V posledných rokoch sa kybernetické útoky stali súčasťou digitálneho sveta. Po každom väčšom incidente sa však objavuje fenomén „univerzálneho slovenského národného odborníka“. Odborníci sa pritom v kritických situáciách sústreďujú na riešenie incidentu, obnovu systémov a elimináciu škôd.
„Sú dve základné fázy reakcie na kybernetický útok. Najprv je nevyhnutné čo najrýchlejšie obnoviť systémy a zaistiť digitálne stopy, ktoré môžu byť použité v dôkaznom konaní. Až potom prichádza na rad analýza, poučenie z incidentu a následná komunikácia s laickou verejnosťou,“ vysvetľuje Ivan Makatura, generálny riaditeľ Kompetenčného a certifikačného centra kybernetickej bezpečnosti.
Videorozhovor si môžete pozrieť hore nad textom alebo vypočuť ako podcast:
Vo vašom svete sa používa veľa skratiek. Začnem jednou skratkou, USNO, univerzálny slovenský národný odborník. Tak ste nedávno glosovali situáciu na sociálnej sieti, keď sa po nedávnych problémoch, vyrojilo množstvo takzvaných odborníkov na kyberbezpečnosť. Čo by ľudia v rámci bežných znalostí mali vedieť o kyberbezpečnosti a čo by už mali riešiť s odborníkmi?
Prirovnávam to k medicíne alebo k iným extrémne náročným profesiám na znalosti, zručnosti. Keď sa vyskytne nejaká podobná udalosť, zdvihne sa vlna záujmu a vyjadrujú sa k tomu ľudia rôznym spôsobom. Vtedy hovorím, že ide o „univerzálneho slovenského národného odborníka, ktorý sa vyzná rovnako v hokejom trénerstve, ekonomike či kyberbezpečnosti. Ľudia, ktorí tematike rozumejú, sa pri takýchto udalostiach potrebujú sústrediť na riešenie problému.
Aké kroky nasledujú?
Sú to dve základné fázy. Treba čo najrýchlejšie dostať veci späť do pôvodného stavu, vyšetriť čo sa stalo, získať a spracovať digitálne stopy použiteľné v dôkaznom konaní a samozrejme potom stíhať.
V takejto fáze incidentu nie je potrebné, aby sa k tomu vyjadrovala laická verejnosť. Keď sa to vyrieši a veci sa vrátia späť do normálneho stavu, je treba prijať nejaké poučenie z incidentu, to primerane komunikovať, s verejnosťou, ale najmä naprieč odbornou verejnosťou.
Pri takýchto incidentoch je dôležité neprísť o citlivé údaje, respektíve eliminovať dosah incidentu. Ktoré kybernetické hrozby považujete v súčasnosti za najzávažnejšie? Ktoré sa naopak preceňujú?
Ransomvér je typ hrozby, ktorý je už niekoľko rokov na vzostupe. Podobne phishing, ten pokračuje v stabilnom medziročnom raste. Ide o najefektívnejší spôsob ako od masy ľudí, vlastníkov účtov v bankách získať nejaké peniaze. Sú to reálne straty. Zároveň sa zvyšuje zraniteľnosť aj používaním rôznych smart hodiniek, smart prsteňov, či rôznymi ďalšími procesormi, ktoré máme technologicky prepojené v domácnostiach. Každé z týchto zariadení môže slúžiť ako vstupný bod do domácej či firemnej siete pre potenciálnych kyberútočníkov.
GDPR, CSA, NIS2, DORA, DMA, DSA, to je len pár skratiek, pod ktorými sa skrývajú rôzne európske legislatívne opatrenia. Upozorňujete, že koordinácia jednotlivých nariadení nie je vždy ideálne zvládnutá. Čo to znamená pre celý kybersektor a bezpečnostné projekty v oblasti ochrany dát?
V posledných rokoch Európska únia vydala niekoľko právnych aktov - či už to boli nariadenia alebo smernice. Rozdiel medzi nimi je len v tom, že nariadenie je priamo vykonateľný právnym aktom, teda tak ako je prijaté, tak platí v každom členskom štáte. Zatiaľ čo smernica musí byť transponovaná do lokálneho práva, čiže musí byť vydaná v našom prípade zákonom Národnej rady Slovenskej republiky. Za posledných pár rokov to bola legislatívna smršť, narátali by sme ich už desiatky.
Na jednej strane je zjavné, že Európska únia má dobrý úmysel ošetriť túto problematiku, keďže pribúdajú kybernetické útoky. Úmysel je dobrý, no aplikácia nie je celkom šťastná. Tým, že vidím do kuchyne európskej legislatívy, vnímam vážny neduh.
Aký?
