ROZHOVOR: Seredčan Matej Šalmík z Národneho centra kybernetickej bezpečnosti radí, ako si chrániť svoje súkromie v online priestore

Pracuje na Národnom bezpečnostnom úrade, kde je riaditeľom odboru vzdelávania, podpory a medzinárodnej spolupráce v Národnom centre kybernetickej bezpečnosti SK-CERT. Seredčan Matej Šalmík v rozhovore vysvetľuje, ako dokáže bežný používateľ internetu zabezpečiť svoje súkromie a ako je na tom s kybernetickou bezpečnosťou náš štát. 

Je hrdým absolventom seredského gymnázia. Vysokú školu absolvoval na Akadémii Policajného zboru v Bratislave. Následne robil tri roky skrátené vyšetrovanie ako policajt a od roku 2017 pracuje pre Národný bezpečnostný úrad.

 V rozhovore sa dočítate:

• Ako zamedziť krádeži našej identity?
• Na čo si dávať pozor pri inštalácii aplikácií?
• Čo je to phishing?
• Ako chrániť svoje heslá?
• Je náš štát dostatočne chránený pred útokmi?
• Akým útokom čelia v súčasnosti spoločnosti?

Mohli by ste bližšie vysvetliť, aká je náplň vašej práce?

Na našom odbore v SK-CERT pracujeme najmä na šírení povedomia o kybernetickej bezpečnosti. Učíme ľudí, ako sa správať na internete bezpečne, čomu sa vyhýbať a ako rozpoznať hrozby vo virtuálnom priestore.

Upozorňujeme aj na aktuálne hrozby, útoky aj zraniteľnosti na zariadeniach a v počítačových programoch. Naše aktivity sú rôzneho charakteru – od článkov, dostupných na našej webovej stránke, cez prednášky a prezentácie až po organizovanie tréningov a cvičení.

reklama

Národné centrum kybernetickej bezpečnosti SK-CERT má ale viacero úloh. Rieši a koordinuje riešenie kybernetických bezpečnostných incidentov a vykonáva aj špecializované činnosti, ako napríklad malvérovú analýzu. 

Aktívne spolupracujeme s viacerými subjektmi na národnej aj medzinárodnej úrovni, vymieňame si skúsenosti, informácie a dobrú prax. V kybernetickej bezpečnosti bez spolupráce ďaleko nezájdete.

To, že treba používať silné heslá, vie už hádam každý, no ako vytvoriť naozaj ťažko uhádnuteľné heslo?

Každé heslo je uhádnuteľné. Dôležité je, aby bolo také, aby takéto „hádanie“ trvalo čo najdlhšie – najlepšie tak desiatky rokov. Dôvod je jednoduchý – kým útočník na heslo príde, bude mu naozaj nanič. Pri dnešnej výpočtovej sile sa dá vytvoriť heslo, ktoré neuhádnete ani za sto rokov.

Pri tvorbe hesiel platia v princípe veľmi jednoduché pravidlá. Čím väčšia entropia (náhodnosť), tým lepšie. Výborným modelom je vytvorenie frázy, ktorá obsahuje aspoň sedem náhodných slov oddelených medzerami. Takéto heslo je náročné, ale napíšete ho ľahko.

Jedno heslo nesmiete použiť pre viac služieb. Používateľské heslá sú na čiernom trhu cenným artiklom a ich úniky sa bežne stávajú aj tým najväčším firmám. Len v roku 2020 uniklo napríklad 9 miliónov používateľských údajov zákazníkov leteckej spoločnosti EasyJet, 5,2 milióna údajov hostí hotelovej siete Marriott, údaje o 500-tisíc účtoch používateľov videokonferenčnej platformy Zoom, údaje o 300-tisíc účtoch používateľov Nintendo a takmer 11 miliárd záznamov z databázy streamovacej služby pre dospelých, v ktorých boli celé mená, e-mailové adresy, sexuálna orientácia, prepisy chatov, história platieb a, samozrejme, heslá. Útočníci ich okamžite skúšajú aj v iných službách – ak teda zdieľate heslo, hneď im dávate do rúk celú svoju online identitu.

