Menu Zavřít

Proč nehacknout Česko?

12. 3. 2014
Autor: Martin Pinkas, Euro

Kybernetická kriminalita podle některých statistik překonala finančním objemem i rozsahem ostatní druhy hospodářské kriminality, říká Martin Půlpán, ředitel společnosti net.pointers, která dodává sofistikované řešení na ochranu proti stále častějším DDoS útokům. Za sto dolarů si podobný útok může objednat kdokoli a využít ho například proti konkurenci.

DDoS je zkratkou anglického Distributed Denial of Service, což je v otrockém překladu „distribuované odmítnutí služby“. Jak stručně vysvětlit běžnému uživateli internetu, co takový DDoS útok znamená?

Server, na který je útok prováděn, skutečně „odmítne“ poskytovat své služby poté, co ho zahltíte velkým množstvím dat či požadavků. Zdroje útoku si můžete představit jako počítače nebo servery, které jsou na dálku ovládány nějakým hackerem nebo skupinou hackerů. Jakýkoli počítač je schopen posílat určitá data na konkrétní místo v internetu, což mohou být různé webové servery či nějaká internetová brána banky, státní organizace nebo přístupový bod internetového poskytovatele služeb. Když poté zablokovaný systém znovu startuje, je zranitelný a útočníci jsou schopni pod rouškou DDoS útoku škodit jinak.

Co je potřeba k tomu, aby byl takový hacker úspěšný?

Software, kterým jsou počítače ovládané, v síti chytře mění zdroje útoků. Ty jsou nejdříve například v Pákistánu, poté v Africe, pak v Rusku, Číně atd. Principem je nevyužívat jediný zdroj, který se dá eliminovat. Máte spektrum IP adres, které nemůžete zakázat, protože jinak byste se odstřihli od internetu úplně. Další charakteristikou DDoS útoků dnešní doby je jejich razance a to, jak jsou rozsáhlé. Tento rok byl detekován útok, který měl 400 gigabitů za sekundu. To je obrovské množství dat, které nezvládne žádný operátor. Pokud tento objem pustíte do sítě, nemůžete se ubránit, jestliže nemáte potřebnou technologii.

Existují skutečně spolehlivé technologie, které tomu zabrání?

Všichni významní operátoři u nás a na Slovensku používají technologii od americké společnosti Arbor Networks, kterou v ČR a na Slovensku zastupujeme. Ta dokáže odlišit DDoS útok od běžného provozu. Funguje jako automatická pračka a odstraní to, co v síti nemá být. Na provozní anomálie systémy reagují téměř okamžitě a dokážou účinně oddělit či vyčistit nebezpečnou komunikaci z datových toků. Ostatní technologie většinou zvládají jen omezenou kapacitu dat, například jednotky gigabytů. Pokud je útok silnější, nemají šanci.

Co bývá nejčastějším cílem těchto kybernetických útoků?

Otázka je, co je účelem DDoS útoku. Může to být pouze manifestace nějakého názoru. Běžně se používají jako politický nátlak. Pokud máte ve společnosti nějakou radikální menšinu, tak dnes už to není jenom o radikálních názorech, které prezentují na internetu. Tito lidé používají DDoS nástroje k atakům na státní struktury nebo média, aby se zviditelnili.

DDoS útoky ovšem mohou být jen zástěrkou pro jiné nebezpečné aktivity, často i kriminální činnost…

Útok skutečně často zakrývá jiné hackerské aktivity, protože slouží k tomu, aby systém donutil ke kolapsu. Do vnitřní sítě poté dostanou hackeři nějaký malware, škodlivý software, který může sloužit i ke kriminálním účelům, například vykrádání citlivých dat.

DDoS útok je nejnebezpečnější pro ty, kteří poskytují nějaký online obsah - typicky internetové bankovnictví či hosting. Další ohroženou skupinou jsou poskytovatelé připojení a jiných internetových služeb. Může jít i o to, že organizaci jen zablokujete její činnost. Interní systém centra se například nespojí s pobočkami, nemůžete telefonovat pomocí VoIP a firma de facto přestane fungovat. Skupina hackerů vás může jednoduše izolovat od světa, což vám způsobí finanční nebo komunikační problémy.

Můžete uvést konkrétní příklad?

