Nebezpečí hackerského útoku, který může zásadně ochromit fungování firmy, hrozí prakticky každý den. Zdaleka ne každá společnost si to však uvědomuje a zejména ty menší nemusí být na kyberbezpečnostní hrozby optimálně připraveny. „Bezpečnost je poměrně komplikované téma a zejména pro malé a střední firmy, které jsou mimo IT, jde o složitě uchopitelný problém,“ říká v rozhovoru pro CzechCrunch Vítězslav Šantrůček, produktový ředitel Avastu.

Tuzemský antivirový obr proto vyvíjí specializovaný software a také provádí osvětu, aby i firmy, jež dosud ochranu před hackery tolik neřešily, začaly ve vlastním zájmu alespoň některé bezpečnostní prvky řešit. Antivirový program, který začali v Avastu vyvíjet ještě před sametovou revolucí a jenž se nakonec stal jedním z nejúspěšnějších v oboru, už ale dnes není hlavním zdrojem příjmů.

Avast se stále více soustředí také na ochranu uživatelů v digitálním prostoru, jimž chce zajistit maximální svobodu a také kontrolu nad tím, jaká data a s jakými firmami sdílí. Vítězslav Šantrůček, který dlouho působil v obřích společnostech jako Oracle, MSD či Sun Microsystems, v rozhovoru popisuje, jaké hrozby na firmy i jejich zaměstnance číhají a jak na ně reagovat.

O Avastu se tradičně mluví jako antivirovém obrovi. Je to označení správné, respektive co všechno dnes Avast dělá?
Avast se proslavil tím, že vytvořil jeden z nejúspěšnějších antivirových programů na světě. Jak postupně přibývala konkurence, začal se Avast dívat na další oblasti, kde by mohl být úspěšný. Naší vizí je, že chceme zajišťovat uživatelům svobodu v digitálním prostoru. Součástí svobody není jen zajištění bezpečnosti pomocí antiviru, ale také je to zabezpečení dat či soukromí v digitálním prostoru. Většina příjmů Avastu už dnes nepochází ze samotného antiviru, ale z dodatečných produktů, které zajišťují právě digitální bezpečnost a digitální svobodu uživatelů.

Co přesně svoboda v digitálním prostoru znamená?
Na jedné straně máme různé útoky, ať už tradiční viry, takzvaný ransomware nebo malware a další. Zároveň je ale jedním z hlavních problémů dnešní doby skutečnost, že uživatelé, ať už vědomě či nevědomě, poskytují na internetu velké množství informací o sobě nebo svých rodinách. V mnoha případech přitom nemají představu o tom, kolik informací se na internet ve skutečnosti dostává, a už vůbec nemají představu o tom, co se s těmi informacemi děje dál. Naším cílem je na jedné straně ochránit uživatele před možnými útoky a na druhé straně jim dát kontrolu nad tím, co se děje s jejich daty.

Když si představím, do jaké fáze jsme se dostali, kolik dat už jsme na internet poslali a jak s nimi firmy nakládají, je ještě cesty zpět, tedy vrátit kontrolu nad soukromím do rukou uživatelů?
Ve většině případů se dokážete k informacím, které o vás firmy vědí, dostat a požádat o jejich smazání. Dostat se k těm informacím však bývá mnohdy komplikované, a proto se to snažíme uživatelům usnadňovat. Primárně chceme dávat uživatelům kontrolu nad tím, co budou do budoucna sdílet a jaké informace se k firmám dostanou.

Ondřej Vlček popisoval, jak celý trh tak trochu zamrzl v 90. letech a že potřebuje zásadní transformaci. Proti čemu se dnes vlastně v kyberbezpečnostním světě nejvíce bojuje?
V první řadě jde o útoky na zařízení či firmy za účelem udělat škodu nebo se na tom obohatit. Druhá oblast je shromažďování dat od uživatelů a jejich přeprodávání či využívání ke komerčním účelům. Třetí směr, kterým se nyní vydává také Avast, je ochrana identity. Souvisí s tím nedávná akvizice americké společnosti Evernym. Jednak jde o ochranu identity uživatele ve smyslu, že nikdo nemůže předstírat, že je vámi a vzal si na vaše jméno třeba půjčku, a jednak jde o prokázání vaší identity třetím stranám.