Z toho, čo som povedal, sa však niekomu môže zatočiť hlava, veď takto si musíte zapamätať desiatky až stovky hesiel, a to predsa takmer nikto nezvládne.

Ja si svoje heslá nepamätám, ani som ich nikdy nevidel. Používam správcu hesiel, čo je aplikácia, ktorá heslá vymýšľa a pamätá si ich za mňa. Je prepojená s webovým prehliadačom aj mobilom a heslá mi sama vypĺňa tam, kde potrebujem. Ak ešte správcu hesiel nemáte, hneď teraz si ho stiahnite a začnite používať.

Heslo je však len jedna vrstva bezpečnosti. Existuje jednoduchý spôsob, ako pri strate hesla nedovoliť útočníkovi dostať sa do vášho konta – hovorím o viacfaktorovej (najčastejšie dvojfaktorovej) autentifikácii. 

S heslom do systému zadávate ďalší údaj, ktorý pochádza z fyzického zariadenia vo vašom vlastníctve (napríklad mobilný telefón). Jednou z možností je SMS kód, skôr však odporúčam aplikáciu v mobile, ktorá takéto kódy pre jednotlivé stránky a služby generuje, ako napríklad Google Authenticator, Authy alebo Microsoft Authenticator. Pri nej sa vám nemôže stať, že si útočník na online službe zmení vaše mobilné číslo na vlastné. Pre náročných používateľov existujú aj fyzické zariadenia s tlačidlom, ktorým musíte prihlasovanie potvrdiť.

Princíp je jednoduchý. Najprv vás systém vyzve na zadanie hesla a následne, ak je heslo správne, požiada o zadanie kódu, ktorý je generovaný inou cestou, teda nie systémom samotným. Ten overuje len jeho správnosť. Keď útočník teoreticky disponuje vaším heslom, tento doplnkový údaj si nemá ako vymyslieť.

Pre bežných používateľov odporúčam, aby si ihneď na každej sociálnej sieti, v každej aplikácii a na každej stránke kam sa prihlasujú, aktivovali dvojfaktorovú autentifikáciu. Je používateľsky jednoduchá a zvládne to každý. 

Zdroj: unsplash.com

Čo môžeme spraviť preto, aby sme znížili riziko zneužitia našich informácií na krádež identity?

Najdôležitejšie je dobre zvážiť, čo o sebe chcem na internete zdieľať. Človek je sociálny tvor a vo virtuálnom svete akoby strácal zmysel pre súkromie. Zdieľame nielen naše kontaktné údaje, často vrátane telefónneho čísla alebo adresy bydliska, ale aj fotky z dovoleniek, videá detí, našu polohu pri aktivitách a podobne. 

Ak nechceme, aby naše informácie boli zneužité, jednoducho ich nezdieľajme. Aj keď si mnohí hovoria, že práve jeho informácie určite nikoho nezaujímajú, je to veľký omyl. Pri krádeži identity ide o detaily. Ak sa chce niekto vydávať napríklad za mňa, potrebuje fotky, kontaktné informácie, informácie o rodine, ale takisto aj to, aké mám názorové spektrum, či v akých skupinách na sociálnych sieťach sa pohybujem. Ak mám verejný profil, každý vie z neho získať obrovské množstvo informácií.

Ak niečo zdieľať, tak len to nevyhnutné, čo sociálna sieť alebo aplikácia odo mňa žiada. Treba si uvedomiť, že skoro všetky služby, ktoré využívame na sociálnu interakciu, sú zadarmo. Stoja nás „len“ naše súkromie. A súkromie by si mal každý človek vážiť. Veď ak sa pozrieme na diskusie na internete, súkromie je citlivá téma a pritom používatelia na sociálnych sieťach zdieľajú každodenne kvantum dát citlivého a osobného charakteru.

