Rozhovor s Josefem Muknšnáblem, ředitelem odboru kybernetické bezpečnosti Banky CREDITAS a.s.
Josef Muknšnábl je ředitel odboru kybernetické bezpečnosti Banky CREDITAS a.s. Statistiky ukazují, že obecně je nejslabším článkem kyberobrany člověk. Útočníci logicky volí nejlehčí cestu k cíli a na uživatele míří velká většina jejich pokusů.
„Nemyslím si, že bude v dohledné době nalezena nějaká zázračná technologie, nebo řešení, které dokáže ochránit klienty, rozpoznat podvod. Možná nějaká aplikace obecné umělé inteligence, ale i v tom jsem skeptický. Ještě nějakou dobu to bude zejména na klientech samotných a jejich schopnosti provozovat svá zařízení bezpečně a rozpoznat podvod, případně na něj ihned reagovat,“ říká Josef Muknšnábl.
Jak jste se dostal k IT bezpečnosti?
K IT bezpečnosti jsem se dostal postupně. Nebyl to prvoplánový výběr. Začínal jsem v oblasti kvality software (testování software), pak jsem přešel do oblasti BI (Business Intelligence, datové sklady) z něj pak do řízení projektů, a nakonec do interního auditu. Jakožto auditor jsem měl na starosti oblast IT a IT bezpečnosti a posléze jsem vedl i interní auditní tým, který byl zaměřen právě na tuto oblast. Pak jsem dostal nabídku na dočasné vedení týmu kybernetické bezpečnosti. Kolegové mě přesvědčili, ať se přihlásím do probíhajícího výběrového řízení, což jsem udělal, a k mému velkému překvapení jsem i uspěl. Od té doby jsme v IT bezpečnosti.
Proč je IT bezpečnost tak důležitý obor?
Z pohledu běžného uživatele je IT bezpečnost nebo také kybernetická bezpečnost důležitá, protože se s rostoucí digitalizací všech oblastí našeho života více a více, přímo či nepřímo, dotýká nás všech. Spoustu věcí dnes řešíme již kompletně prostřednictvím PC/mobilu a internetu, další pak přes internet kombinovaně s nějakým procesem ve fyzickém světě. Díky tomu, má každý z nás ve svém „virtuálním“, digitálním světě řadu údajů a dat. Jejich ztráta nebo zneužití by na něj mohla mít dopad. Mluvíme tu např. o osobních údajích, citlivých údajích nebo penězích. Zároveň ne každý si je vědom toho, jak tyto technologie fungují a co je a co není dobře při jejich používání. To samozřejmě láká řadu podvodníků, kteří neznalosti, nebo neopatrnosti lidí rádi využijí. I jim totiž „digitalizace“ skýtá řadu příležitostí ‒ dává jim rychlost, poměrně velkou anonymitu, mohou působit plošně a mohou také snadno působit mezinárodně.
Další věc, je pak význam IT bezpečnosti na vyšších úrovních např. na úrovni státu jako celku ‒ provozování kritické infrastruktury apod. Opět díky rostoucí digitalizaci se kybernetický útok stává něčím, co může mít pro společnost jako celek závažné až fatální dopady a projevit se trvalou nebo dočasnou paralýzou podniků, nebo větších celků.
Jak rychle se vyvíjí formy bankovních podvodů?
Rychle. Podvody v podstatě kopírují vývoj technologií a přijetí těchto technologií ze strany podniků, firem či orgánů státní správy. Podvodníci jsou velice kreativní a inovativní.
V čem z hlediska vývoje IT vidíte největší hrozbu?
Těžká otázka, každá technologie má svoje silná a slabá místa. Možná v obecné rovině je to asi větší, masivnější využití umělé inteligence pro organizaci útoků, hledání a analýzu slabých míst v obraně, případně identifikaci vhodných obětí.
Jaká je „první pomoc“ při napadení účtu?
Napadení většina lidí zjistí bohužel až ve chvíli, kdy jim z účtu odejdou peníze. Klíčové v takovém případě je okamžité nebo včasné zkontaktování banky. To je důležité pro záchranu ukradených peněz nebo alespoň jejich část. Je to jedině banka, která může zneplatnit zneužité přístupové údaje do bankovnictví, blokovat peníze, uvědomit ostatní banky apod.
Co může udělat každý z nás?
Být opatrný. Být nedůvěřivý. Přemýšlet o tom co se děje a kriticky to posuzovat. Při pochybnostech kontaktovat banku. Nenechat se zastrašit nebo vmanipulovat do něčeho, co je neobvyklé, co nedává smysl. Vždy si informace ověřovat. V případě nevyžádaných hovorů zavěsit a volat na oficiální číslo banky. Samozřejmostí je nikdy za žádných okolností nesdělovat nikomu (ani „pracovníku banky“, ani „policistovi“) své heslo, PIN apod. Nesdílet účty, ani mezi členy rodiny. V technické rovině je pak základem udržovat svá elektronická zařízení stále aktualizovaná tzn. aktualizovat operační systém, používat nejnovější verze programů a mít antivirový/anti-malware program.
