Zpravodajský servis

JDEME BUDOUCNOSTI NAPROTI

Datum zveřejnění: 
19. 3. 2019

Martin Rehák patří k nejdůležitějším mužům české kyberbezpečnostní scény. Své děti učí: Když vám počítač říká, abyste něco udělaly, tak to nedělejte. A teď rozjíždí startup, který má ochránit umělou inteligenci před zlými úmysly.

Co se stane, když vám hacker napadne ledničku? Jak poznat phishingový útok? Proč byste nikdy neměli klikat na link v e-mailu? A jak je Česko připravené na kybernetický útok?
Málokdo v Česku má o kyberbezpečnostních hrozbách takový přehled jako Martin Rehák.
Jednačtyřicetiletý podnikatel se spolu s Michalem Pěchoučkem proslavil založením a prodejem startupu Cognitive Security, který zajišťoval síťové zabezpečení díky umělé inteligenci. V roce 2013 ho koupil americký gigant Cisco. Rehák pro něj následně pracoval jako šéf pražské výzkumné laboratoře, která na Karlově náměstí vznikla právě okolo technologie a lidí Cognitive Security.
Na začátku letošního roku korporaci opustil a rozjíždí nový projekt, který stejně jako jeho první startup vyráží budoucnosti naproti. "Odhadujeme, kam se svět pohne, a chceme na tom místě počkat, než tam dojde," říká Rehák, který zároveň vyučuje na Fakultě elektrotechnické ČVUT.
Tenhle projekt, který zabezpečuje umělou inteligenci, se jmenuje Bulletproof AI a investoři by měli zbystřit: tohle může být podobný úspěch, jako mělo Cognitive Security. Rehák a spol. se nepochybně vydali perspektivním směrem. Umělá inteligence začíná řešit čím dál víc úkolů v našem životě a zatím nikdo moc nemyslí na to, jak ji zabezpečit před zlými úmysly. A jak v rozhovoru Rehák připomíná, byznysmodel zločinců se přesouvá z fyzického do online světa. "To, co bereme jako pokles kriminality, je ve skutečnosti jen přesun na internet," říká.

- Kyberbezpečnost je teď žhavé téma. Čeho bych se já jako koncový uživatel měl nejvíc bát?

Běžný člověk se musí nejvíc bát o své osobní údaje, které ukradne někdo bezohledný a bude je používat velmi poškozujícím způsobem. Určitě nechcete, aby vám někdo ukradl údaje o vašem bankovním účtu a čerpal z něj peníze nebo aby si stáhl fotky vašich dětí a pak vás vydíral. To, že by vám někdo citlivá data poškodil nebo smazal, je útok včerejška. Často přesvědčuji svoje rodiče, aby si nastavili do e-mailu silné heslo a dvoufaktorovou identifikaci.

- Proč? Mají tam pro útočníky něco zajímavého?

To asi ne, ale jejich e-mail mohou použít pro útok na někoho jiného. Třeba na mě.

- Toho se bojíte?

Nebojím, ale je to dobrý argument.

- Je stále ještě aktuální hrozba ransomware, tedy vyděračský software, který vám zašifruje data a musíte zaplatit za obnovení přístupu?

Ještě se vyskytuje, ale hlavní proud už pominul. Firmy už se tomu do velké míry naučily bránit. Zdá se, že četnost výskytu ransomwaru klesá a útoky se přesouvají jinam.

- Co je tedy nejčastější způsob útoku?

Je jich víc. První je, že si kriminálníci na černém trhu prodávají různé části útoku – takže jsou vysoce specializovaní a fungují v řetězci. První ukradne přístupová hesla 10 tisíc lidí. Druhý je rozdělí podle sociodemografických měřítek a prodává je na černém trhu jako balíky. Třetí pak jednotlivé balíky využije podle toho, co je to za lidi – pokud jde třeba o klienty jedné banky, pošle na ně phishingový útok, který vypadá jako oficiální zpráva od banky. Postaví si kopii jejich webu a pošle jim e-mail se zprávou: "Vaše heslo bylo napadeno, pojďte si ho změnit, tady klikněte." Lidé si změní heslo v jeho fejkovém prostředí, a umožní tak útočníkovi nabourat se do internetového bankovnictví.

