V kyberprostoru probíhá nepřetržitá válka, ale firmy často vyburcuje až bolestná zkušenost, říká Zbyněk Pospíchal z Quantcomu

Lidské aktivity se přesouvají do digitálního světa a pandemie koronaviru to jen urychlila. Co považujete za největší nebezpečí, která dnes v kyberprostoru číhají?

Největší hrozbou a největším možným zdrojem problémů je různě děravý software. Z toho se pak odvíjí, že se někdo s využitím nějaké bezpečnostní díry přihlásí někam, kam se přihlásit nemá, a spustí škodlivý kód. Konkrétně pak útočník může krást data nebo zneužívat cizí procesorový výkon k tomu, aby útočil někam dál. To jsou asi dva nejčastější případy, které připadají v úvahu.

Co řeší z pohledu bezpečnosti provozovatel mezinárodní sítě, jako je Quantcom?

My jako telekomunikační operátor nemůžeme zasahovat do softwaru. My umíme pracovat s IP paketem, který spolu s námořním kontejnerem považujeme za dvě největší revoluce 20. století v doručování věcí a informací. IP paket je zjednodušeně řečeno balíček dat s nějakou hlavičkou, zdrojovou a cílovou adresou a dalšími náležitostmi. A to je základ veškeré digitální komunikace. My s IP paketem dokážeme mnoho, ale nikdy nedokážeme přesně určit, jestli o něj konkrétní adresát stojí nebo ne, protože tolik informací nemáme a nikdy z podstaty věci mít nebudeme.

Jaká je tedy vaše role v zabezpečení přenosové sítě a tím i jejích uživatelů? 

Pro nás je důležité, abychom data vůbec dokázali doručovat. K tomu potřebujeme zajistit, aby nám sítí neteklo nesmyslně velké množství dat, která v zásadě neslouží k ničemu jinému než k poškození nějakého cíle. V první řadě tedy řešíme DoS (denial of service) a DDoS (distributed denial of service) útoky, protože to vnímáme tak, že když neochráníme naši schopnost přenášet data, tak řešit veškeré další hrozby by bylo nepodstatné. Čili jedním z největších rizik jsou z našeho pohledu volumetrické útoky, jejichž cílem je způsobit přetížení sítě či koncových zařízení hrubou silou.

Logika je vždy taková, že útočník zahltí někomu přístupy k síti nebo jeho servery či jiná zařízení a pak požaduje „výkupné“?

Ty motivace mohou být různé – útočníci požadují protihodnotu nebo se jen chtějí předvést, že to dovedou, případně chtějí někoho prostě poškodit. Zaznamenali jsme třeba útoky mezi dvěma e-shopy navzájem. Obecně řečeno za tím mohou být důvody ekonomické, politické i třeba osobní. 

Způsobů, jak zahlcovat různé prvky sítí nebo různé linky, je celá řada. Koncovému stroji se vyčerpá počet spojení, která je schopen otevřít, případně se ta spojení drží dlouhodobě otevřená. Další variantou je posílat tolik dat, že se nevejdou do konkrétní linky, nebo se posílá velké množství malých paketů, aby to nějaký router či firewall nezvládl třídit a kontrolovat. Je dost běžné, že útoky bývají smíšené, tedy že se dějí několika způsoby zároveň. 

Jak často se takové útoky odehrávají? Zaregistroval jsem, že jen vy jich zachytíte třeba 100 denně.

Může jich být i více než 100 denně. Když se teď podívám na aktuální data, tak vidím za posledních 15 minut deset podezřelých událostí. Může jich být 30 nebo také žádná, ale to není moc běžné. Dlužno podotknout, že vše nemusí být nějaká nekalá činnost, může jít i o falešně pozitivní záchyty. Velkých útoků v řádu gigabitů za sekundu jsou jednotky týdně. Pak jsou útoky v řádu desítek až stovek gigabitů za sekundu a těch je podstatně méně, zhruba jeden na deset tisíc malých. Celkově je ale ten rozsah obrovský, útoky jsou automatizovány daleko víc, než si kdo dovede představit – víc než mají automatizovanou infrastrukturu operátoři, víc než mají automatizované operace konkrétní zákazníci. Dá se říct, že v kyberprostoru probíhá permanentní válka.

Celý rozhovor si můžete přečíst zde www.q.cz.