„Digitálnych útokov každý rok pribúda. Už nie je také jednoduché okradnúť niekoho na ulici, pretože všade sú kamery, tak sa to deje napríklad cez e-mail. Ocitáme sa tak v novej ére, v ktorej hrajú hlavnú úlohu technológie,“ hovorí Dominik Hádl, šéf IT v nadnárodnej spoločnosti Monstarlab, ktorý má pod sebou asi stovku ľudí.
Okrem hackerských útokov, kybernetických podvodov a prípadov vydierania sa v poslednom období čoraz viac diskutuje aj o ochrane osobných údajov na sociálnych sieťach. Spojené štáty a ďalšie krajiny obmedzujú používanie čínskej aplikácie TikTok, európski regulátori zas nie sú spokojní s tým, čo robia s dátami svojich užívateľov Facebook či Google.
V rozhovore sa dozviete:
- na čo nás útočníci na internete nachytajú najčastejšie,
- na čo by sme si mali dávať väčší pozor a ako fungujú cookies,
- čo sa deje s fotkami na sociálnych sieťach,
- jednoduchá návod, ako predísť väčšine útokov,
- ako ustrážiť bezpečie detí na internete,
- ako ochrániť firmu a čo chcú najčastejšie útočníci,
- ako pristupovať k heslám,
- dve rady na záver.
Keď niečo vyzerá príliš dobre, zrejme je to podvod
Akých digitálnych hrozieb sa máme báť?
Úrovne sú rôzne, podľa toho, čo je účelom. Buď ide o osobné obohatenie, alebo predaj reklám a e-commerce, keď sú ľuďom podstrkované rôzne produkty. Alebo ide o vyššie ciele, čo je zrejmé v dezinformačných kampaniach alebo nabúraní fungovania štátu, či už zdravotníctva, energetického priemyslu, alebo väčších firiem.
A potom sa hrozby delia podľa toho, či to robia jednotlivci, organizované skupiny alebo cudzie štáty. Záleží aj na forme. Pri osobnom obohatení manipulujete s človekom – napríklad sľubom relatívne rýchleho zárobku. Tu platí jednoduché pravidlo: keď sa niečo zdá veľmi dobré, tak to pravdepodobne nie je pravda.
Takže väčšinou nám niekto pošle e-mail a čaká, či sa chytíme do pasce?
Buď alebo SMS, čo sa deje veľmi často. Alebo vám dotyčný útočník dokonca zavolá. S tým mám osobnú skúsenosť z práce, keď moji – najmä po rusky hovoriaci – kolegovia dostávajú od začiatku vojny na Ukrajine telefonáty od ľudí, ktorí sa vydávajú za policajtov.
Chcú od nich, aby okamžite dodali svoje osobné dáta a zaplatili pokutu, ktorá im bola vymeraná, a to všetko pod hrozbou vyhostenia. Nie je to nič príjemné a pre veľa ľudí je to psychicky náročné, môžu z toho mať aj dlhodobé následky, je to pre nich podobné, ako keby ich niekto prepadol a okradol na ulici.
Neuvážené zaklikávanie súhlasov na internete
Vidíte, to ma vždy zaujímalo, ako je možné, že títo podvodníci na vás majú telefónne číslo?
Väčšina ľudí pri nastavovaní účtu bezhlavo zaklikne, že súhlasí so všetkým. A tým sa vzdáva určitých svojich práv. V Európe je to zabezpečenie oveľa lepšie regulované, ale človek často chodí na neeurópske stránky, ktoré súkromie úplne ignorujú. Sociálne siete sú v súčasnej dobe asi najnebezpečnejšie a to hlavne množstvom zbieraných dát.
Typickou ukážkou je TikTok, čínska aplikácia, ktorá sleduje ľudí a odosiela dáta. Je jedno, za akým účelom, ale ľudia o nich prichádzajú. Základné pravidlo je, že akýkoľvek produkt, softvér alebo digitálna vec, pokiaľ je zadarmo, tak ten produkt ste vy a s tým sa nejako obchoduje.
