Pavol Lupták: Dáta pokojne zverte cloudu. Ale šifrujte ich

„Väčšinou sa s tým nedalo nič robiť. Pokiaľ ste nemali dáta zálohované alebo zálohy neboli aktuálne, museli ste zaplatiť,“ spomína bezpečnostný expert Pavol Lupták. Upozorňuje, že vlna ransomwaru síce aktuálne odznela, ale jeho riziko ostalo. A nejde o jedinú hrozbu, lebo svoje záujmy v kybernetickom priestore presadzujú kriminálne živly i vlády.

Správy o kybernetických útokoch sa zväčša točia okolo bánk alebo veľkých známych firiem. Na menšie firmy hackeri neútočia?

Útočia. Ale používajú sa iné metódy útokov ako pri veľkých inštitúciách. Má to ekonomický základ. Potenciálny zisk pri útoku na banku alebo veľkú korporáciu môže byť pre útočníka dostatočne vysoký na to, aby doň investoval množstvo energie, námahy a peňazí. Je to aj nutné, lebo veľké inštitúcie majú pomerne dobrú ochranu, vedia sa vyhnúť jednoduchším útokom, ktoré sa zasa zameriavajú na menšie firmy alebo koncových používateľov.

V čom spočíva jednoduchší útok?

Je automatizovaný... Uvediem príklad. Jeden z najpoužívanejších systémov na správu obsahu [CMS, Content Management System] je Wordpress. Beží na ňom obrovské množstvo webov, ale obsahuje tiež veľké množstvo bezpečnostných zraniteľností. Tie využívajú softvérové roboty, ktoré automaticky bez zásahu človeka skenujú celý internet alebo nejakú jeho časť. Keď zraniteľnosť objavia, počítač vyhackujú a prístup naň sa potom často predáva na čiernom trhu.

Idú útočníci po dátach uložených v počítačoch?

Áno, ale je to len jedna z možností. Útočníci sa snažia stiahnuté dáta speňažiť. Na čiernom trhu sa dajú dobre predať nielen čísla kreditných kariet, ale aj naskenované pasy alebo občianske preukazy. A keď z vášho počítača alebo servera nezískajú útočníci žiadne citlivé dáta, ešte stále majú pre nich hodnotu v tom, že ich môžu zapojiť do botnetu [siete infikovaných počítačov]. Tie sa využívajú napríklad na distribuované DOS útoky, ktorými dokážu ľubovoľnú webovú stránku zhodiť na ľubovoľne dlhý čas. Útočník môže tiež využiť váš počítač ako prestupnú stanicu, aby sa zamaskoval. Keď potom nabúra nejaký systém, tak to bude pod vašou hlavičkou, hoci ste o tom ani netušili.

Pavol Lupták (37)

Zdroj: Milan David

Je držiteľom bezpečnostných certifikácií CISSP a CEH, vedie slovenskú pobočku Open Web Application Security Projectu (OWASP). Spoluzakladal platformu pre stretávanie hackerov a digitálnych umelcov Progressbar a Spoločnosť pre otvorené informačné technológie (SOIT). Pravidelne prednáša na svetových bezpečnostných konferenciách. Má dvadsaťročné skúsenosti v IT bezpečnosti, penetračnom testovaní a tvorbe bezpečnostných auditov. Je majiteľom a konateľom spoločnosti Nethemba.

Veľké firmy majú na IT bezpečnosť špecialistov, často celé oddelenia. Ako sa voči hrozbám môžu brániť malé firmy?

Klasika – prinajmenšom by mali mať v počítači nainštalovanú najnovšiu verziu operačného systému, antivírusového a antimalvérového programu, dávať pozor na to, akú prílohu v došlom maile otvárate...

O základoch IT bezpečnosti, prevencii, sa hovorí už dlho a prakticky nepretržite. Máte pocit, že ľudia a firmy sa v tom zlepšujú?

V niektorých oblastiach sa bezpečnosť naozaj zlepšuje. Ale stále prichádzajú nové vektory, s ktorými sa predtým nepočítalo. Typický príklad sú mobilné aplikácie. Obrovské množstvo ľudí používa smartfóny, ukladá si na ne citlivé dáta, ktoré nešifruje, neaktualizuje si firmvér, takže obsahuje zraniteľnosti, ktoré umožňujú mobil kompromitovať.

Zaoberáte sa testovaním firemných mobilných aplikácií z hľadiska bezpečnosti. Na akej úrovni sú podľa vašich skúseností?

To závisí od konkrétneho prípadu. V zásade platí, že keď začneme v aplikácii hľadať chyby, zvyčajne ich nájdeme veľa. Pri niektorých menej ako pri iných, takže napríklad bankové aplikácie sú relatívne bezpečné. Finančné inštitúcie investujú do bezpečnosti viac, takže ak v ich aplikáciách nájdeme nejaké zraniteľnosti, sú pomerne neštandardné. Na rozdiel od aplikácií menších firiem, v ktorých sú zraniteľnosti často aj dosť triviálne.

Som vlastníkom firmy, okrem niekoľkých notebookov a mobilov nemá vlastnú IT infraštruktúru. Je pre mňa výhodnejšie držať dáta u seba alebo sa spoľahnúť na cloud a externého providera?