ROZHOVOR | Pouze antivir nestačí, kyberútoky na nemocnice mohou být demonstrací síly, říká expertka na kyberbezpečnost

Nicol Daňková je manažerkou týmu centra kybernetické obrany, který 24 hodin denně monitoruje kybernetické útoky. Zároveň studuje bezpečnostní technologie, systémy a management na Univerzitě Tomáše Bati ve Zlíně. Dále je také autorkou projektu Kyberbezpečně.

Kvůli koronaviru bylo mnoho lidí přesunuto domů na home office. Je tato doba lákavější pro kybernetické útočníky?

Řekla bych že ano, protože lidé jsou na internetu více než běžně. Řekněme, že prostředí home officu lidi svádí k řešení osobních věcí například na firemních zařízeních. Myslím tím užívání soukromého e-mailu a podobně. Tímto se nějakým způsobem útočníkům otevírá možnost, jak se dostat do zařízení nějaké společnosti. Když člověk sedí v kanceláři, je většinou soustředěný na práci a nemá tolik rozptylovacích faktorů, jako když je doma. Řekne si, zkontroluji si email a nebudu si zapínat další počítač, když už mam otevřený ten firemní. Projde si různé stránky, emaily, sociální sítě a tak dále. A právě emaily můžou být jednoduchou vstupní branou pro viry, který se může dostat do firemního zařízení. Například běžně by se taková zpráva nedostala přes filtry ochranných prvků, které mají společnosti nastavené pro pracovní e-mailové schránky.

Je tedy lepší používat dvě zařízení? Jedno na práci jedno na osobní vyřizování nebo stačí dané okno na počítači zavřít?

Vůbec nejlepší je, aby se člověk choval zodpovědně a zamezil tomu, že danému útočníkovi naletí. Například že klikne na nějaký odkaz, který ho povede k instalaci pluginu do prohlížeče, který může následně dát útočníkovi možnost vzdáleného přístupu do zařízení nebo k zachytávání dat. Například toho, co všechno uživatel napíše na klávesnici, což je takzvaný keylogger. Je to možnost, jak získat informace o heslech, které uživatel používá.

Je proti tomuto antivir dostatečná ochrana?

Antivir je užitečný a nutný prvek pro hrozby, co už známe. Antivir kontroluje hodnoty, které jsou specifické pro ten daný soubor, ale také je schopný analyzovat chování souboru. Tudíž antivir je rozhodně dobrým prvkem. Dnes už má spousta antivirů nějaké další funkce, jako je například filtrování nedůvěryhodných stránek. Taky mají často filtr, který odhalí phishing. Dále existují balíčky, kdy společnosti nabízejí manažery hesel, stejně tak nabízejí i ochranu pro mobilní telefony, domácnost. Společnosti přidávají password manažery hlavně proto, aby se lidé naučili dobré hygieně hesel, což znamená, že nepoužívají jedno heslo úplně všude.

Antivir sám o sobě nutný prvek je, ale rozhodně musí člověk i nadále přemýšlet nad tím, na co klikne, co si stáhne, co nainstaluje.

Jaký je rozdíl mezi antivirem pro počítače a mobilní telefony? U mobilů se nejvíce mluví o tom, že se infikují přes mobilní aplikace, které jsou stažené, ale už se nemluví o tom, zda je možné stáhnout si virus i jiným způsobem. Navíc kolují názory, že antivir pro mobily je zbytečnost. Je antivir v mobilu důležitý?

Jako zbytečnost bych to neoznačila. Tyto antiviry opět dovedou odhalit přítomnost infikovaného souboru v zařízení, pokus o navštívení stránky související s podvrhem nebo právě distribucí virů, případně dovede uživatele upozornit na přítomnost závadné aplikace ve smartphonu.