Jednotliví zákonodarcovia, jednotlivé generálne riaditeľstvá bežne vydajú právny predpis, ktorý je v kontradikcii s nejakým iným, ktorý vydal iný direktoriát. Potom je zjavné, že sa dostatočne navzájom nevymieňajú informácie a nedohodnú sa na spoločnej terminológii.
Takže na jednej strane áno, úmysel je správny, no aplikácia nie je práve šťastná. Výsledkom je množstvo právnych aktov, nariadení a smerníc, ktoré sú priebežne transponované do práva jednotlivých členských štátov. A všetci compliance manažéri v jednotlivých organizáciách, budú mať čo robiť, aby udržali súlad so všetkými týmito právnymi predpismi.
Takže zjednodušovať a zefektívňovať celý proces, to by pomohlo?
Nedávno zaznelo na jednom z rokovaní od nemenovaného veľkého štátu, že Európska komisia by sa nateraz mohla prestať snažiť vydávať nové právne predpisy a mohla by sa v najbližších rokoch v rámci kybernetickej bezpečnosti sústrediť na konsolidáciu a aplikovanie týchto právnych predpisov.
Slovensko urobilo transpozíciu smernice NIS2 do našich právnych rámcov ako štvrtá krajina spomedzi všetkých členských štátov. Ako na tom ako Slovensko sme, keď aplikujeme európske smernice do našej legislatívy?
Netrúfam si robiť nejakú všeobecnú legislatívnu analýzu a spôsobu uplatňovania európskeho práva na Slovensku. Ale pokiaľ ide o kybernetickú bezpečnosť, nás sa bytostne týka práve spomenutá smernica NIS2. To je skratka z network information security directive a táto musela byť transponovaná do lokálneho práva. Od prvého januára 2025 je platný a účinný novelizovaný zákon 69/2018 Zbierky zákonov o kybernetickej bezpečnosti.
Ako to bolo pri iných zákonoch?
V prvej verzii zákona z roku 2018 bolo Slovensko naopak medzi poslednými z členských štátov, ktoré prijali vlastný zákon o kybernetickej bezpečnosti. Síce to stihlo včas, ale skutočne to bolo niekde medzi poslednými. Malo to aj svoju výhodu, pretože zákonodarca mal možnosť čerpať skúsenosti z iných implementácií, z iných zákonov ostatných členských štátov. Takže náš zákon bol relatívne rozsiahly, relatívne precízny a rigidný. To bolo aj výhodou, pretože zatiaľ čo v iných členských štátoch NIS2 znamenalo často revolúciu, na Slovensku len evolúciu, pretože je to len mierna zmena oproti pôvodnej verzii. A nič zásadné sa u nás nemení.
Certifikácia cloudových služieb. To bola veľká téma v EÚ, návrh bol už v roku 2020. Odvtedy sa udialo veľa vecí a celý proces sa skomplikoval. Nakoniec z toho nič nie je. Prečo?
Európska únia už pred niekoľkými rokmi prišla so správnym predpokladom, že jeden zo spôsobov ako zaručiť úroveň bezpečnosti objektov, organizácií je certifikovať ich na bezpečnosť. Hovoríme o objektoch certifikácie alebo objektoch posudzovania, napríklad cloudoch.
Európska agentúra pre kybernetickú bezpečnosť dostala poverenie od Európskej komisie, aby vyvinula rôzne certifikačné schémy na rôzne typy objektov. Napríklad na zdravotnícke zariadenia a podobne.
Prvý návrh certifikácie bezpečnosti cloudových služieb bol pripravený už v decembri 2020, no odvtedy prešli celé štyri roky, schéma sa menila v niekoľkých slovách, no prednedávnom na stretnutí pracovnej skupiny v EK oznámili, že táto schéma sa odkladá do šuflíka a ďalej sa na nej pracovať nebude. Je to na škodu veci.
Aký dôvod uviedli?
Zdôvodnili to tým, že sa údajne priemysel a najväčší hráči v ňom nevedia dohodnúť na podobe tejto schémy. Pravda je však taká, že priemysel si to veľmi žiadala. Len za posledné dva týždne ma kontaktovali mnohí riaditelia veľkých organizácií a poskytovatelia cloudových služieb, ktorí by ich chceli mať certifikované. Takže opak je pravdou.
Svet sa v oblasti technológií mení výrazným tempom. Jedným z príkladov je aj návrh na digitálnu európsku peňaženku. Pôsobili ste v bankovom sektore, ako sa pozeráte na tieto nápady? V čom vidíte výhody a riziká?
Názov peňaženka nie je najšťastnejší, ale naozaj to tak nazvané je. No nie je to o peniazoch. Je to bezpečné miesto v mobilných zariadeniach, do ktorého je možné nahrať si identifikačné doklady alebo identifikátory na prihlasovanie sa do systémov či na preukazovanie vlastnej totožnosti.