Kým budete zdieľať, položte si jednoduchú otázku: „Je nutné, aby toto svet o mne vedel?“ Ak sa pri zdieľaní obsahu budeme správať striedmejšie a budeme selektovať, čo uverejniť a čo nie, znížime tým riziko nielen krádeže identity. Zapamätajte si, že čo je na internete, to je prakticky večné. Fotky vašich detí z detstva im v dospelosti môžu priniesť traumu.

Dnes je bežné, že od nás aplikácie žiadajú množstvo povolení. Ako zistiť, či sú bezpečné?

Ak si inštalujeme do mobilu alebo počítača nejakú aplikáciu, pred finálnym potvrdením inštalácie by sme si mali pozorne prečítať, aké dáta o nás aplikácia zbiera a aké povolenia si pýta.

Varovným signálom sú neprimerane veľké povolenia u jednoduchých aplikácií, napríklad mobilná hra asi nepotrebuje prístup k telefónu či SMS správam. Tých niekoľko minút preštudovania si podmienok používania aplikácie naozaj stojí za to. Nebezpečným aplikáciám sa nevyhnete ani v obchodoch, ktoré ich bezpečnosť preverujú. Vyhnúť sa však môžeme ich inštalácii a používaniu. 

Osobne odporúčam inštalovať len také aplikácie, ktoré pochádzajú z overeného alebo overiteľného zdroja, majú dobré referencie od používateľov a nie sú s nimi spojené bezpečnostné komplikácie. Treba sa vyhnúť aplikáciám, ktoré sa tvária ako legitímne a predstierajú, že sú náhradou za aplikáciu, ktorú už máte, prípadne sú jej vylepšením. 

Pri takýchto „fake“ aplikáciách si treba dávať extrémny pozor. Môžu do vášho zariadenia vpašovať škodlivý kód a ukradnúť vaše údaje napríklad z internetbankingu. Rozoznať ich je v podstate jednoduché, stačí ísť na webstránku výrobcu aplikácie a preveriť si, či naozaj bola vydaná nová verzia aplikácie.

Špeciálnou kategóriou sú mobilné zariadenia detí. Deti si zvyknú sťahovať nové hry a aplikácie oveľa častejšie ako dospelí a s výrazne menšou kontrolou. Je vhodné vopred ich považovať za kompromitované a jednoducho sa s tým zmieriť a tak k nim aj pristupovať. 

Preto by deti nemali na svojich zariadeniach držať citlivé údaje ako fotografie, nemali by v službách používať svoje skutočné mená a tieto zariadenia by nemali byť používané na „serióznu prácu.“

V súčasnosti máme pripojenie na internet už aj v televízoroch, aute, domácich spotrebičoch… Aký máte názor na tento pokrok z pohľadu bezpečnosti?

Mám rád rôzne gadgety v oblasti technológií, sám ich využívam. Pri bezpečnosti som však vo veľa prípadoch skeptický, napríklad z tohto dôvodu je pre mňa kúpa robotického vysávača spojená aj so zdĺhavým prieskumom bezpečnosti jednotlivých značiek. 

Pri moderných technológiách, ktoré nám majú uľahčiť život, výrobcovia pozerajú skôr na funkcionalitu a výkon ako na bezpečnosť. Zadanie na výrobu robotického vysávača znie: povysávať naozaj všade a všetky povrchy, no výrobcu už príliš nezaujíma, že útočník dokáže takýto vysávač ovládnuť. 

Výrobcovia málokedy udržujú vývoj firmvéru, a preto často nie sú opravované kritické zraniteľnosti týchto zariadení. Po bezpečnosti IoT jednoducho nie je taký dopyt. Zároveň je pri týchto zariadeniach tlak na miniaturizáciu a cenu, a preto nemusia mať dostatočný výkon na to, aby bolo možné niektoré bezpečnostné prvky (napríklad silné šifrovanie) implementovať. 

Čo útočník dosiahne tým, že napadne napríklad inteligentnú chladničku? Okrem toho, že vám ju môže úplne znefunkčniť, môže ju napríklad zneužiť na vykonávanie ďalších útokov bez vášho vedomia. 

