„Největší problém pro IT bezpečnost jsou pořád vlastní lidi. Jejich školení v tématu je dobrá věc, ale není samospásná. IT by mělo svoji práci dělat tak, aby umožnilo zaměstnancům dělat tu jejich práci bezpečně a komfortně. Což se ne vždy děje.“
Roman Krutina je majitelem společnosti ICT-GROUP. Je vášnivý sportovec, několikrát se úspěšně zúčastnil Iron mana a byl spolumajitelem Montessori školek. Tam se naučil, že život není jen o byznysu a penězích, existují totiž důležitější věci.
Cesta k ICT Group byla složitá. Byl poslední na gymplu, kdo neměl počítač. Přesto se přihlásil na ČZU na obor systémové inženýrství a informatika. Studium dokončil a pracoval tak různě až se dostal do servisní organizace na Ministerstvu zahraničních věcí. Zrovna to bylo v době, kdy jsme se chystali na předsednictví Evropské unie. Přišel s nápadem mobilní technologie na tuto akci za svým šéfem, ale ten mu řekl, že je to blbost.
Tak dal výpověď, skočil na živnostenský úřad a následně svůj nápad přednesl na ministerstvu. Zakázku vyhrál. A to byl počátek ICT-GROUP, i když firmu založil až o pár let později. Na začátku to byla velká troufalost, která se vyplatila.
ICT-GROUP se zaměřuje se na kybernetickou bezpečnost a ochranu firemního IT. Chrání firmám data a mají vlastní systém Hacker protect, který si mohou dovolit i malé firmy. Takže muž na správném místě, se kterým jsem probral nejen Montessori školky, ale hlavně IT a data ve firmách. Probrali jsme toho skutečně dost …
🔸 Jaká je IT bezpečnost v malých a středních firmách?
🔸 Jak sdílet heslo ke svému LinkedInu?
🔸 Proč nepoužívat vzdálenou plochu Windows?
🔸 Co nás vede k nedodržování doporučení bezpečnosti?
🔸 Jak vypadá typický útok na firemní IT?
Pokud máte chuť se svojí bezpečností – ať už osobní či firemní – něco začít dělat, mrkněte na bonus níže. Když si zapamatujete, a hlavně aplikujete Romanových 5 jednoduchých rad z IT security checklistu, tak ochráníte vaši firmu před hackery, nebo jinou katastrofou.
BONUS
IT security checklist (Kód bonusu: ITCHECKLIST)
PŘEPIS ROZHOVORU
Martin Hurych
Dobrý den. Já jsem Martin Hurych a tohle je Zážeh. Dnešní Zážeh bude s Romanem Krutinou, majitelem společnosti ICT-GROUP, vášnivým sportovcem, toho času cyklistou, bývalým úspěšným účastníkem několika Ironmanů a spolumajitelem Montessori školek. Ahoj, Romane.
Roman Krutina
Ahoj, Martine.
Co ho naučili Montessori školky?
Martin Hurych
My se dnes budeme primárně bavit o IT bezpečnosti, ale než se k tomu dostaneme, tak bych se tě chtěl na něco zeptat. Když jsem si pročítal tvoji přípravu, tak mě napadlo, že se říká, že všechno, co potřebuješ, jsi se naučil v mateřské školce. Co naučily tebe tvoje Montessori školky?
Roman Krutina
Nejdřív bych ti rád poděkoval za to, že jsi mě pozval. Rád bych to uvedl na pravou míru, my už Montessori školky nemáme. Měl jsem je se svojí sestrou Štěpánkou, to je mé dvojče a tímto ji zdravím. Jsem rád, že jsme to úspěšně dotáhli do nějakého zdárného konce a že jsme se každý pustili cestou, která nám byla trochu bližší. Sestra dnes pracuje opět v Montessori školce.
Ve školce jsem se naučil, že ne vše je byznys, ne vše musí být byznys a že jsou důležitější věci, než je vydělávání peněz. Strašně mi to pomohlo v tom, že tam chodily mé dvě děti, a řekl bych, že těm to dalo asi nejvíce z nás, protože získaly nějakou samostatnost. O tu však hned přišly potom, co nastoupily do běžných škol. Tam je zbavili těchto skvělých věcí, ve kterých je ve školce podporovali.
Bydlím kousek od Úval v malém městě a tam je takový ten klasický přístup učitelů. Neříkám, že je špatný, ale oni v podstatě nemají šanci kdekoliv přijít na to, že by se to mohlo dělat malinko jinak. Nejsem žádný aktivistický rodič, takže jsem do toho nikdy nikomu nekecal a dodnes, ať se mi to líbí, nebo ne, se jim tam snažím pomáhat s IT.
Jaká byla jeho cesta k ICT-Group?
