Odborník na kybernetickú bezpečnosť Úplná bezpečnosť v digitálnom svete neexistuje. Toho papierového by sme sa nemali zbaviť za každú cenu

Jozef Filko je odborník na informačnú a kybernetickú bezpečnosť a na ochranu osobných údajov. Rozprávali sme sa o kybernetickom útoku na katastrálny portál, ktorý je už niekoľko dní nefunkčný.

V rozhovore vysvetľuje, ako vyzerá tento typ hackerského útoku, ako sa vo svete informačných systémov tvoria zálohy údajov a ako sa dajú napadnuté údaje obnoviť.

Podľa Filka dnes ešte nevieme povedať, či je útok dôsledkom toho, že niekto urobil chybu. Je však faktom, že útoku, aký sa stal, sa nedá úplne predísť. Dôležité podľa neho je, aké na základe toho prijmeme opatrenia.

Rozprávali sme sa aj o tom, či je neustále napredujúca digitalizácia pre spoločnosť správnym smerom, akým smerom ísť, ale aj o tom, či môže bežný používateľ svoje údaje pred takýmito útokmi ochrániť.

Od utorka nefunguje katastrálny portál. Čo sa stalo?

Pravdepodobne ide o ransomvérový útok, teda útok, ktorý šifruje dáta. Nedostupné sú všetky služby, ktoré poskytuje kataster. Z toho sa dá vyvodiť, že zasiahnuté boli kľúčové produkčné systémy, teda servery, na ktorých beží aplikácia a kde sú uložené údaje.

Dostupných informácií o tom, čo sa stalo, je dnes málo, takže môžeme len špekulovať nad tým, čo sa stalo a či sa už vôbec aktívny útok skončil alebo stále prebieha.

Čo znamená ransomvérový útok?

Ransomvér je škodlivý kód, niečo podobné vírusu. Typicky to prebieha tak, že používateľ internetu sa dostane na infikovanú webovú stránku, ktorá pritom môže vyzerať legitímne. Škodlivému kódu sa môže podariť prejsť cez bezpečnostné opatrenia počítača, a keď to spraví, tak najprv zisťuje, aké súborové systémy – disky – sú doň pripojené, a následne spustí šifrovanie dát. To môže – v závislosti od veľkosti – trvať od niekoľkých minút do niekoľkých hodín.

Po zašifrovaní sa používateľovi zobrazí nejaká správa, ktorá ho vyzýva na zaplatenie výpalného.

Lebo sa nemôže dostať k svojim dátam?

Áno. A útočník mu za výpalné poskytne kľúč, ktorým sa dáta dajú dešifrovať.

To je typický scenár, ktorý sa týka bežného človeka. V tomto prípade, keď ide o veľké produkčné systémy, môžeme iba špekulovať, ako sa tam ten kód dostal. Či to bolo cez pracovnú stanicu administrátora, či sa podarilo využiť nejaké zraniteľnosti systému alebo šlo o cielený útok.

Cielený útok znamená, že útočník sa pokúsil vniknúť do toho systému?

Sú tri typy aktérov, ktorí mohli niečo také spôsobiť. Jednak sú to takzvaní „hacktivisti“, čo sú hackeri, ktorí takéto útoky nerobia pre peniaze, ale aby poukázali na zraniteľnosti nejakých systémov či na to, že niečo nefunguje. Takéto skupiny boli aktívne v minulosti a dnes je to skôr okrajová vec.

Druhou skupinou je organizovaný zločin. Môžeme to prirovnať k pirátstvu alebo výpalníctvu. Tento scenár je asi najpravdepodobnejší. Poslednou skupinou sú štátni aktéri. Niektoré krajiny disponujú pokročilými nástrojmi, ktoré sú schopné prelomiť ochranu vyspelých systémov.

Vo svete organizovaného zločinu došlo vďaka digitalizácii súčasného sveta k vzniku rôznych špecializácií. Sú kriminálnici, ktorí sa zameriavajú na to, že sa snažia zistiť zraniteľnosti niektorých systémov, ktoré sa často používajú, a s týmto potom obchodujú.