Zmíním několik příkladů. Když dnes prokazujete aplikací Tečka prodělané očkování, číšník v restauraci zjistí vaše plné jméno, přitom jde o údaj, který vůbec nepotřebuje vědět. Stejně tak firmy shromažďují spoustu citlivých údajů, včetně rodného čísla, ale reálně je nepotřebují. Existuje přitom velké riziko, že jsou tato data duplikovaná na více místech, a ve chvíli, kdy se útočník dostane k jednomu z nich, vaše data získá. Snažíme se být proto zprostředkovatelem mezi uživatelem a třetí stranou, kdy garantujeme prokázání vaší identity, aniž by třetí strana znala vaše jméno a další údaje o vaší osobě.

Tedy něco na princip bankovní identity, která se u nás zavádí?
Ano, ale bankovní identita je jen lokální příklad. Dobrý příklad je řešení identifikace při cestování, na kterém pracuje právě společnost Evernym, již jsme koupili. Když cestujete, musíte se identifikovat na několika různých místech. Je to spoustu kroků a velké zdržení, ale ve chvíli, kdy se prokážete jen na prvním místě a všichni si informaci předají, tak už pak všichni na letišti vědí, že jste ověřen a nemusíte ani ukazovat letenku. Systém již ví, že jste osoba, která cestuje z místa A do místa B, a celý chod letiště se urychlí.

Je dnes internet více, či méně bezpečný než třeba před 10 lety?
Vyvíjí se to. Velkým milníkem byla pandemie, která významným způsobem změnila, jak fungují firmy i jednotliví uživatelé. Velká část aktivit, která dříve probíhala přímo na pracovištích ve firmách, kde měli administrátoři přehled o dění v síti, se přesunula mimo. Firmám zkomplikovalo situaci, že zaměstnanci začali ve větší míře pracovat z domova. Vidíme tak velký nárůst útoků na uživatele, kteří pracují vzdáleně, protože bývají méně chránění, ale zároveň registrujeme, že se začali z těchto důvodů více instalovat antiviry a další ochranné systémy.

Počítám, že je třeba odlišovat svět firem a svět běžných zákazníků? Nebo to je stejné?
Typy hrozeb jsou velmi podobné. Buď se jedná o čistě technologický útok, nebo je to útok na chování, respektive neznalost uživatele. Velmi úspěšným a běžným útokem stále zůstává takzvaný phishing, kdy uživateli přijde notifikace nebo zpráva s požadavkem na vyplnění hesla či předání nějakých dat. Tváří se přitom jako zpráva od vaší banky či jiné instituce, které zpravidla důvěřujete. Jakmile uživatel informace vyplní, okamžitě je získává útočník, který je snadno zneužije. V takovou chvíli je jedno, zda je uživatel v práci, nebo doma.

Častým typem útoků je také takzvaný ransomware, kdy jde útočníkovi o monetizaci své aktivity tím, že způsobí uživateli odstranitelnou škodu a za její odstranění chce zaplatit výkupné (ransom). Například mu zašifruje počítač, a tak se nemůže dostat k osobním či firemním datům. Mnohdy uživatelům nezbývá nic jiného než zaplatit a doufat, že jim útočník data odblokuje.

Zmiňujete phishing a ransomware. To jsou největší hrozby?
Ano, ale ještě je třeba zmínit jednu, kterou je neaktualizovaný software, a to jak na straně firem, tak uživatelů. Aktuálně se například po celém světě řeší zranitelnost v Log4j, která do jisté míry umožňuje útočníkům kontrolovat firemní či uživatelské systémy. Celý svět je tak aktuálně v panice a snaží se vydávat opravy, které tuto zranitelnost opraví.

Přinesla pandemie největší rizika právě ve spojení se zmíněnou prací z domova?
Před pandemií pracovalo občas nebo pravidelně z domova zhruba 22 procent zaměstnanců. Během pandemie se počet zvýšil na 64 procent. Firmy nebyly připravené, že k takové změně dojde tak rychle. Administrátoři rázem nemají vše pod kontrolou a řeší, jak jednotlivá zařízení monitorovat vzdáleně. Lidé už nejsou připojení jen k firemní síti, a tak se musí bezpečnost řešit vzdáleně. Firmy zároveň neměly definovaná pravidla, jak se zaměstnanci mají mimo firemní sítě chovat, co mohou a nemohou dělat, případně zda a jak mohou používat k práci svá soukromá zařízení.