V dnešní době chodí uživatelům i takzvaný smishing, to je obdoba phishingu, jen ve formě SMSek. Velmi populární je v dnešní době posílání podvodných zpráv přes WhatsApp nebo přes samotné SMS zprávy, protože spousta společností posílá newslettery přes SMS.  Lidé jsou zvyklí, že jim chodí notifikace od obchodu nebo ohledně doručování balíčku. A toho útočníci využívají. Člověk v okamžiku, kdy dostanete zprávu například ve znění: „Adidas rozdává pět tisíc triček, pokud chcete zjistit, zda vyhráváte, klikněte zde“, tak na tom telefonu má uživatel ještě menší tendenci ke kontrole toho, co ten link obsahuje. Když na to klikne, může dojít ke stažení závadné aplikace nebo stránka může vyžadovat přístupy k funkcím telefonu. Tím si může člověk stáhnout malware. Všimla jsem si, že v poslední době útočníci využívají toho, že jejich oběť má očekávat danou zásilku nebo se často jedná o rozdávání věcí od známých společností.

Používají útočníci pokaždé sociální inženýrství nebo mají i jiné možnosti, jak získat cizí data?

Použití sociálního inženýrství je nejjednodušší. Je nejjednodušší využít, řekněme vidinu lidí, že dostanou něco zdarma. Je to věc, která vždycky fungovala a vždycky fungovat bude. V okamžiku, kdy mají možnost získat nějakou drahou věc jenom kliknutím na link, lidem nedojde, že za tím je podvod. Myslí si, že jsou šťastlivci, kteří jsou v řadě hrstce vyvolených, jenž dostali danou zprávu.

Jak následně útočník s daty obětí nakládá, když získá například jméno, rodné číslo a datum narození? K čemu to všechno využije?

Ty osobní údaje jsou věci, které u sebe nikdy nezměníte. Navždy budete provázán s datem narození. Pokud to přeženu až do extrému, může dojít ke krádeži identity. Dojde k tomu, že se někdo za vás bude vydávat a defacto vám může úplně zničit život. Může se klidně jednat o někoho, kdo je na opačné straně zeměkoule.

Například nabourání internetového bankovnictví se dá lehce zjistit. Je nějaká možnost zjistit krádež identity? Bude-li mít někdo cizí údaje, jde to zjistit do doby, než se něco stane nebo to může mít u sebe několik let a já to zjistím, až když se něco stane?

Bohužel častější je ta druhá varianta. Pokud se jedná o něco takového, útočníci často spoléhají na to, že mají v ruce údaje, které zůstávají stálé. Data, která se nebudou měnit a můžou se využít až v době, kdy se budou hodit. Ono se to ani nemusí stát, že se to zneužije, ale pořád tam to riziko je. Zjistit to, že se někdo za vás skutečně vydává, ani nemusíte. Pokud by se jednalo například o nějaké zneužití údajů v rámci Česka, kdy by si někdo na vás vytvořil falešnou identitu, vytvořil by si občanku s rodným číslem, tak má možnost jít například do nějakého zdravotnického zařízení, kde ho ošetří. To je věc, kterou zjistíte až když nebude něco pojišťovně sedět. Až potom se bude řešit, že někdo zneužil vaši identitu. Vy, dokud nedojde k nějaké podezřelé akci, nemáte možnost to zjistit. Pokud skutečně aktivně neprohledáváte všechny záznamy, co o vás má vaše pojišťovna, záznamy v registrech dlužníků a podobně. I tak byste věděli jen o tom, co se stalo v rámci vaší země.

Existuje s kradenými identitami obchod? Může si někdo něčí identitu koupit?

Koupit se dá všechno. Na dark netu určitě taková možnost bude, ale nechci navádět, kde hledat. Každopádně existuje černý trh, kde seženete všechno. Existují i stránky, kde jste schopni koupit baliček údajů o existujících a funkčních kreditních kartách.

Krádež identity není v tuzemsku novinkou, ale zatím to u nás není příliš časté. Kdo by chtěl, může se registrovat do Solusu, aby si zkontroloval půjčky a podobně. Je to podle Vás něco, co by každý člověk měl jednou za čas v rámci prevence udělat?