Martin Hurych
O pomáhání je celé tvé podnikání. Než se dostaneme k IT bezpečnosti v malých a středních firmách, pojď nám říct, jak jsi se vlastně dostal k ICT-GROUP. Jaká je tvá profesní historie ve zkratce?
Roman Krutina
Složitá, protože když jsem byl ještě na gymplu, tak jsem byl v podstatě asi poslední ve třídě, kdo neměl počítač. Trápilo mě to, takže jsem nakonec doma ukecal, aby mi něco koupili, a tak mi koupili v té době 486ku. Já jsem nikdy nebyl žádný talent, měl jsem zpoždění vůči spolužákům. V té době, kdy jsme na gymplu programovali, jsem neměl na čem, takže jsem to logicky nemohl umět. V tom jsem tedy rozhodně nějakým způsobem nevynikal, ale očarovalo mě to, připadalo mi to skvělé a chtěl jsem to umět. Neměl jsem k tomu znalosti, ale měl jsem výdrž. Začalo to tím, že jsem asi 170krát přeinstaloval Windows, než jsem pochopil, jak to funguje.
Abych to přeskočil, tak jsem se potom přihlásil na ČZU na obor systémové inženýrství a informatika, což jsem za 6 let s boží pomocí dokončil. Následně jsem přemýšlel, co dál. Po brigádách na recepci v Kauflandu a jiných běžných věcech, kde se člověk s IT nedostane do kontaktu, jsem se přihlásil do výběrového řízení pro servisní organizaci na Ministerstvu zahraničních věcí. Tam jsem pracoval asi 2 roky na helpdesku. Chodíš k uživatelům, něco jim opravuješ, stěhuješ lidi. Tam jsem pochopil, jak funguje státní správa. To bylo pro mě první prozření. Byli tam neuvěřitelně chytří lidé, u kterých jsem nechápal, co na ministerstvu dělají. V podstatě se tam v kancelářích nic moc extra nedělo.
V té době se Česká republika připravovala na předsednictví Evropské unie a v té chvíli to byla skvělá příležitost pro nové věci, unlimited budget, unlimited všechno. Já jsem přišel s tím, že by bylo fajn mít nějaké mobilní technologie pro tuto akci. Oni se mě zeptali, co si představuji, a v té době byla jediná hvězda BlackBerry, tak jsem to tam nasadil. Nerozuměl jsem tomu, ale líbilo se mi to, takže jsem se do toho uvrtal. Zároveň jsem na to napsal diplomovou práci na vysoké škole, nějakým způsobem jsem se tomu věnoval, takže nemohu říct, že jsem byl úplně mimo. Měl jsem přehled na trhu, tak jsem šel za svým šéfem a řekl jsem mu, že tam je projekt, kde primárním tahounem byla kancelář ministra. Oni potřebovali mít online kalendář, protože se jim pořád něco měnilo. Upřímně na rovinu říkám, že jsem byl trochu naivní a už v té době jsem byl docela ambiciózní na to, co jsem neměl za sebou. Přišel jsem s návrhem, u kterého mi řekli, že je to nereálné a že to nemůže dopadnout. Tak jsem dal výpověď.
Zašel jsem na živnostenský úřad, zašel jsem do kanceláře ministra, kde jsem se zeptal, co mám udělat pro to, abych to mohl dělat. Oni mi řekli, že vypíší výběrové řízení. Tak jsem se přihlásil. Tím začala půlroční šílenost, kdy mi všichni kolem říkali, že to není možné, že se to nedá vyhrát. Říkali mi, že až se tam přihlásí IBM, která v té době provozovala mailový systém Lotus Domino, tak nebudu mít šanci konkurovat. Já jsem tam přišel, dal jsem si tam něco, abych přežil, zkrátka nějakou servisní smlouvu, a vyhrál jsem to. Tím začalo být všechno strašně růžové.
Byl to super byznys, za celou dobu jsem potkal asi 4 výměny ministrů, takže jsem viděl, jak se to tam politicky různě hýbalo, ale mělo to jedno obrovské negativum. Musel jsem být pořád na drátě. Ti lidé v politických funkcích měli obrovskou moc a mohli ten kontrakt zrušit hned druhý den, což jsem si nemohl dovolit, protože jsem jiný zdroj příjmů neměl.
V té době jsem začal trénovat na Ironmana. Rozhodl jsem se, že po delší době začnu opět něco dělat. Odjel jsem na první soustředění na Kanáry a samozřejmě přišly první problémy, že někde něco nefunguje. Já jsem byl někde, kde v té době moc nefungoval internet a já musel po nocích něco opravovat a dělat. Řekl jsem si, že tak to nejde.