Řeší firmy dle vaší zkušenosti zabezpečení a ochranu proti různým online hrozbám dostatečně?
Bezpečnost je poměrně komplikované téma a zejména pro malé a střední firmy, které jsou mimo IT, jde o složitě uchopitelný problém. Pomáhá však publicita. Management a administrátoři vidí, že přibývá ransomware útoků na nemocnice a další kritickou infrastrukturu. Dříve si často představovali, že útoky se vedou cíleně, když byla daná firma pro útočníky nějakým způsobem zajímavá, a mysleli si, že jejich firma dostatečně zajímavá není. Teď ale vidí, že se útoky vedou proti firmám všech velikosti a typů. Spousta firem se navíc může stát obětí v rámci vedlejších škod při útoku na jinou firmu. Toto porozumění se zvyšuje, což je pozitivní.

Pokud mám menší firmu, řekněme o pár desítkách zaměstnanců, a kyberbezpečnostní ochranu jsem dosud vůbec neřešil – co je to první, čím bych měl začít? Respektive ještě jinak – kdy bych měl začít?
Rozhodující je velikost firmy a to, do jaké míry chce firma investovat do vlastního IT, které může kyberbezpečnost řešit. Zejména menší firmy, které tuto ambici nemají, mají dvě možnosti. Mohou si najmout firmu, která zmapuje druhy potenciálních útoků, zda se pracuje s citlivými daty, odkud a jak se pracuje, a na základě toho vyhodnotí možné cíle útoku a co by se mohlo stát, kdyby k útoku došlo.

Jaké jsou scénáře?
V případě, že na firmu zaútočí ransomware a zakóduje vybranou část softwaru, může se stát, že firma nebude schopna třeba měsíc provozu. Bezpečnostní firma proto předloží kroky, které můžete podniknout, abyste takovému scénáři zamezili. A také abyste se pojistili pro případ, že by se to stalo.

Pro firmy, které ještě nejsou schopné či ochotné takový krok udělat, existuje mnoho online nástrojů, které mohou s vyhodnocením rizik. Majitelé firem si v nich zaškrtnou, jaký mají byznys, s jakými daty pracují, a vyskočí jim seznam potenciálních rizik a možných řešení. Pro firmu je přitom absolutně nutné o těchto rizicích přemýšlet, protože důsledky úspěšného útoku mohou být devastující. Když malé firmě někdo zašifruje veškerá data na lokální síti, k nimž se už nikdo nedostane, může to být její konec.

Jak do celé rovnice vstupuje cloud? Je to bezpečnostní riziko navíc, nebo už jsou dnes cloudy zabezpečené tak, že nemusí mít firma obavy je využívat?
Představa, že data jsou méně bezpečná, protože jsou v cloudu a ne ve firmě, je lichá. V cloudech máte týmy o tisících lidí, kteří patří mezi nejlepší v oboru a dennodenně pracují na tom, aby byla data v bezpečí. Kvalita zabezpečení v malých a středních firmách, kde mají jen malý IT tým, logicky nemůže být nikdy tak vysoká jako ve velkém cloudu. Co se týče zabezpečení úložiště, cloud tak menším firmám odebírá část potenciálních problémů. Navíc v případě nějakého útoku poskytuje zálohy, ke kterým se lze vrátit.

Velká část problémů na druhou stranu zůstává. V cloudu sice nemusíte řešit jeho manuální aktualizace, ale zároveň se cloud nepostará o aktualizaci softwaru na jednotlivých počítačích. Uživatelé navíc budou stále otevírat škodlivé e-maily, které nemají otevírat. S tím cloud nepomůže. Pozor si je třeba dávat i na to, aby se správně udílely přístupy a data se omylem nezpřístupnila komukoliv.

Řešili jsme hardware a cloud. Co jsou další potenciálně zranitelné prvky? Třeba tiskárny?
Určitě je to obecně internet věcí, tedy zařízení připojené k internetu, které představují dobrý způsob, jak zaútočit na firmu nebo domácnost. Stačí najít nejslabší článek sítě, na něj zaútočit a nabourat se tím do celé sítě. Na internetu lze najít mnoho příkladů, jak se útočníci nabourali do sítě třeba přes nezabezpečenou kameru.

Druhá věc je pak nezabezpečená komunikace. Zaměstnanci a uživatelé obecně často posílají mnoho dat v nezašifrované firmě. Mnoho z nich si neuvědomuje, že například e-mail není implicitně šifrovaný. VPN je pořád velmi důležitý nástroj.