- Jsou nějaké skupiny obyvatel ohroženější?

Nejbohatší a nejaktivnější lidé jsou určitě ohroženější. Pokud hodně cestujete a často používáte svou kreditní kartu, má její údaje víc subjektů. Statisticky je větší šance, že někoho z nich útočníci napadnou a vaše údaje mu ukradnou.

- Jak se bránit?

Každý by se měl bránit přiměřeně své situaci. První bod: zálohujte si nejcennější data. I fotky rodiny v telefonu, je snadné o ně přijít. Druhý bod: pečlivě si uschovejte přístupové údaje a hesla do různých služeb. Obnovování hesel je čím dál těžší, protože tyto protokoly jsou pod houstnoucím tlakem útočníků, kteří se je snaží zneužít. Třetí bod: finanční a ekonomické údaje, které už dnes většina lidí skladuje elektronicky, se vyplatí důsledně skrývat, protože z nich sice nemůžou přímo nic ukrást, ale dá se z nich odvodit vaše "cena" na černém trhu.

- Co to je za lidi, tihle útočníci?

Osobně neznám žádného opravdu zlého zločince. Existuje hodně odstínů kriminality a spousta specializací. I v klasickém zločinu jste měli kasaře, kapsáře nebo lumpy, co dělají el paso nebo vloupačky. To samé je v online světě – až na to, že z pohledu práva třeba nejsou všichni tak úplně špatní. Je třeba velká skupina hackerů, která se zabývá hledáním zranitelnosti softwaru. Je legitimní najít chybu v softwaru firmy a pak tuhle informaci firmě prodat. To jsou bílí hackeři. Pak je šedá zóna, která platí za to, že informace o těchto zranitelnostech vykupuje. To už může být morálně problematické.

- Záleží na tom, u koho bezpečnostní díru odhalíte…

Přesně. Je na každém, aby se rozhodl, jestli je správné infiltrovat počítač mafie versus počítač disidenta, který bojuje proti autoritářské vládě své země.

- A ti černí hackeři?

O nich se toho málo ví. Jsou každopádně mentálně i morálně flexibilní a mají vášeň pro vyhledávání zranitelností, které pak využijí pro vlastní obohacení.

- Dá se zobecnit, odkud tihle zlí hackeři pocházejí?

Těžko. Ale když učím kurz bezpečnosti, učíme studenty útočit na počítačové systémy – aby se naučili bránit. Pak vedeme debatu o tom, komu by se to mohlo vyplatit.

- K čemu jste dospěli?

Že nikomu v Česku se nemůže vyplatit být opravdu černý zlý hacker. Neříkám, že je u nás nemáme, ale ekonomicky to tady nedává moc smysl.

- Jak to? To jsme tak bohatí?

Ti nejchytřejší a nejlepší často pocházejí z ekonomicky slabších zemí. Programátoři se u nás mají dobře, podívejte se na jejich platy. Pak nemáte důvod dostat se na šikmou plochu a zkoumat svou morální flexibilitu.

- Je pravda, že nejlepší hackeři jsou ti, které platí stát?

Zřejmě ano. Stát je ovšem spíš vychovává, než aby je platil. Třeba americký obranný sektor vychovává hackery, kteří jsou součástí ozbrojených složek a procházejí kariérní postupem, až se dostanou do NSA (Národní bezpečnostní agentura spadající pod ministerstvo obrany, pozn. red.). Pak přecházejí do soukromých firem, kde pracují jako kontraktoři NSA, a mohou žít třeba na Havaji.

- Má také česká armáda své hackery?

To nevím a asi bych to ani neměl vědět, protože kdybychom je měli, musí být tajní. Menší státy ovšem mívají omezené ofenzivní schopnosti, a pokud mají nějakou potřebu – a to třeba i uvnitř vlastního státu –, koupí si ji od soukromých firem.

- Jakých?

Je spousta firem, které se specializují na dodávky hackerských služeb. Často pocházejí z Izraele.

- Takže když česká policie potřebuje otevřít iPhone nějakého zločince, zavolá si do Izraele?