Z role ičaře, kdy vyděláváš dost peněz, vše je super, jsem si začal někoho hledat. Našel jsem si prvního zaměstnance, shodou okolností to byl můj kamarád z vysoké školy Jirka a dodnes to spolu děláme, i když je to občas náročné. Měl jsem pocit, že to bude Jirka dělat stejně jako já, se stejným nadšením,
úsilím a hlavně, že to bude řešit úplně stejně efektivně. To bylo první prozření, že tak to prostě nefunguje, a začalo martyrium.
V té době moc nefungovaly systémy jako dnes coworkingy, že byste si někoho vzal na IČO na part time. V té době ti lidé chtěli pracovat jinak, chtěli mít práci, chtěli mít za to peníze. To bylo moje první prozření, že to musíme změnit. Po pěti letech, co jsem to dělal na IČO, jsem založil ICT-GROUP. V té době mi připadalo, že je skvělé, že to zakládám sám. Dnes si říkám, že to byla ta největší chyba, kterou jsem mohl udělat, protože mi strašně chybí někdo druhý, kdo by mi k tomu něco řekl, zastavil mě v blbých nápadech a podpořil dobré nápady. Za posledních 14 let jsem tudíž zažil mnoho failů. Mnohokrát jsme jezdili na mrtvém koni.
Až poslední 2 roky jsem si říkal, že to potřebuji nějakým způsobem změnit. Pro mě vždy byla sprostá slova korporát, protože jsem znal Kaufland, nelíbila se mi státní správa. Po tom, co jsem dělal na ministerstvu, přišlo i pár dalších zakázek, které byly velice podobné se stejným průběhem, se stejnou neefektivitou. My jsme se dostávali do stavu, že jsme měli už jiné klienty, ale nebyli jsme schopní vyhrát žádné státní zakázky. Takže jsme si řekli, že je čas z toho odejít. Nikdo však nechce přijít o dobrou zakázku na ministerstvu. Zakázka byla dobrá, ale jednoho dne se na ministerstvu rozhodli, že BlackBerry už nepotřebují, náš kontrakt podělili 50ti a řekli, jestli to chceme dělat. My jsme řekli, že nechceme. V té době už jsme měli i jiné firmy, kterým jsem se starali o IT, a museli jsme začít dále hledat, abychom nějakým způsobem zalátali tu díru.
Tak jsem se dostal z ministerstva mezi malé a střední firmy. Nicméně dnes už máme v podstatě proudy dva. Jedna věc jsou malé a střední firmy, to mě zajímá asi nejvíc. Tam vidím naši nejvyšší přidanou hodnotu, tam se snažíme poslední dobou být aktivní na LinkedInu. Druhý proud jsou veliké, typicky nadnárodní firmy, kterým poskytujeme support v jejich českých pobočkách. Když jsou nějaké speciality, které místní IT firmy neumí, tak jsme dost často v pozici supportu pro IT tým klienta. Nepřicházíme tedy do kontaktu s koncovým uživatelem.
Jaká je IT bezpečnost v malých a středních firmách?
Martin Hurych
Já bych se dnes rád pobavil o těch malých a středních firmách. Tomu, co děláš, vůbec nerozumím, spíše jsem poučený laik a nadšený uživatel IT technologií, ale mnohdy se i s amatérským okem podivím, co se v těchto firmách děje. Ze své pozice, jak je to obecně u malých a středních firem s IT bezpečností?
Roman Krutina
Já myslím, že to souvisí s tím, čemu se říká proces. Vidím to i u nás, že čím je firma menší, tím více to tam není. Je to dané tím, že si je každý vědomý toho, co má dělat, a moc se nepřemýšlí o tom, jestli Frantu nahradíme někým jiným, nebo že by ta firma nějakým způsobem hodně rostla. Já bych to přirovnal k SEO. Když se někoho zeptáš, jak být první, tak z toho všichni začnou dělat woodoo. Rozdíl je v tom, kdo umí dělat větší woodoo a zapůsobí na klienta. Přitom to žádné woodoo ve skutečnosti není. Zkrátka musíš věci dělat pořádně, aby to fungovalo a neexistují žádné zkratky k cíli. Když se se základními věcmi nezačne u sebe samotného, tak to nemůže fungovat. Když bude majitel firmy důsledný a bude příkladem pro lidi, tak oni pochopí důvod, proč nějaké základní bezpečnostní věci plnit.
Jak na zálohování dat?
Martin Hurych
My jsme se domluvili, že to, co tady teď vyjmenujeme, bude zároveň v příloze tohoto podcastu jako bonus pro stažení a nějaký checklist či krátký návod. Pojď tedy projít ty body, které myslíš, že jsou potřeba jako úplný základ předtím, než se začnu hýbat v bezpečnosti dál.
