Všichni víme, co všechno nám usnadňují. Co je ale podle vás největší riziko moderních technologií?
Těch rizik je mraky. Ale obecně, základní princip těch technologií jako takových je, že spoléháme na to, že nám někdo dá k dispozici službu nebo řešení, které nám v nějakém směru ulehčuje život. Spoléháme se na to, že ten někdo, kdo danou službu vyvinul, neudělal žádnou chybu. Ať už je to v tom, že jsou naše data v bezpečí, nebo že je služba dostupná, když jí potřebujeme a když se na ní musíme spolehnout. Zkrátka dáváme důvěru v tu technologii a měli bychom si být jistí, že si naši důvěru zaslouží. V tom já vidím to největší riziko - že se lidi začínají až příliš spoléhat na to pohodlí, které jim technologie dává, a ne vždycky si kladou ty správné otázky o bezpečnosti nebo jistotě, zda se na to zkrátka můžou spolehnout i ve scénářích, které je nenapadnou.
Je dnes něco, co je tak silně zabezpečené, že se nedá „hacknout“? Co a proč?
To není nikdy. To je právě pro osvětu hrozně důležité říct. Informační bezpečnost je o bezpečnosti, ano, ale žádný systém se nedá zabezpečit natolik, aby se nedal zneužít. Informační bezpečnost je vždycky o práci s rizikem, takže mým úkolem je zkrátka minimalizace rizika. Nikdy si ale nemůžeme být jisti, že někdo nevymyslí něco, jak obejít naše opatření. Je to stále trvající soupeření a předhánění se těch dobrých a těch špatných. To se netýká jen IT, ale obecně bezpečnosti. Když jsou dvě strany proti sobě, tak se jakékoli opatření dříve nebo později stane překonatelným.
Kyberbezpečnost je jedno z nejrychleji operujících a vyvíjejících se odvětví IT, je to tak? Útoky a viry se rychle přizpůsobují svým obráncům a je třeba vymýšlet další a další způsoby ochrany. Jak dlouho podle vás zůstává účinné nějaké opatření, než se mu útočník přizpůsobí a obejde ho?
To se bohužel říct nedá. Ta technická opatření jako taková jsou už na velmi vysoké úrovni, ale díky komplexnosti služeb obecně v rámci IT tam pořád hraje značnou roli lidský faktor. Ta konfigurace a pravidla, která tam jsou, a celkově povaha služby má značný vliv na to, jak dlouho dané opatření vydrží. Hraje v tom svou roli samozřejmě i trh. Např. pokud někdo zabezpečuje službu prodeje nábytku, tak je velmi malá pravděpodobnost, že by měl někdo značný zájem prolomit jejich databázi klientů a zjistit, kdo si kupoval skříň. Ale když někdo provozuje třeba banku a má značné množství prominentních klientů, tak může mít nejen konkurence značný zájem dostat se k jejich seznamu a jejich opatření tak prolomit. V takovém případě jsou i investice do bezpečnostních opatření řádově vyšší. Vždycky jde o to vědět jaké to riziko je a jaká může být potencionální hodnota těch dat nebo informací z pohledu daného trhu.
Jak tomu bude podle vás do budoucna? Budou se ty doby ještě víc zkracovat?
Doba se hodně posunula. Už je fakt těžké přijít na něco nového technického. Chce to neuvěřitelné znalosti a schopnosti. Dnes existují dokonce celé organizace, které se zabývají tím, že hledají zranitelnosti a pak je prodávají zpátky výrobcům, aby je opravili. Dnes jde spíše o to, že se více hledá chyba na lidské stránce.
Kde se hodně mění trendy, to je právě okamžik, kdy se někde do společnosti dostane někdo, kdo tam nemá co dělat, dostane se třeba k nějakému heslu a jeho přístup se jeví jako legitimní. Dost často je to tak, že společnost ani neví, že byla napadena a vesele funguje dál. Mění se ta doba, kdy si to ta společnost uvědomí. Snižuje se, ale jsou případy, kdy to trvá i déle než rok, než na to společnost vůbec přijde.
Jaké jsou největší výzvy v rámci kyberbezpečnosti dneška? Co je nejproblematičtější? Co se nejhůře chrání a jaké hrozby se nejhůře odhalují?
