Za třináctou nejhorší zemi světa, kde se nejvíce nabourávají internetové účty, označil průzkum organizace Sufrshark Českou republiku. V porovnání s předchozím čtvrtletím se počet incidentů zvýšil o 135 procent na téměř 450 tisíc, to pro představu znamená dva až čtyři ukradené účty za minutu.
„Digitální útoky každým rokem narůstají. Už není tak jednoduché okrást někoho na ulici, protože všude jsou kamery, tak se to děje třeba přes mail. Ocitáme se tak v nové éře, v níž hrají prim technologie,“ říká Dominik Hádl, šéf IT v nadnárodní společnosti Monstarlab, který má pod sebou asi stovku lidí. Pobočku sloužící jako kombinované vývojové centrum založil i v Česku.
„I války mezi státy probíhají častěji v kyberprostoru. Proto si myslím, že události tohoto roku mnohé zaskočily. Tak, jak řeší konflikt na Ukrajině zrovna Rusko, které je technologicky zdatné a oproti ostatním zemím má navrch, je v dnešní době spíš výjimka,“ dodává.
Jakých digitálních hrozeb se máme bát?
Úrovně jsou různé, podle toho, co je účelem. Buď jde o osobní obohacení, nebo prodej reklam a e-commerce, kdy jsou lidem podstrkovány různé produkty. Anebo jde o vyšší cíle, což je patrné v dezinformačních kampaních nebo nabourávání fungování státu, ať už zdravotnictví, energetického průmyslu, nebo větších firem.
A pak se hrozby dělí podle toho, jestli to dělají jednotlivci, organizované skupiny, nebo cizí státy. Záleží také na formě. Při osobním obohacení manipulujete s člověkem, třeba slibem relativně rychlého výdělku. Tady platí jednoduché pravidlo – když se něco zdá moc dobré, tak to pravděpodobně není pravda. Anebo když vám někdo hrozí, že si musíte rychle změnit heslo, nebo se něco stane.
Takže většinou nám někdo pošle e-mail a čeká, zda se chytneme do pasti?
Buď, anebo SMS, což se děje velmi často. Nebo vám dotyčný útočník dokonce zavolá. S tím mám osobní zkušenost z práce, kdy moji, zejména rusky mluvící, kolegové dostávají od začátku války na Ukrajině telefonáty od lidí, kteří se vydávají za policisty.
Chtějí po nich, aby okamžitě dodali svá osobní data a zaplatili pokutu, která jim byla vyměřena, a to vše pod hrozbou vyhoštění. Není to nic příjemného a pro spoustu lidí je to psychicky náročné, mohou z toho mít i dlouhodobé následky, je to pro ně podobné, jako kdyby je někdo přepadl a okradl na ulici.
Vidíte, to mě vždy zajímalo, jak je možné, že tihle podvodníci na vás mají telefonní číslo?
To je ta první stránka. Většina lidí při nastavování účtu bezhlavě odklikne, že souhlasí se vším, a tím se vzdává určitých svých práv. V Evropě je to zabezpečení daleko lépe regulované, ale člověk často chodí na neevropské stránky, které soukromí úplně ignorují. Sociální sítě jsou v současné době asi nejnebezpečnější množstvím sbíraných dat.
Typickou ukázkou je TikTok, čínská aplikace, která sleduje lidi a odesílá data. Je jedno, za jakým účelem, ale lidé o ně přicházejí. Základní pravidlo je, že jakýkoli produkt, software nebo digitální věc, pokud je zdarma, tak ten produkt jste vy a s tím se nějak obchoduje.
Přicházíte o data, tím pádem o soukromí a osobní údaje. Telefonní číslo, adresa, e-mail, číslo bankovních účtů, pasy, občanky, to vše se dá na internetu najít. I při útocích na velké firmy dost často utečou miliony dat, která se pak prodávají na černém trhu. Největší problém je s tím v Americe a Asii, v Evropě je to trochu lepší. Ale stále je potřeba větší regulace nakládání s informacemi.
V poslední době se velmi často mluví o cookies. O tom, že uživatelé jejich význam nechápou a bezhlavě je přijímají. Tak co s nimi?
Lidé z mého oboru a okolí kategoricky odmítají vše, co jde. Ideálně by si měl člověk v okamžiku, kdy na něj tento požadavek vyskočí, přečíst podmínky o ochraně osobních údajů, kde by mělo být vypsané, co se bude dít, jaká data jsou u vás uložená, za jakým účelem, případně komu jsou předávána.