V českém prostředí jsme se setkali s i tím, že si takto jednotlivé společnosti vyřizují účty nebo provádějí nekalou soutěž. Konkrétně: máte nějakou elektronickou aukci, kam můžete podat příslušnou nabídku jen elektronicky, a oni vám to znemožní. Nejste schopen ani posílat e-maily, protože vás někdo po určitou dobu blokuje pro tyto účely dostačujícím DDoS útokem, někdy i dost primitivním.

DDoS útoků přibývá. Podle vašich slov to vypadá, že není až takový problém si je objednat a pak je proti komukoli použít…

Jejich snadná dostupnost je dnes velkým problémem. V současnosti si lze na internetu úplně běžně koupit přes kreditní kartu jednodušší DDoS útok řádově za sto dolarů a můžete ho použít proti libovolnému cíli. Sofistikovanější útoky jsou samozřejmě dražší, ale toto je dnes součástí šedé ekonomiky. Pro ty, kteří útoky nabízejí, totiž jde o zajímavý byznys. Podle statistik už kybernetická kriminalita překonala svým rozsahem a finančním objemem ostatní druhy hospodářské kriminality.

V dnešní době již počítače řídí prakticky vše. Jsou tedy kybernetické útoky velkým lákadlem pro organizovaný zločin?

Jsou tu organizace, které mají obrovské prostředky na různé typy kybernetické kriminality. Jsou schopné pracovat s velkými týmy lidí. Mafie usilují o to, aby měly tento byznys pod kontrolou, protože je to trvalým zdrojem peněz. Poslední dobou se kybernetické útoky a „hackování“ systémů používají i v oblasti distribuce drog. Drogové kartely si najímají hackery, aby se dostaly například do policejních databází, ale především do systémů logistických společností.

V Česku se v poslední době objevily útoky na webové portály médií. V březnu 2013 vyřadil velký DDoS útok z provozu stránky českých zpravodajských serverů…

Při útocích na webové portály médií je škoda minimální. Je to čistě jen věc, které se dává velká publicita. Pokud se chce například někdo zviditelnit, tak zablokuje zpravodajský portál. Ten den dva nejede, velká škoda tam ale není. To ovšem neznamená, že by měla média rezignovat na svou ochranu proti kybernetickým útokům.

Firmy včetně médií tedy podle vás svou ochranu podceňují?

Oni o problému vědí, ale podceňují to. Tedy od doby, co se to děje i u nás, se vývoj posouvá pozitivním směrem, ale stále tu bohužel není platná legislativa, která by řešila povinnost ochránit firmu proti kybernetickým útokům. Dlouho jsme tu byli tak trochu za bukem a říkali jsme si: Dobře, útočí se na servery v USA, v Anglii, ale nás se to netýká. To je ale falešná představa. Svět je globální a fungují tady nadnárodní firmy, a když mají sídlo v České republice, proč na ně nezaútočit. Naopak je to v zemích jako Česko jednodušší.

O bezpečnostní technologie tedy stále není ze strany českých firem či místních poboček zahraničních společností potřebný zájem?

Bezpečnostní technologie se prodávají až v momentě, kdy má firma problém a zákazník je do toho doslova dotlačený. Prevence rizik tady existuje jen velmi málo a platí tu názor - a to je specialita střední Evropy - že pokud mám firewall, jsem chráněný, což je samozřejmě nesmysl. Vnímám to jako pouhý alibismus.

Přesto máme klienty, kteří se s námi o tom baví, ale je tu minimum například bank a pojišťoven, které by měly tyto věci vyřešené. Spíše dosud měly štěstí. Naše systémy jsou poměrně drahé, a drahé jsou proto, že je v nich velmi zajímavé know-how a cena odpovídá kvalitě. Na druhé straně, pokud chcete minimalizovat rizika, musíte mít technologii, která něco umí.

Odrazuje je tedy i cena?

Samozřejmě. Do bezpečnosti se investuje až v poslední řadě. Menší firmy si naše špičkové technologie finančně nemohou dovolit. Od toho jsou tu provideři, aby jim poskytovali různé služby, které jsou pro ně z hlediska ochrany zajímavé, a ony si tu technologii nemuseli kupovat. Můžete si to představit jako službu, kdy provider k připojení jako nadstandard nabídne určitou ochranu za přijatelnou cenu.

