Bitevní „pole“. Tak si představíme klasické bojiště. Dvě armády, konvenční zbraně, tanky, zákopy, střelba. Jednadvacáté století dává ale klasickým scénářům pořádně zabrat. Jednou z největších hrozeb pro společnost, v níž vše podstatné ovládají počítače, jsou kybernetické útoky...
ČESKÁ POZICE: Izraelská společnost CyberGym, která působí v oblasti kybernetické bezpečnosti, se rozhodla dát českému partnerovi licenci pro stavbu komerční tréninkové arény na výcvik proti hackerským útokům. Jak takový objekt vypadá a k čemu má sloužit?
PŘIBYL: Zvenčí úplně normálně. Jako vlídná, reprezentativní budova. Je v ní zhruba 1200 metrů čtverečních užitné plochy. Původně to byl obytný dům, pak v ní sídlila firma. Dlouho byla neobývaná a nyní prochází rekonstrukcí. Má kancelářské prostory a části vhodné pro trénink. Tam bude technika, různé části výrobních systémů, které se stávají cílem napadení. Tyto prostory už zcela úmyslně nebudou tak komfortní, protože ani u našich zákazníků takové obvykle nejsou.
„Arénu si lze představit jako spojení hardwaru a softwaru, který používají naši zákazníci pro své bezpečnostní systémy v IT“ |
Arénu si lze představit jako spojení hardwaru a softwaru, který používají naši zákazníci pro své bezpečnostní systémy v IT. Obsahuje také industriální části, jako jsou systémy průmyslového řízení, takzvané SCADA systémy a PLC technologie. To jsou zařízení, která se používají ve výrobě a řídí klíčové industriální produkce. V aréně jsme schopni vyrobit malý model energetické firmy, přenosové soustavy nebo výrobní fabriky, který de facto obsahuje všechny jejich důležité části.
Pokud má být zákazník podroben simulaci kybernetického útoku, nelze jej trénovat na jeho vlastní infrastruktuře, protože by případné škody byly fatální. V aréně to možné je. Tam jej můžeme vystavit prakticky všem fázím kybernetického útoku, které jsou vedeny až do konce. Může dojít i k tomu, že se některá zařízení poškodí.
ČESKÁ POZICE: Dokážete tedy přesně simulovat počítačový systém, jaký má zákazník ve své firmě?
PŘIBYL: Možná přesnější pojem než simulovat je emulovat. To znamená vytvořit skutečně identické prostředí profilových součástí, jako je u zákazníka. Důležité je, aby jej přijal za své, aby byl ochoten a schopen říci: „Ano, tak to u mě vypadá, tyto principy a mechanismy já používám.“ Když dojde k útoku, nesmí se stát, aby řekl: „S tím já nemám nic společného, u nás to vypadá úplně jinak.“ To by pro něj nemělo výukový efekt.
„Jedno z našich hlavních poslání je, aby v aréně byl reálný, digitální svět konfrontován s tím, jak vypadá profesionální útočník, který používá vysoce vyspělé armádní scénáře, taktiku a strategii“ |
Díky fyzickým dopadům útoku v aréně také vzniká emoční prožitek, který si lidé pamatují nadlouho. Jen namátkou: mohou zažít třeba okamžik, kdy stoupající voda hrozí zatopit elektromotor a oni opustí místnost, protože se bojí, že tam vznikne zkrat a může něco vyhořet. Potom si uvědomí, že to útočník způsobil zcela úmyslně právě proto, aby oni odešli a on mohl na počítače připojit zařízení, které stahuje data. Tyto zážitky mají na sebereflexi zákazníka velký dopad.
Jedno z našich hlavních poslání je, aby v aréně byl reálný, digitální svět skutečně konfrontován s tím, jak vypadá profesionální útočník, který používá vysoce vyspělé armádní scénáře, taktiku a strategii.
ČESKÁ POZICE: Co se snažíte naučit své klienty především?
PŘIBYL: Největší problém s kybernetickými útoky je, že zákazníci, kteří se stali jejich terčem, to často zjistí až v okamžiku, kdy vidí jejich fyzické dopady. Mají velký problém identifikovat dřívější fázi, kdy už jsou k dispozici určité symptomy. Z mého pohledu podceňují klíčový faktor – lidský. Člověk je schopen analyzovat určitá data z bezpečnostních systémů a vyhodnotit, že se děje něco nepatřičného, že dochází k určité změně.