Těžko říct. Je to o těch rizicích. Pokud se ale zaměříme na nějakou společnost jako Tipsport, pro kterou jsou klíčová ta samotná data, tak se k tomu přistupuje jinak. My se zaměřuje nejenom na to, aby naše služby byly dostupné, ale hodně odpovídáme i za obsah. Chceme mít jistotu, že k němu má přístup vždycky jenom ta správná osoba a vždycky jenom v tu správnou chvíli. Zároveň chceme mít jistotu, že data máme jenom po nezbytně dlouhou dobu. Když už jejich obsah není relevantní, tak není důvod je držet. Snažíme se minimalizovat, co máme, abychom snížili riziko potenciálního zneužití, na které jsme třeba ani nepomysleli.
Obrovským rizikem je selhání lidského faktoru. Obecně je nformační bezpečnost o co největší eliminaci faktoru důvěry. Když se budu spoléhat na nějakého člověka, tak je pořád ovlivněn faktory, nad kterými nemám kontrolu. Pokud mu budu muset snížit plat nebo mu neschválím dovolenou nebo cokoli, on se nemůže naštvat a následkem může být to, že mi nějak uškodí. A pokud se jenom spoléhám a nemám žádné technické opatření, tak toho pak moc nenadělám.
Lukáš Stejskal
Čím se vy osobně v Tipsportu zabýváte, jaká je vaše práce?
"Mám na starosti informační bezpečnost od A do Z, řeším vše od politik až po rozvoj a analýzy rizik. V každé společnosti se ta pozice jmenuje jinak, ale je to zhruba tato náplň práce. Je to hodně tvořivé zaměstnání, sbírám zkušenosti, vymýšlím různé věci v oblast bezpečnosti."
Tím se dostáváme k tomu, že se do moderní informační bezpečnosti zapojuje i umělá inteligence. Proč se toto děje? K čemu to slouží?
Přesně tak. Když vezmu Tipsport, tak těch událostí, které nějakým způsobem můžou indikovat (např. že se z pohledu bezpečnosti děje něco špatně), je obrovské množství. Kdyby měl někdo sedět a neustále procházet všechno, co se kde děje a hledat nějaký problém, i když už máme jenom sadu pravidel a chceme zjistit, zda jsou porušené, jestli to je opravdu nějaký zásah do bezpečnosti anebo tzv. falce positiv, nebo zkrátka funkcionalita kterou jsme nedomysleli, i tak je to množství pořád velké. Umělá inteligence v tomto případě pomáhá snížit a zpracovávat to obrovské množství požadavků – takže já můžu říct stroji, aby si to všechno přečetl a na základě nějakého modelu strojového učení umí přijít na to, jestli je opravdu něco špatně. Samozřejmě ty modely nejsou dokonalé.
Momentálně se to u nás točí na úrovni zpracování velkých dat. My AI používáme už nějakou dobu a ulehčení práce nebo dopad na efektivitu je značný. Má to i vedlejší účinky. S novým zákonem o zpracování údajů, který nám protlačila EU, jsou nová práva subjektů, zaměstnanců, co všechno může zaměstnavatel sledovat atp., i ta legální stránka se čím dál více komplikuje. Tahle technologie umožní to, že člověk sleduje jenom nějaký nadefinovaný bezpečnostní faktor, nějaký indikátor toho, jak je daná osoba nebezpečná. Je to o tom, že se ten algoritmus naučí, jaké je standartní chování té dané osoby v rámci firemní sítě a upozorní na nějaký problém, pokud se nějak výrazně vychýlí. Aniž bychom my tedy aktivně sledovali, co kdo dělá, což samozřejmě není úplně příjemné, tak se stejně dozvíme, že někdo někomu sebral účet, snaží se něco vynést ze společnosti apod.
Jsou s tím spojeny nějaké limity nebo rizika? Mnoho vizionářů a vědců před AI varuje, souhlasíte s nimi?
V podstatě souhlasím. Umělá inteligence je pořád jenom vznešený název pro sofistikované softwarové řešení. A to musel někdo vymyslet, vyvinout a musel mu tu logiku, ať je sebepokročilejší, dát. My se spoléháme na to, že ta logika, která tam je, je správně. Pokud svěříme nějaký úkol umělé inteligenci, tak vkládáme důvěru do toho autora. Takže dopady můžou být velmi špatné. Pokud svěříme třeba nějaké medicínské úkony, řekněme diagnostiku v medicíně AI a někdo při vývoji a testování něco opomenul… Zase se vracíme k tomu, že je to spoléhání na lidský faktor. Ten je tam na začátku, uprostřed i na konci. Je důležité mít na paměti, že se ten stroj může mýlit a že to v podstatě není jeho chyba.