Potom sú aj takí, ktorí sa snažia využiť nejakú obeť a dostať sa do jej prostredia. Môžu urobiť iba to, že tam preniknú, a toto predajú niekomu ďalšiemu, kto to využije. Iná vec, ktorú robia, je, že stiahnu čo najviac dát, ku ktorým sa dostanú, a bez toho, aby vedeli, čo v nich vlastne je, sa ich pokúsia ďalej predať niekomu, kto ich vie využiť.

Foto: Postoj/Andrej Lojan

V prípade nefunkčného katastra je už známe, že útočníci žiadajú výkupné.

Všeobecné odporúčanie je výkupné neplatiť. Po prvé to naplní cieľ útočníka a motivuje ho robiť to ďalej, po druhé sa takáto platba štandardne robí pomocou kryptomien, a teda nevedno, kam tie peniaze idú, a po tretie, obeť je vystavená na milosť a nemilosť útočníka. Teda ak aj zaplatí, nemá žiadnu záruku, že sa ku kľúčom na dešifrovanie dát naozaj dostane, alebo sa k nim aj dostane, ale bez záruky, že všetko bude fungovať.

Keďže vidíme masívny útok na štátnu organizáciu, znamená to, že štát v niečom zlyhal?

Dnes toho vieme príliš málo na to, aby sme poznali odpoveď. Je úplne predstaviteľné aj to, že niekto využil neznámu zraniteľnosť toho systému. Skrátka môžeme mať systém, ktorý je korektne nainštalovaný aj prevádzkovaný, je zabezpečený, no môže obsahovať zraniteľnosti – a je to pomerne bežná vec –, o ktorých výrobca ani dodávateľ nevie. Útočník ich však môže objaviť a využiť.

Pred vynášaním súdov, či niekto urobil chybu, treba počkať na vyšetrovanie, no kľúčové bude z tohto incidentu vyvodiť závery, čo sa vlastne stalo, a prijať opatrenia či odporúčania, aby iné inštitúcie či aj firmy vedeli, ako tento útok prebehol a čo vo vlastnej infraštruktúre by mali skontrolovať alebo zmeniť, aby sa to nestalo aj im.

Čo spôsobil nefunkčný katasterV problémoch sú samosprávy aj celý realitný trh. Môžu za kyberútok čistky Ficovej vlády?

Juraj Brezáni

Dá sa takýmto útokom nejako predísť?

Úplne nie. Absolútna bezpečnosť v digitálnom svete neexistuje. Keď to prirovnáme k bytu, tak človek zamyká svoje vchodové dvere, možno má nejakú bezpečnostnú vložku, ale málokto z nás má na dverách mreže alebo má dvere pancierové. Miera, ktorú sme ochotní investovať do bezpečnosti, je primeraná hodnote, ktorú má chrániť. No aj keby sme investície do bezpečnosti radikálne navýšili, nie je to zárukou toho, že sa takýto incident nezopakuje.

Ako sa dá maximalizovať pravdepodobnosť, že sa ochránime pred takýmto útokom?

Existujú metodiky na to, akým spôsobom takýto systém dizajnovať, nainštalovať, prevádzkovať, udržiavať. Zákon o kybernetickej bezpečnosti má svoje vykonávacie predpisy a tie obsahujú všetky tieto postupy a procesy. Toto však musí aj byť zavedené v praxi.

Dnes je problém nájsť ľudí, ktorí vedia takéto systémy prevádzkovať a riešiť ich zabezpečenie, a to nielen vo verejnom sektore, ale aj vo firmách, lebo týchto ľudí je nedostatok, systémy sú často veľmi komplexné a vyžaduje to celé tímy ľudí. Je to niečo, čo treba dlhodobo udržiavať a venovať tomu veľa času aj prostriedkov.

Čo sa týka bezpečnostných opatrení, je ich veľa a patrí medzi ne zálohovanie, kryptografia, viacfaktorové autentifikácie a tak ďalej. Myslím, že aj v tomto prípade bolo množstvo opatrení, ale ak v reťazi zlyhá jeden článok, tak sa útok môže podariť.

Navyše pri takýchto veľkých systémoch býva viac dodávateľov a tí ho často nielen vyvíjajú, ale sa podieľajú aj na jeho prevádzke. Zorganizovať všetky tieto veci býva veľmi zložité.

