Založil úspěšný startup, který zaujal giganta Cisco natolik, že ho koupil

"Nejsem si vědom, že by měla česká vláda nějaké tajné hackerské centrum,” říká šéf pražského výzkumu amerického síťového gigantu Cisco Martin Rehák.

- Pane Reháku, s kolegou Michalem Pěchoučkem jste v rámci ČVUT založili startup Cognitive Security. V roce 2013 jej koupil síťový gigant Cisco, který z jeho jádra utvořil přední výzkumné a vývojové centrum pro kybernetickou bezpečnost.
Čekali jste s kolegou, že startup bude v tak krátké době úspěšný?

My jsme s kolegou doufali, že úspěšný bude, na druhou stranu jsme věděli, že 4 z 5 začínajících startupů nedopadnou dobře. Byli jsme si vědomi rizik, ale i tak jsme věřili, že dokážeme být úspěšní. Nečekali jsme, že to bude tak rychle, protože Cisco nás koupilo v momentě, když jsme získávali peníze v dalším kole investic a obcházeli investory. Cisco si položilo otázku, proč by investovalo, když může Cognitive Security rovnou koupit, z čehož následně vzešla akvizice.

- Váš startup je nedílně spojen s Č VUT, na jejíž půdě před devíti lety vznikl a na níž s kolegou působíte jako pedagogové. Domníváte se, že úzké sepětí komerčního prostředí s univerzitním může být cesta k úspěchu i pro další startupy?

Podle mne je to skoro jediná rozumná cesta k úspěchu pro české startupy. Českým firmám se totiž daří v těch oblastech, kde mají nějakou technologickou výhodu a kde dokáží uspokojit úzkou skupinu zákazníků. Firmy, které vycházejí z prostředí univerzit nebo které najdou nějaký unikátní obchodní model jako třeba Avast, dokáží uspět.

- Co jste vlastně Ciscu jako startup nabídli, že se rozhodl koupit právě Cognitive Security?

My už jsme měli vlastní kvalitní software i spokojené zákazníky a celkem dobrý obchodní růst, což jsou hlavní předpoklady pro úspěch. Pak jsme v druhé řadě měli vizi, jež se v té době teprve formovala, a kterou jsme chtěli rozvíjet dál, abychom získali náskok před ostatními. My jsme přinesli nástroj pro analýzu velkého množství dat a Cisco nám naopak ta data přineslo, díky čemuž jsme je mohli analyzovat.

- Neobávali jste se, že přijdete začleněním vašeho startupu do amerického síťového gigantu o značnou míru nezávislosti, na které si startupy ve vašem oboru zakládají?

Za začátku jsme se trochu obávali, ale zároveň jsme věděli, že Cisco je v nakupování startupů velmi dobré, kdy kupuje přibližně 8 až 10 firem ročně, a má dobré výsledky v integraci. My jsme si prošli historii startupů, které Cisco v minulosti koupilo, analyzovali, jak probíhá proces jejich začlenění a na tomto základě jsme si udělali názor. Vnímali jsme tak na začátku riziko, ale to jsme vyhodnotili spíše jako subjektivní než objektivní, a to se nakonec ukázalo být správnou volbou.

- Daří se podle Vás nastartovat proces propojení akademického prostředí a průmyslu, nebo u firem převládá v tomto směru spíše zdrženlivější, vyčkávací stanovisko?

Myslím si, že se to už v hojné míře děje, ale obě strany, jak akademické prostředí, tak firmy se k sobě musí přiblížit a vzájemně se pochopit. Mnoho firem se dívá na věci inkrementální optikou a říkají: mám nějaký trh, chci vytvořit inovaci, ale musím mít peníze zpět maximálně do jednoho či dvou let, což se málokdy podaří. V našem výzkumném centru Cisco se na to díváme jinak. Snažíme se 20 % úsilí investovat do projektů, které sahají za horizont dvou let. Naším cílem je přitom odhadnout, kam se dostane technologický vývoj a tam se snažíme investovat. Ne vše samozřejmě vyjde, ale tam, kde jsme úspěšní, získáváme konkurenční výhodu nad ostatními. Například ve spolupráci s našimi kolegy v USA, ale primárně zde v Praze vznikla technologie Cisca s názvem Encrypted Traffic Analytics, kde se bavíme o analýze šifrovaného provozu zvenčí bez jeho rozšifrování. Zabýváme se tím, jakým způsobem najít v zašifrovaném provozu komunikaci malwaru nebo nějakého škodlivého softwaru uvnitř sítě našich zákazníků.

- Na jakých projektech v oblasti kyberbezpečnosti vy jako šéf šéf pražského výzkumu Cisca pracujete?