Prichádzate o dáta, tým pádom o súkromie a osobné údaje. Telefónne číslo, adresa, e-mail, číslo bankových účtov, pasy, občianske, to všetko sa dá na internete nájsť. Aj pri útokoch na veľké firmy dosť často utečú milióny dát, ktoré sa potom predávajú na čiernom trhu.
Najväčší problém je s tým v Amerike a Ázii, v Európe je to trochu lepšie. Ale stále je potrebná väčšia regulácia pri nakladaní s informáciami.
Dominik Hádl | Zdroj: Forbes ČeskoV poslednej dobe sa veľmi často hovorí o cookies. O tom, že používatelia ich význam nechápu a bezhlavo ich prijímajú. Tak čo s nimi?
Ľudia z môjho odboru a okolia kategoricky odmietajú všetko, čo ide. Ideálne by si mal človek v okamihu, keď naň táto požiadavka vyskočí, prečítať podmienky o ochrane osobných údajov, kde by malo byť vypísané, čo sa bude diať, aké dáta sú u vás uložené, za akým účelom, prípadne komu sú odovzdávané.
Ja však odporúčam cookies odmietnuť a tiež zvážiť, aké a kam zadávať informácie.
Dosť často totiž súhlasíte s tým, že sa vaše dáta odovzdajú Googlu, marketingovým firmám a ďalším spoločnostiam. A veľmi často sú to marketingové nástroje a platformy za účelom cielených reklám.
Ale zase nie je platforma ako platforma, niektoré ponúkajú, že ďalej predajú dáta v balíku, a ako sa s nimi nakladá potom, to dosť ťažko zistíte. Samotné podmienky sú navyše napísané právnikmi, takže je to často dosť zložité a pre obyčajných ľudí o to ťažšie pochopiť. Preto je pre nich jednoduchšie, keď dajú prijať všetko a zabudnú na to. Ja však odporúčam cookies odmietnuť a tiež zvážiť, aké a kam zadávať informácie.
Čo sa deje s fotkami na sociálnych sieťach
Spomenuli ste populárne sociálne siete. Ľudia na nich zdieľajú svoje súkromie, či osobné názory. Keď tam dajme tomu nahrám fotografie, tak ich môže ktokoľvek zneužiť?
To sa deje pravidelne, extrémne často. Už za čias začiatku Faceboku bola veľká diskusia o tom, čo sa deje s obsahom, ktorý nahráte na sociálne siete. Princíp sa odvtedy príliš nezmenil.
V podstate čokoľvek tam dáte, je v tom momente majetok sociálnej siete, má práva s tým nakladať, či už je to fotka alebo text, môže to byť používané na niekoľko spôsobov. Regulácie sa to snažia obmedziť, ale v súhlasoch, ktoré im dáte pri zakladaní účtov, sa svojich práv vzdávate. Hneď ako poviete „áno, súhlasím“, tak to väčšinou stačí.
A tá fotka v tom kybernetickom priestore zostane, aj keď ju zmažem.
To je regulované pod GDPR, že informácie vami nahrané by mali byť držané po čo najkratšiu dobu. A každý človek má právo nechať všetky svoje dáta zmazať. Je tam možnosť požiadať o zaslanie všetkého, čo o vás majú a požiadať o kompletný výmaz. Ale bohužiaľ tým, že sa to odovzdáva ďalej, tak je otázne, ako to mazanie v realite vyzerá u ďalších strán – partnerov, reklamných sietí.
Je o tom veľmi poučný film na Netflixe – Big hack, ktorý sa venuje škandálu s Cambridge analytikou, Facebookom a ovplyvňovaním volieb. Je v ňom krásne vidieť, že aj dáta, ktoré ďalej poskytnuté byť nemali, boli využité na manipulačné reklamy za účelom ovplyvnenia výsledkov volieb.
Ako predísť väčšine útokov
Čo ja ako bežný používateľ musím urobiť, keď si vytvorím účet k e-mailu? Ako najlepšie ho ochrániť pred prelomením?