Veľa sa hovorí o tom, či sa robili zálohy, respektíve či boli aktuálne. Ako sa zvyknú takéto systémy zálohovať?

Nepoznám tento konkrétny systém, ale z mojich skúseností vyplýva, že takéto systémy sa dizajnujú ako robustné riešenia, ktoré obsahujú niekoľko vrstiev zálohovania. Takýto systém sa typicky dizajnuje ako systém s vysokou dostupnosťou a jeho infraštruktúra nie je postavená na jednom alebo dvoch serveroch, ale na viacerých, ktoré sa zrkadlia, teda dochádza k ich synchronizácii.

Čiže keď sa na jednom serveri niečo zmení – napríklad nastane zmena vo vlastníctve nejakého pozemku –, ostatné servery to z neho skopírujú?

Áno, a táto zmena sa deje v sekundách až minútach. To sa robí nie až tak kvôli zálohovaniu dát, ale preto, že keď je nápor používateľov, systém musí byť schopný obslúžiť viac ľudí.

Druhá vec je, že takéto systémy typicky robia celý súbor záloh. Najbežnejšie sú takzvané inkrementálne, teda na úrovni hodín alebo dňa sa robí záloha vždy len zmeny, ktorá sa udiala od poslednej zálohy.

Ďalšia záloha je plná záloha celého systému. Môžu sa zálohovať iba dáta, môže sa zálohovať celý databázový systém, prípadne aj aplikačný systém. Takáto záloha sa ukladá na nejaké médium, teda buď diskové pole, cloud, alebo v minulosti sa viac používali magnetické páskové mechaniky. Toto sa väčšinou robí ako záloha celého servera, teda so všetkým, čo sa na ňom nachádza.

Okrem toho sa ďalšie zálohy robia na týždňovej alebo mesačnej báze. Môžeme to chápať ako finančnú závierku – takáto záloha sa typicky robievala na magnetické pásky, ktoré sa fyzicky odložili do inej lokality, kde sú chránené napríklad pred živelnou pohromou.

Druhá vec je obnova dát. Pri takýchto robustných systémoch to však nie je úplne jednoduché. Podľa zložitosti problému to môže trvať hodiny, dni alebo v horšom prípade až týždne.

Je možné, že sa tieto zálohy nerobili dostatočne alebo že by neboli zálohované dáta aktuálne?

Zálohovacie procesy sú typicky automatizované a zvyknú prebiehať v noci, respektíve keď je nízky nápor používateľov. Pravdepodobnosť, že by sa zálohy nerobili, je veľmi malá. Otázna však je integrita dát – teda či je záloha použiteľná. Štandardne sa to robí tak, že samotná aplikácia, ktorá robí zálohu, tú zálohu aj overuje, či sú dáta čitateľné.

Ale mohlo sa stať, že sa ransomvér dostal do produkčného prostredia v období, keď práve prebiehal zálohovací proces, tak mohol ovplyvniť aj zálohu. Ale to iba špekulujeme.

Ak by to tak bolo, čo by to znamenalo?

Že primárne zálohy by boli nepoužiteľné a musela by sa robiť obnova z odložených záloh, teda zo spomínaných pások, čo je však najzložitejší a najpomalší proces.

Foto: Postoj/Andrej Lojan

Je dnes bežné vytváranie záloh na takéto pásky?

Je to stále používaná technológia, ktorá má svoje nevýhody, ale jej výhodou je, že sa takto zálohované dáta dajú fyzicky odložiť do nejakého trezora. Je to pomerne bežná prax.

Hlavná otázka je teda taká, či sa podarí obnoviť dáta a nakoľko sú aktuálne?

Problém nemusí byť v zálohe. Ak bol útok veľmi rozsiahly, tak prvý krok mal byť izolovať ho – nájsť tie systémy, ktoré sú napadnuté, a uistiť sa, že sme škodlivý kód našli všade. To je zložitý problém, keď je systém integrovaný a je doň zapojených veľa zariadení. Strach je zlý radca a robiť unáhlené a radikálne kroky, ako napríklad všetko hneď odpojiť od internetu, môže napáchať viac škody ako úžitku.

Vieme, z ktorých krajín zvyknú takéto útoky pochádzať?

