Kyberútoky na firemní systémy jsou dlouhodobě na vzestupu. Mezi ty nejpopulárnější podle českého antivirového obra Avastu patří takzvaný ransomware, tedy pokusy o donucení obětí k zaplacení výkupného, jehož výskyt podle dat firmy vzrostl meziročně o 20 procent. Kromě zanedbaných aktualizací útočníci nejčastěji využívají dobře známou slabinu všech IT systémů – samotné uživatele. Startupy a menší firmy by podle Avastu neměly zabezpečení svých dat podceňovat. A to ani v případě, kdy stojí na zakázkové ekonomice a externistech.

Podle předního českého odborníka na IT a umělou inteligenci Michala Pěchoučka je budoucností ochrany dat rozvoj digitální identity a její případná decentralizace. Devětačtyřicetiletý profesor pracoval například pro NASA či americkou armádu, dnes působí jako technický šéf právě v Avastu, který se v rámci jednoho z největších obchodů tuzemské historie brzy spojí s americkým konkurentem NortonLifeLock.

Pod Pěchoučkovým vedením Avast vyvíjí nové technologie a vychovává novou generaci expertů, například skrze spolupráci se Stanfordovou univerzitou, UC Berkeley, King’s College London a ČVUT. Avast se tak aktivně připravuje na budoucnost kyberbezpečnosti a kromě vlastního výzkumu a vývoje majetkově vstupuje do projektů inovativně řešících problémy budoucího světa. Právě o nich mluví v rozhovoru pro CzechCrunch Michal Pěchouček.

Máte statistiky, jaké útoky na firmy jsou aktuálně nejčastější?
Firmy i lidi v zásadě nejvíce ohrožují dvě věci. Zaprvé, když neprioritizují aktualizace nebo jim to dlouho trvá. Zní to otřepaně, ale ze statistik vidíme, že příčinou 57 procent případů narušení dat je špatná správa aktualizací. Podniku průměrně trvá kritickou softwarovou aktualizaci nasadit 102 dní. Navíc 34 procent obětí si je vědomo, že mají v systému zranitelnost, ale neřeší to. Druhé nejčastější ohrožení pro firmy jsou pak konkrétní útoky.

Jaké?
Cílem se stávají především firmy. Počet firemních uživatelů, kteří přišli do kontaktu s kyberhrozbou, vzrostl o 24 procent. Podobně rychle se zvyšuje záchyt vyděračského ransomwaru, meziročně je až o 20 procent častější. Tyto útoky zneužívají interní pracovníky firem, proto je jedinou správnou odpovědí takzvaná zero-trust politika k zaměstnancům. V rámci politiky nulové důvěry se neustále prověřuje, zda se zařízení či uživatel připojují k dané síti legitimně.

Další kategorií jsou RDP (Remote Desktop Protocol) útoky, které zneužívají vzdálené přihlašování a vzdálený přístup. Hrozbou pro společnosti všech velikostí i nadále zůstává také phishing, v rámci něhož se podvodníci snaží různými způsoby získat vaše citlivé osobní informace. Proto nástroje, které Avast dodává malým i velkým firmám pro ochranu, fungují ve více vrstvách.

Když se podíváme na startupy a menší firmy, které typicky nedospěly do stavu, kdy si mohou dovolit vytvořit v IT oddělení plnohodnotnou sekci zaměřenou na bezpečnost, jak se mohou bránit?
Data těchto firem jsou ohrožená nejvíce. Jednoduchou radou je věnovat pozornost výběru nástrojů, které firma používá pro sdílení dokumentů a ukládání zákaznických dat. Obecná poučka říká, že čím větší firma za nástrojem stojí, tím je bezpečnější. Proto by tyto firmy měly volit známé služby typu Asana, Zoom, Miro Boards či nástroje z řady Google Workspace a nesnažit se v této oblasti šetřit.

Startupovému stylu práce vnitřně velmi fandím, jelikož je založen na principech zakázkové ekonomiky. Ve světě je takzvaný gig economy model, který vznikl v oblasti hudebníků a lokálních kapel, ale podobně fungují i menší technologické firmy. Každý člověk, ať už grafik, vývojář, nebo copywriter, pro danou firmu vždy zahraje jen ten svůj kus a takto hraje pro několik klientů. Z toho vyplývají zcela odlišné výzvy ohledně ochrany firemních dat, než řeší korporace a velké podniky.

Je na to nějaký lék?
Určitě ano a tím je důraz na převzetí odpovědnosti za ochranu firemních dat samotnými pracovníky. Když každý účastník výše zmíněné gig economy zabezpečí svá data a zařízení na profesionální úrovni, maximalizuje se ochrana firmy jako celku. Pro malé firmy je pak naprostým základem podnikové antivirové řešení. Zde existuje řada možností, jak k tomu přistoupit. Je možné si jednotlivé nástroje nakonfigurovat podle konkrétních potřeb anebo k tomu využít již připravené produktové balíčky, které nabízí i Avast a do nichž lze ve vyšších verzích kromě ochrany dat a zařízení přidat i ochranu soukromí, webové kamery a hesel či správu již zmiňovaných softwarových aktualizací.

Kde vidíte budoucí trendy digitální bezpečnosti?
Kromě stále důležitější ochrany před hrozbami začala být naprosto zásadní oblastí ochrana soukromí. Stále více lidí si totiž uvědomuje, že rizikem není jen někdo, kdo na nás nebo naše zařízení zaútočí s úmyslem nám způsobit škodu, ale i to, že naše osobní informace uniknou někam, kam jsme nechtěli. Mezi těmito dvěma velkými problémy stojí ochrana digitální identity, což je horké technologické téma dnešních dnů.

Jak může uživatel internetu svou digitální identitu chránit?
Otázka bezpečí je komplexní, protože ochrana digitální identity vždy naráží na úroveň ochrany, ale i poskytované uživatelské pohodlí. Na jedné straně si uživatel zvykl na vysokou míru komfortu, kdy nemusí zadávat stále dokola kontaktní údaje, nemusí si pamatovat hesla nebo nahrávat na flash disk bezpečnostní certifikáty. Na druhé straně ale chce maximální bezpečí, preferuje přísné zero-trust metody, šifrování biometrických údajů v úložišti, úplně ideálně post-kvantovými šiframi, které budou bezpečné i za deset let. Výzvou pro technologické společnosti je najít způsob, jak tyto dva zčásti protichůdné požadavky vybalancovat a najít nové cesty, které umožní maximalizaci pohodlí i ochrany zároveň.

Co všechno lze považovat za součást digitální identity?
Rozhodně verifikaci toho, že já jsem skutečně já. Tedy že jsem tím, za koho se v digitálním, ale i fyzickém světě vydávám. A potom tam mohou být takzvané ověřitelné přihlašovací údaje, tedy všechny údaje, které o sobě tvrdím, potvrzené důvěryhodnou autoritou. Na příkladu titulu z vysoké školy si to můžete představit jako zápis o dosaženém vzdělání, který podpisem potvrdila sama univerzita. Digitální identita může jít mnohem dál, může obsahovat jakékoliv množství privátních informací, klidně celou zdravotní kartu.

Většina lidí už nejspíš nějakým způsobem narazila na bankovní identitu. Jak široké možnosti digitální identita nabízí?
Situací, kde našla digitální identita uplatnění, je dnes velmi mnoho a stále jich přibývá. Například nástrojů pro správu přihlašování do firemních systémů za poslední dva roky přibylo desetinásobně. Druhou rychle se rozvíjející oblastí je přístup občanů ke službám, které dříve nebyly digitalizované prakticky vůbec. Stát tak dnes řeší, jak spolehlivě autentifikovat občany – ano, banky ten způsob našly už před lety s nástupem internetového bankovnictví. A na to se začala spoléhat i státní správa, která poměrně čerstvě zavedla právě bankovní identitu.

Digitální identita však najde uplatnění také ve fyzickém světě. Při půjčování lyží nebude potřeba skládat zálohu, postačí digitální identita. Žádné spoléhání se na ofocené občanky v hotelech nebo doklady místo zálohy. V hospodě nebude nutné za účelem prokázání věku ukazovat občanský průkaz, protože třeba nechci, aby hospodský věděl, jak se jmenuji. To jsou všechno scénáře, kde dnes své soukromí úplně dobře chránit nejde.

Zmínil jste i zdravotnictví jako příklad, kde by mohla digitální identita najít uplatnění. Jak velký je rozdíl mezi tím, když má doktor mou zdravotní kartu uloženou v plechové kartotéce a když ji budu mít uloženou kdesi na internetu?
Dokumenty uložené ve skříni jsou samozřejmě maximálně bezpečné. Pokud nejste celebrita, nikomu se nevyplatí je krást v igelitové tašce, jelikož taková data zloději poskytnou pouze velmi malý užitek. Stejně tak malý užitek ale poskytnou jak vám, jejich uživateli, tak podniku, v tomto případě celému zdravotnictví. Kdyby byly karty digitalizované, mohli bychom mnohem přesněji data analyzovat a predikovat zdravotní problémy pacientů, přechody od doktora k doktorovi by byly naprosto bezproblémové a mnoho dalšího.

Co by zdravotnické firmy měly řešit, pokud by chtěly osobní údaje pacientů digitalizovat?
Šifrovat, šifrovat a šifrovat. A to data uložená na serverech, ale i data při přenosu, aby se minimalizoval čas, kdy jsou zranitelná. Zároveň pro analytické výpočty nad daty je potřeba je deidentifikovat a následně agregovat, jelikož pro masivní výpočty na strategické úrovni není nutné znát totožnosti jednotlivých zápisů.

Deidentifikace může probíhat tak, že jakmile budu analyzovat nejčastější zdravotní problémy určité věkové skupiny pacientů, vezmu balík dat, odmažu z jednotlivých záznamů jména, rodná čísla, adresy a další údaje, která je spojují s lidmi. Místo odmazání mohu použít hashování, kterým tyto identifikátory zašifruji matematickou funkcí do kombinace čísel. Z té mohu pomocí privátního klíče rekonstruovat původní hodnoty a záznamy tak po dokončení operace zpětně identifikovat.

Zmínili jsme bankovní identitu, která se teď v Česku postupně rozjíždí. Jak tuto inovaci zatím hodnotíte?
Tuto snahu hodnotím velmi pozitivně, především z pohledu bankovního sektoru, který prochází transformací a finančně-technologické projekty jsou na vzestupu. Z pohledu soukromí už mám ale smíšené pocity. Samozřejmě věřím tomu, že banky dokážou privátnost zajistit, protože jsou technologicky velmi dobře vybavené, a nemyslím si, že by je někdo hackl a data vykradl. Vadí mi ale to, že se banka stává centrálním prvkem mé digitální identity. Mnohem raději bych měl možnost se do systému dostávat i bez toho, aby o tom banka věděla.

Měla by tedy existovat státní autorita, která by identity spravovala?
Státní autorita by nic neřešila, v určitém smyslu vlastně státu, bance a třeba i Googlu věřím stejně. Problém je centralizace, kdy důvěřuji jednomu subjektu. Proto se neprosadily služby typu Google Health, kde člověk dobrovolně předával kvanta osobních dat jedné společnosti. To nechci.

A co byste chtěl?
Přeji si, aby se časem prosadily nástroje pro self-sovereign identity, tedy decentralizované metody správy privátních údajů, kdy budu mít údaje u sebe v kryptopeněžence nebo ve svém digitálním trezoru, přičemž si sám rozhodnu, komu které údaje poskytnu. Samozřejmě s tím, že jejich pravost je automaticky digitálně ověřena od příslušných digitálních autorit. Těmi může být stejně dobře banka, zaměstnavatel, zdravotní zařízení nebo univerzita jako pan domácí, u kterého si pronajímám byt, nebo oficiální statistika beznehodovosti mého řízení. A to jak při řízení soukromého vozidla, tak třeba při poskytování přepravních služeb v rámci sdílené ekonomiky.

Existuje už něco takového v praxi?
Existuje a Avast už na trend self-sovereign identity také naskočil. Na konci minulého roku jsme spojili síly s firmou Evernym, která patří mezi lídry decentralizované technologie pro správu informací o identitách lidí. Tento nástroj umožňuje verifikovat veškeré údaje bez závislosti na velkých společnostech jako Google, Facebook, Apple, českých bankách a podobně. Vzhledem tomu, že uživatel a jeho digitální identita jsou dnes největšími zranitelnostmi v prostoru zabezpečení digitálního života, orientace na bezpečné a decentralizované technologie pro správu identity je pro Avast vedle kybernetické ochrany identity zcela přirozená.

Plánujete další takové akvizice? Stává se z Avastu něco jako venture kapitálový investor?
Nestává. Neinvestujeme za účelem zhodnocení prostředků případným dalším prodejem startupu nebo jeho uvedením na burzu. Investujeme do toho, abychom se stali budoucím lídrem v oblasti digitální bezpečnosti uživatelů na všech frontách. Akceleruje tu vlna určitých změn, a tak investujeme do toho, abychom se technologicky za tři až čtyři roky udrželi na absolutní špičce, byť z části s jinými technologiemi. To je důvod, proč dnes intenzivně investujeme do vlastního výzkumu a vývoje, spolupracujeme se špičkovými univerzitami a nyní podporujeme i nadějné startupy. Nestavíme startupový inkubátor nebo investiční fond, hledáme možnosti pro budoucí rozšíření našeho základního poslání skrze fúze a akvizice.

Jaké projekty hledáte?
Dnes nás zajímá především oblast správy identity, privátnost a prostor algoritmické manipulace, která v budoucnu může znamenat zásadní ohrožení bezpečnosti, jelikož naše životy stále zásadněji ovlivňují algoritmy sociálních sítí, vyhledávačů a dalších služeb, které nemají zájmy uživatelů ani jejich bezpečnost jako hlavní prioritu. V budoucnu chceme detailně porozumět právě i bezpečnosti decentralizovaných struktur a v neposlední řadě i virtuální a rozšířené realitě.