Petr Fojtů: Donedávna si každý myslel, že si na internetu může dělat, co chce

„Pokud šikovný útok přijde ve ‚správnou‘ chvíli, každý z nás je napadnutelný,“ tvrdí Petr Fojtů, Software Security Architect z Thales Cybersecurity and Digital Identity.

Ani nejsilnější firemní zabezpečení nepomůže, když lidé pod tlakem kliknou na špatný odkaz. Právě na tyto slabiny cílí většina útočníků. Proto zůstává kyberbezpečnost disciplínou, která se nikdy nezastaví. Náš lektor kurzu Cybersecurity analyst Petr Fojtů v rozhovoru přibližuje, co se za jeho patnáct let v oboru změnilo, co naopak zůstává stejné a jak vlastně v kyberbezpečnosti začít.

Petře, co všechno spadá do vaší současné role software security architekta? Čemu se ve své práci věnujete na každodenní bázi?

Je to role v produktovém výzkumu a vývoji. Jak se produkty vyvíjejí, je tomu potřeba přizpůsobovat jejich zabezpečení. Rád říkám, že to je role stejně tak technická, jako je o práci s lidmi. Jde o to sladit požadavky produktového managementu, trhu, produktových vlastníků, projektových manažerů a ostatních architektů a vše vysvětlit a umět prodat vývojovým týmům.

Těm dodávám věcnou podporu, ale zároveň kontroluji, že dodržují požadavky na bezpečný vývoj a svědomitě vykonávají všechny související aktivity. Moje zapojení je tak od úplného začátku až po dodávku daných produktů a odpovídám za jejich bezpečnost. Jsem ale i k dispozici zákazníkům, prodejním a implementačním týmům pro podporu v oblasti bezpečnosti produktů v mé odpovědnosti.

Co vnímáte jako nejzásadnější milník vaší kariéry?

Pravděpodobně úplný začátek, kdy jsem se ještě během studia rozhodl ucházet o první stáž v oblasti bezpečnosti. Byla sice neplacená, ale mně tou dobou odešel laptop a stážišté dostávali firemní. (smích) Klaplo to a já jsem dostal super příležitost, která pak otevřela dveře dále, a potkal lidi, kteří formovali mou další kariéru, a s některými jsem v pravidelném kontaktu dodnes. Nikdy nevíte, odkud to přijde a jaká bude vlastně motivace.

V oboru se pohybujete už od roku 2010. Je něco, co se v rámci kybernetické bezpečnosti za ty roky vlastně vůbec nezměnilo?

Nezměnilo se to, že „ti zlí“ jsou pořád o krok napřed. To se asi nikdy ani nezmění, odjakživa jsou zločinci napřed před zákonem. Je to lidská nátura, přijít s dobrým úmyslem, vynálezem nebo zlepšovákem. Hned se ale objeví ohýbači a vychytralci, kteří vymyslí, jak toho zneužít ve svůj prospěch nebo pro páchání škod. Nic totiž není možné domyslet do všech důsledků, až čas a praxe ukáže.

Je nutné to tak brát, vždyť nás to vlastně neustále posouvá dále. Taková smyčka kontinuálního zlepšování.

Spolupracoval jste s klienty napříč světem – od USA po Ázerbájdžán. Liší se v různých kulturách přístup ke kyberbezpečnosti?

Přístup ke kyberbezpečnosti se liší minimálně. To je spíš o konkrétních lidech než o kulturách. Někdo to bere jako nutné zlo, někdo svědomitě jako samozřejmost. Co se ale v různých kulturách hodně liší, je obecně přístup k pravidlům a k řešení problémů. Někde se pravidla prostě respektují, jinde se hned přemýšlí, jak je obejít nebo ohnout.

Stejně tak je to s řešením problémů, někde se k nim staví čelem a snaží se je konstruktivně řešit, jinde je zametou pod koberec, protože i upozornění na konkrétní problém může být vnímáno negativně. Nebo naopak se jej budou snažit bezhlavě vyřešit co nejdříve a dělat, že vlastně neexistoval.