Z aktivity inteligentných pomocníkov sa dozvie, či ste doma. Z kamery zariadenia pripojeného do internetu vám môže vidieť priamo do bytu. Zo zariadenia s mikrofónom vás môže počuť. Ak má vo svojej moci viac takýchto zariadení, môže vykonávať tzv. DDoS útoky (zneprístupnenie služby) na iné ciele alebo cez vašu smart televíziu šíriť škodlivý kód či spam.

Bezpečnosť smart zariadení je teda, diplomaticky povedané, rozpačitá. Napríklad môj prístupový bod umožňuje vytvorenie dvoch wifi sietí, bežnej a hosťovskej. Zariadenia na hosťovskej sieti sa nedostanú do tej bežnej a nemôžu ani komunikovať jedno s druhým. IoT zariadenia preto pripájam do tejto druhej, hosťovskej siete.

Zdroj: touchit.sk

Pre súčasnú situáciu v súvislosti s ochorením COVID-19 pracuje mnoho ľudí z domu. Aký mala pandémia dopad na kybernetické útoky?

Povaha existujúcich kybernetických útokov sa viac-menej nezmenila. Zmenil sa však naratív niektorých útokov. Znamená to, že útočníci využívali situáciu okolo pandémie a ochorenie COVID-19 bolo hlavným motívom rôznych phishingových e-mailov a falošných webstránok. 

Napríklad sme zachytili niekoľko falošných e-shopov, ktoré ponúkali ochranné pomôcky, dokonca zaručené lieky na toto ochorenie alebo vakcíny v čase, keď žiadna oficiálna ešte nebola dostupná. Po objednaní vám tovar nedoručili, no útočník vás nielen priamo okradol o peniaze, ešte disponoval aj informáciami z vašej platobnej karty.

Pri phishingu to bolo klasické sociálne inžinierstvo, ktoré zneužívalo informačný chaos okolo pandémie. Rôzne výzvy na kliknutie na odkaz, na ktorom sa nachádzajú zaručené informácie a podobne. Samozrejme, po kliknutí na link sa do vášho počítača nainštaloval škodlivý kód alebo vás presmeroval na falošnú stránku, kde ste zadali svoje osobné údaje a tie mohol útočník následne zneužiť.

Na pozadí pandémie sa odohrávali aj závažné kybernetické bezpečnostné incidenty, napríklad útoky na nemocnice. V Brne vyradil kybernetický útok služby jednej nemocnice. Útočníci sa zameriavali aj na laboratóriá, ktoré skúmali koronavírus alebo pracovali na vývoji vakcíny.

Pandémia však priniesla nové hrozby, lebo ľudia viac pracovali z domu. Mnohé organizácie sprístupnili svoju vnútornú a často zle zabezpečenú infraštruktúru na verejných IP adresách. Systémy bez aktuálnych bezpečnostných záplat, prípadne s ľahko uhádnuteľnými heslami, sa následne stali terčom útočníkov. Čo je horšie, takto sprístupnené zariadenie sa často stalo odrazovým mostíkom pre prístup do celej vnútornej siete organizácie.

Politika práce z domu tiež otvorila firemné siete mnohým súkromným domácim zariadeniam. Niektoré firmy umožnili ľuďom prácu zo súkromných počítačov. Ak sú využívané napríklad aj deťmi na hranie, vytvorili nový kanál, ktorým sa útočníci vedia dostať do organizácie. Pracovné a herné prostredie by preto malo byť striktne oddelené.

Ako sa môžu rodičia uistiť, že ich dieťa používa internet bezpečne?

Žiaľ, kybernetická a informačná bezpečnosť sú na školách zanedbávané témy. Úlohou rodičov by v prvom rade malo byť správne vedenie k základným bezpečnostným návykom. Sú možnosti parental control na zariadeniach, ale povedzme si úprimne, deti ovládajú moderné technológie často lepšie ako rodičia, a preto nie je pre nich problém vyhnúť sa aj rodičovskej kontrole. 