Dost často totiž souhlasíte s tím, že se vaše data předají Googlu, marketingovým firmám a dalším společnostem, z nichž už může být docela dlouhý seznam. A velmi často to jsou marketingové nástroje a platformy za účelem cílených reklam.
Ale zase není platforma jako platforma, některé nabízejí, že dál prodají data v balíku, a jak se s nimi nakládá potom, to dost špatně zjistíte. Samotné podmínky jsou navíc napsané právníky, takže je to dost často složité a pro lidi o to obtížnější. Proto je pro ně jednodušší, když dají přijmout vše a zapomenou. Já ale doporučuji cookies odmítnout a také zvážit, jaké kam zadávat informace.
Zmínil jste populární sociální sítě. Lidé na nich sdílí své soukromí, názory. Když tam dejme tomu nahraju fotografie, tak je může kdokoli zneužít?
To se děje pravidelně, extrémně často. Už za dob začátku Faceboku byla velká diskuse o tom, co se děje s obsahem, který nahrajete na sociální sítě. Princip se od té doby příliš nezměnil.
V podstatě cokoli tam dáte, je v ten moment majetek sociální sítě, má práva s tím nakládat, ať už je to fotka nebo text, může to být používané na několik způsobů. Regulativa se to snaží omezit, ale v souhlasech, které jim dáte při zakládání účtů, se svých práv vzdáváte. Jakmile řeknete, ano souhlasím, tak to většinou stačí.
A ta fotka v tom kyberprostoru zůstane, i když ji smažu.
To je regulované pod GDPR, že informace vámi nahrané by měly být drženy po co nejkratší dobu. A každý člověk má právo nechat všechna svoje data smazat. Je tam možnost požádat o zaslání všeho, co o vás mají a zažádat o kompletní výmaz. Ale bohužel tím, že se to předává dál, tak je je otázka, jak vypadá v realitě to mazání u dalších stran – partnerů, reklamních sítí.
Je o tom velmi poučný film na Netflixu – Big hack, který se věnuje skandálu s Cambridge analytikou, Facebookem a ovlivňováním voleb. Je v něm krásně vidět, že i data, která dál poskytnuta být neměla, byla využita k manipulačním reklamám za účelem ovlivnění výsledků voleb.
Co já jako běžný uživatel musím udělat, když si vytvořím účet k e-mailu? Jak nejlépe ho ochránit před prolomením?
Nejlepší způsob, jak předejít většině útoků, aspoň těch jednodušších, je dvoufaktorové ověření, které se dá už dnes nastavit skoro všude, včetně sociálních sítí. Typicky to znamená, že kromě jména a hesla vám ještě musí přijít esemeskou na telefon kód, který zadáte, ověříte, že jste to vy, a můžete se přihlásit.
Kromě SMS, která není úplně vhodný formát, existují i další možnosti, třeba bezpečnostní klíče nebo mobilní aplikace. Pokud má jeden člověk účet na více místech a stránku napadnou hackeři, kteří získají hesla, tak právě dvoufaktorové ověření je může zastavit. Sice se přihlásí úspěšně v rámci e-mailu a hesla, ale zaseknou se na dalším kroku a vy zabráníte průniku do účtu.
Bezpečnost uživatelů ale hlídají i samotné společnosti, pokud se nemýlím. I mně se v minulosti stalo, že mi Seznam napsal, ať si změním heslo, protože se mi někdo naboural do účtu…
Ano, do určité míry je zodpovědnost i na společnostech, které to řešení vytvářejí, a na nás ajťácích, abychom to uživatelům usnadnili. Aby si nemuseli pamatovat hodně komplikovaných hesel. Změna přichází s touch ID nebo Face ID, biometrické ověření se nedá jednoduše zaměnit.
To je stav, do něhož se potřebujeme dostat, abyste se byla schopna do svého účtu přihlásit jen tím, že se podíváte na mobil nebo se ho dotknete prstem. Zkrátka, aby to bylo pro uživatele co nejjednodušší, ale zároveň poskytovalo co největší úroveň zabezpečení.
A co ochrana dětí, které se v digitálním světě pohybují stále častěji a mnohdy i snáze než dospělí? Jak můžeme ohlídat jejich bezpečí?
To je jedna z oblastí, v níž se posouváme stále dopředu. Existuje samozřejmě rodičovská kontrola, která umožňuje rodičům spravovat, co mohou děti dělat jak na mobilu, tak i na počítači.