Nemůžu komentovat přímo Česko, ale obecně ve světě to tak často platí.

- Co je kyberbezpečnostní minimum, které by měl každý stát zvládat, aby se mohl efektivně bránit?

To minimum se pořád rozšiřuje. Musíte zajistit takovou obranu, aby v případě útoku byla populace vůbec schopná přežít: ochránit nejklíčovější infrastrukturu a zajistit životní minimum, jako je tekoucí voda, fungující elektřina a plyn.

- Jaké černé scénáře považujete za nejreálnější? Známe z akčních filmů, že hackeři ovládnou semafory na křižovatkách, zastaví ropu, unesou na dálku vlak…

Ukrajina před dvěma lety oznámila, že velkou část tamní energetické sítě ovládli hackeři cizího státu. Asi si můžeme domyslet kterého. A to už je dost blízko opravdu černému scénáři. Když napadnete energetické zdroje a jejich distribuci, můžete každou zemi vrátit o 100 let zpátky. Přestane fungovat elektřina, mobilní sítě, bankovní systémy, posléze se rozpadne systém na výplatu důchodů, výběr daní… I když má každá společnost v sobě jistou dávku odolnosti, postupně by se začala propadat do chaosu.

- Jak dobře je Česko chráněno?

Standardně, jako ostatní země. Myslím si, že ochrana na úrovni státní správy je trošku lepší, než odpovídá penězům, které do ní dáváme. Je to dobrou prací lidí, kteří se o to starají. Ale mohlo by to být mnohem lepší, kdybychom o ochraně státu uvažovali strategičtěji.

- A firmy?

Spousta z nich investuje peníze do ochrany, jak se dělala v minulém desetiletí. To nebude za rok nebo za dva stačit. Nebo znám dost příkladů firem a organizací, které to dělají nešikovně. Dám vám příklad: české ministerstvo zahraničí provozuje svůj e-mailový server a samozřejmě si nemohli
dovolit mít tým 300 až 400 lidí na jeho bezpečnost. To si může dovolit třeba Google, který to dělá pro x miliard lidí. Takže se dostáváme do situace, kdy právě ty firmy, které bazírují na bezpečnosti a snaží se mít všechno ve svém datacentru, mají často objektivně menší bezpečnost, než kdyby pro všechny zaměstnance pořídily třeba Gmail.

- Google nebo Apple se čím dál víc stávají i kyberbezpečnostními firmami, že?

Nejpromyšlenější strategii má Google a víceméně i Microsoft. Situace se i díky nim výrazně mění. Když jsme teď zakládali novou firmu, ani ve snu nás nenapadlo koupit si vlastní e-mailový server. Podívali jsme se na nabídku poskytovatelů a totéž opakovali i u správy dokumentů a dalších věcí. Máme funkční firmu, a nemáme jediný server. To bylo před pěti lety nemyslitelné. Když nakoupíte všechny služby na internetu, nepotřebujete bezpečnou firemní síť. Stejně je všechno šifrované. Je jasné, že firmy přestávají kupovat servery, sítě a firewally. Většina tohoto trhu zmizí a omezíme se na zabezpečení jednoho počítače, serveru, co sedí někde v cloudu, a šifrovaného kanálu mezi nimi. To je všechno.

- Co to znamená?

Že firewall, metody filtrování spamu, e-mailové servery a jakékoli zabezpečení in-house systémů mizí, trh se zjednodušuje a redukuje se. Koláč, který si dnes dělí bezpečnostní firmy, se v následujících letech výrazně zmenší. Platba za bezpečnost už bude součástí služby, kterou si kupujete od Googlu, Salesforcu a dalších. Já když dostanu podezřelý dokument, otvírám ho v prohlížeči na Google infrastruktuře, protože když někdo nakazí Google server, beru jako součást služby, že se o to Google postará a mě to nijak nepoškodí. Když si ho stáhnete k sobě a otevřete, vystavujete se většímu nebezpečí.