Sú také štatistiky, ale dnes je svet taký prepojený, že je to skoro jedno. V minulosti sa udiali veľké útoky voči viacerým krajinám, ktoré sú lídrami digitalizácie v Európe, a väčšinou sa prišlo na to, ktorá hackerská skupina za tým pravdepodobne stála. Druhá vec však je tých ľudí chytiť a postaviť pred súd.

Sú ransomvérové útoky vo všeobecnosti úspešné? Darí sa tým ľuďom takto zarábať?

Štatistiky hovoria, že ransomvérové útoky majú celosvetovo ročne na svedomí škody v miliardách eur. Keď sa útok udeje, často stanovia aj nejakú lehotu na zaplatenie a človek sa tak musí rozhodovať v strese. Ale opakujem, že platí odporúčanie výpalné neplatiť.

Na katastrálnom portáli sa nachádza množstvo osobných údajov a o každom, kto vlastní nejakú nehnuteľnosť, si môže hocikto zistiť bydlisko, dátum narodenia, prípadne aj nejaké ďalšie údaje z listov vlastníctva. Čo pre útočníka znamená, ak sa k takýmto údajom dostal? A je vôbec z hľadiska ochrany osobných údajov v poriadku, že takéto údaje sú voľne dostupné?

To, že tieto údaje sú zverejnené, je dané legislatívou. Identifikovať vlastníka nejakej nehnuteľnosti je legitímny záujem, takže nejde o žiaden rozpor so zákonom. Čo sa týka útoku, vieme, že šlo o ransomvérový útok, no nevieme, či došlo k úniku dát a či si útočník aj dáta tohto obrovského objemu k sebe stiahol.

Ak by sa k nim aj dostal, je otázne, či by ich vedel speňažiť. Určitú hodnotu má, že sú ucelené, teda sa nad nimi dajú robiť nejaké analýzy a podobne. Pri kradnutí údajov je typické, že sa útočníci zameriavajú na autentifikačné údaje používateľov, teda meno a heslo, a finančné údaje ako čísla platobných kariet.

Myslíte si, že tento útok naštrbí dôveru spoločnosti v digitálne technológie?

Asi to bude závisieť od miery dosahu na bežného človeka. Ak niekto dnes chcel hypotéku alebo predával či kupoval byt alebo pozemok, má teraz vážny problém. Je prirodzené, že z toho máme obavy. No treba to riešiť s chladnou hlavou a dôverovať kompetentným inštitúciám.

Určite to vyvoláva otázku, do akej miery sa môžeme spoliehať na digitálne technológie, ale je to zložitejší problém v tom, že už dlhé roky neustále počúvame – ale je to aj dopytom spoločnosti –, že chceme všetky služby viac digitalizovať, chceme všetko mať hneď a ľahko dostupné, zvykli sme si na smartfóny, sme neustále online a podobne.

Dlho tu žijeme s tým, že chceme, aby prebehla digitálna transformácia spoločnosti, ale to so sebou nesie riziká. Je to nástroj vytvorený ľuďmi a môže slúžiť dobrému aj zlému účelu. Na mieste určite je, aby sa v spoločnosti začalo verejne diskutovať, akú mieru digitalizácie si želáme. Teda či chceme, aby sme digitálnou transformáciou zmenili celý náš život alebo hľadali len tie oblasti, kde to je prínosné.

Mohol by byť podobným spôsobom napadnutý aj iný citlivý systém, napríklad naše zdravotné údaje či peniaze uložené na účtoch?

Finančný sektor patrí k tým, ktoré sú mimoriadne zabezpečené, ale vylúčiť sa to nedá.

Foto: Postoj/Andrej Lojan

Aké je riešenie tohto problému? Môžeme sa vrátiť k papierovým alternatívam v rôznych oblastiach života?

Čím ďalej, tým viac sme od technológií závislí a problém je v tom, že pre používateľa je to nejaká čierna skrinka, ktorá funguje, ale nerozumie ako. Takže čím viac tie technológie používame, tým viac nad nimi strácame kontrolu. Asi však nie je možné vrátiť sa späť a ani si nemyslím, že by to bolo rozumné.