Najlepší spôsob, ako predísť väčšine útokov, aspoň tých jednoduchších, je dvojfaktorové overenie, ktoré sa dá už dnes nastaviť skoro všade, vrátane sociálnych sietí. Typicky to znamená, že okrem mena a hesla vám ešte musí prísť SMS na telefón kód, ktorý zadáte, overíte tak, že ste to vy, a môžete sa prihlásiť.
Okrem SMS, ktorá nie je úplne vhodný formát, existujú aj ďalšie možnosti, napríklad bezpečnostné kľúče alebo mobilné aplikácie. Ak má jeden človek účet na viacerých miestach a stránku napadnú hackeri, ktorí získajú heslá, tak práve dvojfaktorové overenie ich môže zastaviť. Síce sa prihlásia úspešne v rámci e-mailu a hesla, ale zaseknú sa na ďalšom kroku a vy zabránite prieniku do účtu.
Ale bezpečnosť užívateľov strážia aj samotné spoločnosti, pokiaľ sa nemýlim. Aj mne sa v minulosti stalo, že mi napríklad e-mail napísal, nech si zmením heslo, pretože sa mi niekto nabúral do účtu…
Áno, do určitej miery je zodpovednosť aj na spoločnostiach, ktoré to riešenie vytvárajú, a na nás IT pracovníkoch, aby sme to užívateľom uľahčili. Aby si nemuseli pamätať veľa komplikovaných hesiel. Zmena prichádza s touch ID alebo Face ID, biometrické overenie sa nedá jednoducho zameniť.
To je stav, do ktorého sa potrebujeme dostať, aby ste sa boli schopní do svojho účtu prihlásiť len tým, že sa pozriete na mobil alebo sa ho dotknete prstom. Skrátka, aby to bolo pre používateľov čo najjednoduchšie, ale zároveň poskytovalo čo najväčšiu úroveň zabezpečenia.
Ako ustrážiť bezpečie svojich detí
A čo ochrana detí, ktoré sa v digitálnom svete pohybujú čoraz častejšie a mnohokrát aj ľahšie ako dospelí? Ako môžeme ustrážiť ich bezpečie?
To je jedna z oblastí, v ktorej sa posúvame stále dopredu. Existuje, samozrejme, rodičovská kontrola, ktorá umožňuje rodičom spravovať, čo môžu deti robiť ako na mobile, tak aj na počítači.
Či už je to čas, ktorý strávia online, alebo aplikácie, na ktoré sa môžu pozerať, obsah, ktorý môžu sledovať. Vám ako rodičovi to pomôže, ale nie je to stopercentné riešenie – nepoznám dieťa, ktoré by neprišlo na heslá svojich rodičov a túto kontrolu neobišlo. Ale ak máte aj tu nastavené dvojfaktorové alebo biometrické overenie, už je to pre nich zložitejšie.
O čo ide útočníkom
Čo sa týka prelomenia účtov – po čom útočníci najčastejšie idú? Po dátach, peniazoch?
Záleží, či ide o vyššie ciele, alebo o prosté zbohatnutie. V tom prvom prípade, napríklad manipulovanie ľudí, je to o tom, získať o vás čo najviac dát, analyzovať ich. To je automatizované, nepredstavujte si, že tam sedí pri počítači nejaký človek a číta každý váš e-mail. To sa deje rýchlo, útočník stiahne, čo môže, a doplní si to o ďalšie dáta. Vie, aký kvietok sa vám páči, aké auto vlastníte, a môže si vás tak škatuľkovať do nejakej kategórie ľudí a tých zase toľko nie je.
Ten druhý princíp – tam je viacero spôsobov. Dosť často, keď sa vám dostanú do e-mailu, tak z neho posielajú podvodné správy ďalej s požiadavkou o pomoc, hlavne teda o tú finančnú. Takže pokiaľ to dôjde niekomu blízkemu, ktorý vám chce pomôcť, šance na úspech sú veľké. Alebo využijú tento prístup k tomu, aby sa dostali do ďalších služieb, napríklad na Facebook.