Který kyberútok vás během kariéry nejvíc šokoval nebo vám zůstal v hlavě – a proč?

Myslím, že člověk si zapamatuje hlavně, když je něco poprvé. Rozhodně mi zůstane v hlavě virus Stuxnet, který byl prvním známým přesně cíleným útokem, a to ještě na zařízení, které bylo oddělené od vnějšího světa. Nebo virus WannaCry, který byl prvním samošiřitelným ransomwarem.

Stejně tak nezapomenu na to, když se útoky začaly zaměřovat na citlivé civilní cíle, jako třeba nemocnice. To byla dlouhou dobu nemyslitelná noční můra. Pak si člověk vzpomene na útoky, které firmy nebo organizace nepřežily z důvodu svého diletantství – jednoduchá hesla, nevhodně uložené zálohy… nebo ne nutně útoky, ale zranitelnosti, které poplašily svět v nevhodnou dobu.

Jeden příklad za všechny – kdekdo v IT jen tak nezapomene na paniku okolo zranitelnosti log4shell, která se objevila těsně před Vánoci.

Jak vnímáte stírání hranic mezi kyberprostorem a fyzickým světem? Co podle vás nejvíc ilustruje, jak moc už kybernetická bezpečnost ovlivňuje „offline“ realitu?

Hranice tam jsou minimální. Pro většinu lidi to bude asi to, jak snadné je spáchat přestupek v „online“ světě a být za něj popotahován v reálném životě. Donedávna si každý myslel, že na internetu si může dělat, co chce.

Pro mě osobně to je příklad již více let zpět, kdy kdosi naboural tenkrát ještě Twitter účet tiskové agentury Associated Press (AP) a publikoval na něm zprávu o výbuchu v Bílém domě, během kterého byl zraněn prezident Obama. Přestože to byla falešná zpráva, akciové trhy ve Spojených státech během minut odepsaly neskutečné množství peněz. Na tomhle příkladu je krásně vidět, jak je vše provázané.

Technologie a formy zabezpečení se zlepšují, ale útoky přes social engineering jsou stále úspěšné. Čím si vysvětlujete, že největší slabinou bývá často právě člověk?

Tyto útoky jsou strašně zrádné, cílí totiž na běžné vlastnosti lidí, jako je snaha pomáhat, cítit se užitečný nebo zvědavost či strach. To z lidí nikdy nedostanete, a pokud šikovný útok přijde ve „správnou“ chvíli, každý z nás je napadnutelný.

Například jeden bezpečnostní profesionál na internetu popisoval, jak málem naletěl na podvodný e-mail, jenom protože přišel ve správnou chvíli. Bylo to v předvánočním shonu, balil se zrovna na cestu s rodinou, do toho řešil dárky a spoustu dalších věcí. Známe to každý. A najednou přišel e-mail, že s jedním objednaným dárkem je nějaký problém.

Už zadával přihlašovací údaje, když si všiml něčeho podezřelého. Málem naletěl, jen díky vhodnému načasování - zmatek, časový tlak, snaha, aby vše klaplo. Každý z nás má nějaké slabé místo a věřím, že každý může za určitých okolností více či méně naletět.

Na firemních školeních sice neustále všem říkají: „Neotvírejte neznámé přílohy od neznámých odesílatelů.“ Ve firmách je ale spousta lidí, kteří právě toto mají v popisu práce – například personalisté, těm neustále cizí lidé posílají životopisy v přílohách.

Jak vnímáte nástup AI v kyberbezpečnosti? Pomáhá víc obráncům, nebo útočníkům?

Aktuálně vnímám AI a související technologie jako další věc, kterou je třeba řádně zabezpečit. Jakým účelům a komu budou sloužit, ukáže čas. Myslím si, že větší potenciál má na straně obránců, především v bezpečnostním dohledu. Divil bych se ale, pokud by nás útočníci něčím neotřelým nepřekvapili.

Všichni máme v kapse výkonný počítač a celé naše soukromí. Co podle vás lidé nejvíc podceňují při používání chytrých telefonů?