Som zástancom vštepovania základných bezpečnostných návykov. Deti učíme pravidelne si umývať ruky, prízvukujeme im, aby sa nerozprávali s cudzími ľuďmi a boli doma skôr ako zájde slnko. Rovnako by sme im mali hovoriť aj o tom, aké nástrahy číhajú na internete. Dokážeme to napríklad názornými príkladmi, ale aj hravou formou popri voľnočasových aktivitách a podobne. Ak dieťa bude vnímať, že sa nemusí učiť poučky, lepšie sa mu informácie o bezpečnosti na internete vryjú do pamäte.

Každý rodič sa musí rozhodnúť, aký zvolí prístup k používaniu moderných technológií svojimi deťmi. Či už je to rozhodnutie, kedy dostane dieťa prvý počítač či mobil, alebo v akom veku mu dovolí založiť si účet na sociálnej sieti.

V dnešnom svete sa deti moderným technológiám nevyhnú. Skôr ako zákaz však pomôže to, že ich naučíme, ako zariadenia bezpečne používať a ako sa na internete bezpečne správať.

Z profilov na sociálnych sieťach sa dá zistiť mnoho informácií, ktoré si daný človek možno ani neuvedomuje. Ako zabezpečiť svoj účet?

Na sociálnych sieťach to má dve roviny. Jednou je skutočnosť, čo všetko zdieľame a čo by sme zdieľať nemuseli. Na druhej strane je „otvorenosť“ našej digitálnej identity na sociálnej sieti. 

Každému odporúčam nastaviť si svoj profil na čo najviac súkromný. Neprijímajte žiadosti o priateľstvo od cudzích ľudí, a keď nám žiadosť príde od človeka, ktorého poznáme, bolo by najlepšie si to overiť. 

Nevieme, či sa za profilom nášho priateľa neskrýva niekto iný, ako sa na vlastnej koži presvedčila nejedna verejne známa osobnosť. To isté sa týka aj detí. Internet je plný rôznych stalkerov, ktorí môžu dieťa ohrozovať nielen na internete, ale aj mimo neho.

Čo je to phishing a ako sa proti nemu dokážeme brániť?

Phishing je technika tzv. sociálneho inžinierstva. Môže mať rôzne podoby – e-mailové správy, SMS, správy cez sociálne siete, dokonca telefonické hovory. 

Najvýraznejšou črtou každého phishingu je žiadosť o niečo – o kliknutie na link, otvorenie prílohy, ale napríklad aj o zaslanie finančných prostriedkov na konkrétny účet, odoslanie osobných údajov a podobne. Vždy je to spojené s niečím urgentným a vyzýva používateľa konať rýchlo.

Väčšina phishingov sa dá veľmi ľahko odhaliť, napríklad banka vás nikdy nebude vyzývať na zadanie vašich prihlasovacích údajov e-mailom. Niektoré phishingy sú písané takou zlou slovenčinou, že je to až vtipné. Ako však odhaliť aj veľmi sofistikovaný phishing? Musíte byť mierne paranoidný. Ak vám príde e-mail od šéfa, že máte zaplatiť na zahraničný účet veľkú sumu peňazí, preverte si to predtým, než čokoľvek vykonáte. To platí vždy. Preverujte si u odosielateľa (ak je to napríklad váš kolega) každý podozrivý e-mail. 

V podozrivých e-mailoch na nič neklikajte – na žiadne linky ani prílohy. Banky a ani iné služby so svojimi zákazníkmi nekomunikujú o zmenách hesiel alebo zadávaní platobných údajov náhodným spôsobom a cez e-mail. 

Ešte stále sú v móde tzv. nigérijské listy, kde vás osloví princ z Afriky, ktorý zdedil milióny a práve vás si vybral, aby ste mu pomohli. Za pomoc sľubuje percento zo zdedenej sumy, no vy mu musíte pomôcť previesť peniaze do Európy. Najprv vás požiada o zaplatenie malého administratívneho poplatku, následne svoje žiadosti o zaplatenie ďalších poplatkov stupňuje aj s ich výškou. 

Ide o veľmi jednoduchý podvod, no neverili by ste, koľko ľudí sa ešte dnes nechá nachytať. Ak si za afrického princa dosadíte napríklad amerického vojnového veterána alebo bohatého švédskeho dôchodcu, určite si spomeniete na prípady, ktoré zazneli aj v médiách.