Málokedy sa dnes hackeri snažia dostať do vášho bankovníctva alebo priamo k účtom, pretože toto je veľmi sledovaný priestor, kde vypátrať páchateľa je oveľa jednoduchšie. Navyše dosť často máte bankovú mobilnú aplikáciu, v ktorej musíte potvrdzovať všetko, čo tam urobíte. To zlodeja odradí.
A ako sa ja môžem dozvedieť, že niekto odosiela z môjho e-mailu podvodné prosby o peniaze, pokiaľ mi to nepovedia moji priatelia, ktorým taká správa príde?
V momente, keď niekto ten prístup získal, už je neskoro. Je preto potrebné sústrediť sa na prevenciu. Investovať do bezpečnosti sa zdá zvláštne, pretože investujete do toho, že sa nič nestane. Ale práve preto, aby následky neboli také hrozné, to robíte.
Zodpovednosť je na spoločnosti, u ktorej účet máte. A je dôležité, aby na nebezpečenstvo prišla včas. Stráži vás, takže napríklad keď zistí, že v jednej chvíli bolo z vášho účtu odoslaných naraz tisíc e-mailov alebo že ste sa v priebehu piatich minút prihlásili z rôznych miest sveta, môže z toho vyvodiť, že sa deje niečo neštandardné. Potom je lepšie vás radšej otravovať s ďalším overením, ako to nechať tak.
Keď útočia na firmu
A čo je najdôležitejšie pre firmy. Čo potrebujú najčastejšie ochrániť?
Záleží na type spoločnosti. Tá naša pracuje v službách, takže pre nás je najdôležitejšie zabezpečenie duševného vlastníctva klientov – informácií medzi nami a nimi. Či už sú to zdrojové kódy, dizajnové súbory, alebo čokoľvek, čo má hodnotu pre nás a klienta a nemá to byť verejne známe. Zaisťujeme, aby nedošlo k úniku informácií alebo dát, a chránime naše podnikanie ako také.
Časté sú podvody v rámci rôznych nepravdivých faktúr. Napríklad jednej firme nášho klienta dva roky podvodník posielal faktúry na preplatenie a prechádzalo mu to. Mali všetky náležitosti, predpísaný formát. Ale môžeme sa baviť aj o kyberšpionáži, sabotáži, kedy môžu hackeri vyradiť firmu z prevádzky tým, že nabúrajú kľúčové systémy. Napríklad u nemocníc alebo energetických spoločností.
Určite si spomeniete, že počas covidu bol dosť často nabúraný nemocničný systém, ktorý zašifroval všetky údaje o pacientoch. A ak ich nemocnice nemali v papierovej kópii, išlo o život. Veľa teda záleží na tom, čo firma robí a aké sú jej citlivé miesta.
Koľko peňazí firmy na zabezpečenie svojich systémov venujú?
Záleží, samozrejme, na veľkosti firmy, u nás to sú tak státisíce eur ročne a stále to nie je dosť. Podnikanie rôznych firiem je komplexné a dosť často nestačí mať iba múdre zabezpečenie a systémy. Je to aj o vzdelávaní zamestnancov, pretože najslabší článok je vždy človek. Ten naletí najľahšie.
V Monstarlabe dosť často robíme digitálne penetračné testy, kedy posielame podvodné e-maily zamestnancom, a kto naletí, ten musí ísť na školenie. Ale robia sa aj fyzické testy. Najmeme si firmu, ktorá vyšle svojho človeka do niektorej našej pobočky, a zisťujeme, či je schopný preniknúť dovnútra a dostať sa do našich interných systémov. Alebo sa rozhádžu po zemi flashky, ktoré sú infikované nejakým testovacím vírusom, a skúša sa, kto ich zdvihne a dá si ich do počítača, aby zistil, čo na nich je.
Bavíme sa o ochrane účtu, ale čo počítač alebo tablet? Ako ochrániť ich?
Antivírus musí byť stále aktuálny na všetkých operačných systémoch. My ho máme vo firme povinne na všetkých zariadeniach. Hlavne ide o to premýšľať nad tým, komu dávame svoje dáta, či veríme e-mailu, ktorý dostaneme, že nám napríklad nigérijský princ posiela miliardu eur.