My se soustředíme na několik projektů, ale ty jsou víceméně všechny sdružené pod hlavičkou, která se dnes nazývá Cognitive Intelligence, což vychází z našeho původního názvu, ale hlavně to vyplývá z našich schopností, které nabízíme, protože na rozdíl od velmi bezbřehého pojmu AI (umělá inteligence) nebo velmi úzkého pojmu strojového učení se pohybujeme někde uprostřed, kdy používáme techniky statistické analýzy a strojového učení, ale používáme je na širší množině dat z mnoha různých zdrojů a tím vlastně budujeme kvalitativně novou informaci. Takže my vlastně propojujeme techniky z fúze dat a fúze datových zdrojů s technikami strojového učení, čímž přinášíme našim klientům něco navíc. Naším cílem je, aby umělá inteligence dokázala ušetřit práci našim zákazníkům a dokázala jim pomoci zabezpečit sítě a najít tam útočníky.

- Vy jste se v Cognitive Security soustředili v rámci kyberbezpečnosti na vývoj umělé inteligence a na preventivní řešení. Na jakém principu funguje Vámi vyvíjený bezpečnostní systém?

Těch systémů již dnes existuje několik v různých produktech, ale všechny mají jednu základní myšlenku – učíme se na jedné straně, jak funguje každé zařízení, které chráníme. Pro každý mobil či počítač, který monitorujeme, si vytvoříme velmi abstraktní matematický a statistický model toho, jaké má konkrétní zařízení běžné charakteristiky. Pokud vidíme odchylku, která je těžko vysvětlitelná, tak je to pro nás zdrojem určitého podezření. Nicméně takových odchylek máme na každém zařízení denně desítky či stovky. Hledání odchylek či anomálií je první část našeho systému, za tím pak existuje dalších mnoho částí, které rozhodují o tom, které odchylky jsou či nejsou zajímavé. V první řadě pojmenováváme známé odchylky, které jsou bezpečné, například to, že někdo poslouchá internetové rádio, na druhé straně máme kvalitní modely mnoha útočníků a organizací, takže pokud najdeme konkrétně nějakého útočníka nebo projev, který dokážeme k něčemu přiřadit, tak naopak řekneme, že toto je jasný útok. Zajímavá je také část mezi tím, což jsou ty odchylky, jejichž analýzou můžeme najít nové a dosud neznámé útočníky a tam máme řadu algoritmů, které právě vyhledávají zajímavé kombinace odchylek.

- V jednom rozhovoru jste se zmínil, že Vám všichni říkali, že AI a kyberbezpečnost nejdou dohromady. Měl jste někdy sám pochyby, jestli tato kombinace bude úspěšná?

My jsme věděli, že bude úspěšná, pokud dokážeme správně najít trh pro ty schopnosti, které máme. Pokud bych řekl, že vyřeším celou bezpečnost pomocí umělé inteligence, tak se mi všichni vysmějí. Pokud ale řeknu, že dokážu vyřešit problém X, který je dobře definovaný, třeba odhalení útočníka, jenž pronikl do nějaké sítě na základě nějakého zdroje dat pomocí těchto technik s takovou přesností, tak to prohlášení je mnohem více obhajitelné a testovatelné. Jde tak o to najít něco dost velkého na to, aby to bylo zajímavé obchodně, nebo z pohledu uživatele, ale dost dobře definované na to, aby to šlo vyřešit.

- Jaká nebezpečí považujete v současné době za největší rizika z hlediska kyberbezpečnosti? Je to phishing, krádež dat či jiné hrozby?

Já bych oddělil trend a riziko, protože z pohledu uživatele je největší riziko krádež dat. Pokud Vám někdo zcizí data a dokáže je zneužít a finančně vytěžit, tak je to pro Vás i Vaše klienty velká nepříjemnost. Takže ochrana dat před zcizením je pro mě největší prioritou v současné době. Případy, kdy k tomu dojde, jsou relativně méně časté. Nejčastější jsou ty případy, kde existuje jednodušší obchodní model z pohledu útočníka, jak vydělat peníze. To jsou v dnešní době dva trendy. V prvé řadě to je ransomware, kdy Vám útočník zašifruje data a požaduje za jejich odemčení peníze, druhý trend je cryptomining, kdy se bitcoiny těží přímo pomocí zneužití Vašeho počítače. V dnešní době se to jeví pro útočníka jako optimální model, protože je tam většinou malá škoda a tyto případy se příliš nevyšetřují.

- V dalším rozhovoru jste prohlásil, že hacking je seriózním byznysem a najlepší hackery sponzorují státy. Dostala se tato "praxe” i k nám?

Nejsem si vědom, že by měla česká vláda nějaké tajné hackerské centrum (smích). Ale i kdyby ho měla, tak bych to nevěděl. Samozřejmě si nemyslím, že všechny státy se podílí na kyberútocích, to je jasné. Každý stát by měl mít schopnost se bránit kyberútokům a chránit své občany před nimi. Pokud se bavíme o tom, zda má mít stát schopnost ofenzivně útočit na své protivníky v kyberprostoru, tak je to otázka, na kterou některé státy oficiálně odpověděly kladně, jako například USA. Současná americká doktrina říká, že operace v kyberprostoru jsou podle zákonů válek normální alternativou běžných vojenských operací. Na základě toho, co víme, se na druhou stranu můžeme domnívat, že USA nejsou jediným státem, který něco podobného v praxi dělá.