Většina velkých společností a korporací má podrobně zpracovanou bezpečnostní politiku v této oblasti. Umějí ji ale i realizovat a převést do praxe?

Jedna věc je teoreticky mít zpracovanou bezpečnostní politiku a druhá věc, jak to opravdu funguje, a to je u nás tragédie. Jestliže máte bezpečnostní politiku jen na papíře, je vám to k ničemu. Nemáte-li nástroj, jak se kybernetickým útokům bránit, je to zbytečné.

Společnosti nemají zabezpečené důležité servery, po firmě jim volně běhají citlivá data a citlivé dokumenty, zaměstnanci si je posílají dokonce i na svoje soukromé e-maily. Nikomu nedochází, že tam je bezpečnost dat nulová. Venku ale číhají ti, kteří „šmejdí“ po stránkách a hledají zajímavé informace. Druhá naše významná technologie Fidelis Security od americké firmy General Dynamics se zabývá detekcí neznámého malwaru, ale například i chováním uživatelů v síti.

Nejde totiž jen o DDoS útoky. Kybernetická kriminalita je velmi rozsáhlá, a pokud se chcete bránit, musíte především vědět a rozumět tomu, co vám v síti běhá. Dokonce ani energetické firmy, které pracují s kritickou infrastrukturou, jako je plyn, elektřina, jaderná energie, nejsou dostatečně zajištěny.

Předpokládám, že firma typu ČEZ tato rizika rovněž podceňuje?

No comment, ale obecně platí, že pokud spravuji energetickou síť státu, musím mít toto pokryto. Jinak není pro útočníka, který má potřebné znalosti, problém vypnout elektřinu v celé zemi. Jde jen o to, jestli jste zajímavý cíl. Pokud ano, fungují veškeré bezpečnostní technologie jako zásadní pojistka.

To jste mě vyděsil. Je možné zaútočit tímto způsobem i na systémy v jaderných elektrárnách a například je vyřadit z provozu?

Existuje dokonce jeden publikovaný případ. Do systémů jaderné elektrárny v Íránu dostali hackeři šikovný malware. Jednoho dne zapnuli v elektrárně počítače a během půlhodiny jim „umřely“ všechny disky na tisících počítačů. Řízení reaktoru je odděleno, ale je tam spousta podpůrných systémů. Elektrárna, pokud nemá funkční počítačovou síť, de facto nefunguje.

Přítomnost malwaru zjistili až povolaní specialisté na kybernetické útoky. Pokud totiž nemáte potřebné technologie, nevidíte, co se v síti děje - prostě jste slepí a veškeré antivirové a antimalwarové systémy vám nestačí. V tomto případě nešlo o teroristický útok, ale spíš o politický nátlak, za kterým mohl být nějaký nepřátelsky naladěný stát. Dostatečná ochrana je ovšem u takových společností nezbytností.

Ve sněmovně je v současné době nový zákon o kybernetické bezpečnosti. Je podle vás tato norma dostačující?

Zmíněný zákon je naprosto nezbytný, musíme ho přijmout, ale je zcela nedostačující, protože tam nejsou adekvátní postihy. Sice nějakým způsobem definuje, jak by se mělo nakládat s citlivými informacemi, ale je také potřeba, aby jasně určil, co musejí organizace, které spravují nějakou kritickou infrastrukturu, dělat. A pokud to dělat nebudou, musejí tam být velké sankce. Kulantně řečeno, ten zákon je politický kompromis, ze kterého nikdo nemá radost.

Zmiňoval jste, že v případě kybernetických útoků je podstatné, zda jsou firmy pro hackery zajímavým cílem… Děláte firmám i audity bezpečnosti, aby se zjistilo, jestli oním zajímavým cílem jsou?

Většinou naše produkty prodáváme tak, že uděláme audit. Na jeho základě vypracujeme nějaký bezpečnostní report a pak řekneme zákazníkům: Tady a tady máte problém. To je první krok a pak jsou tu z jejich strany dva přístupy. Zákazník buď řekne: Ježišmarjá, nikomu to neříkejte, já bych přišel o místo, což je typicky český přístup. Druhý přístup znamená, že si uvědomí závažnost situace a nějakou technologii si pořídí.

