6 otázek pro etického hackera

Malware, phishing, ransomware… Znějí záludně, a ještě záludněji fungují. Škody, které mohou způsobit kybernetické hrozby, bývají rozsáhlé a často i nevyčíslitelné. Přitom si za děravou bezpečnostní infrastrukturu mohou firmy mnohdy samy. Víte, jak rychle může být provoz vašeho podniku ochromen? Co je nejčastější příčinou a jak mohou základní bezpečnostní návyky pomoci tato rizika výrazně snížit?

Jan Nguyen není v oboru kybernetické bezpečnosti žádným nováčkem. Před téměř deseti lety začínal jako technický konzultant, dnes vede tým odborníků v DNS a.s. a pomáhá firmám i veřejným organizacím s obranou proti online hrozbám. Své zkušenosti často sdílí i s veřejností. Jak efektivně zabezpečit firmu vám poradí 27. listopadu na ostravské konferenci InnoVerse 2025.

Pojďme si v tom udělat jasno, proč už dnes nestačí antivir a silné heslo?

Antivirové řešení je dobrá ochrana proti známému malwaru, nicméně toto řešení vás neochrání před novými hrozbami, phishingem či infostealery. Pokud uživatel vyplní heslo na podvodné webové stránce (a nemá nastavenou vícefaktorovou autentizaci), tak je jedno jak silné heslo má. Nebo pokud je počítač uživatele infikován infostealerem, tak tento malware je schopen krást hesla přímo z prohlížeče.

S jakými bezpečnostními chybami se u podnikatelů setkáváte nejčastěji?

Asi zásadní chyba je ta, že firmy nebo organizace si koupí „zázračnou krabici“ a žijí v tom, že je ochrání před vším. Kybernetická bezpečnost není jeden produkt, ale je to nekonečný proces, se kterým je potřeba neustále pracovat. Není to jenom o technologiích ale také o procesech, edukaci zaměstnanců a především testování, zda všechno funguje tak, jak má. Firmy dále často ani neví, jaká všechna zařízení mají v síti, co mají dostupného z internetu nebo jim chybí segmentace sítě.

Které typy útoků podle vás představují pro malé a střední firmy největší riziko?

Dle mého názoru nezáleží na tom, zda je to malá nebo střední firma. Útočníci jsou jako rybáři, kterým je jedno jak velkou rybu chytí. Dle statistik NÚKIB se jedná stále o útoky typu phishing, vishing, zneužití zranitelností či znepřístupnění služeb.

Když se chce firma efektivně chránit, musí investovat do drahých systémů?

Předtím, než začne firma investovat do drahých systémů, doporučil bych si ověřit jejich stav z pohledu kybernetické bezpečnosti. Následně bych udělal základní bezpečnostní zásady. Zálohování, segmentace sítě, vynucení silné politiky hesel, zavedení vícefaktorové autentizace, hardening operačních systémů, zajištění fyzické bezpečnosti. Následně bych přemýšlel, jaké systémy firma potřebuje.

Absolutní základ je svatá trojice – firewall (NGFW), ochrana koncových stanic (EDR) a síťová sonda (NDR), která zajistí viditelnost v síti. Nezbytnou součástí je školení zaměstnanců, aby dokázali sami identifikovat phishingový e-mail, a hlavně jak se chovat bezpečně v digitálním prostředí.

Není hacker jako hacker, vy se v posledních letech zaměřujete především na etický hacking. Co si pod tím máme představit?

Pojem etický hacking je poslední dobou často v mediálním prostředí. Prakticky se jedná o člověka, který je na základě svých znalostí schopen hledat zranitelnosti nebo špatná nastavení. Tyto zranitelnosti, pokud identifikuje, provede jejich zneužití a klientovi poskytne důkaz. Na základě takového výstupu firma provádí nápravná opatření. Vše se děje legálně, tedy po podepsání všech potřebných dokumentů, proto je tam slovo etický.

Můžete uvést příklad útoku z praxe, který vás nejvíc překvapil?

Výchozí hesla do informačních systémů, která můžete dohledat v rámci obslužného návodu. Nebo útok typu push bombing, kdy je uživatel opakovaně vyzýván k tomu, aby potvrdil druhý faktor autentizace. Ten, jelikož nechce být stále vyrušován notifikacemi, tak to potvrdí a tím je schopen se útočník přihlásit do aplikace. Prakticky se jedná o překonání vícefaktorové autentizace.

Děkujeme za rozhovor a těšíme se na přednášku.