Určitě by si měl člověk jednou ročně udělat výpis registru dlužníků, ať ví, na čem přesně je. Je to i takové vnitřní uklidnění, protože není nic horšího, než když člověk například najde svůj vysněný dům a chce si na něj vzít hypotéku. Najednou zjistí, že je ve spoustě registrů dlužníků, aniž by o tom věděl, protože si na něj kdysi někdo něco vzal. Vy v okamžiku, kdy zjistíte zavčasu, že jsou na vás vedeny úvěry, o kterých nevíte nebo jste označen jako neplatič, máte možnost nějakým způsobem situaci začít řešit dřív, než nastane moment, kdy vám přijde obsílka o exekučním příkazu.

Vraťme se zpět k home office. Co by měly firmy dělat, aby si zaručily bezpečnost? Měly by své zaměstnance například vzdělávat?

Vzdělání je určitě naprostý základ. Firmy nemůžou očekávat, že lidé budou sami od sebe vědět, jak se bezpečně chovat na internetu a jaké je rizikové chování v kybernetickém prostředí. Pokud nemají nějakou možnost ty informace čerpat, případně pokud to není vyloženě součástí interního firemního školení. Zcela upřímně si myslím, že valná část lidí nepřijde domů a nezačne si hledat, jak se bezpečně chovat na internetu. Toto je věc, která by měla být součástí každého vstupního školení v okamžiku, kdy víme, že ten člověk bude pracovat s informačními technologiemi. Musí vědět, jak s tím zařízením bude nakládat. Často mají firmy interní regulace a mají přímo vypsané, co se na zařízeních může a nemůže dělat. Uživatelé mají tedy omezená práva, kdy například ve firmě existuje jen několik lidí, kteří můžou na zařízení instalovat programy.

Může být nedostatečné proškolení personálu i důvod úspěšných útoků na české nemocnice? Jak by měly nemocnice či stát postupovat, aby zabránily možným katastrofálním dopadům?

Je několik faktorů, které ovlivňují zranitelnost systémů nemocnic. Od samotného zabezpečení sítě, přes absenci neustálého monitoringu prostředí, zranitelný software nemocničních zařízení, jelikož fungují na starých operačních systémech, až po vzdělávání personálu. Dalším úskalím je také neatraktivita pracovních pozic v oblasti IT a kyberbezpečnosti pro zdravotnická zařízení, jelikož specialisté bývají leckdy finančně podhodnoceni. Zahraniční korporát je mnohem více konkurenceschopný, co se platu týče. To vše je vyústění absence finančních prostředků pro modernizaci informačních technologií ve zdravotnických zařízeních.

Líbí se mi myšlenka Dušana Chvojky z Nemocnice Na Homolce o vytvoření centra kybernetické obrany, které by střežilo české nemocnice. Velkou výhodou by bylo sdílení odborníků na danou problematiku, jednotná reakce na nové zranitelnosti nebo útoky.

Proč a kdo útočí na české nemocnice?

Důvod útoků na české nemocnice není úplně jasný. Může jít o pokus získat výpalné, přístup do zdravotní dokumentace nebo o pokus vytvořit si do systémů trvalý přístup, případně pouze demonstraci síly v podobě paralyzování jedné z nejkritičtějších institucí.

V případě Benešovské nemocnice se jednalo o útok skupiny Ryuk, která pochází pravděpodobně z Ruska. Co se týče dalších útoků, tak u nich nedošlo ke spojení s žádnou konkrétní skupinou útočníků. Dle dostupných informací údajně ani nedošlo k úniku velkého množství dat.

Můžeme říci, že jsme v kybernetické válce?

Neřekla bych, že jsme přímo ve válce. Spíše probíhá jakési oťukávání, u kterého aktuálně neznáme opravdový motiv.

Nemělo by bezpečné chování na internetu být vyučováno již na školách?