- To, co říkáte o dynamice kyberbezpečnostního trhu, asi nedělá radost vašemu bývalému zaměstnavateli…

Cisco to vnímá a snaží se přerodit. Nedávno koupilo firmu Duo Security, která se zabývá zprostředkováním loginů a identifikací zaměstnanců a jejich zařízení.

- Kudy se útočníci dnes nejčastěji dostávají k firemním datům?

Nejčastější případ je phishingový e-mail. Už se moc neposílají infikované přílohy, začíná převažovat e-mail, který vypadá jako od vašeho správce sítě (admina). Na něj kliknete a dostanete se do systému, který není tím, čím se zdá. Vypadá stejně, bez kontroly certifikátu je pro běžného člověka nemožné to rozlišit.

- Tak jak se bránit?

Jediná rozumná obrana je nikdy neklikat na žádné linky v žádném e-mailu.

- To přece skoro nejde…

Dá se tomu vyhnout tak, že jdete přes svůj prohlížeč přímo na službu, na kterou jste dostali odkaz.

- Nevím, jestli na to pokaždé máte čas a trpělivost. Ovšem obecně se dá říct, že lidé by měli být mnohem obezřetnější na to, kam klikají…

Své děti učím: Když vám počítač říká, abyste něco udělaly, tak to nedělejte. Typicky neklikejte na reklamy okolo videí na YouTube.

- Poslouchají vás?

V tomhle případě ano, už se poučily. Už jednou klikly na špatný link a musely přeinstalovat počítač ze zálohy.

- Dřív bývala ve školách branná výchova a příprava na jaderný útok, ale připravuje dnes stát své občany na kybernetické hrozby?

Nepřipravuje. On je nepřipravuje ani na obecnější věci. Dnes se učí, jak používat Word a Excel, ale málo se učí pochopení toho, jak funguje počítač nebo algoritmus. To strašně chybí. To, co se učíme o fyzice nebo biologii, tedy pochopení na širší úrovni, se o počítačích vůbec neučí. Bere se to jako alchymistická kuchařka bez pochopení základních principů.

- Co navrhujete?

Líbí se mi třeba akce BBC, které investovalo do projektu Micro:bit, což jsou malé počítače za pět eur, které děti dostávají ve škole. Můžou na nich programovat a učí se je ovládat. To je správný základ – dát dětem něco jednoduchého, co mohou ovládat a ono to neovládá je. Naučit je pracovat v režimu, že ony rozumějí počítačům a nemusí se jich bát. Nedá se na tom celkem nic zničit nebo je škoda za pár korun.

- Hodně se nyní mluví o bezpečnosti internetu věcí, že útočníci mohou nakazit nechráněná chytrá zařízení ve vaší domácnosti, třeba ledničku nebo termostat. Opravdu se toho máme bát?

Všechny systémy a zařízení, které dnes produkujeme, jsou zranitelné. Klíčové je udržovat software neustále aktualizovaný a mít nejnovější bezpečnostní záplaty. Málokdo má mentální odolnost instalovat je do všech chytrých žárovek v domácnosti. Málokdo chce myslet na to, že každé dva měsíce má instalovat upgrade operačního systému termostatu. Málokomu se chce řešit bezpečnost ledničky. Je to otravné a pro běžného uživatele to nepřináší zdánlivě žádnou hodnotu. Z pohledu výrobce je to ještě horší, protože když prodáte ledničku, tak ji prostě pouštíte ze zřetele. Nechcete dělat softwarové updaty pro 10 let starý model, držet servery a řešit certifikáty.

- Existuje na to jednoduché řešení z pohledu zákazníka?

Kupte si jen ty chytré věci, u kterých jste ochotni investovat čas do jejich softwarové údržby, nebo se zařiďte tak, že když selžou, neohrozí zbytek vaší domácnosti.

- Ale každý potřebuje ledničku a nikdo nechce řešit její software.

Přesně tak. Potřebuji ale ledničku, která má uvnitř kameru a pamatuje si seznam věcí, které mám koupit? Pokud ano, měl bych řešit i její zabezpečení.

- Co se může stát, když mi hacker napadne ledničku?