Z môjho pohľadu je pozitívne to, že pri elektronickom podpise v porovnaní s klasickým, vlastnoručným podpisom máme oveľa viac bezpečnostných prvkov. Nie je možné ho tak jednoducho sfalšovať. Takže v konečnom dôsledku to môže prispieť k zvýšeniu bezpečnosti.
Počíta sa s tým, že budú mať ľudia mobily stále pri sebe a bez nich už nebudú fungovať?
Samozrejme, aj centrálne riešenia, ktoré spravujú celú informatiku musia počítať so záložnými riešeniami. A na to by mali myslieť aj veľké organizácie. Keďže Murphyho zákony fungujú dokonale a ak sa niečo môže pokaziť, tak sa to pokazí.
Podľa prieskumu má viac ako 50 percent ľudí obavy z umelej inteligencie. Dokonca sa obavy v porovnaní s minulým rokom ešte zvýšili o viac ako 11 percent. Ako sa na to pozeráte?
Každá technológia, ktorú ľudstvo vymyslelo je na začiatku neutrálna. Hoci teraz možno budem polemizovať s mojou kamarátkou profesorkou Stephanie Hare, ktorá vydala knižku s opačným názvom Technology is not neutral. V čom mám na mysli, že je technológia neutrálna? V princípe vedci na začiatku myslia mierovo a základnú vedu robia s dobrým úmyslom. No každá z dobrých technológií sa v nejakom čase použila aj nevhodným spôsobom.
To však nie je problém technológie, to je problém ľudí ako technológiu používajú.
Alfred Nobel vynašiel dynamit, ktorý sa pôvodne používal na razenie tunelov, na železničný podval a až neskôr to írski teroristi použili na útoky voči ľuďom a na terorizmus. A takto by som mohol pokračovať mnohými príkladmi.
Rovnako to vidíte s AI?
Umelá inteligencia je v zásade len technológia, ktorá je neutrálna voči človeku. Otázka je, ako ju kto použije, na aký účel a kto skôr, či temná strana sily alebo tí dobre mysliaci ľudia. Áno, má obrovské výhody pre zlepšenie produktivity. Zároveň tým istým spôsobom zlepšuje zručnosti útočníkov, aj takých, ktorí doteraz tými zručnosťami nedisponovali.
Profesor Hawking v jednej zo svojich posledných prednášok uviedol, že AI je to najlepšie, alebo to najhoršie, čo sa ľudstvu mohlo stať, záleží od toho, ako ju budeme používať.
Uplynulé dni vody technologického sveta rozvírili debaty o DeepSeeku a o tom, že vývoj podobných technológií sa môže spájať s nižšími nákladmi a viacerí investori tak budú premýšľať, či budú dávať stámilióny dolárov do technológií, ktoré môžu byť v konečnom dôsledku lacnejšie. Ako to vidíte?
Je tu veľký boom, že Číňania vyvinuli niečo lacnejšie, výkonnejšie. Zároveň som však zatiaľ veľmi opatrný, pretože ak už mám používať nejaký nástroj umelej inteligencie, tak radšej taký, kde je garancia zo strany štátov demokratického sveta. Preto by som bol opatrný pri „kŕmení“ čínskeho nástroja osobnými údajmi. S čínskou vládou by sa predsa len zrejme ťažšie súdilo.
Opatrnosť sa zíde zrejme pri všetkých podobných nástrojoch, keďže Chat GPT tiež niektoré odpovede tak trochu skrýva?
AI vo všeobecnosti má takú nepeknú vlastnosť, že si dokáže vymýšľať, halucinovať. Skutočne, keď som viackrát použil prompt s otázkou, na ktorú som poznal odpoveď, neodpovedal mi správne, opakovane zaklame a potom do tretice sa sympaticky ospravedlní a horko-ťažko poskytne správnu odpoveď. Takže pri generatívnej umelej inteligencii platí, že jej minimálne neverte a všetko, čo vám poskytne, si overujte.
Najväčšie firmy dnes investujú do ochrany svojich dát miliardy. Ak ide o menšie podniky, ktoré nedisponujú takými finančnými prostriedkami, čo by ste im odporúčali ako základnú ochranu dát?
Stopercentná bezpečnosť alebo nulové riziko neexistujú, takže nech do bezpečnosti investujete akékoľvek množstvo peňazí, tak nebudete stopercentne a absolútne odolní voči možným hrozbám.
To najlepšie, čo môže spraviť aj malá či stredná firma, je nechať si od profesionálna preveriť stav bezpečnosti vo firme, urobiť si analýzu rizík. Treba rozmýšľať zdravým rozumom a každý prípad posúdiť jednotlivo, podľa potrieb danej firmy.