Heslá, heslá, heslá
Samostatná kapitola potom sú heslá k účtom. Je nejaké časové obdobie, počas ktorého by som si ich mala meniť, alebo mať ku každému účtu heslo iné?
Celá kapitola s heslami a odporúčaniami je celkom horúca téma. Kedysi sa hovorilo, že čo najkomplikovanejšie a najdlhšie heslo so znakmi a číslami, je najlepšie. Ale v rámci bezpečnosti, v čase, ktorý trvá heslo prelomiť, kedy počítač skúša všetky kombinácie, kým sa netrafí, tak komplikované heslo a heslo dobre zostavené z troch náhodných slov, medzi ktorými sú ešte pomlčky a na konci číslo, sú na tom rovnako. Dosť bezpečné heslo je teda napríklad Mačka-mrak-piha6.
Dobré pravidlo je určite nemať jedno rovnaké heslo všade. Pretože v okamihu, keď niekto prelomí váš účet, je len otázkou času, kedy získané heslo použije v ďalších vašich službách. Na druhú stranu, dvojfaktorové alebo biometrické overenie vám umožní mať to heslo iba jedno.
Pribúda kybernetických útokov každý rok? Čoho sa máme obávať?
Stopercentne ich pribúda, čo je dané jednak samotnými technológiami, jednak tým, že pribúda ľudí na planéte. Tým pádom aj útokov. Čoho je zásadne viac, to sú politicky motivované útoky, kedy ide o dezinformačné kampane, ale aj o podnecovanie k činom.
Jedným z príkladov je minuloročný útok na americký Kapitol. Celý bol naplánovaný v rámci jednej sociálnej siete, ktorá sa volá Discord, kde pár anonymných ľudí napísalo, čo sa im nepáči a ako to chcú zmeniť, a ďalší sa chytili. Extrémna skupina s extrémnymi ľuďmi, stačilo hodiť zápalku do suchého lesa.
Časté je aj ovplyvňovanie a manipulácia s ľuďmi cez cielené reklamy. Vy o tom človeku viete, aké má názory, a vytvoríte mu článok, či reklamu na mieru. To je to najväčšie nebezpečenstvo, že sa nedá overiť pravosť informácií a ľudia na to nie sú naučení. Pritom na overenie by sme mali použiť minimálne tri zdroje. Ale kto to dnes robí?
Zamyslieť sa a neveriť všetkému
Máte nejakú radu, ako sa čo najbezpečnejšie v tomto kybernetickom priestore pohybovať?
Je to vždy o tom zastaviť sa, zamyslieť sa a neveriť všetkému, čo vidíte. Typický je teraz v poslednej dobe podvod s Českou poštou, kedy vám príde správa, že si máte vyzdvihnúť balíček, ale najskôr musíte zaplatiť clo. Ale pokiaľ som nič neobjednával, nemôžem nič ani dostať. A ak si nie som istý, stačí zavolať na poštu a opýtať sa. Používať zdravý rozum.
Ďalšou radou je poriadne si prečítať cookies, urobiť si na to čas, alebo ich rovno odmietnuť. A pozrieť sa na YouTube, je tam veľa videí na túto tému, kde si môžete nájsť, aká platforma je bezpečná, ako čo najlepšie ochrániť svoje účty.
Stalo sa niekedy u vás vo firme, že ste boli hacknutý?
Pár pokusov bolo, občas sa to aj podarilo, ale boli sme vždy schopní to rýchlo zastaviť, takže vplyv bol minimálny. Pamätám si, keď bola v roku 2015 hacknutá spoločnosť Sony a všetky dáta všetkých používateľov, vrátane veľmi citlivých údajov a kreditných kariet, boli ukradnuté. To bol obrovský problém. Museli vtedy vydať jeden a pol miliardy dolárov na nové zabezpečenie. Takže nikdy neviete, do čoho sa prebudíte.
Článok vyšiel na Forbes.cz a jeho autorkou je Jana Pšeničková.