Možná právě ten fakt, že je to výkonný počítač, ve kterém mají uložené celé své soukromí. (smích) Pokud bych měl jmenovat jednu věc, tak je to instalování pochybných aplikací a to, že jim lidé nemají problém přidělit i velice silná a citlivá oprávnění. Vážně potřebuje tahle super hra přístup ke zprávám a historii hovorů?

Hned v závěsu pak připojování se na pochybné wi-fi sítě. Nejeden člověk odklikne cokoliv, hlavně ať už se dostane na internet.

Existuje nějaký bezpečnostní zvyk nebo pravidlo, které byste si přál, aby dodržoval úplně každý?

Tady navážu na předchozí otázku. Byl bych rád, kdyby lidé více přemýšleli, co a jak používají. Obecně a se vším. Nemusí to být chytrý telefon, ale pokud se člověk v tramvaji nahlas ověřuje své bance nebo dodavateli energií a všechno to slyší celá tramvaj, není to ideální. Nebo pokud vyfotí vstupenku k prodeji do inzerátu včetně čárového kódu, nikdo si ji už nemusí kupovat. Stačí, když přijde včas.

Kurz Cybersecurity analyst je zaměřený zejména na začátečníky. Jak se v oboru zorientovat? Co je podle vás klíčové, aby člověk na samém startu v oboru uspěl?

Jednou mi jeden kolega řekl, že člověk nemůže být odborníkem na všechno, obzvlášť v IT, a je dobré, pokud si to uvědomí ještě před prvním infarktem. Je super mít široké základní povědomí, hlavně kvůli souvislostem, ale je důležité vybrat si to, co mě bude bavit a čemu se chci věnovat. Když mě to totiž baví, je velká šance, že to budu dělat i dobře.

Představte si nějakou roli, třeba podle inzerátu, a řekněte si, co člověk v takové roli vlastně celý den dělá. Chci to dělat taky? Stanovte si cíl a neztrácejte čas věcmi, které vás k tomu cíli neposunou.

Kde vy sám nejčastěji čerpáte informace o nových trendech a hrozbách v oblasti bezpečnosti?

Dnes už asi ze své praxe. Naštěstí máme ve firmě lidi, kteří to hlídají a průběžně nás informují, organizují prezentace dodavatelů atp. Jinak super zdrojem jsou různé profesní organizace jako (ISC)2 nebo SANS nebo tematické weby, kterých je spousta.

Bezpečnost není vždy vnímána zrovna pozitivně, někdo ji má za nutné zlo a nevidí přidanou hodnotu. Napadá vás proč?

Asi to bude nepopulární názor, ale můžeme si za to určitě z větší části sami jako profese. Pořád je velké množství „bezpečáků“, kteří zabezpečení tlačí takzvaně na sílu, policajtují nebo bezhlavě tlačí všude stejná pravidla. Je důležité uvědomit si, že máme společný cíl – a to je prosperující organizace nebo firma.

Nejlepší, co podle mě můžete v kybernetické bezpečnosti udělat, je stát se parťákem těch, na které dohlížíte a se kterými pracujete, nikoliv soupeřem nebo drábem. Stojí to spoustu trpělivého vysvětlování, argumentů, dokazování a času, ale stojí to za to. Je to investice z dlouhodobého hlediska, která udělá život každého „bezpečáka“ jednodušší.

Stejně tak je nutné si pro každé rozhodnutí napřed zjistit všechny souvislosti, například jak se bude daný systém používat, kdo budou uživatelé, jak bude nasazený atp., aby byl člověk schopný co nejlépe vyhodnotit rizika a netlačil plošná pravidla bez kontextu a na sílu. To věci určitě neprospívá.

Petře, moc děkujeme za velmi zajímavý vhled do zákulisí kybernetické bezpečnosti.

Pokud tě tohle téma láká, právě Petr tě provede kurzem Cybersecurity analyst, kde od něj pět nejlepších studentů získá osobní doporučení na LinkedIn, které ti může otevřít dveře do oboru.

Sdílet: