Musíme kolem sebe postavit plot, říká šéf české IT firmy

Jak vypadá současná situace v oblasti kybernetické bezpečnosti. Stále častěji se o ní mluví. Zlepšuje se ochrana firem v digitálním světě?
Některé firmy jsou na tom lépe, protože jim určité zabezpečení nařizují platné zákony, jde například o banky nebo o státní správu. Ale řada firem to stále opomíjí. Neinvestuje do ochrany, necítí tu potřebu. Ovšem jen do doby, než o svá data přijde. Místo toho, abychom firmám navrhovali řešení, jak nejlépe ochrání svá data, často chodíme až k požáru. Tedy do vykradeného prostředí, které bylo pod útokem.

Anect a Jan Zinek Brněnská IT firma slaví 25 let od založení Miroslavem Řihákem. Jan Zinek je jejím ředitelem a předsedou představenstva.  Anect se od ICT integrátora posunul k oblasti ICT bezpečnosti a je poskytovatelem řešení a služeb v hybridních a cloudových řešeních.  Zákazníky jsou státní úřady či velké korporace, ale také menší progresivní firmy.  Ve skupině má Anect také vývojovou entitu, která rozvíjí autentizační systém Aducid. Působí v Brně, Praze, Plzni a Ostravě. Má víc než 150 zaměstnanců a tým stále rozšiřuje. Podle ředitele Zinka není situace na trhu práce snadná, chybí dostatek kandidátů. Z toho důvodu se jeho firma snaží zaujmout mimo jiné studenty škol. „S vyhledáváním talentů začínáme už na školách, se kterými spolupracujeme. Cílíme na juniory a vychováme si je. Chceme mladým lidem ukázat, jak to v našem byznysu funguje a zaujmout je. Spolupráce se studenty na různých projektech je zajímavá a přínosná pro obě strany. Načerpáváme od nich novou energii a lépe si uvědomujeme, jak nastupující generace přemýšlí, jedná a co očekává,“ dodává Jan Zinek.

Počty kyberútoků podle statistik narůstají, hackerské techniky jsou stále vynalézavější.
A právě proto by se společnosti měly dostatečně chránit. Měly by posoudit, co je jejich skutečné zlato. Pokud nabízí výrobek, ke kterému mají vlastní know how, a to mají uložené na serveru, tak je důležité, aby si ho ochránily. Když má firma bohatství třeba v nějakých smlouvách, tak je zase potřeba zajistit celý kanál, přes který smlouvy a komunikace o nich chodí. Nelze zabezpečit všechno, ale alespoň to nejdůležitější. 

Jen dobré nástroje ochrany však nestačí. Významnou roli v kyberkriminalitě hraje uživatel. Vy nabízíte firmám i vzdělávání, trénink zaměstnanců.
Uživatel je nejslabším článkem. Zranitelnost řadových zaměstnanců i managementu se nezmění sama od sebe. Návyky a odolnost je třeba trénovat. A není to o tom, že do lidí tlačíme nějaká data, ale existuje řada cvičení, která ve finále zaměstnance baví. Nasimulujeme útoky, pošleme phishingové e-maily a zjišťujeme, jak budou lidé reagovat.

A nachytají se často?
Vždy se někdo chytne.

Jak se mám tedy jako zaměstnanec chovat, abych neumožnila hackerovi dostat se do firemního systému?
Sociální inženýring je jedním ze základních nástrojů pro získání důležitých informací. A právě s jeho využitím bylo možné realizovat drtivou většinu útoků. Obecnou radou je, že musíme být stále ostražití a až nedůvěřiví. Když to přeženu, nemůžete si být jistá ani tím, že e-mail je opravdu od člověka, který je v něm podepsán. Vím, už to trochu hraničí s paranoiou.

Ale jak to jako laik mám poznat?
Buďte vnímavá a v momentě, když dostáváte zprávy, které se vám nezdají, je v nich nějaká naléhavost, je tam nějaký tlak, tak buďte na pozoru. Pokud mi jako účetnímu přijde od šéfa zpráva, ve které mě žádá, abych někam poslal milion korun, tak je rozhodně dobré si to ověřit nezávislou cestou přímo u zdroje. 

Také je dobré sledovat anomálie. Velmi často v podvržených e-mailech je něco jinak než obvykle. Například firemní kultura firmy je o tykání. A zaměstnanec dostane od ředitele zprávu: Dobrý den, Petře, prosím Vás o zaplacení… tak vás to musí zarazit. 