Roman Krutina
Ta nejdůležitější věc, kterou máš a kterou mají všichni, jsou data. To znamená, zálohovat data. Ideálně, když je budeme zálohovat pomocí metodiky 321. Teď to trochu zjednoduším, takže jestli nás poslouchá nějaký IT expert, tak mě za to, prosím vás, nelynčujte, snažím se to dělat pochopitelné pro všechny. Je dobré mít tři kopie dat na dvou rozdílných nosičích a bylo by fajn, aby jedna záloha byla mimo firmu.
Častá odpověď je, že to máme v cloudu a nemusíme to řešit, Google, Microsoft, AVS. U všech těchto providerů se podívejte na něco, čemu se říká sdílená odpovědnost, v angličtině shared responsibility. Tam je jasně definované podle typu služby, když se budeme bavit o SaaS, typicky Office 365, Google Docs, za co zodpovídá provider a za co zodpovídáte vy. Jedna z těch věcí je, že vy zodpovídáte za data a identity, které tam jsou. Doporučuji vám tedy zálohovat i věci, které máte na cloudu. V dnešní době není vůbec zřejmé, co se kde může stát. V checklistu budete mít způsoby, jak zálohovat, některé z nich jsou téměř zadarmo.
Je důležité mít svá data na dvou rozdílných zařízeních, aby se vám nestalo to, co vidíte na LinkedInu, že nám spadl server a zálohu máme na tom serveru. Dělejte to tak, aby vám vaše zálohy případný útočník nesmazal nebo nezašifroval. Je to dnes veliké téma, říká se tomu nesmazatelná záloha, anglicky immutable backup. Když na vás opravdu někdo útočí, opravdu jste jejich cíl, tak první, co budou řešit, je, že vám chtějí zničit zálohovací infrastrukturu. V případě, že jsou kompromitované účty na zálohovacím systému a ty identity jsou stejné jako v té infrastruktuře, tak jste ve velikém problému. Velice pravděpodobně totiž dojde k tomu, že vám ty zálohy zašifrují nebo smažou. Doporučuje se tedy buď zálohovat na nějakou cloudovou storage, která to umí by design, jako například AVS či Azure, nebo to zálohujte na nějakou NASku. Login do té NASky si ideálně zabezpečte pomocí dvoufaktorového ověřování a nepoužívejte stejné loginy, nebo integraci s vaší infrastrukturou, aby v případě kompromitace se tam útočník nedostal. Jsou i nějaké další možnosti, které tu asi nebudeme rozebírat. Hodíme to do checklistu a kdo bude potřebovat poradit, tak na webu mám na sebe všechny kontaktní údaje, není to nic tajného.
Jak správně na hesla?
Roman Krutina
Druhá věc, která tam je a která je nejčastější a nejšílenější, je používání stejných hesel v různých službách. Lidé občas argumentují a říkají, že si nechali vygenerovat supertajné heslo a to používají teď všude. To není dobře, protože vy nikdy nevíte, jestli náhodou v systému, kde to heslo používáte, ho administrátor náhodou neukládá jako plain text. On se podívá do databáze a uvidí vaše heslo. Tu službu může někdo napadnout. Typicky to funguje tak, že používáte mnoho služeb na internetu, používáte stejný login a stejné heslo, dojde k úniku či kompromitaci z jedné služby a ten útočník vyzkouší tuto kombinaci uživatelského jména a hesla, kde to jen jde. Ten útočník je automat, to nedělá člověk. Rozhodně tedy používejte pro každou službu unikátní uživatelské jméno a heslo a kde to jde, tak používejte multifaktorové ověřování. Jde to téměř všude, Facebook, LinkedIn, Skype, Gmail, Office 365. Nedělejte žádné výjimky. Snažte se nepoužívat služby, které to neumí.
Tolik hesel si nelze zapamatovat, takže vám nezbude nic jiného, než používat password manager. Záleží na vás, jestli chcete věřit nějaké cloudové službě, nebo jestli si to budete ukládat někde u vás. V checklistu dostanete nějaké nápady a návrhy, jak to udělat. Každopádně bez tady toho se nehnete dál. Neberte to však jako bernou minci, že pokud to máte, tak to máte vyřešené. Je to software a software může mít zranitelnosti.
Třetí rada je, aktualizujte. Bude vám to dělat spoustu problémů, Microsoft je tím známý, ale myslím, že se trochu zlepšil. Když se dnes podíváte, kolik je za poslední 3, 4 měsíce bezpečnostních problémů v obrovských firmách, které mají téměř neomezené budgety, tak představa toho, že vy to děláte dobře a nikdo vás nehackne, na to zapomeňte. Je to otázka času, úsilí a motivace útočníka. Když bude mít velikou motivaci, stačí se podívat do Ruska. Nemyslím si, že by v Rusku byli všichni úplní zoufalci a zkrátka se jim to povede.
Jak sdílet heslo třeba ke svému LinkedInu?