Nejlepší přirovnání, které mě napadá, je, že je to jako hrát šachy s velmistrem, který má v hlavě dva tisíce špičkových partií, ovládá strategii a taktiku, umí perfektně zahajovat, má strategii střední hry a koncovky. A vy jste hráč, který čtyři tahy stojí a hraje jen v každém pátém. Zákazník má své „figurky“, své bezpečnostní technologie a občas něco zrekonfiguruje, ale čtyři tahy stojí. Útočník mezitím neustále hraje. Šachová partie se tak velmi rychle dostane do stavu, kdy se zákazník z původně perfektního obranného postavení ocitá v situaci, kdy dostává mat.
ČESKÁ POZICE: Jak se dají rané symptomy hackerského útoku rozpoznat?
„Symptomem útoku mohou být i druhy komunikace, které se normálně nevyskytují – něco se někam připojí, žádá o určité informace, přenese určitá data“ |
PŘIBYL: Jsou to určité anomálie v komunikaci nebo v chování, které se dají identifikovat různými nástroji. Ale potřebujete k tomu analytika, který je schopný data dávat do souvislostí a vyhodnocovat. Symptomem útoku mohou být i druhy komunikace, které se normálně nevyskytují – něco se někam připojí, žádá o určité informace, přenese určitá data. Záleží na tom, jak je útok koncipován. Pokud je velmi vyspělý, dokáží útočníci i takové anomálie velmi dobře maskovat. Pak se jen těžko hledají.
ČESKÁ POZICE: Snažíte se tedy zákazníky učit, jak na případný útok přijít co nejdříve?
PŘIBYL: Ano. A snažíme se i o to, aby nevnímali jen jeho kybernetickou cestu. Může totiž být veden i prostřednictvím sociálního inženýrství či fyzických útoků. Je to vždycky kombinace. Musíte si uvědomit, že útočník – to je ta fundamentální změna, a proto mu říkám šachový velmistr – už dneska není student, ale je to profesionál, voják. Kybernetický prostor se stal bitevním polem, útoky na něj dokáží ve společnosti napáchat obrovské škody. Vnikly do něj armády, které tímto způsobem plánují oslabit určitý stát v případě, že jej budou chtít napadnout. A z pohledu vojáků má ještě jednu obrovskou výhodu. Když zaútočíte, není možné poznat, odkud ten útok přišel.
Myslím, že je velmi nebezpečné to, že dochází ke střetu moderní digitální ekonomiky s vojenským prostředím. Není možné ji ubránit, dokud se v ní neprovedou zásadní změny.
ČESKÁ POZICE: U klasického ozbrojeného konfliktu dobře poznáme jeho začátek – někdo jej vyhlásí, dojde k invazi, nepřítel je zřejmý.
„Útočník může mít ovládnuté počítače třeba v Česku nebo v Americe. Nezjistíte, kdo za tím skutečně je.“ |
PŘIBYL: Tady jsou války nevyhlášené. V okamžiku, kdy se vyhlásí, jsou už na tomto poli skončené a lidé pociťují jen jejich důsledky. Útoky jdou ze všech částí světa. Vůbec není směrodatné, zda identifikujete jejich zdroj. Útočník může mít ovládnuté počítače třeba v Česku nebo v Americe. Nezjistíte, kdo za tím skutečně je.
ČESKÁ POZICE: Kdo má v současné době zájem ohrožovat českou kybernetickou bezpečnost?
PŘIBYL: Je třeba si udělat paralelu s politickým vývojem. Kde je dnes napětí, vyostřené vztahy? Tam hledejme jádro potenciálních kybernetických útoků. Například kolem ukrajinské krize vznikla velmi vyhrocená situace. Naše civilizace je nejzranitelnější v kybernetickém prostoru, protože jsme na něm všichni závislí.
ČESKÁ POZICE: Vraťme se k plánované aréně. V čem spočívají její další výhody oproti klasickému školení IT bezpečnosti?
PŘIBYL: Kromě hardwaru a softwaru, který jsem popsal, jsme v rámci licence zakoupili další důležité části. Tou naprosto zásadní je znalostní báze vysoce specifických obranných scénářů, jak reagovat i na vysoce sofistikované útoky. I zde funguje velmi dobře přirovnání k šachům.
„Izraelci na rozdíl od Američanů, Číňanů nebo Rusů, kteří tvoří špičku v oblasti kybernetických útoků, mohou vybírat své odborníky jen z omezeného počtu lidí“ |
Představte si ji jako znalostní bázi všech úspěšných velmistrovských partií, které jsou rozebrány do detailů. Je tam popsáno, jak přesně probíhá fáze zahájení, jaká je taktika střední hry – aby zákazník dokázal identifikovat, jakou partii soupeř hraje. Aby si dokázal rychle uvědomit, jakým způsobem se může bránit. Tuto znalostní bázi jsme schopní formou tréninku předávat svým klientům, a tím zvyšovat jejich schopnost se bránit i těm nejsložitějším kybernetickým útokům.
Pochází z Izraele a z mého pohledu je vysoce sofistikovaná, protože Izrael je permanentně ve válce – v klasické i kybernetické – a má v této oblasti dlouhodobé bojové tradice. Další věcí, kterou jsme si koupili, je průběžný trénink našich hackerských kapacit, které díky němu budou schopné útočit na arénu. Poslední věcí, kterou považuji za úplně nejzásadnější, je metodika. Izraelci na rozdíl od Američanů, Číňanů nebo Rusů, kteří tvoří špičku v oblasti kybernetických útoků, mohou vybírat své odborníky jen z omezeného počtu lidí. Vyvinuli proto metodiku, na jejímž základě lze vzít takzvaně člověka z ulice a udělat z něj obránce, který plní určitou roli.
Umožňuje nám to přizpůsobit se technické úrovni, na jaké úrovni zákazník v danou chvíli je, a stanovit správný postup, jak dospět k cíli. Nejdůležitějším rozdílem je výcvik ne jednotlivců, ale celého týmu, který je pouze jako tým schopen kybernetickému útoku odolávat.
ČESKÁ POZICE: Technický pokrok jde nezadržitelně vpřed. Aktualizuje se průběžně i vaše databáze útoků? Jak dlouho trvá standardní školení v aréně?
PŘIBYL: Databáze je samozřejmě průběžně, pravidelně aktualizovaná. Naši pracovníci změny zpracují a své znalosti dále předávají zákazníkům. Běžné školení trvá pět dní. Je to doba, během níž lze z té velké znalostní základny „ukousnout“ tak velký kus, který zákazníka skutečně někam posune.
ČESKÁ POZICE: V aréně CyberGym by mělo být zaměstnáno přibližně 25 lidí. Kdo to přesně bude?
PŘIBYL: Bude tam několik různých profesí. Část bude tvořit takzvaný červený tým, skuteční hackeři, kteří podle scénářů na arénu útočí. Pak tam bude dominantní „bílý“ tým koučů nebo mentorů pro zákazníky, kteří je budou posouvat dopředu v jejich kompetencích.
„Bude tam několik různých profesí. Část bude tvořit takzvaný červený tým, skuteční hackeři, kteří podle scénářů na arénu útočí.“ |
Funguje to na následujícím principu: v okamžiku, kdy vzniká útok, zákazník zahájí určité aktivity. Ve chvíli, kdy už není schopný se bránit, se útok zastaví. Rozebere se, co se stalo, jaká byla strategie hackera, co se měnilo, jaké byly další možné varianty vývoje a kam se to mohlo dál vyvinout. Zákazník si to uvědomí a situace se vrací tak, aby si ji mohl prožít znova, a běží se dál. Klient se poučí, co udělal špatně, co měl udělat jinak, jak se měl v dané situaci zachovat.
Zaměstnávat budeme i inženýry, zaměřené na technologie SCADA, kteří umějí „postavit“ malou elektrárnu, malý grid pro přenos elektrické energie. Musejí mít know-how, jak to poskládat, aby systémy tvořily takový celek, jako je u zákazníka, vědět, kde je zranitelný.
ČESKÁ POZICE: Budou ve vašem týmu mezinárodní odborníci, nebo budete personál hledat převážně v Česku?
PŘIBYL: Nyní se primárně rekrutuje z Česka. Samozřejmě jsme ale otevření i jiným možnostem, protože máme v oblasti kybernetické bezpečnosti zájem o kompetenční špičku. V této chvíli získávají naši čeští zaměstnanci know-how od izraelského partnera, aby byli schopni vykonávat své budoucí činnosti na nejvyšší úrovni.
ČESKÁ POZICE: Funguje podobná aréna zatím jen v Izraeli, nebo i jinde?
„V této chvíli získávají naši čeští zaměstnanci know-how od izraelského partnera, aby byli schopni vykonávat své budoucí činnosti na nejvyšší úrovni“ |
PŘIBYL: Izraelská společnost ji prodává dvěma způsoby: jako komerční a nekomerční. Nekomerční znamená to, že si ji zákazník (například energetická firma) pořídí jen pro své vlastní účely. Takové prodeje už byly uskutečněny. Z komerčních arén jsme první, která se v Evropě realizuje.
ČESKÁ POZICE: V přípravné fázi jste zvažovali několik destinací, mimo jiné poblíž Brna. Proč nakonec zvítězilo umístění v Řitce u Prahy?
PŘIBYL: Důvod byl zcela pragmatický – blízkost letiště. To byl pro lokalitu jeden z klíčových parametrů. Zároveň jsme chtěli, aby byla blízko Prahy kvůli ubytování a možnostem dalšího vyžití pro zákazníky poté, co večer trénink v aréně skončí.
ČESKÁ POZICE: Jaké zákazníky dosud firma CyberGym v Izraeli měla?
PŘIBYL: Základ její klientely tvoří energetické společnosti. U nich je potenciální dopad kybernetického útoku nejhorší. Blackout, výpadek elektřiny, znamená z mého pohledu v krátkém horizontu sociální katastrofu. Dalším a velmi častým zákazníkem jsou vládní instituce. Stát uchovává v různých databázích identifikační data o občanech. Jejich ztráta nebo jakékoli zcizení informací může být velmi nevybíravým způsobem zneužito k dalším útokům. Dále patří mezi zásadní klienty finanční a telekomunikační společnosti.
ČESKÁ POZICE: Jak v oblasti kybernetické bezpečnosti vnímáte české prostředí? Berou zde lidé hrozbu hackerských útoků vážně, snaží se proti ní bránit?
PŘIBYL: Nikomu nelze v tomto směru nic vyčítat. Když se žije v nevědomosti, vše je otázka subjektivního pocitu. Každý si situaci vyloží podle svého.
„Základním problémem je bohužel to, že lidé absolutně netuší, že došlo k fundamentální změně – ke změně potenciálního útočníka“ |
Základním problémem je bohužel to, že lidé absolutně netuší, že došlo k fundamentální změně – ke změně potenciálního útočníka. Dokud jím byly organizované skupiny tvořené „amatéry“ nebo jedinci orientovaní na rychlý zisk, měly útoky zcela jiný charakter než dnes, kdy za vším stojí armády. Nebezpečí, které z toho plyne, si lidé neuvědomují, protože s ním nebyli nikdy konfrontováni. Náš kybernetický zákon je jen prvním krokem. Zavádí opatření, která jsou z mého pohledu jen úplným minimem. Vůbec neřeší podstatu, pokud na druhé straně sedí profesionální armádní útočníci.
Úplný obrázek o tom, o co jde, získáte až ve chvíli krize. Iniciativy by se měl chopit stát a upravit zákony tak, aby se jeho klíčové instituce daly opravdu efektivně bránit proti nepřátelům. Měl by iniciovat vznik kyberkomanda, vojenské složky, která by chránila kritické součásti infrastruktury a zásadní komunikační uzly.
ČESKÁ POZICE: Je možné, aby si společnost dopady závažného útoku uvědomila, aniž by je musela skutečně zažít?
PŘIBYL: Jakýkoli útok, který by nastal, může být apokalyptického charakteru. Může být už pozdě. Naše aréna vzniká proto, aby si lidé uvědomili nebezpečí a naučili se na něj reagovat dříve, než k něčemu takovému dojde. Z mého pohledu je to i příležitost pro zákazníky, jak vyhodnotit rizika, která pokročilí útočníci představují. Standardními způsoby a metodikami, které jsou zavedeny a certifikovány, to nejsou schopni určit a identifikovat.