- Před několika měsíci IBM Security zveřejnila zajímavou studii, v níž poukázala na to, že 77 % dotazovaných firem chybí plán, jak při kyberbezpečnostním incidentu reagovat. 69 % z nich rovněž uvedlo, že na kybernetickou odolnost nemá dostatek peněz. Jak si stojí v porovnání s těmito výsledky české firmy? Umí včas rozeznat kyberbezpečnostní hrozby a adekvátně reagovat?

Některé to určitě umějí, ale myslím, že to není úplně správně dělení na české a zahraniční firmy, ale spíš je správné dělení na větší a sofistikovanější a menší, které kyberbezpečnostní hrozby neřeší. Domnívám se, že je dobrým myšlenkovým cvičením pro každého ředitele se náhodně projít firmou, ukázat IT specialistovi na tři servery, aby je vytáhl ze sítě a položit otázku, jakým způsobem by je obnovil, pokud by byly zničeny. To ale většina českých firem nedělá. Dalším myšlenkovým cvičením, která velká část menších firem nedělá, je segmentace sítě. Jde o to, aby se útočníci nedostali k zajímavým datům firem, aby se útok nešířil dál a byly páchány ještě větší škody. Takže segmentace sítě by se měla u firem dělat podstatně častěji. Není důvod, aby každý uživatel mohl komunikovat s počítačem finančního ředitele. Stejně tak není důvod, aby finanční ředitel autorizoval platby ze svého počítače, na kterém čte e-maily, což je nejčastější zdroj nákazy. Takže pokud dokážete udělat tzv. virtuální podsítě, kdy do počítačů sice vedou jedny kabely, ale každá skupina počítačů má vlastní síť a je od sebe izolována, tak ta firma je s poměrně malými náklady zabezpečená.

- Liší se nějak kvalita zabezpečení sítí například v korporátu či malé firmě?

Kromě toho, co jsem již řekl, bych doplnil, že je důležité se podívat na bezpečnost síťových prvků jako takových. Nedávno kolegové z Talosu, bezpečnostně-výzkumné součásti Cisca, zjistili ve spolupráci s několika vládami a organizacemi, že velká část malých domácích routerů obsahovala zranitelnosti a mohla být ovládána útočníky na dálku. Routery pak mohly být využity k útoku na někoho jiného. Takže když to shrnu, šetřit na údržbě síťových prvků se opravdu nevyplácí. Důležité je útokům předcházet, protože jeho následky jsou potom extrémně drahé.

- Jsou patrné nějaké,,hlavní" trendy v síťové bezpečnosti v roce 2018?

Myslím, že existují dva nebo tři takové trendy. První je ten, že klesá ransomware, to znamená šifrování dat za výkupné, a stoupá cryptomining. Proč tomu tak je? Abyste získal jednu platbu u ransomwaru, bylo potřeba zašifrovat zhruba 100 počítačů. Policie tak byla tlačena veřejným míněním k tomu, aby to začala řešit a spousta těchto útočníků se tak dostala do postavení, na které nebyli zvyklí – že je někdo vyšetřuje. Takže přišli na to, že je lepší nechat těch 100 počítačů infikovat a nechat na nich počítat výpočetní příklady, které slouží pro těžbu kryptoměn, a tím tak získat peníze bezpečněji pod hranicí viditelnosti zájmu policie a veřejnosti. Čili to je vlastně pozitivní trend, protože útočníci nepáchají takové škody. Dalším trendem, který bych z pohledu ochrany osobních údajů zmínil, je pozitivní nárůst procenta šifrovaného provozu.

- Je podle Vašeho názoru řešením v boji proti kyberterorismu například specializovaný tým, tzv. kyberliga, složená ze špičkových odborníků na IT? Národní bezpečnostní úřad na projektu sice pracuje již několik let, ale zatím nevidíme reálný výsledek

Myslím, že to může být součást celkového řešení v boji proti kyberterorismu. Asi se nemůžeme spoléhat na to, že stát budou chránit dobrovolníci, na druhou stranu je racionální očekávat, že v případě nějaké krizové situace budou někteří lidé ochotní pomoci státu. Myslím, že takových lidí je v ČR dost. Je to stejné jako u hasičů, kteří to mají jako svou profesionální činnost, ale v případě nějaké živelné katastrofy může stát povolat právě i dobrovolné hasiče.

Snažíme se 20 % úsilí investovat do projektů, které sahají za horizont dvou let. Naším cílem je přitom odhadnout, kam se dostane technologický vývoj a tam se snažíme investovat.