Ať už je to čas, který online stráví, nebo aplikace, na které se mohou dívat, obsah, který mohou sledovat. Vám jako rodiči to pomůže, ale není to stoprocentní řešení – neznám dítě, které by nepřišlo na hesla svých rodičů a tuhle kontrolu neobešlo. Ale pokud máte i tady nastavené dvoufaktorové nebo biometrické ověření, už je to pro ně složité.
Co se týče prolomení účtů – po čem útočníci nejčastěji jdou? Po datech, penězích?
Záleží, zda jde o vyšší cíle, nebo o prosté zbohatnutí. V tom prvním případě, třeba manipulování lidí, je to o tom, získat o vás co nejvíce dat, analyzovat je. To je automatizované, nepředstavujte si, že tam sedí u počítače nějaký člověk a čte každý váš e-mail. To se děje rychle, útočník stáhne, co může, a doplní si to o další data o vás. Ví, jaká kytka se vám líbí, jaké auto, a může vás škatulkovat do nějaké kategorie lidí a těch zase tolik není.
Ten druhý princip – tam je víc způsobů. Dost často, když se vám dostanou do e-mailu, tak z něj posílají podvodné zprávy dál s požadavkem o pomoc, kdy chtějí poslat od vašich kontaktů, které tam máte uložené, peníze. Takže pokud to dojde někomu blízkému, který vám chce pomoci, šance na úspěch jsou veliké. Anebo využijí přístup k tomu, aby se dostali do dalších služeb, třeba na Facebook.
Málokdy se dnes hackeři snaží dostat do vašeho bankovnictví nebo napřímo k účtům, protože tohle je velmi sledovaný prostor, kde vypátrat pachatele je daleko jednodušší. Navíc dost často máte bankovní mobilní aplikaci, v níž musíte potvrzovat vše, co tam uděláte. To zloděje odradí.
A jak se já můžu dozvědět, že někdo odesílá z mého e-mailu podvodné prosby o peníze, pokud mi to neřeknou mí přátelé, kterým taková zpráva přijde?
V momentě, kdy někdo ten přístup získal, už je pozdě. Je proto potřeba soustředit se na prevenci. Investovat do bezpečnosti se zdá zvláštní, protože investujete do toho, že se nic nestane. Ale právě proto, aby následky nebyly tak hrozné, to děláte.
Odpovědnost je na společnosti, u které účet máte. A je důležité, aby na nebezpečí přišla včas. Hlídá vás, takže třeba když zjistí, že v jednu chvíli bylo z vašeho účtu odesláno najednou tisíc e-mailů nebo že jste se během pěti minut přihlásila z různých míst světa, může z toho vyvodit, že se děje něco nestandardního. Pak je lepší vás raději otravovat s dalším ověřením, než to nechat být.
A co je nejdůležitější pro firmy. Co potřebují nejčastěji ochránit?
Záleží na typu společnosti. Ta naše pracuje ve službách, takže pro nás je nejdůležitější zabezpečení duševního vlastnictví klientů – informací mezi námi a jím. Ať už to jsou zdrojové kódy, designové soubory, nebo cokoli, co má hodnotu pro nás a klienta a nemá to být veřejně známé. Zajišťujeme, aby nedošlo k úniku informací nebo dat, a chráníme naše podnikání jako takové.
Časté jsou podvody v rámci různých nepravdivých faktur. Třeba jedné firmě našeho klienta dva roky podvodník posílal faktury k proplacení a procházelo mu to. Měly veškeré náležitosti, předepsaný formát. Ale můžeme se bavit i o kyberšpionáži, sabotáži, kdy mohou hackeři vyřadit firmu z provozu tím, že nabourají klíčové systémy. Třeba u nemocnic nebo energetických společností.
Určitě si vzpomenete, že během covidu byl dost často nabouraný nemocniční systém, který zašifroval všechna data o pacientech. A pokud je nemocnice neměly v papírové kopii, šlo o život. Hodně tedy záleží na tom, co firma dělá a jaká jsou její citlivá místa.
Kolik peněz firmy na zabezpečení svých systémů věnují?
Záleží samozřejmě na velikosti firmy, u nás to jsou tak desítky milionů korun ročně a stále to není dost. Podnikání různých firem je komplexní a dost často nestačí mít jen chytré zabezpečení a systémy. Je to i o vzdělávání zaměstnanců, protože nejslabší článek je vždy člověk. Ten naletí snáz.
