Protože pokud útočníci správně napadnou infrastrukturu v dané oblasti, kde potřebuji útočit, paralyzují odpovídající organizace nebo orgány, které pak musejí konat. A následuje konvenční útok. Samozřejmě výsledný efekt na napadenou oblast je výrazně větší,“ vysvětluje Dalibor Kačmář. Podobně jako v jiných případech je pro vývojáře softwarů ukrajinská válka poučením a inspirací pro další práci. Klíčovou prací je pak hledání vektorů útoků. Přes ně totiž kybernetické operace probíhají, a proto je důležité o nich vědět, aby se jim v tom zabránilo. „Podle jedné ze statistik, kterou jsme v poslední době udělali jsme schopni se ubránit řádově osmdesáti procentům útoků, a to jen jakousi jednoduchou bezpečnostní hygienou. Ta většinou nebývá zavedena,“ doplňuje ředitel pro technologické standardy společnosti Microsoft Dalibor Kačmář.
Foto: Ruské vládní entity odpovědné za kybernetické útoky | Dalibor Kačmář / Microsoft
Stále významnější roli v kyberprostoru pak hraje umělá inteligence. „Umělá inteligence je dnes v kybernetické obraně používána zejména za účelem odhalování chování uživatelů a systémů. Ve chvílích, kdy se útočník dostane do systému a je tam opravdu nepozorován, je důležité na základě jeho činností odhalit, že tam je a samozřejmě identifikovat místa, která jsou napadena,“ říká Kačmář. To se nedá zjistit nějakou jednoduchou analýzou, kterou udělá člověk, zde se musí použít právě umělá inteligence. „Důležitá je schopnost monitorovat vzorce chování systémů a lidí a podle toho identifikovat hrozby, které nastanou anebo průniky, které již nastaly. Druhá oblast pro působení umělé inteligence jsou činnosti spojené s identifikováním nějakých dezinformačních operací a hledání obsahu nebo původců, které dezinformační operace mají na starosti nebo jsou jejich zdrojem,“ doplňuje Dalibor Kačmář.
Foto: V tomto díle našeho diskusního pořadu CZ DIALOGY jsme si popovídali s ředitelem pro technologické standardy společnosti Microsoft Daliborem Kačmářem | Michal Pivoňka / CZ DEFENCE
Svou roli hraje také uložení dat, kdy se velké množství těchto dat nachází v cloudových úložištích. Zajímalo nás, jakou mohou cloudová úložiště hrát roli ve válečných konfliktech, jako je např. ten na Ukrajině. Ukrajina měla na začátku války své IT prostředí bezvýhradně umístěné na svém území. „Samozřejmě ve chvíli, kdy došlo k tak masivním útokům, které byly mířeny na infrastrukturu a kritickou infrastrukturu státu, tak samozřejmě existovalo vysoké riziko, že IT infrastruktura bude poškozená,“ říká Kačmář a doplňuje, že na začátku války bylo poškození skutečně značné. „Dnes se řada operací děje prostřednictvím IT a je proto vhodné systémy ve svém provozu přenést mimo území.
Foto: Důležitá je schopnost monitorovat vzorce chování systémů a lidí a podle toho identifikovat hrozby, které nastanou anebo průniky, které již nastaly. | Shutterstock
Microsoft, ale i některé další globální firmy Ukrajině, ve velmi velké míře pomohly toto IT přenést. A kam jinam, než do cloudového prostředí a provozovat dále systémy nezávisle na tom, co se fyzicky při konfliktu na daném území odehrává,“ vysvětluje Kačmář. Podobný problém podle něj nastal i v případě zemětřesení v Turecku. Ke cloudovému řešení již přistoupila celá řada zemí, které se cítí ohroženy: „Zejména se jedná o pobaltské země, které dnes cloudové prostředí využívají výrazně více.“ Firmy jako Microsoft jsou dnes obrovským terčem kybernetických útoků hackerů. „Na druhé straně u nás ve firmě se kybernetickou bezpečností a obranou zabývají tisíce lidí, kteří jsou specializovaní na kybernetickou bezpečnost,“ uzavírá Kačmář.
Foto: Šestice největších přispěvatelů ke zranitelnosti | Dalibor Kačmář / Microsoft
Dalibor Kačmář je také autorem tzv. desatera správného chování v kybernetickém prostoru, které popisuje deset oblastí, kterým je potřeba se věnovat, aby bylo IT bezpečné. Mezi ty nejpodstatnější patří: „Bránit svoji identitu, nenechat si vytáhnout klíče z kapsy, ukrást občanku apod.
Foto: Dalibor Kačmář je také autorem tzv. desatera správného chování v kybernetickém prostoru | Dalibor Kačmář / Microsoft
Další věc, která se odehrává velmi často, je fakt, že IT systémy, které provozuji jako jednotlivec či jako organizace, nejsou aktualizované. Pokud váhám s aktualizací a nemám nainstalované opravy, tak se můj systém samozřejmě stává „pláství medu“ a láká útočníky, aby téhle zranitelnosti zneužili,“ vysvětluje Kačmář. Podle něj svět obrany IT už není jen firewall nebo antivirový program, který nám stačil dříve. „Musíme opravdu přistupovat k IT tak, že napadení předpokládáme a minimalizujeme tak škody, které při takovém napadení mohou nastat. Tomu říkáme princip nulové důvěry,“ doplňuje Dalibor Kačmář, ředitel pro technologické standardy společnosti Microsoft.
Foto: Kybernetické a vojenské operace na Ukrajině - návaznost je zřejmá | Dalibor Kačmář / Microsoft
V rozhovoru s Daliborem Kačmářem jsme se také věnovali růstu kybernetického zločinu a ziskům z něj a zajímalo nás také, jak vypadá takový ransomware útok. Dále jsme probírali poučení z kybernetické války na Ukrajině, práci s cloudovými úložišti, ruskou špionáž či globální dopad ruských manipulačních operací.
Foto: Průběh ransomware útoku | Dalibor Kačmář / Microsoft
Pokud vás zajímá celý náš rozhovor s Daliborem Kačmářem, pusťte si video v úvodu tohoto článku.
Zdroj: CZ DEFENCE