Aby som to zhrnul, nikto vám nič nedá zadarmo. Ak od vás niekto žiada citlivé alebo osobné údaje, nemá na to právo. Ani banka, ani sociálna sieť, ani nikto iný. Preto neklikať, preverovať a neveriť všetkému.

Zdroj: cetelem.sk

Akej najväčšej kybernetickej hrozbe čelia spoločnosti v súčasnosti?

Závisí od toho, aké. Máme tu už niekoľko rokov závažnú hrozbu v podobe ransomvéru, ktorý cieli na rôzne typy organizácií – od malých podnikov až po veľké firmy. Problém spočíva v tom, že tento typ škodlivého kódu zašifruje súbory spoločnosti a pýta za odšifrovanie výkupné (najčastejšie v kryptomene). V niektorých prípadoch ransomvér dokonca pred zašifrovaním všetky dáta odošle útočníkovi a on má v rukách všetky tromfy.

Firma nedokáže fungovať, lebo jej zariadenia sú paralyzované a prišla o vzácne dáta. Na konci musí často zaplatiť výkupné. Môže sa pohybovať od niekoľko tisíc eur až po milióny. Sofistikovaní útočníci si pred útokom o konkrétnej firme zistia skutočne všetko. Vedia, aké hodnotné sú pre nich dáta, a presne vedia, koľko môžu ako výkupné pýtať.

Všeobecne je veľkou hrozbou pre spoločnosti ich prístup ku kybernetickej bezpečnosti – nedostatočne zabezpečené siete a systémy, nefungujúce bezpečnostné procesy a nedostatok personálu, ktorý sa bezpečnosti venuje. 

Riziko kybernetických útokov sa dá znižovať vhodne nastavenými opatreniami v organizácii. Investícia do bezpečnosti je dnes naozaj zásadná. Väčšina firiem dnes bez internetu a informačných technológií nedokáže existovať. Ohrozenie ich bezpečnosti nemá teda vplyv len na fungovanie samotných zariadení, ale aj na fungovanie celej spoločnosti, obchodných aktivít a v neposlednom rade aj na reputáciu.

Myslíte, že sa pred kybernetickými útokmi náš štát chráni dostatočne?

Akokoľvek budem teraz subjektívny, myslím si, že za uplynulé roky sa téma kybernetickej bezpečnosti na Slovensku posunula míľovými krokmi dopredu. Máme zákon o kybernetickej bezpečnosti, legislatívu priamo zameranú na ochranu kybernetického priestoru. 

V januári schválila vláda Národnú stratégiu kybernetickej bezpečnosti na roky 2021 až 2025, v ktorej sú zakotvené hlavné princípy a strategické ciele. Národný bezpečnostný úrad momentálne pracuje na vyhodnotení medzirezortného pripomienkového konania Akčného plánu k tejto stratégii, kde je dokopy 163 úloh na rôzne štátne orgány v oblasti kybernetickej bezpečnosti vrátane vzdelávania, výskumu a vývoja a riešenia počítačovej kriminality.

Legislatíva a strategické dokumenty nie sú všetko. Kybernetická bezpečnosť je beh na dlhé trate a stále máme čo robiť. Postupne budujeme najmä personálne kapacity. Celosvetovo je problém s existenciou odborníkov v tejto oblasti. Snažíme sa robiť veci čo najefektívnejšie, spolupracujeme so všetkými zainteresovanými subjektmi a naším cieľom je stále zlepšovať všetky oblasti, v ktorých pôsobíme.

Úlohou štátu však nie je prebrať zodpovednosť za kybernetickú ochranu každej firmy či jednotlivca. Každý sa musí starať o primeranú fyzickú bezpečnosť svojho obydlia či auta, a tak isto musí dbať aj na svoju kybernetickú bezpečnosť. Štát vie v tomto aj pri najlepšom možnom úsilí iba pomôcť.

Páčil sa vám rozhovor? Podporte ho zdieľaním.