V Monstarlabu dost často děláme digitální penetrační testy, kdy posíláme podvodné e-maily zaměstnancům, a kdo naletí, ten musí na školení. Ale dělají se i fyzické. Najmeme si firmu, která vyšle svého člověka do některé naší pobočky, a zjišťujeme, zda je schopný proniknout dovnitř a dostat se do našich interních systémů. Anebo se rozházejí po zemi flashky, které jsou infikované nějakým testovacím virem, a zkouší se, kdo je zvedne a dá si je do počítače, aby zjistil, co na nich je.
Bavíme se o ochraně účtu, ale co počítač nebo tablet? Jak ochránit je?
Antivirus má být pořád aktuální na všech operačních systémech. My ho máme ve firmě povinně na všech zařízeních. Hlavně jde o to přemýšlet nad tím, komu dáváme svoje data, jestli věříme e-mailu, který dostaneme, že nám třeba nigerijský princ posílá miliardu eur.
Samostatná kapitola pak jsou hesla k účtům. Je nějaké časové období, během kterého bych si je měla měnit, anebo mít ke každému účtu heslo jiné?
Celá část s hesly a doporučeními je docela ožehavé téma. Kdysi se říkalo, že co nejkomplikovanější a nejdelší heslo se znaky, s čísly, je nejlepší. Ale v rámci bezpečnosti, v čase, který trvá heslo prolomit, kdy počítač zkouší všechny kombinace, dokud se netrefí, tak komplikované heslo a heslo dobře sestavené ze tří náhodných slov, mezi nimiž jsou ještě pomlčky a na konci číslo, jsou na tom stejně. Dost bezpečné heslo je tedy třeba Kočka-mrak-piha6.
Dobré pravidlo je určitě nemít jedno stejné heslo všude. Protože v okamžiku, kdy někdo prolomí váš účet, a to v případě, že to není vaše chyba, je jen otázkou času, kdy získané heslo použije na dalších vašich službách. Na druhou stranu, dvoufaktorové nebo biometrické ověření vám umožní mít to heslo pouze jedno.
Přibývá kybernetických útoků každý rok? Čeho se máme obávat?
Stoprocentně jich přibývá, což je dané jednak samotnými technologiemi, jednak tím, že přibývá lidí na planetě. Tím pádem i útoků. Čeho je zásadně víc, to jsou politicky motivované útoky, kdy jde o dezinformační kampaně, ale i o podněcování k činům.
Jedním z příkladů je loňský útok na americký Kapitol. Celý byl naplánovaný v rámci jedné sociální sítě, která se jmenuje Discord, kde pár anonymních lidí napsalo, co se jim nelíbí a jak to chtějí změnit, a další se chytli. Extrémní skupina s extrémními lidmi, stačilo hodit sirku do suchého lesa.
Časté je i ovlivňování a manipulace s lidmi skrze cílené reklamy, co se lidem ukáže a neukáže a oni potom vidí přesně, co chtějí vidět. Vy o tom člověku víte, jaké má názory, a vytvoříte mu článek na míru. To je to největší nebezpečí, že se nedá ověřit pravost informací a lidé na to nejsou naučení. Přitom k ověření bychom měli použít minimálně tři zdroje. Ale kdo to dnes dělá?
Máte nějakou radu, jak se co nejbezpečněji v tom kyberprostoru pohybovat?
Je to vždy o tom zastavit se, zamyslet a nevěřit informaci na první dobrou. Typický je teď v poslední době podvod s Českou poštou, kdy vám přijde zpráva, že si máte vyzvednout balíček, ale musíte zaplatit clo. Ale pokud jsem nic neobjednával, nemůžu nic dostat. A nejsem-li si jistý, stačí zavolat na poštu a zeptat se. Používat zdravý rozum.
Další radou je pořádně si pročítat cookies, udělat si na to čas, nebo je rovnou odmítnout. A podívat se na YouTube, je tam spousta videí, kde si můžete najít, jaká platforma je bezpečná, jak co nejlépe ochránit své účty.
Stalo se někdy u vás ve firmě, že jste byli hacknuti?
Pár pokusů bylo, občas se to i podařilo, ale byli jsme vždy schopni to rychle zastavit, takže dopad byl minimální. Pamatuji si, když byla v roce 2015 hacknutá společnost Sony a všechna data všech uživatel, včetně velmi citlivých údajů a kreditních karet, byla ukradena. To byl obrovský problém. Museli tehdy vydat jeden a půl miliardy dolarů na nové zabezpečení. Takže nikdy nevíte, do čeho se probudíte.