Nepřehlédněte V rubrice Práce a podnikání přinášíme mimo jiné rozhovory se zajímavými odborníky.  Natírání plotů z vás odpovědné firmy nedělá, vzkazuje odborník

Jaké jsou nejčastější chyby uživatelů?
Otevírají e-maily, které by otvírat neměli, pohybují se na internetových stránkách, které by navštěvovat neměli a instalují si na pracovní stanice aplikace třetích stran, které jsou snadno napadnutelné. A v neposlední řadě prozrazují na sociálních sítích o sobě všechno možné, čímž ulehčují hackerům práci. 

Sociální sítě jsou asi velký problém, že?
Ze sociálních sítí je možné zjistit neuvěřitelné množství informací a bohužel my uživatelé dáváme útočníkům velmi snadno osobní data a data o osobách blízkých. Naše návyky, které máme doma, si nosíme i do práce. Tedy vstupní heslo do firemního počítače bude s vysokou pravděpodobností stejné nebo podobné jako na soukromý e-mail. A to vaše heslo bude například jméno psa. A na sociální síti máte dvacet fotek z víkendu, jak jste se svým psem, kterého tam oslovujete, byla venku. Je to o tom zvládnout potřebu sdílení osobních informací.

Jenže těch hesel máme každý spoustu a jak si je všechna pamatovat?
S hesly je velký problém. V rámci holdingu máme společnost Aducid, která se zabývá autentizací uživatele. Věříme, že v budoucnu už hesla řešit nebudeme, nahradí je bezpečná digitální identita, kterou se přihlásíte do všech aplikací a nástrojů. A tato identita po sobě v digitálním světě nebude zanechávat žádnou dohledatelnou stopu, nebude se moci duplikovat.

Ovšem než to přijde, tak jsou tu ta problematická hesla. 
Zapamatovat si do každého systému jiné heslo opravdu není úplně snadné. Každopádně nejhorší věc je mít tradiční hesla typu: 1234, nebo mít jména dětí, partnerů nebo právě domácích mazlíčků. Je dobré to co nejvíce útočníkům zkomplikovat, mít tedy delší hesla, která obsahují speciální znaky, malá velká písmena, a naučit se je. 

Jak? 
Jsou různé způsoby, najdete je i na internetu. Jsou lidé, co místo hesel dávají část ze známé písničky, básničky, nebo mají nějakou zažitou glosu, a z té použijí z každého slova třeba pouze první písmeno. Na první pohled je to velký nesmysl, ale těžko ho někdo rozluští. Když to ještě doplníte na začátku nebo na konci nějakým číslem, tak máte celkem slušné zabezpečení.

Heslo si zabezpečím, ale co s infikovanou zprávou?
Opět je to o našem chování především na sociálních sítích. Hacker z Facebooku zjistí zájmy uživatele. O co se zajímá, jaký je jeho koníček. A pak infikuje nějaký soubor pdf a pošle mu ho na firemní e-mail s tím, že má pro něj skvělou nabídku lyžování v Alpách. Zjistí, že je nadšený lyžař. On to otevře a v tu chvíli se do počítače rozšíří škodlivý virus a hackeři jsou okamžitě ve firemní síti. To se velmi často děje. 

Známé jsou i případy, kdy přijde e-mail se souborem pdf, posílá vám ho někdo ze zvláštní domény, z druhé strany světa, je v něm zvláštní text. Přesto ho lidé otevřou. V dnešní době už bychom měli rozpoznat, že pokud dostaneme nabídku na léky z africký domény, tak to asi bude nějaký podvod. Stejně tak nebudete otvírat dnes už kultovní zprávy, ve kterých se dojemně píše o tom, že nějaký člověk zdědil dvacet milionů a žádá adresáta o pomoc s převodem peněz. 

Útočníka prozradí i špatná gramatika. 
Na to už nelze spoléhat. Útočníci se v té gramatice výrazně zlepšili.

Co říkáte na biometriku? Je to velký posun v ochraně dat? 
Biometrika bude hrát významnou roli, bude čím dál více využívána v systémech zabezpečení. Je to přesně ten trend, kterým se bude autentizace ubírat. Musí to být ale bezpečnější, protože jsem přesvědčený, že útočníci již řeší, jak použít vaši fotku ze sociálních sítí pro identifikaci přes face ID. Najdou si fotku ve vysokém rozlišení, kde třeba máváte a tím získají váš otisk. Budoucnost je jasná. Budeme se muset pořád chránit. Od rána do večera. A tak jako jsme si postavili plot kolem domu, tak si postavíme plot kolem sebe v kybernetickém prostoru.

Platí, že jsou hackeři stále krok před námi?
Je spousta řešení, která jsou v předstihu, která umí odchytit řadu škodlivých věcí, které teprve vzniknou. Ale pravda je, že ti lepší hackeři jsou velmi dobře technicky vybavení, mají obrovskou dostupnost informací o ochraně sítí, a tak se jejich škodlivé kódy umějí všem dostupným zabezpečením vyhnout.