Co bude klíčový průlom v ochraně klientů?
Po pravdě řečeno nevím. Nemyslím si, že bude v dohledné době nalezena nějaká zázračná technologie, nebo řešení, které dokáže ochránit klienty, rozpoznat podvod. Možná nějaká aplikace obecné umělé inteligence, ale i v tom jsem skeptický. Ještě nějakou dobu to bude zejména na klientech samotných a jejich schopnosti provozovat svá zařízení bezpečně a rozpoznat podvod, případně na něj ihned reagovat.
Jak složité je chránit banku?
Záleží na spoustě faktorů. Například na tom, jak velká banka to je, jaké používá technologie, jak je organizovaná, jaké služby poskytuje, kolik má poboček, jakou má strukturu klientů apod. I mezi jednotlivými bankami mohou být významné rozdíly v tom, jak složité je organizovat jejich obranu, byť díky dlouhodobé, přísné regulaci celého odvětví jsou na tom banky oproti jiným typům organizací z pohledu zabezpečení velice dobře.
Co mohou být slabá místa organizací a bank?
Těch míst je hned několik. V obecné rovině bych zmínil zejména zabezpečení vnějšího perimetru, tzn. míst vstupu do organizace, ať už se jedná o přístup zaměstnanců (např. při práci na dálku), klientů (vlastní aplikace organizace nebo mobilní a internetové bankovnictví) nebo přístup do infrastruktury vystavené do internetu (např. cloudové služby), a s tím související řízení přístupu a práv uživatelů. Důležitý je také stav infrastruktury vystavené do internetu, zejména z pohledu zranitelností a jejího pravidelného záplatování. Není radno také podceňovat oblast sociálního inženýrství a potencionální hrozbu ze strany zaměstnanců – tzv. „Insider Threat“, což může být prodej přihlašovacích údajů nebo krádeže dat. V neposlední řadě je to schopnost organizace reagovat na bezpečnostní události a incidenty.
Jaké jsou největší hrozby pro banky?
Hrozbou číslo jedna je z mého pohledu Ransomware, což je vyděračský software, jež zašifruje servery, PC a požaduje výkupné za rozšifrování. Ať už z pohledu dopadů do infrastruktury banky nebo z PR pohledu. Ten PR pohled je snad ještě horší, je to významné narušení důvěry mezi klientem a bankou. V podobném duchu jako je Ransomware bych viděl obecně úniky dat. Naproti tomu útoky zaměřené na dostupnost služeb – DDoS, bych obecně hodnotil jako ne tak závažné. Byť došlo v souvislosti s konfliktem na Ukrajině k jejich významnému nárůstu, tak tato situace paradoxně vedla k degradaci jejich významu, banky se na ně naučily dobře reagovat a připravenost zvládat incidenty tohoto typu a jejich dopady na klienty oproti období před konfliktem významně vzrostla.
Je dobré mít jen bezhotovostní bankovní převody?
Ta otázka má nejméně dvě roviny. Ptáte-li se mne, jakožto bankovního uživatele, tak řeknu jednoznačně ANO, je to dobré. Když pro nic jiného, tak pro celkový přehled nad financemi a finanční situací. S bezhotovostním převodem v každém časovém okamžiku víte, za co jste utratili a kde. Máte data okamžitě k dispozici v elektronické podobě, můžete si je analyzovat. S hotovostí nevíte nic. Alespoň v mém případě. Nikdy jsem nedokázal být natolik disciplinovaný a shromažďovat účtenky a udržet v hotovostních platbách důsledně přehled po delší dobu. Také je to pohodlné, máte neustále všechny své peníze s sebou, nejste omezen při nakupování bankovkami v peněžence.
Nicméně ptáte-li se mne, obecně, zda je dobré směřovat k plně bezhotovostní společnosti, tady moje odpověď tak jednoznačná není. Pořád bych nechal možnost platby v hotovosti do nějaké, byť omezené výše k dispozici, a to zejména z důvodu chyb a jejich nápravy. Pokud z nějakého důvodu dojde v bezhotovostní společnosti k zablokování účtu, tak zkrátka nezrealizujete ani jednu jedinou platbu. A to na vás může mít poměrně fatální dopad.
Máte rád sport i adrenalinové aktivity, přírodu od lesa po poušť. Máte v práci málo adrenalinu?
To není ten důvod. Adrenalinové aktivity se mi líbí jako takové. Svým způsobem se jedná o řízené aktivity, kde kontrolujete nebo se alespoň snažíte kontrolovat míru rizika, ať už prostřednictvím výcviku nebo pomůcek. A tím se tak tyto aktivity spíše přesunují do oblasti zábavy.
Děkuji za rozhovor.
Foto: Poskytnuto Josefem Muknšnáblem
Autor: Renáta Lucková
Sdílet
Hodnotit
Autor článku
