Martin Haller Zločinci v kybernetickém prostoru cílí na soukromá zařízení, firemní a vládní sítě, nemocnice či města. Zaměřují se na padělání faktur, špionáž, obchod s digitálními identitami, těžbu kryptoměn nebo šifrování citlivých dat, aby mohli napadené subjekty vydírat o výkupné v řádech stovek tisíc korun. Proti kybernetickým útokům se však lze bránit a společnosti k tomu stále častěji využívají služeb etických hackerů. Tím je i Ing. Martin Haller, zakladatel brněnské společnosti PATRON-IT s.r.o. a jeden z nejlepších hackerů v Česku. Se svým týmem prověřuje odolnost firemních sítí, doporučuje preventivní opatření pro kybernetickou bezpečnost a snaží se odhalit slabá místa dříve, než je najdou útočníci. Pokud už k útoku došlo a zločinci mají soukromá data v hrsti, Martin Haller s nimi vyjednává a snaží se získat je nazpět. V našem rozhovoru vysvětluje, co se odehrává v hlavě kyberzločinců, kde selhává ochrana dat a jak probíhá etický hacking.

Na co se firmy v novém roce musí připravit a jaké formy útoků mají očekávat?

Tento rok nečekáme žádné zásadní novinky. Ve firemní sféře se bude stále řešit ransomware (zašifrovaná data) a další podvody jako jsou falešné faktury, krádeže identit, úniky dat a podobně. Ohledně jedné věci by však firmy měly být na pozoru. Řada z nich se rozhodla nakoupit kryptoměny a pracovat s nimi. Přitom bezpečná práce s nimi vyžaduje znalosti, pečlivost a obezřetnost. Jinak hrozí jejich krádež, která díky vlastnosti kryptoměn nepůjde zvrátit. A když se zamyslím, s jakou mírou zabezpečení se ve firmách potkáváme, a nad částkami, které dané firmy v kryptoměnách mají, tak se divím, že se zločinci nezaměří více právě na to.

Jak probíhá etický hacking a proč je firmami v poslední době tolik žádaný?

Probíhá stejně jako skutečný útok. Jen k jeho provedení mají hackeři svolení a na závěr svého útoku neprovedou „doražení“ své oběti, tzn. nezašifrují ji a ani neukradnou data. Hackeři za svou práci dostanou zaplaceno, pracují pro dobrou věc a nepáchají přitom zločin. Firma zase dostane informaci o stavu své bezpečnosti a může tak slabiny opravit dříve, než je objeví hackeři, kteří již etičtí nejsou. U firem od desítek zaměstnanců je to zpravidla ta levnější varianta.

Popíšete útoky, s nimiž se společnosti potýkají?

Nejčastěji řešíme ransomware útoky, kdy si útočníci stáhnou část dat od oběti a všechna data následně zašifrují. Potom za nezveřejnění dat a jejich odšifrování žádají peníze. Občas se také setkáváme s falšováním faktur, které je poměrně sofistikované. Útočníci se vlámou do e-mailové schránky nějaké firmy, sledují její komunikaci a následně ji začnou upravovat. Například tím, že mění číslo účtů ve fakturách. Ne vždy se však o těchto útocích dozvíme, protože oběti je často řeší napřímo s bankou a policií.
Méně se setkáváme s tím, že by útočníci těžili kryptoměny na napadených zařízeních. Je to velice vzácné – myslíme, že se jim to ani nevyplatí. Minulý rok jsme řešili pouze dva takové případy.

Co se odehrává v hlavě kyberzločince a jak hacker přemýšlí?

Řekl bych, že nic, co by někoho šokovalo. Jsou to lidé jako my. Je to pro ně hra, způsob obživy, business. Myslím, že nemají pocit, že by páchali něco zlého. Sedí zpravidla tisíce kilometrů od svých obětí. Nevidí za svým konáním životní příběhy. Celé je to pro ně „odosobněné“. Možná by to hodnotili jinak, kdyby byli blíže k následkům svých činů.