Martin Hurych
Já se vrátím ještě o krok zpět. Dost často teď spousta majitelů firem odevzdává svůj linkedinový účet na správu nějaké marketingové agentuře. Jak se chovat v momentě, kdy s někým sharuješ heslo a nechceš, aby ho tak úplně věděl? Dá se to vyřešit?
Roman Krutina
Já to primárně vidím jako problém těch služeb, protože ty bys v podstatě svoji identitu nikdy nikomu neměl dávat. To je stejné, jako kdybys svému finančnímu řediteli odevzdal svůj přístup k soukromému účtu, protože ti tam chodí peníze. To nedává žádný smysl. Všechna ta řešení, která existují a některé password managery to umí, jsou fajn, ale primárně je problém v té službě. Ta služba nebyla dělaná na to, aby byla více uživatelská.
Pravděpodobně mu tedy budeš muset důvěřovat a bylo by fajn si i tak zapnout nějaký multifaktor. Když budete moc chtít, tak si pořídíte jedno číslo, kam budou chodit esemesky či autentikátor a holt si to budete předávat, ale ideální řešení to rozhodně není. Tady ti vendoři by na tom měli zapracovat. Já se bohužel obávám, že tímto chováním částečně porušuješ některá pravidla používání těchto služeb, takže oni jsou z toho asi z obliga.
Jak nastavit práva k pracovním účtům?
Martin Hurych
Tak jsme zálohovali a aktualizovali, máme password manager. Co dál?
Roman Krutina
Čtvrtá věc, která tam je, nepracujte pod privilegovanými uživateli. To znamená, aby to bylo bezpečné, tak je potřeba, abyste pracovali pod nejmenšími právy, které umožní vaši bezproblémovou práci. Typicky v malých firmách je majitel, ředitel, někdo, kdo si dupne, je to taková hlava, která vydělává, řídí a chce mít přístup všude. Nedělejte to. Tím nutně neříkám, že ten přístup někde nemáte mít, ale vy ho pro 99 % své práce v podstatě nepotřebujete. Máte ho tam jako zálohu a dobrý pocit, že až bude potřeba, tak se tam dostanete.
Pracujte pod userem, který není administrátor. V SMB budete řešit peníze, budete řešit, kolik peněz vás bude stát správa IT. Jakmile všem seberete práva administrátora a oni budou chtít něco nainstalovat, tak to někdo bude muset udělat. Buď někdo z vás bude administrátor, nebo zavoláte IT firmě, a to něco bude stát. Řešení typu, že to vyřešíme tím, že všichni budou administrátoři, je cesta do pekla. Jestli svým lidem věříte, naučte je pracovat pod běžným userem. To asi není nějaké super security doporučení, ale je to kompromis, který řeší vaši situaci. Budete běžně pracovat pod normálním účtem, který není administrátor, a buď jeden pověřený pracovník u vás, nebo ti uživatelé budou znát heslo lokálního administrátora. V případě, že budete potřebovat něco nainstalovat či aktualizovat, co vyžaduje administrátorská práva, budete to mít vyřešené.
Dnes je spousta inteligentních softwarů, kde toto nepotřebujete. Ty by bylo fajn používat, ale nejsme v ideálním světě, takže těch problémů je tam pořád spousta. To je další věc, kterou nechcete řešit, a tak jsou všichni administrátoři. V případě, že jste ve veliké firmě, tak jsou všichni domain administrátoři. Máte něco, kde máte jednotnou správu identity a všichni mohou všechno. To není dobrý nápad.
Proč nepoužívat vzdálenou plochu Windows?
Roman Krutina
Česká republika je unikátní místo, kde vzniklo neuvěřitelné množství skvělých softwarů. Doba, kdy se ten software vyvine a dál se používá, je asi 20 let, co jsem slyšel, než se to firmě úplně celé zaplatí, aby to udělala moderně. Dnes máme všichni Pohody, Money a když se k tomu chcete připojit na dálku, tak k tomu používáte vzdálenou plochu. Nedělejte to. Je to jeden z nejběžnějších způsobů útoku na identitu. Dost často to řešení není chráněné druhým faktorem, takže jde opravdu o nějaký útok hrubou silou, kdy ten útočník pořád dokola zkouší kombinaci, až se mu to jednoho dne povede. Dám vám jeden malý tip. Nezapomeňte si disablovat defaultního usera, který se jmenuje administrátor. Tento user má jednu skvělou věc, nikdy se nezamkne, i když to zkouší útočník milionkrát. Když si ho disablujete, vytvoříte si jeho kopii, tak už se dají nastavit pravidla na to, aby to takto nešlo. Moje doporučení je, nedělejte to tak. Buď si to zamkněte za VPN, nebo si to nějakým způsobem ochraňte, aby k těmto útokům nedocházelo.
Proč nepoužívat osobní účty SaaS pro firemní účely?
Martin Hurych
Máš tam ještě něco takového, co najdeš skoro všude?