Přicházíte jako společnost často s velice unikátními softwareovými řešeními. Jak důležitý je pro vás vývoj a implementace nových trendů?
Když budu mluvit za sebe, tak držet krok s dobou je nezbytné, protože spoléhat se na něco, co je byť jen trošku zastaralé, může mít dopady, v případě nějakého neočekávaného rozvoje na trhu. To je ta stránka, co je vidět. Co se týče vnitřního fungování společnosti, z pohledu bezpečnosti, tedy mého pohledu, je hodně důležité, i když to lidé neradi slyší, právě to zbavování se faktoru důvěry. Já pokud najdu nějaké řešení, u kterého jsem přesvědčen, že nějaké riziko pokryje nebo dokonce eliminuje, tak rozhodně tou cestou chci jít. Než abych najal tým lidí, který bude něco hlídat, je mnohem lepší najít technologii, která zapadne do celkového konceptu. A dost často tam je i nějaká neočekávaná přidaná hodnota. Díky tomu, že člověk zpracovává nějaká data většinou technické povahy, tak se dozví spoustu věcí a fungování společnosti, procesech, jak to technicky funguje a tahle neočekávaná zpětná vazba často vede k tomu, že se zlepší, zrychlí cokoli, čím se zrovna zabýváme.
Kde berete inspiraci pro novinky?
Těžko se to říká, ale je to o tom, že se člověk nesmí bát trochu riskovat a nesmí si myslet, že ví všechno. Je hrozně důležité pořád poslouchat lidi kolem, ať má kdokoli jakoukoli pozici, jakékoli zkušenosti, jakoukoli školu, permanentně narazí na někoho, kdo o něčem ví mnohem víc než on sám. Většina té inspirace je tedy to, že mi někdo vnukne nějaký nápad nebo novou myšlenku. Já se tím začnu zabývat a kostičku po kostičce dám dohromady něco, co se dá nasadit a přináší to užitek, ať je to snižování rizik nebo třeba optimalizace procesů nebo technických řešení.
Jak důležité jsou moderní technologie pro svět sázení?
Zase je to o tom, držet krok s dobou. Tipsport je unikátní v tom, že to není taková klasická sázková kancelář, ale hodně staví na komunitě a sociálních službách a přináší sem do oboru spousty nového, věci, které konkurence nemá nebo neměla. Obecně je to jako v jiných oborech, pokud vám ujede vlak technologicky, máte problém, konkurence vás dříve nebo později předběhne. Na druhou stranu, pokud bezhlavě sázíte na nové věci, nové technologie, tak můžete skončit ve slepé uličce. Můžete se vydat cestou, kterou se nikdo jiný nevydá a může to být možná ještě horší než mít staré technologie. Takže Tipsport se ubírá stejným směrem jako jiný byznys. Specifika tady moc nejsou.
Tipsport je mezinárodní holding původem z Berouna, který se zaměřuje převážně na on-line sázení a s ním spjaté výhody a rizika. Značné prostředky a naděje tak vkládá do svého IT oddělení, které přichází s celou řadou inovativních řešení. A co je nejlepší? Zrovna hledá nové kolegy!
--> tipsport.jobs.cz
Jak je pro vás důležitá kyberbezpečnost a co v jejím rámci nejčastěji řešíte?
Řešíme bezpečnost na několika úrovních. Bezpečnost našich služeb, to, aby naše služby byly dostupné, aby si uživatelé byli jistí, že se o jejich data staráme tím správným způsobem. Celé fungování je založeno na zpracovávání nějakých dat, řešíme to, aby když si určíme nějaká pravidla, aby byly dodržovaná. K tomu nám pomáhá technologie.
Hrozně rád bych řekl, že jsme stoprocentně bezpeční, ale to asi nebude nikdy nikdo. Často řešíme nepovedené útoky na naše stránky a běžné problémy uživatelů. Dlouho se nestalo, že bychom řešili nějaký opravdu závažný problém a děláme všechno proto, aby tento stav trval co nejdéle a zatím se nám v tom poměrně daří. Myslím si, že jsme na tom na trhu obecně velmi dobře.
Kdo na vás nejčastěji útočí a s jakým cílem?
Většinou jde o poškození dobrého jména společnosti. To je ta nejobecnější kategorie, spadá do ní třeba nahrazení obrázků na webu, takové to klasické „I was here“. To je nejčastější. Cílené útoky se záměrem získat nějaká data nebo je znehodnotit, ty jsou naštěstí méně časté. Jsou mnohem hůře odhalitelné a hodně spoléhají na nějaký lidský faktor. Tyhle útoky se nedějí často po nějaké technické stránce, ale vždycky tam dost zásadní roli hraje nějaký uživatel.
