Před mikrofonem: Hackery zajímá realita, ne papíry a formální certifikace
- Datum: 03.07.2024
- Autor: František Nonnemann
Danieli, jste jeden z nejvýznamnějších a nejviditelnějších etických hackerů v České republice. Jak jste se k tomuto povolání dostal? Jestli se nemýlím, profesně jste začínal jako správce Microsoft produktů. Co bylo tím impulsem vydat se na cestu kybernetické bezpečnosti?
Daniel Hejda (CyberRangers): Děkuji, těší mě, že mě takto vnímáte. K hackingu jsem se dostal mnohem dříve, než jsem znal technologie Microsoftu. Konkrétně to bylo někde okolo mých 13 až 15 let života, kdy jsme se ocitl mezi přáteli se stejným zájmem a ze srandy jsme zkoušeli, co umí tzv. SMS a mail bombery, jak fungují vzdálené plochy anebo jsme si zkoušeli vytvářet krabičky pro phreaking, jako například Red Boxy pro vytváření tónů, díky kterým bylo možné volat z telefonních budek.
Osobně mě vždy zajímala tajemství a našel jsem v tom určité zalíbení, i když jsem to na několik let odložil. Musel jsem totiž jít pracovat a tenkrát nebylo moc možností se tím živit, respektive mě ani nenapadlo, že se tím budu jednou živit.
A jak se z bezpečnostního manažera, který jste také nějakou dobu byl, stane etický hacker? Jak jsou tyto úhly pohledu na informační bezpečnost a kybernetickou odolnost od sebe daleko?
Daniel Hejda (CyberRangers): Daleko určitě jsou, ale technická znalost je manažerům v zásadě ku prospěchu, protože na některé věci koukáte více reálně než jen teoreticky. Jako manažer jsem se musel starat o ochranu firmy ze všech možných úhlů pohledu, a to se moc nepodobá oblasti hackingu.
V roce 2019 jste spoluzaložil Cyber Rangers s.r.o., společnost, která se zaměřuje právě na etický hacking, penetrační testy, ale i obecně nastavování procesů pro zajištění kybernetické bezpečnosti či bezpečnostní školení. Jaký za ty roky vnímáte posun v zájmu českých firem o kybernetickou bezpečnost?
Daniel Hejda (CyberRangers): Za mě tu vidím posun v tom, že se o věcech začíná více mluvit. Média se tohoto tématu chytla skutečně významně, a tak už dnes i maminka na mateřské ví, co je to ransomware nebo DDoS. On také příliv popularity a poptávka na trhu vytvořily mnoho talentů, ale i ne-talentů, kteří se prezentují na všech možných sítích a věří, že najdou práci svých snů s velkým honorářem. Obecně se celé to téma posouvá kupředu a je stále více žádané. Takže řekněme, že se ze cyber security stal takový virál a snad každý (z nadsázkou) chce být buď youtuber / influencer nebo hacker. Firmy zase chtějí prodávat pentesty, cybersecurity nebo provozují SOC-as-a-Service, ale vlastně na to nemají lidi ani zkušenosti.
Na webu mj. píšete, že skutečné hackery nezajímá, jestli má organizace na papíře výborné procesy nebo ISO certifikaci, ale reálné fungování a schopnost reagovat na incident. Dokázal byste odhadnout, kolik firem, které se na vás obrátí, chtějí jen „razítko“, sepsání směrnic či certifikát, který ukážou svým klientům, a které chtějí kybernetickou bezpečnost doopravdy řešit? A jaký je tento poměr na trhu celkově?
Daniel Hejda (CyberRangers): To bohužel nevím, protože mnoho z nich nás už zná a vědí moc dobře, že u nás by s tímto nepochodili. Ti, kteří chtějí jen razítko, se na nás neobracejí a jdou raději někam jinam, kde mají jistotu, že jim dodavatel vyjde vstříc. My bychom s takovou firmou nechtěli spolupracovat, protože chceme dělat věci správně a jinak, než je dělají ostatní. A právě na tom si zakládáme v rámci Cyber Rangers.
Představme si malou společnost, která kybernetickou bezpečnost neřeší takřka vůbec. Končí třeba u nepříliš složitých hesel pro své zaměstnance, roky nezměněného defaultního nastavení informačních systémů a zastaralého školení. Čím by měla takováto firma začít, pokud by se rozhodla začít brát kybernetickou bezpečnost a odolnost vážně?