Roman Krutina
Nevím, jestli všude, ale především u malých firem, které hodně přemýšlí o tom, kolik co bude stát. Ty vymýšlí neuvěřitelné záležitosti, jak používat personální cloudové účty pro firemní potřeby. Ono to funguje velmi dobře do té doby, než vám zaměstnanec s tím účtem odejde. Ten účet není váš, ale toho zaměstnance. To je veliký rozdíl. Jestli budete používat nějaké systémy pro back office, ať už je to ukládání souborů, e-maily, ať už je to od Microsoftu či od Googlu, pořiďte si i ten nejlevnější firemní. Tam máte pod kontrolou správu identit, uživatelů i těch dat, které tam jsou, protože jinak to nevymyslíte, a hlavně se k tomu nedostanete. Až napíšete na support, tak vám nikdo nepomůže. Tyto personální účty jsou dost často zdarma, ale firma na nich musí nějakým způsobem vydělávat, takže pravděpodobně na prodeji dat, které tam máte. Druhá věc je, že to absolutně nemáte pod kontrolou, takže to nedělejte, nestojí to za to.
Co nás vede k nedodržování doporučení bezpečnosti?
Martin Hurych
Když tě tak poslouchám, tak mi přijde, že drtivá většina, co jsi tady řekl, vlastně není raketová věda. Mluví se o tom dlouho, tak mě napadlo z tvé vlastní zkušenosti, protože se tím zabýváš dnes a denně, co vede ty lidi, se kterými se potkáváš, k ignorování těchto doporučení, které jsou na trhu relativně dlouho? Každý ajťák o nich mluví, a přesto se to nedělá.
Roman Krutina
Pohodlnost, to je jednoduché, pohodlnost. Já to vidím i u nás ve firmě u ajťáků. Proces změny musí nastat u člověka, který tu změnu táhne a který ji má na starosti. Ve firmě si musíte najít někoho, kdo to riziko vidí. Já moc nemám v oblibě lidi strašit, ale poslední dobou chápu, že je potřeba, aby si ti lidé uvědomili, co se stane, až jim nějaký problém nastane. Ten problém nemusí být žádné hacknutí, to může být, že se rozbije server, a jde o to, kolik si mohou dovolit ztratit času do té doby, než se to obnoví. Problém je, že firmy to nemají na papíře vyčíslené. Když potom ztratí velké množství peněz a uvidí, že náklady na to to dělat přiměřeně dobře jsou malé oproti případným ztrátám, tak o tom možná začnou přemýšlet. Já si myslím, že to je jenom pohodlnost, lenost a hlavně domněnka, že se to daného člověka netýká, protože kdo by na něj útočil, když nikoho nezajímá.
Proč zálohovat i když „na mne nepřijdou, já nic netajím“?
Martin Hurych
Jestli se toho můžeme lehce dotknout. Toto já slyším. Proč já bych zálohoval, já tu nic nemám, kdokoliv chce, ať se na mě podívá, já tu nic netajím. Co s tímhle tím?
Roman Krutina
Je skvělé, že jste transparentní. Zamyslete se nad tím, jak to bude fungovat, až ty dokumenty mít nebudete. Vy jste s tím strávili obrovské množství úsilí, je tam nějaká historie. Třeba se do těch dokumentů nekoukáte, ale rozhodně člověk přijde na to, že to je veliký problém, až v tu chvíli, kdy tu informaci potřebuje a nemá ji tam.
My jsme totiž v takové schíze. Model fungování IT firmy v SNB segmentu je takový, že někam přijdete, někdo vypíše výběrové řízení a vyhraje ten, kdo dá nejnižší cenu. Ale nejnižší cenu za co, to nikdo moc neví. My jsme vždy ve schíze v tom, že oni říkají, že je to bude stát 5 000, dohodneme se na nějaký paušál a když se nic neděje, tak jsou naštvaní, že to funguje a my nic neděláme. Když se však pořád něco děje, tak jsou naštvaní, že platí svých 5 000 a ono to pořád nefunguje.
Jak vypadá typický útok na firemní IT?
Martin Hurych
Spousta lidí si útočníka představí jako někoho z Anonymous, někoho, kdo sedí v černé kukani a hledá, kam by se probořil. Tak to asi dnes už dávno není, ne?
Roman Krutina
Já vždy říkám, že to je úplný James Bond. Tak to není. Představte si člověka, který vezme cihlu a hodí vám ji do auta a ukradne vám notebook. To je typický obraz toho, jak to vypadá. Nejsou to žádní hezcí lidé, jsou to zkrátka normální kriminálníci. Ten člověk často chodí stejně oblečený jako vy, sedí v kanceláři a třeba je to celá skupina, která je organizovaná, a je to normálně fungující byznys jako váš.
