Prvý program napísal, keď mal osem a jeho prvým hackom bolo odomknutie všetkých levelov počítačovej hry. V dvanástich sa zúčastnil programátorskej súťaže a spoznal Juraja Bednára, s ktorým neskôr založili firmu, ktorá patrí k špičke v etickom hackerstve. Aké druhy útokov najčastejšie ohrozujú slovenské firmy a ktoré tri veci musíte urobiť, aby ste predišli väčšine kyberútokov? Rady od Tomáša Zaťka, etického hackera a majiteľa spoločnosti Citadelo.
Tomáš, existuje nejaké odporúčanie, koľko peňazí by mala firma investovať dokybernetickej bezpečnosti?
V prvom rade je dôležité zhodnotiť, čo vlastne firma chráni, pred kým a aká je cena toho, čo chráni. Vtedy si dokáže jednoduchšie odpovedať na otázku, koľko peňazí a času je ochotná investovať do bezpečnosti. Ďalším kritériom je veľkosť firmy – firma s piatimi zamestnancami zvyčajne nepotrebuje takú mieru ochrany ako, napríklad, banka či telekomunikačný operátor.
Od čoho závisí cena služieb v oblasti kybernetickej bezpečnosti, ktoré ponúkate svojim klientom?
Závisí od dvoch faktorov, a to:
- aký je systém veľký, čím je väčší, tým viac položiek musíme otestovať
- do akej hĺbky, chce klient poznať nedostatky svojho systému
Rýchle testy sa začínajú od 1500 eur, čo j suma, ktorú si vedia dovoliť aj menšie firmy. Vďaka týmto rýchlym testom dokážeme identifikovať „do neba volajúce“ diery za približne dva až štyri dni. Pri hĺbkových testoch musíme najskôr celý systém podrobne preskúmať, aby sme dokázali dodať výslednú správu. Tam sa ceny pohybujú v desiatkachtisíc eur za preverenie jedného systému.
Čo je základom penetračných testov, ktoré ponúkate klientom?
V rámci pentestov sa snažíme systém vyhackovať. Znamená to, že mu robíme zle. Základom je systém „rozobrať“ a prinútiť ho, aby robil to, čo chceme my ako potenciálny útočník.
S akými kybernetickými útokmi sa najčastejšie stretávaš a aké opatrenia by mali firmy robiť, aby sa pred nimi ochránili?
Záleží od toho, aký je cieľ útoku. V súčasnosti sú veľmi populárne útoky zamerané na využívanie cudzej infraštruktúry pri ťažení kryptomien. Tieto útoky sa u používateľa prejavujú výrazným spomalením počítačov. Ďalším častým typom kybernetických útokov je zašifrovanie dát obete a vyžadovanie výpalného za ich sprístupnenie.
Pred takýmto útokom sa dá brániť, ak firmy robia pravidelné zálohy na externý disk, ktoré nie je nonstop pripojený na sieť. Takýto prístup zabráni zašifrovať hackerovi aj zálohovací disk. Vhodné je tiež striedať zálohovanie na dva rôzne disky.
Aké sú časté chyby, pre ktoré sa hacker môže veľmi jednoducho dostať do interného systému firmy?
Zanedbávanie aktualizácií, používanie rovnakých hesiel a nepoužívanie dvojfaktorových prihlásení. Ovládaním týchto troch zásad by sa predišlo obrovskému množstvu útokov. Okrem toho, by si mali používatelia dávať pozor aj na to, aký softvér si inštalujú do svojho systému.
Je potrebné riešiť kybernetickú bezpečnosť aj pri používaní systémov veľkých spoločností ako sú banky či sociálne siete?
Napríklad, Facebook má veľmi dobré zabezpečenie, ale hackeri si vedia poradiť. Nebudú sa snažiť hacknúť priamo vaše konto na Facebooku, lebo je to náročné. Spôsob, akým budú postupovať je iný. Napríklad, zistia, že sa voláš Jožko Mrkvička a podľa fotiek identifikujú, že si rybár. Ak si registrovaný na fóre o rybárstve, ktoré niekto založil pred siedmimi rokmi, je veľmi pravdepodobné, že systém, ktorý používa toto diskusné fórum je z hľadiska bezpečnosti deravý ako rešeto. Hacker sa veľmi jednoducho dostane na túto stránku, odtiaľ vezme heslo a s ním sa prihlási na tvoj Facebook. Toto je ďalší z príkladov, prečo je dôležité dbať na to, aké heslá a kde používame a pravidelne ich meniť.
O hackerských útokoch počúvame z každej strany. Prečo firmy túto oblasť podceňujú?
Myslím, že hlavným problémom je to, že firmy si reálnu hrozbu neuvedomujú. Je to ako s používaním bezpečnostných pásov v aute – ľudia poznajú nebezpečenstvo, ale veria, že im sa nič nestane. Na Slovensku sa však bežne stáva, že si konkurenčné firmy navzájom vyhackujú a ukradnú interné informácie či zmanipulujú výberové konania.
V skutočnosti je len veľmi malé percento hackerských útokov medializovaných. Reálne je kybernetických útokov oveľa viac, no o väčšine z nich sa verejne nehovorí. Firmy totiž nechcú priznať, že sa stali obeťou hackerov, pretože tým by mohli stratiť dobré meno na trhu.
Aké opatrenia treba urobiť, aby sa zvýšilo povedomie o nebezpečenstve hackerských útokov?
Zlepšeniu povedomia o možných kybernetických hrozbách a hackerských útokoch môžu pomôcť bezpečnostné školenia. Naša spoločnosť robí školenia nielen pre firmy, ale aj pre bežných ľudí. Sú zamerané na to, aby si začali viac uvedomovať reálne hrozby. Hackerstvo je ľuďom ešte stále veľmi vzdialené a hypotetické.