Může vám ji vypnout a vám se zkazí mléko. To ale z pohledu hackera nelze brát jako spektakulární úspěch. Ovšem vaše lednička může sloužit i jako vstupní bod do vaší domácí sítě, protože všechno je na jedné wi-fi. Nebo, jelikož má uloženou vaši kreditní kartu, bude objednávat věci, které nechcete nebo nikdy nedostanete. A ještě jedna věc: vaše lednička se takhle může stát jednou z tisícového stáda ledniček, které provedou DDoS útok.

- A co kryptomining? To je také možnost potichu využívat cizí zařízení k velké škodě.

Můj osobní problém s kryptoměnami je kromě jejich bezpečnosti i morálka. Kryptomining nenapravitelným způsobem poškozuje naši planetu zbytečným zahříváním. To se mi nelíbí. Kryptomining je také důvodem, proč trochu poklesl ransomware. Je totiž jednodušší ukrást trochu peněz od tisíce lidí než zašifrovat disk tisícům a jeden zaplatí. S poklesem hodnoty kryptoměn ale klesá i motivace útočníků dělat kryptomining, takže uvidíme, jak moc bude tenhle zločin relevantní.

- Pojďme k vašemu novému startupu. Jaký bude?

Jmenuje se Bulletproof AI, tedy neprůstřelná umělá inteligence.
Naším cílem je zabezpečit umělou inteligenci, protože se dnes používá prakticky na všechno.
Vezměte si třeba fintech. Dřív jste šli do banky a na schválení úvěru jste čekali 14 dní. Dnes si požádáte online a rozhodnutí máte do 14 vteřin nebo méně, aniž by vás viděl jediný bankéř. Rozhoduje algoritmus, který pracuje se vstupními daty, která dostane od banky, od žadatele a dalších zdrojů. Oblastí, kde algoritmy rozhodují o velkých částkách peněz, je čím dál víc.
A my se proto věnujeme tomu, jak je ochránit před manipulací.

- Jak moc reálná hrozba to je?

Zatím to není tak vidět. Je to nastupující hrozba. Ale třeba u vozů s autopilotem je to při rozpoznávání obrazu klíčové – když nalepíte tři malé samolepky na dopravní značku, a počítač tak místo stopky vidí padesátku, můžete někoho zabít. Jinými slovy, svěřujeme umělé inteligenci čím dál víc důležitých rozhodnutí. A přitom se moc nepočítá se zlým úmyslem.

- Jste úplně na začátku. Máte už nějaké zákazníky?

Máme zatím dva, nemůžeme jmenovat. Spolupracujeme například s firmou, která se zabývá mikrofinancováním v Africe. Často tam vidí snahu oblafnout algoritmus. Celé vesnice se učí, co a jak mají vyplňovat a jaký na to mají mít telefon, aby se dostaly k výhodnější půjčce. Lidé se tam naučili intuitivně obcházet rozhodovací modely umělé inteligence, aby dostali více peněz. Vědí, že dražší telefon s lepším displejem považuje algoritmus za znak bonitnějšího žadatele.

- V jakém stadiu teď jste?

Děláme na tom necelé dva měsíce. Oba naši klienti jsou velmi sofistikovaní a chtějí nás použít jako konkurenční výhodu. Bavíme se o know-how lidí, kteří prošli jadernou a elektrotechnickou fakultou nebo matfyzem. Jsem to já a čtyři mí bývalí doktorandi a kolegové plus tři další inženýři. Celkem osm lidí, z toho pět s doktorátem. A všichni jsme foundeři, všichni máme podíl.

- Co vás na tom baví?

Tvořit nové věci. Jít tam, kde jsou útoky zatím jen teoretické. Jít budoucnosti naproti. Odhadovat, kam se svět pohne, a čekat na něj tam, ještě než tam dojde.

- Podobně jako v případě vašeho prvního startupu Cognitive Security...

Přesně tak. Snažíme se odhalit rizika dřív než útočníci a systémy zabezpečit tak, aby naši zákazníci měli ta rizika pod kontrolou. Nikdy je nemůžete úplně eliminovat, ale je možné to útočníkům co nejvíce ztížit.       
 

Autor: 
MICHAEL MAREŠ
Zdroj: 
Forbes NEXT