Martin Hurych
Mně šlo spíše o to vytipovávání. Narážím na tu víru, že mně se nemůže nic stát, protože co po mně by někdo chtěl.
Roman Krutina
Je to typické. Souvisí to s neaktualizací systému. Dnes existují systémy, které pořád dokola skenují to, co máte strčené do internetu. Jakmile tam je nějaká zranitelnost, která je zneužitelná, tak se na to automaticky použije skript, dojde k průniku do firmy a k nějaké eskalaci privilegií. Teprve potom to začne řešit fyzický člověk. Prvotní průzkum je velmi často absolutně automatizovaný. Rozešlou se phishingové kampaně, všichni na to klepnou, přihlásí se a když nemáte multifaktor, prásk a už mají vaše uživatelské jméno a heslo. Rozeznat v dnešní době phishingový e-mail, pokud je udělaný dobře, od obyčejného je těžké i pro ajťáky. Já vždy říkám, že to ajťáci mají udělat tak, aby nespoléhali na to, že to ti koncoví lidé odhalí. Když to bude dobře udělané, tak to neodhalí.
Jak zlepšit bezpečnost mobilních a IoT zařízení?
Martin Hurych
To je pro mě novinka, že je to vlastně automatizovaný normální byznys. Takže když se tu bavíme o automatizacích našeho byznysu, tak je to na té černé straně podobné, možná dokonce stejné?
Roman Krutina
Je to úplně stejné jako my v IT, když něco spravujeme, nebo se to snažíme chránit. Dnes to není možné dělat ručně, protože ručně znamená, že to děláš nepravidelně. Ty to potřebuješ kontrolovat kontinuálně a to samé dělají ti útočníci. Oni jsou stejně líní jako my a chtějí toho zvládnout co nejvíce za co nejméně práce. Opravdu jsou to automatizované systémy a opravdu jim na to dost často pomáhají tituly, které jsou i na tu druhou stranu. Ty se dají použít různým způsobem a teď je jenom
otázka, jestli je ten člověk na straně white hackera, kteří odhalují věci, které máte špatně, ale nehackují vás, nebo na straně black hackera, který vás bude vydírat.
Dnes všichni říkají, že to mají zálohované a když je někdo napadne, tak nebudou mít problém. Útočníci vás však mohou vydírat za to, že ta data budou publikovat. Nedá se tomu asi vyhnout.
Martin Hurych
Chtěl jsem se zeptat ještě na jednu věc. My tu dost často končíme trendy, na co se připravit atd. Jestli to dobře chápu, tak jsme probrali to nejklasičtější IT typu servery, notebooky a tak. Moc jsme se nedotkli mobilů. S internetem věcí jde na internet spousta dalšího hardwaru, který může být napadnutelný, ty případy už se staly. Možná se objevují i další zařízení, o kterých já v tuto chvíli nemám ani tušení, které se na internet připojují, auta typicky. Na co se připravit a jak možná svoji IT bezpečnost posunout vpřed i v těchto oblastech? Na co se připravit v příštích měsících, letech?
Roman Krutina
Já myslím, že to je úplně stejné se vším. Důslednost, to je první věc, nedělejte výjimky. Jestli používáte nějaký USB token, jestli používáte uživatelské jméno a heslo, zkuste k tomu vždy dát ten druhý faktor, který vy vlastníte a útočník ho nemá. V případě, že potom dojde ke kompromitaci uživatelského jména a hesla, tak buď máte nějaký token, kterého se dotknete, nebo máte mobil, na kterém pípne ideálně autentizační appka, v horším případě esemeska. Pořád je to lepší než nic.
Dnešní mobily jsou v podstatě počítače. Dost často mají lidé vlastní a ve firmách nechtějí používat pracovní, protože by jim dal zaměstnavatel pravděpodobně horší. Asi zaměstnance nedonutíte, aby ten mobil byl pod nějakou super správou, že byste tam mohl vynutit heslo a cokoliv. Když však budete používat řešení od Microsoftu, tak to můžete řešit na úrovni té aplikace. My můžeme říct, že když máte firemní e-mail, musíte k tomu používat appku od Outlooku. My v té appce vynutíme ověření, jako je třeba face ID. Když to ztratíte, nebo vás vyhodíme, tak vám z mobilu můžeme smazat tu appku, ale nic jiného, ten mobil je pořád váš, pod tím nemáme žádnou kontrolu. Technologická řešení tu tedy jsou, ale dost často se nepoužívají, dost často to není v těch nejlevnějších plánech, které ti lidé chtějí. Když chtějí ušetřit, tak to zkrátka není možné nasadit.