Kolik firmu může stát výkupné výměnou za data? Ukazuje se markantní rozdíl, když srovnáme výši výkupného v České republice a ve světě?

Čím větší firma, tím zpravidla vyšší výkupné. Z toho, co reálně vidíme, tak rodinná data vyjdou kolem 10 000 Kč, firemní data v ČR zpravidla statisíce korun a v USA to jsou milióny.

O čem je vyjednávání?

Vyjednávání probíhá zpravidla v angličtině po e-mailu, whatsappu, signálu či webu na darknetu. Snaha je zajistit co nejmenší výkupné (požadované a zaplacené výkupné se zpravidla liší o desítky procent) a úspěšné „odemčení“ zašifrovaných dat (ne vždy jsou útočníci „gentlemani“). Nicméně vyjednávání je jen část procesu záchrany firmy (a ne vždy je nutné se s útočníky bavit). Dále je třeba zjistit, jak se do sítě dotyční výtečníci dostali, síť znovu zprovoznit a lépe zabezpečit. Celé to zabere dny až týdny, kdy se zpravidla do kanceláří napadené firmy, „přestěhujeme“ a pracujeme od rána do noci.

Kde selhává ochrana dat ve firmě? A dá se kybernetický útok předvídat?

Reálně jsou všechny firmy neustále pod útokem – není to tedy o předvídání. Cílem je udělat útočníkům úspěšný útok co nejsložitější (bezpečnostní opatření) a umět jejich počáteční průnik včas odhalit (monitorování), než napáchají nějakou škodu. Obránci sítě často techniky útočníků neznají a zjednodušeně řečeno „hlídají“ síť na špatných místech.

Kdy už je pozdě a jak poznáme, že se kyberzločinci dostali do firemní sítě?

Mezi průnikem útočníků do sítě a zašifrováním dat uplynou nejčastěji pouze hodiny. Útočníci si zpravidla k útoku vybírají víkendy, svátky a noci. Firmy tak nemívají čas na reakci a ocitají se v situaci, kdy včera vše ještě fungovalo a dnes už ne. Samozřejmě to neznamená, že je to tak pokaždé a nedá se s tím nic dělat. Spíše popisuji to, s čím se běžně setkáváme.

Určitě se nějaká data dají zachránit... A co může firma udělat, pokud k útoku citlivých informací došlo?

Ideální je, když má firma zálohy dat, které útok přežily. Pokud nemá, tak buď musí získat data od útočníků (vyjednávat), smířit se s tím, že data nemá, anebo čekat, zdali se někdy v budoucnu neobjeví nástroj pro jejich odemčení. Takový scénář je málo pravděpodobný a může trvat roky. Nám se zároveň někdy podaří objevit chybu v postupu útočníků a data navrátit i bez placení. Co se týče úniku dat, tak s tím se už nedá nic dělat. Útočníkům se nedá věřit, že ukradená data nezveřejní. Proto je nejlepší incident nahlásit Úřadu pro ochranu osobních údajů a dotčeným osobám (subjektům).

Zranitelné jsou také chytré telefony, osobní počítače, kamerové systémy v kancelářích i doma. Jak tato zařízení nejlépe ochránit?

Pro většinu lidí bude nejlepší cestou „obezřetnost“, protože mít svého specialistu na bezpečnost by bylo drahé. Takže: co není nutné, aby bylo připojeno k internetu, tak nepřipojovat. Kupovat si zařízení od zaběhlých značek, které slibují jejich podporu po několik let, zpravidla poskytují aktualizace. Nainstalovat si antivirus, aktualizovat software, používat unikátní hesla. Nevyužívat pirátský software (často je v něm zabudovaným malware) a instalovat si pouze aplikace, které chcete používat.

za rozhovor poděkoval Pavel Kačer