V rámci bezpečnosti je hrozně důležité vzdělávání. Nejde ani tak o to, aby lidi věděli, jak co funguje, ale spíše aby si uvědomovali, s čím pracují a co může jejich akce způsobit. Pokud tedy rozumně přemýšlí a mají dost informací k tomu se správně rozhodnout ve správnou chvíli, tak všechna rizika zase hrozně klesnou.
Jak podle vás vypadá budoucnost sázení (za 20, 30 let)?
Já myslím, že se to posledních pár tisíc let moc nezměnilo, už v Římě se sázelo na vozataje, princip byl stejný, měnily se akorát prostředky. Myslím, že v té oblasti se toho moc nezmění, ale za pár let budeme mít mnohem větší přehled například o sportovních událostech, sport jako takový dostane nějaký nový rozměr. Když si představím třeba hokejistu, který bude mít na sobě nějaký senzor (což už se někde děje), a my víme, jak hodně mu buší srdce, jak moc je unavený a na základě toho, si asi budeme umět říct, jak dobře bude skórovat.
Bude s takovými informacemi ještě potřeba sázet?
Ono to není jen o tom sázení, dává to sportu takový jiný rozměr. Je to taková zábava, která je celkem žádaná. Myslím si, že vždycky tam bude mít náhoda svojí roli a vždycky se najde někdo kdo řekne „tak to bych se vsadil!“. Ať už jde o skupinu lidí v hospodě, jestli někdo udělá stojku, nebo o mistrovství světa ve fotbale, v podstatě, jestli budeme mít hodně informací tak se třeba nebude sázet na výsledek, ale třeba jestli někomu stoupne tep nad 150. Čím máme víc dat, tím máme víc možností v každé oblasti.
Už dnes jsou téměř všude, až do jaké míry ale podle vás technologie proniknou do našeho života v příštích třeba 30 letech? Jak bude vypadat život v roce 2047?
Já si myslím, že všude, ono vlastně už dneska jsou všude. Myslím si, že pokrok si udrží tempo, které má dnes, to znamená že bude neustále zrychlovat. Spousta technologií je tady od toho, aby nám pomohly získat lepší technologie a tenhle trend je podle mě skoro nezastavitelný. Vždycky když se najde nějaká hranice, tak se dá dříve nebo později překonat. Těžko se to tedy odhaduje.
Máte třeba nějaký sen, který by vám technologie mohly splnit? Hodně se třeba mluví o automním řízení v oblasti automotive.
To zrovna ne, já hrozně rád řídím, to bych zrovna právě nechtěl ???? Těším se na dobu, kdy se stanou věci více běžné, že jejich cena půjde hodně dolů. Těším se na dobu, kdy internet bude zdarma pořád všude, k čemuž to myslím směřuje díky internetu věcí. A těším se na dobu, až se více technologie promítne do běžných věcí, teď mě nenapadá konkrétní příklad, který by nebyl úplně ze Startreku. Mám rád, když věci přinášejí užitek a ulehčují život, když se někdo nad něčím opravdu zamyslí, a to co dá světu, najde veliké uplatnění úplně všude. Obecně bych byl rád, kdyby byl ten postup tak rychlý jako je a aby tou motivací nebyl vždycky jenom zisk.
Kromě užití v kyberbezpečnosti, jak se podle vás bude vyvíjet práce s AI? Hrozí nám třeba scénář z Terminátora?
Od toho jsme ještě myslím docela daleko, ale je pravda, že pokud bychom (to je jeden z těch scénářů) umělé inteligenci svěřili své zbraně, tak bychom mohli čelit všeličemu. Ale myslím si, že ne. Tyhle scénáře nejsou moc pravděpodobné. Mnohem pravděpodobnější je, že někdo s nějakým veřejným vlivem přesvědčí spoustu lidé o tom, že je například pravda nějaké náboženství a že nás to hodí zpátky do dark ages, do dob španělské inkvizice a ten pokrok a vědu to zbrzdí.
Ale myslím, že snad nenastane ani jedna z těch variant, už jsme se hodně posunuli. I když je tady pořád skupina lidí, která má v mnohém klapky na očích, tak věřím, že to dopadne dobře.
Text: Lucie Džurdženíková
Foto: Shutterstock