Prostředí firem je komplikované z toho důvodu, že valná hromada lidí nepřišla s takovou technikou do styku, když byla na školách. Právě na těch školách je dnes spousta vzdělávacích programů, které se zaměřují na bezpečné chování na internetu. To je věc, která se dnes ve školství zlepšila z velké části i díky externím společnostem. Je to téma, které začíná být v popředí a začíná se o něm mluvit. Děti jsou většinou velmi dobře znalé, co se týče například oblasti kyberšikany a ochrany identity na internetu. Dělala jsem několik školení pro děti a byla jsem příjemně překvapená, že děti okolo sedmi až jedenácti let byly schopné říct, co se na internetu má a nemá dělat.

Měla by se bezpečnost na internetu vyučovat na školách tedy více?

Tam by to mělo být rozhodně součástí osnov a nevím, zda už dokonce není. Mělo by to být už na základní škole, protože již tam mají děti tablety a smartphony. Mít na tuto tématiku samostatný předmět není moc reálné a ten obsah by nepokryl ani jedno pololetí. Na druhou stranu je potřeba vzdělávat děti už od prvního stupně. Existuje spoustu organizací, které dělají pro děti workshopy ohledně bezpečného chování na internetu. Ty školy by buďto měly zajistit, aby ten workshop alespoň jednou ročně proběhl, nebo aby měly vyškolený personál, který je znalý problematiky. Například by to mohl být učitel informatiky, občanské výchovy nebo výchovný poradce. Na internetu existuje množství materiálů, jak se mají lidé na internetu chovat bezpečně. Učitelé by to s dětmi měli projít. Většinou to je asi dnes samotná aktivita učitelů.

Mladší generace zřejmě nějaké ty základy má, s mobilem si hrají již od malička. Následně se ale objeví aplikace obdoby Tik Tok, která je osmou největší sociální sítí na světě a dodneška se neví, jak je to s její bezpečností, co se týče odesílání dat do Číny. Je populární právě mezi mladými lidmi. Stejně tak WeChat, který patří Číně. Už před třemi roky se zjistilo, že ty informace předává, ale nyní je znovu populární u mladší generace. Lidé tedy dostávají informační základ, ale pak najednou přijde něco masového a lidé nepřemýšlí, zda je to bezpečné. Jak se na to díváte Vy?

Ono je to těžké. V dnešní době je podle mě ještě těžší být puberťák, než bylo kdysi. Dnes, kdo z těch dětí nebo dospívajících není na Tik Toku, nebo vůbec není na sociálních sítích, je často za podivína a může být například odstrčen od kolektivu ve třídě. Může být šikanován za to, že je odlišný. Ty dospívající děti se pak na takové sítě přidávají pouze z důvodu, aby nebyli mimo dění. Ony ty informace mají, ale jelikož nějaký třídní leader používá tyto aplikace, a to o čem se mluví se odehrává na Tik Toku, tak je zcela logické, že i když ty děti vědí, že tyto aplikace mohou být nebezpečné, tak tam stejně jdou. Jednoduše nechtějí být divní. Vědí, že by jim to ublížilo. Na druhou stranu často, pokud je někdo uvědomělý a necítí se úplně komfortně ohledně takovýchto aplikací, tak si vytváří účty s falešnými údaji. Aplikace nedostane žádné přístupy k mikrofonu, žádné přístupy k poloze, nedostane přístupy k ničemu. Ty uživatelé vidí, o čem se mluví, vědí o těch trendech, ale té aplikaci o sobě dávají co nejméně informací.

Jaký je dnes z hlediska bezpečnosti rozdíl mezi starým a novým telefonem? Pokud si pořídím telefon, který v zásadě umí jen telefonovat a posílat SMS, není bezpečnější než nový chytrý telefon?

Je tam méně možností, jak může dojít ke sledování. Pochopitelně ten telefon sbírá i mnohem méně dat. Tím pádem mnohem méně dat může poskytnout potencionálnímu útočníkovi.