Dnes sa hovorí o kyberbezpečnosti pri jednotlivcoch, úradoch a inštitúciách, ale aj celých štátoch. Viac sa skloňujú digitálne armády, keď sa reálne bojisko presúva do virtuálneho priestoru. Ako môžu štáty v tomto smere znižovať svoju zraniteľnosť?
Pri konkrétnom incidente je treba dostať systém čo najrýchlejšie do pôvodného stavu, je potrebné zachovať digitálne stopy, aby boli použiteľné v dôkaznom konaní a podobne.
Okrem toho beží na pozadí takzvaná atribúcia, teda určenie zodpovednosti za to, čo sa stalo a kto je páchateľom. To však nie je také jednoduché a môže byť nebezpečné hneď na niekoho ukázať prstom. Zdatní profesionálni hackeri sa dokážu veľmi efektívne maskovať, skrývajú sa, takže nakoniec to môže vyzerať, že útočia na vás z Bardejova, no v skutočnosti je to z Jokohamy.
Sú rôzne metódy, ako jasne identifikovať zdroj útoku, a to aj v kombinácii s doplnkovými informáciami nielen priamo z kybernetického priestoru, ale aj od spravodajských služieb a podobne.
Čo nasleduje potom?
Ak už vieme, odkiaľ incident pochádza, potom nastávajú procesy na úrovni Slovenskej republiky aj na úrovni EÚ. Európska únia nedávno prijala nariadenie o kybernetickej solidarite. Teda, ak by išlo o rozsiahle útoky, o závažné kybernetické incidenty, tak je nastavený mechanizmus, ako si jednotlivé členské štáty Európskej únie v tejto veci môžu pomôcť.
Slovenská republika má, samozrejme, tiež vlastné postupy, ako konať v takýchto prípadoch.
Ak ide o kybernetický bezpečnostný incident, ktorý je sponzorovaný nejakým iným štátom, tak už nastáva systém kybernetickej obrany. Vtedy už ide o procesy, ktoré riadia Ozbrojené sily Slovenskej republiky.
A ako na tom podľa vás ako Slovensko sme v rámci kyberbezpečnosti?
Európska únia aktuálne rieši index kybernetickej bezpečnosti. Jeho prvý výstup je už hotový a agentúra Európskej únie pre kybernetickú bezpečnosť (ENISA) by ho mala predstaviť Európskemu parlamentu v najbližšom čase. Slovenská republika je na tom relatívne dobre v rámci regulácie v tejto oblasti. Zároveň máme určité nedostatky, na ktorých treba pracovať.
Momentálne sa viac hovorí o kyberšikane. Ako na jej nástrahy upozorňovať, aby bola celá spoločnosť odolnejšia?
V Košiciach sa pred pár dňami konala veľká konferencia s názvom Nie kyberšikane. Na takýchto fórach sa stretávajú odborníci a diskutujú o ďalších postupoch, ako znižovať kyberšikanu. Tá sa totiž netýka len detí, ale ide o zneužitie kyberpriestoru na rôzne formy vydierania, predprípravy na útok. Skrátka zlé veci sa dejú na internete.
Ako o tom diskutovať so širokou, bežnou verejnosťou? A ako v tomto smere šíriť osvetu?
Univerzálne odporúčanie na to, ako sa pohybovať v online priestore neexistuje. Ale hlavné slovo je: opatrne. Internet je nebezpečný priestor, ktorá má veľa temných zákutí, o ktorých bežný človek ani netuší. Internet je miesto, kde sa deje zločin a často sú tam veci, ktoré nie sú vhodné pre mladistvých.
Rodičia by preto mali vedieť, čo robia ich deti na internete, s kým komunikujú. A deti by mali dokázať rozpoznať nebezpečenstvo, alebo ak už je niečo na hrane. Rodičia by mali používať rodičovskú kontrolu na mobiloch a počítačoch detí.
A odporúčanie pre dospelých: neklikajte na všetko, čo vám príde pod ruku. Premýšľajte o tom, čo na internete robíte. Preto slovo opatrne môže vystihovať základné pravidlo pre všetky úrovne populácie.
- Ivan Makatura
- V IT odvetví pracuje viac ako tridsaťpäť rokov. Je generálny riaditeľ Kompetenčného a certifikačného centra kybernetickej bezpečnosti. Je člen správnej rady Európskeho centra odvetvových, technologických a výskumných kompetencií (ECCC), člen rady riaditeľov Európskej organizácie kybernetickej bezpečnosti (ECSO), predseda slovenskej Asociácie kybernetickej bezpečnosti (AKB), súdny znalec v odbore bezpečnosť a ochrana informačných systémov, certifikovaný audítor kybernetickej bezpečnosti, podieľa sa na príprave legislatívy, ktorá súvisí s kyberbezpečnosťou a príprave a preklade technických noriem.
Ďalšie dôležité správy