Zároveň vždy přemýšlejte o tom, že cloud je super pro malé firmy i pro velké firmy. Malá firma si dnes může dovolit řešení, které před 10 lety nebylo možné, protože bylo možné akorát v on-premisu a stálo neuvěřitelné množství peněz. Na druhou stranu je cloud pořád připojený do internetu, přemýšlejte o tom. Jestli tam cloud provider udělá něco špatně, nebo jestli uděláte něco špatně vy, tak ten útočník na tom už je 24/7, takže se tam ty chyby projeví ještě ve větší míře.
Ve vašich zasedačkách si zkontrolujte chytré televize, které máte zapojené do toho internetu a které jsou z Číny. To je asi odpověď na to, co všechno je zapojené do internetu. Dokonce jsem viděl, jak hackli jedno kasino. Měli tam rybičky, měli tam krásné akvárium a v tom akváriu měli teploměr, který byl IoT zařízení, které měří teplotu. Bylo připojené do internetu, byla tam nějaká zranitelnost a už to jelo. Jsou to drobnosti. Pořád ten hack na úrovni těchto zařízení není tak běžný jako únik hesla, nebo špatná hesla, stejná hesla a podobné běžné věci, ale velice pravděpodobně, až si toto lidé vyřeší, tak to přijde i sem. IoT zařízení bude strašně moc. Dnes jsem koukal, jestli náhodou naše pračka není IoT. Snad není, ale nechtěl bych to mít připojené do internetu.
Pořád platí, že největším nebezpečím jsou vlastní lidi?
Martin Hurych
Já si ještě pamatuji 3,5palcové diskety. Nejsnadnější způsob, jak hacknout firmu, bylo poslat 3,5palcovou zavirovanou disketu sekretářce a na obálku napsat seznam propouštěných lidí. Pořád něco takového platí?
Roman Krutina
Pořád něco takového platí. Jestli tu někde budeš mít nějaké etické hackery, nebo penetrační testery, tak typicky se rozhazují flashky s virem. Na té flashce jsou odměny vedení, nebo něco takového, co bude každý chtít otevřít. Byl jsem i na pár školeních, kde ukazovali vishing, což je v podstatě něco jako phishing, ale přes telefon, kdy volá ajťák. Ta firma věděla, že bude tady to školení, tak zavolala paní účetní a řekla, že je z IT supportu. Paní účetní odpověděla, že měli zrovna školení o tom, že o těchto věcech s nikým nesmí mluvit. Firma řekla, že je skvělé, jak je znalá, a ať si jen spustí nějaký program a už to jelo. Největším problémem jsou tedy lidé.
S čím moc nesouhlasím, že řešením toho je, všechny vyškolit a tím se vyřeší celý problém. Čím větší firma, tím větší fluktuace a tím větší pravděpodobnost, že útok přijde ve chvíli, kdy ti lidé nejsou vyškolení. Já si myslím, že my ajťáci bychom to měli zařídit tak, abychom moc nespoléhali na lidi, že to odhalí a že to budou chápat. Lidé chtějí dělat svoji práci a my bychom měli být v pozici toho, že jim to umožníme dělat komfortně a bezpečně.
Kontakt
Martin Hurych
Když to budu chtít udělat bezpečněji, komfortně, kde tě najdu?
Roman Krutina
Určitě mě na najdeš na LinkedInu, určitě mě najdeš na našem webu, tam je mail i telefon na mě. Myslím si, že to je vše, co potřebujete k tomu, kdybyste se chtěli na něco zeptat.
Martin Hurych
Můžeme ti tedy volat i přesto, že jsi nechtěl zákaznické telefony?
Roman Krutina
Ano, to jsem se rozhodl teď poslední dobou, dát tam i své telefonní číslo. Včera se mi dovolal jeden pán, který říkal, že by mi rád nabídl změnu vlády a když jsem se zeptal, kdo to bude, tak mi odpověděl, že to nebude nikdo jiný a nikdo menší než Bůh. Tak jsem si říkal, jestli to číslo nedám zase dolů.
Martin Hurych
Takže rychle Romanovi volejte, než zase číslo z webu stáhne. Romane, děkuji. Bylo to prima.
Roman Krutina
Já také moc děkuji, Martine.
Martin Hurych
To byl Roman Krutina z ICT-GROUP. Pokud jsme vás zažehli minimálně pro audit IT situace ve vaší firmě, tak jsme naši práci udělali dobře. Určitě se nebojte tento díl a jakýkoliv další díl Zážehu sdílet se svými kamarády a známými. Likujte, dávejte odběry, ať už na YouTube, nebo ve vaší podcastové aplikaci. Jak už jsme tady s Romanem říkali, k této epizodě bude i bonus, pár bodů, které byste měli začít ve firmě řešit, pokud svoji bezpečnost považujete za důležitou. Tento bonus najdete na mých webových stránkách, www.martinhurych.com/zazeh. Mně už nezbývá, než jenom držet vám palce a přát úspěch, díky.
(automaticky přepsáno Beey.io, upraveno a kráceno)