Chytré telefony dnes využívají celou řadu možných zabezpečení. Mnoho z nich má možnost jako zabezpečení používat otisk prstu, a to i k internetovému bankovnictví. Je to bezpečné?

Co se týče aktuálního používání a nějakého komfortu, je to aktuálně bezpečné, jelikož to je těžko zfalšovatelné. Na druhou stranu, když vám někdo ukradne heslo, můžete ho změnit. Pokud vám ale někdo ukradne otisk prstu, co s tím uděláte? Pochopitelně všechny společnosti tvrdí, že ty otisky prstů jsou dobře chráněné a nejsou odcizitelné a podobně, ale to se tvrdí o všem, dokud se to nestane. V okamžiku, kdy vám někdo tyto biometrické údaje ukradne, tak vy s tím nemáte šanci nic udělat. Už navždycky ten člověk bude mít něco, pomocí čeho budete identifikovatelní. Pokud si nepořežete bříško prstu nebo něco takového. Aktuálně je to velký boom, ale není tam možnost změny, když vám to někdo ukradne.

Přesuňme se pomyslně do budoucnosti, kde k ověření totožnosti budeme používat výhradně otisk prstu. Je to bezpečné implementovat do celého systému veřejné správy?

Co se týče ověřování v institucích pomocí otisků prstů a podobně, tak pokud dojde k tomu, že vám, pomocí například aplikace, ukradne někdo z telefonu váš otisk prstu a bude v budoucnu schopný ho nějakým způsobem zreplikovat, tak ten člověk by se za vás mohl lehce vydávat.

U takovýchto detektorů samozřejmě existují různé další testy. Například test mrtvého prstu, který kontroluje, zda je ten prst skutečně živý a není to jen atrapa. A toto není nová technologie. Existuje spoustu dalších skenů, jak se dá člověk ověřit. A zrovna ten otisk prstů je jeden, který by mohl být nejvíce zneužitelný, protože aktuálně ho lidí dávají úplně všude. Takže nějaká následná verifikace člověka na základě pouze otisku prstů bez nějakého dokladu, občanky, čehokoli může být komfortní, může to být těžší na zneužití obyčejným útočníkem, ale na druhou stranu, pokud by se takový systém zavedl opravdu všude a někdo by si dal tu práci, že chce tu identitu ukrást a zneužít, tak tímto by se mu otevřela spousta možností. Mnohem jednodušších než třeba falšování dokumentu.

Které zabezpečení elektronického zařízení, například telefonu, je tedy v dnešní době to nejlepší?

Aktuálně, co se týče nejbezpečnějších jednofaktorových metod na zamčení například telefonu, tak jde o použití biometrických údajů. Jenže je tam velké ale, o kterém jsme mluvili před chvílí. Jak to bude v budoucnu a jestli nedochází ke sběru těchto dat právě prostřednictvím zařízení či aplikací a nebude potom docházet ke zneužívaní dat, je velká neznámá. Je to znovu pouze teoretizování, ale ne nereálné. Já osobně, co se týče zabezpečení, používám nějakou dvoufaktorovou verifikaci, kdekoliv je to možné. Tudíž se jedná o kombinaci silného hesla a druhotného ověření buď přes zavolání, SMS, použití tokenu nebo certifikátu.

Jak tedy máme přistupovat k heslům?