Kde všude může vaše firma Net.pointers potenciálním zákazníkům s ochranou proti kybernetické kriminalitě pomoci?

Jsme jednička v ochraně českého a slovenského trhu proti DDoS útokům. Všichni velcí operátoři používají naše technologie. Jak se zvětšuje kybernetická kriminalita v komerční sféře, vznikají tu i státem organizované skupiny, které se snaží koordinovat bezpečnostní politiku státu, například v bezpečnostních složkách, ministerstvech či státních úřadech, a to je pro nás větší příležitost.

Potřebují nástroje, aby byli schopni něco zjistit a něco řešit. ČR je v tomto ovšem trochu pozadu, o několik let za západními zeměmi -jak v uvažování, tak v nasazení technologií. Před pěti lety u nás většina považovala možnost DDoS útoků za nesmyslnou. Teď už je to ovšem tak, že se s vámi o tom zákazníci či potenciální zákazníci alespoň baví.

Většinu klientů bank a pojišťoven bude zřejmě zajímat, jak je to s ochranou jejich dat a kont…

Ani ta není rozhodně dostatečná. Banky a pojišťovny jsou velmi rigidní, a pokud tam k nějakému incidentu dojde, spíše se snaží to zamlčet. Samozřejmě, že by se jim nelíbilo, pokud by jakkoli unikla informace o tom, že měly problémy s hackery, kteří ohrozili jejich zákazníky.

Banky nejsou v tomto směru aktivní. Bezpečnost řeší, až když se něco stane, a pak se na nás obracejí. Samozřejmě, že se stává, že jim z centra nějaké nadnárodní firmy nařídí, že si musejí pořídit takovou a takovou technologii. Takových vlaštovek je ale málo, spíše mají autonomii a je to na jejich rozhodnutí.

Nedostatečná kybernetická ochrana může přinášet těmto institucím obrovské ztráty. Mělo by mít jejich vedení větší odpovědnost za ztráty způsobené zmíněnými útoky?

Pokud by to tak bylo, jistě by se ochrana zvýšila. Funguje to jako pojištění. K incidentu nemusí vůbec dojít, ale máte určitou pojistku proti celému spektru rizik. Máte zodpovědnost vůči klientům i akcionářům a musíte mít pocit, že jste udělali maximum, abyste bezpečnost zajistili. V zahraničních firmách už je obvyklé, že má jednatel i trestní odpovědnost za to, že někde uniknou citlivé informace.

Pokud bude na banku dobře proveden hackerský útok a nepodaří se zájmy klientů ochránit, manažer by měl skončit u soudu. V některých firmách vlastněných zahraničním kapitálem to mají manažeři dokonce ve smlouvách, a pokud pak u soudu prokážou, že udělali maximum pro to, aby se nic nestalo, bude jejich pozice jistě jiná, než kdyby nedělali nic.

MM25_AI

Tyto technologie mají zřejmě velkou budoucnost. Jak vnímáte nárůst zájmu o vaše služby?

Jsme malá specializovaná firma, aktuálně máme kolem 20 lidí. Každoročně rosteme o nějakých 20 procent a myslím, že ten největší nárůst ještě přijde. Rostli jsme i v době krize, kdy všichni šetří a rozpočet na kybernetickou ochranu je první, který se v takové chvíli škrtá. I když připouštím, že už se to mění, a doufáme, že se to bude měnit víc. S nadsázkou řečeno, někdy mám pocit, že je lepší mít peníze zašité ve slamníku než uložené v bance.


Martin Půlpán (42) pochází z východočeské Chrudimi. Absolvoval ČVUT -FEL - katedru telekomunikací se specializací na přenos a zpracování dat. Svoji kariéru zahájil jako produktový manažer v distribuci počítačových komponent. Postupně pracoval pro společnosti Cisco Systems, kde rozbíhal nepřímý prodej a budoval partnerskou sít, Český Telecom - ředitel pro business development, Soitron - rozbíhal českou pobočku slovenského integrátora a nakonec začal od v roce 2009 podnikat se svou manželkou ve vlastní společnosti net.pointers s.r.o.


  • Našli jste v článku chybu?