Daniel Hejda (CyberRangers): Podle mě by měla zjistit, co má a co chce chránit. Ani u velké firmy neochráníte vše a musíte si říci, co jsou „přípustné ztráty“. Až když víme co, tak se můžeme ptát jak. Tady by to bylo skutečně na dlouho, ale řekněme, že existují základy bezpečnosti, které by měl mít skutečně každý. My toto třeba řešíme často s malými i velkými firmami a vždy si s nimi sedneme, sepíšeme si to a pak se ptáme a hledáme něco, čemu se říká „low hanging fruit“ tedy opatření, která mají vysoký přínos za minimum nákladů.
Jak moc se organizace bojí najmout si etického hackera, který nejenže najde díry a slabiny v jejich systémech, ale často se dostane i k velmi citlivým, a snadno zneužitelným informacím? Co jejich obavy v praxi nejlépe snižuje, váš etický kodex, podepsané NDA, praxe a postavení na trhu nebo ještě něco jiného?
Daniel Hejda (CyberRangers): Nejvíc je to dle mého o reputaci specifické skupiny nebo firmy. Žádný papír vám nedá jistotu, že vám penetrační testy nebo využití etického hackera neublíží. A i kdybyste se soudili, tak reputace na trhu je často to nejdůležitější, jak vás vnímají zákazníci. V praxi samozřejmě podepisujeme poměrně silné smlouvy nebo NDA, ale já nejsem zastáncem papírů, i když je to nutné zlo. Reputace, kvalita a reference jsou tím, co by vám mohlo dát jistotu, že se vybíráte správně.
Podle mě se firmy moc nebojí zneužití, ale mají obavu z toho, že něco selže (systém spadne), nebo že dojde v důsledku nálezů k přehlcení interních lidí. Je to takový model pštrosa, co strká hlavu do písku. Když o problému nevím, tak jako by nebyl. A když už se to stane, tak dostaneme na řešení dané situace více peněz od majitelů, a proto počkáme a pak to budeme řešit. Vše ostatní má totiž paradoxně často vyšší prioritu než právě bezpečnost.
Jak jsou vaše nálezy slabin a zranitelností v praxi přijímány? Narážíte i na odmítání a negativní přístup ze strany interního IT či dalších útvarů, které si z různých důvodů odmítají připustit nedostatky a raději zpochybňují vaše nálezy či postupy? Nebo je nechtějí řešit z důvodů nedostatečných kapacit? A jak v takovém případě reagujete?
Daniel Hejda (CyberRangers): Přiznám se, že takovou situaci jsem nikdy neřešil. Co se občas stane, tak je klasifikace nálezu, tedy my hodnotíme podle kalkulačky NIST CVSSv3.1 a pak subjektivně. A zejména v té subjektivní rovině může docházet k rozdílnosti názorů. Vždy si necháme vysvětlit kontext a úhel pohledu druhé strany a pak třeba závažnost společně reklasifikujeme, nicméně hodnocení podle NIST CVSSv3.1 se nemění, protože vychází z jasně definovaných ukazatelů.
Pro zajištění kvalitních služeb musíte sledovat skutečnou kriminální komunitu, zjišťovat nové postupy a hrozby. Jaké vidíte trendy za poslední roky? Období před covidem, během covidu a nyní?
Daniel Hejda (CyberRangers): Osobně vidím to, že kriminální komunity nestíhají odbavovat možné cíle napadení. Od doby covidu to ještě stouplo, protože všichni jsou dnes na home-office a taktéž používají svá vlastní zařízení (BYOD), což otevírá celou řadu dalších možnosti k napadení společnosti. GenAI zase přineslo efektivitu a rychlost v možnosti provádět aktivity rychleji a rychleji vyhodnocovat získaná data. Představte si, že některé skupiny dříve procházely ukradená data ručně, aby mohly napadené společnosti dostat pod větší tlak ve formě dvojitého vydírání. Dneska ta data dají GenAI a jen se ptají, jaké informace jsou uvnitř. Na základě toho velmi rychle stanoví sensitivitu dat. Díky nástrojům generativní AI tak dokážou mnohem rychleji data rozdělovat na nepoužitelná (k volnému zveřejnění) a použitelná (připravena k dalšímu prodeji).
K podvodům v modelu B2C (klientské služby) bych se raději nevyjadřoval, protože tam je to opravdu hrozné a míra podvodů finančně motivovaných skupin je opravdu veliká. Tím myslím například reverzní inzertní podvody, investiční podvody, útok typu falešný bankéř, výhodná investice atd.
Pokračování rozhovoru naleznete na gdpr.cz.