Je dobré mít tak zvanou „passphrase“ což je například nějaká věta, která tím, že se jedná o sled slov, vytvoří alespoň 16 znaků úplně bez problému. Nahradíte tam třeba nějaká písmena speciálními znaky, přidáte a většinou jsou lidé schopni si zapamatovat takováto dvě až tři hesla. Často se jedná o naprosto nesmyslné věty, které utkví v paměti, nebo se jedná o věty o něčem, co je lidem blízké, ale není to dohledatelné na internetu. Většinou když si lidé vytváří hesla, tak použijí třeba jméno svého dítěte, psa, dolní podtržítko a datum narozeni. To je něco, co je ten útočník schopný dohledat na sociálních sítích, protože to lidé sdílí často veřejně. Několik nejdůležitějších hesel je tedy člověk si schopný zapamatovat. Pro přístup na počítač, na mail nebo do bankovnictví. Na zbytek se používá password manager, který má generátor náhodných řetězců. Taková hesla si následně uživatelé v password manageru ukládají. Ten samotný password manager je také hlídán alespoň heslem, popřípadě pokud se jedná o nějakou obdobu, která je hostovaná v cloudové službě, tak se standardně používá opět nějaká ta dvoufaktorová verifikace. Tato forma má výhodu možnosti používání napříč všemi vašimi zařízeními. Vám vlastně stačí si pamatovat dvě tři hesla a zbytek máte v manažeru hesel. Další jejich dobrou funkcí je, že password managery jsou často schopné vytvářet i upomínky toho, že byste si měli nějaké heslo třeba po roce změnit.

Pokud si stáhnu mobilní aplikaci, která může sledovat můj pohyb, například aplikaci na běhání, můžou ta data být zneužita? Jak obtížné je ta data získat?

Tam záleží, jak jsou ta data ukládána a jak je ta daná služba chráněna. Není to dávno, co byla ransomwrem napadena společnost Garmin. Otázkou je, zda kromě požadavku na výpalné nebylo cílem útoku i zcizení dat.

Co se o vás může taková aplikace tedy zjistit? Ví, kde bydlíte, kde běháte, kde přesně se vyskytujete. Často se tam také vyplňuje adresa, věk, výška, váha. Ta aplikace může tudíž říct, že člověk, který se jmenuje XY, má takovouto postavu, běhá každý třetí den konkrétní trasu. Některé aplikace navíc nabádají k focení selfíček po nebo během aktivity – tím aplikace získá informaci o vašem vzhledu.

Pak je další věc, co si lidé způsobují de facto sami. Jsou zvyklí výsledky z běhů sdílet na Facebooku a najednou, pokud je někdo sleduje a čeká až opustí domov, vidí, že běhá někde na opačné straně republiky. Tímto si může zloděje pozvat domů, aniž by si to uvědomil.

Takže stačí dát na internet, že jedu na dovolenou a zloděj už ví, kdy může?

To naštěstí už moc lidí nedělá.  Spíše sdílí údaje z aplikací a nevědomky si toho útočníka pozvou.

Co může člověk udělat, aby se naučil bezpečnému chování na internetu nebo tomu naučil ostatní?

Pokud máte například v okolí člověka, který všechno veřejně sdílí, tak nejlepší je takovému člověku ukázat, co o něm může zjistit úplně každý. Pokud sdílí třeba fotky sebe nebo mazlíčka, tak to ještě jde. Co vídávám je to, že lidi zcela bez rozmyslu sdílejí veřejně třeba odhalené fotky dětí, když jsou u moře. V okamžiku, kdy jim člověk často vysvětlí, že doopravdy teta ze Žatce není jediná, kdo to vidí, ale může to vidět i nějaký zlý strejda. Často sdílí, kam chodí do školy, například sdílí fotku vysvědčení. Nedochází jim, že to dítě ohrožují. Pokud se pak na to dítě někdo zaměří, tak mu můžou přestat stačit fotky a například jej unese. Takže toto je jedna věc, říct, jak to může být zneužité. Ukázat to na příkladech. Je dobré vzít věc, co je člověku blízká a ukázat, co se může stát.

Pokud se jedná o člověka uvědomělého, který sám chce zjistit, jak se bezpečně chovat na internetu, tak bych odkázala na stránky, které se popisem bezpečného chování na internetu zabývají. Popřípadě existují i kurzy bezpečného chování na internetu. Existují dokonce i specializované kurzy pro seniory. Právě senioři jsou v dnešní době velmi náchylní k důvěře komukoli, kdo jim napíše. S tím také spočívá dnešní fenomén a úspěch fake news.

Sledujte Kyberbezpečně na Facebooku a spoluautora rozhovoru na Facebooku a Twitteru.