ČESKÁ POZICE: Veřejnost se většinou dozví jen o úspěšných hackerských útocích – například když zkolabují internetové stránky nějaké instituce. Informují někdy firmy nebo úřady o neúspěšných útocích, které se jim podařilo odvrátit?
PŘIBYL: Principiální tendence je určitě zatajovat. Nikdo nechce moc poukazovat na to, že se stal terčem útoku. Neví totiž, kdo je kdo na druhé straně. Netuší, jestli to, co odvrátil, nebyl jen jeden krok v delší strategii. Vnímám i tendenci k zatajování úspěšných útoků. Prakticky se o nich nedozvídáme, protože se jimi nikdo nechce sám chlubit. Kybernetický zákon je i tady prvním krůčkem – pro některé subjekty takzvané kritické infrastruktury stanovuje povinnost hlášení incidentů.
„Za daleko fatálnější považuji to, že u mnoha součástí infrastruktury už k útoku mohlo dojít, ale my to nevíme. Ani samy firmy to nevědí.“ |
Za daleko fatálnější považuji to, že u mnoha součástí infrastruktury už k útoku mohlo dojít, ale my to nevíme. Ani samy firmy to nevědí – zjistí to teprve ve chvíli, kdy někdo dá zavrtanému malwaru (programu sloužícímu k poškození počítačového systému – pozn. red.) tlačítkem pokyn, aby začal něco dělat. A to už je pozdě.
Pro profesionální útoky je bohužel typické to, že jsou zahájeny půl roku nebo dříve předtím, než nastanou reálné dopady. Proto také se svými zákazníky v první fázi řešíme to, jestli už jejich systém není infikovaný. Aby partie nebyla od začátku ztracená, abychom vůbec měli šanci si ty „šachy“ zahrát.
ČESKÁ POZICE: Zajišťujete jako odborník na kybernetickou bezpečnost nějakým způsobem sám sebe, svoji rodinu?
PŘIBYL: Není to o jednotlivci, ten je součástí celku. Následky případného útoku lidé nepocítí přímo, ale nepřímo přes výpadek elektřiny. Nebo tak, že si nebudou moci vybrat peníze z bankomatu, že se vypustí voda z přehrad. Nebo havaruje letadlo, kterému někdo podvrhne data při přistávacím manévru nebo mu změní údaje v palubním počítači.
Nemyslím si, že běžný občan čelí nebezpečí ve fázi, kdy sám používá digitální techniku. Tam nemůže dojít k ničemu, co by jej fatálně ohrozilo podobným způsobem jako to, když padnou prvky kritické infrastruktury. V privátní bezpečnosti vidím riziko v tom, že hackeři mohou pro velký útok zcela cíleně využít získávání dat o lidech, kteří jsou na kritických pozicích v daném podniku. V rámci sběru údajů o dané osobě mohou napadnout jeho zařízení, aby získali o konkrétní firmě maximálně přesný obrázek. Aby jejich útok byl maximálně efektivní.
ČESKÁ POZICE: Máte sám plán B například pro případ blackoutu?
PŘIBYL: Přiznám se, že loni běžela vlna záchranných balíčků, které obsahovaly například stravu na tři týdny. Jeden z nich u mě skončil.
Tomáš Přibyl (50)
Viceprezident CyberGym Gilad Yoshi k otevření arény v Česku: „Rozhodnutí otevřít první evropskou komerční arénu CyberGym v Česku padlo po roce intenzivní společné práce na poznání trhu v oblasti kybernetické bezpečnosti v České republice, Rakousku, Německu, Polsku a dalších zemích. Zjistili jsme, že povědomí o kybernetické bezpečnosti je v Česku velmi vysoké (vládní regulace apod.). Jsou zde také vysoce kvalifikovaní potenciální zaměstnanci. Důležitá byla i geografická poloha země ve střední Evropě a přítomnost lokálního partnera Corpus Solutions. Jsme velmi spokojeni s vývojem projektu. Školení odborných zaměstnanců CyberGym Europe výrazně pokročilo. Už jsme začali s rezervací tréninkové arény pro první čtvrtinu roku 2016 pro firmy z Česka, Německa, Rakouska a Slovenska.“ |