No pri každej novej službe, ktorú sa snažíme zdigitalizovať, by sme mali uvažovať nad tým, či pridaná hodnota, ktorú nám to prináša, nie je len pohodlie. To samo osebe podľa mňa nestačí na digitalizáciu tej-ktorej služby.

Myslím si, že by sme sa nemali snažiť za každú cenu zbaviť sa toho „starého papierového“ sveta, ako napríklad hotovosti. Práve vidíme, že môžu nastať fatálne problémy, a ak by sme boli v plnej miere závislí od digitálnych technológií, tak by to mohlo mať katastrofický vplyv.

Súčasťou štandardných metodík týkajúcich sa oblasti bezpečnosti je, že na takéto negatívne scenáre sa treba pripravovať. Teda keď organizácia používa nejaký systém, má si pripravovať aj plány na takéto možné scenáre, aby vedela, čo bude robiť, keď nastanú – teda ako obnoví systém, ako sa vráti k dátam, čo bude robiť v čase, kým to opraví, a podobne.

Mali by sme pokračovať v digitalizácii v ďalších oblastiach života alebo je namieste skôr pribrzdiť, či niekde aj spraviť krok späť?

Je to otázka spoločenského dopytu. V ostatnom období bolo prirodzené, že sme od štátu aj firiem chceli, aby v digitalizácii pokročili a aby sme eliminovali papierový svet. Toto by sme mali trochu prehodnotiť a nemali by sme sa o zmenu snažiť za každú cenu. Niekedy je lepšie trochu počkať a získať skúsenosť s danou technológiou.

Tak ako sa tento incident dotkol štátneho úradu, môže sa dotknúť každého z nás. Aj my máme vo svojich zariadeniach rôzne údaje a mali by sme rozmýšľať nad tým, či napríklad stačí mať nejakú zmluvu iba digitálne alebo by sme si ju mali uložiť aj v papierovej podobe, či si vytvárame zálohy našich dát a tak ďalej.

Sami sa môžeme zamýšľať nad tým, do akej miery chceme od technológií byť závislí a ako rýchlo chceme tieto zmeny robiť, prípadne či chceme tú-ktorú službu používať.

Aké ešte vidíte riziká digitálnych technológií?

Vidíme, že mladá generácia má s digitálnymi technológiami problém – veľa času trávi s mobilmi, na internete. Veľa štúdií hovorí o tom, že príliš skorý kontakt s digitálnymi technológiami zhoršuje kognitívny vývoj. Bolo by dobré, aby ľudia nestratili kontrolu nad technológiami, mali by sme si teda napríklad občas povedať, že už trávim so smartfónom priveľa času.

Bolo by v poriadku, keby sme zrušili hotovosť?

Môj osobný názor je, že to nie je rozumné. Ale to nie je až tak otázka bezpečnosti ako ochrany súkromia. Jeden argument hovorí, že ak nič zlé nerobím, nemám čo skrývať, ale to je podľa mňa falošný argument. Stále je v ľudskom živote veľa vecí, ktoré sú súkromné a nepatria na verejnosť. Nikto zvonku nemá právo do nich nahliadať, dokonca ani vtedy, ak sa mu zdajú podozrivé.

Hotovosť je jedným z nástrojov ochrany súkromia – nikto nemôže sledovať, aký typ tovarov a služieb nakupujem, keď používam hotovosť.

Aké sú základné zásady ochrany pred útokmi na svoje údaje či zariadenie?

Ak používame počítač, je potrebné ho pravidelne aktualizovať, teda inštalovať bezpečnostné záplaty, ktoré vydávajú výrobcovia operačných systémov. Mali by sme, samozrejme, používať legálny softvér a mať nainštalovaný nejaký bezpečnostný softvér.

Dodržiavať tiež treba určité pravidlá na internete, teda navštevovať iba legitímne webové stránky a vyhýbať sa tým, kde je riziko škodlivého kódu. Samozrejme, nie je dobré mať jedno heslo na všetky aplikácie.

Dnes existujú aj nástroje pre správcu hesiel, ktoré sú čoraz viac integrované do zariadení. Kde je to možné, je dobré používať viacfaktorovú autentifikáciu, teda okrem mena a hesla to môže byť esemeska alebo nejaká aplikácia, ktoré vygeneruje kód. Toto výrazne zvyšuje mieru bezpečnosti.