Desítky tisíc útoků za minutu po celém světě ukazuje obrazovka ve velíně Dohledového centra kybernetické bezpečností T-Mobilu v Praze na Roztylech. Vedoucí týmu SOC neboli Security Operation Centre Martin Salač nás v izolované místnosti zasvěcuje do nebezpečí, o jakých se nám ani nezdálo.

Animace na obrazovce zobrazuje skutečné útoky?

Mapa světa s útoky na obrazovce je populární ukázka pro zákazníky a demonstruje online vizualizaci útoků na celém světě. Jde o stránku vytvořenou Deutsche Telekom, což je mateřská firma českého T-Mobilu, s níž úzce spolupracujeme. Deutsche Telekom má po celé planetě rozesetou síť takzvaných honeypotů. Jsou to „lapací jámy“ na útočníky, tedy počítače úmyslně vystavené na internetu s nasimulovanou zranitelností. Doslova volají po útočnících, aby si do nich šli získat nějaká citlivá data. Tváří se jako jakýkoliv jiný, plně produkční počítač Deutsche Telekomu.

Ale nejsou?

Ve skutečnosti jsou to pasti, počítače bez jakýchkoli citlivých dat. Útočník někdy ani nezjistí, že do ní skočil, ale nám tím dá příležitost zaznamenat, jak k průniku došlo a učinit opatření, aby se to nestalo na produkčních systémech. Podobných typů pastí má Deutsche Telekom celou řadu. Na animaci jsou zobrazeny pouze vzorky útoků, protože ve skutečnosti každou minutu dochází k desítkám tisíc útoků. Kdybychom měli ukázat všechny, obrazovka by byla úplně bílá.

A kdyby to číslo najednou vystřelilo třeba na stovky tisíc?

Mohlo by to znamenat masivní kampaň, ale třeba i méně nebezpečnou událost hromadného charakteru. Nebo to může znamenat i něco zcela jiného. Všechna data sbíráme a vyhodnocujeme spolu s kolegy v Německu. Na základě toho vydáváme upozornění, že se objevil nový typ způsobu průniku, který jsme zachytili v honeypotu.

Co je vaše noční můra?

Specifický typ malwaru (tzv. ransomware), který by se dostal do infrastruktury, začal se nekontrolovaně šířit a šifrovat pevné disky v počítačích za účelem znemožnit poskytování služeb T-Mobile. To je černý scénář, proti kterému poslední léta budujeme usilovně obranu. Nejhorší je falešný pocit bezpečí. Proto jsme neustále ve střehu, stále se snažíme vylepšovat naši obranu a reflektovat současné trendy hrozeb. Máme tady speciální sondy, kterým říkáme kanárci a ti nás upozorní v případě nějakého podezření. 

Jak takový kanárek vypadá?

Kanárků máme několik typů. Může to být program, který hlídá, pak jsou to celé systémy, které sbírají a poslouchají události z prostředí, nebo speciální sondy. Na základě nich vyskakují alerty, s nimiž dále pracujeme a události vyšetřujeme. 

Co se děje pak? 

Samozřejmě nečekáme, až útočník napáchá nějakou škodu, takže útočníka rychlé zachytneme, odsekneme od prostředků a uzavřeme mu přístup do naší infrastruktury. Současně začneme vyšetřovat, jak se k nám dostal, co všechno udělal, kde všude byl a co si mohl potenciálně odnést. S vyšetřováním incidentu dohledáváme všechny zpětné stopy a události.

Spolupracujete s policií?

Přirozeně. S policií je ve spojení oddělení korporátní bezpečnosti T-Mobilu, pro které shromažďujeme důkazy a podklady. 

Rozumí české orgány činné v trestním řízení údajům, která jim předáváte? 

Rozhodně ano. Dnešní policista už nepíše protokol jedním prstem. V policii existují speciální jednotky věnující se výhradně kybernetickému zločinu, v nichž máme fundovanou protistranu. Navíc úzce spolupracujeme s Národním úřadem pro kybernetickou bezpečnost. Určitě to není o tom, že bychom jim předali hromadu materiálu a oni nevěděli, co s ním. Přestože státní správa není tak dobře placená jako komerční sféra, pracují tam opravdoví profesionálové.

Kdo je typický hacker?

To je otázka, na kterou bych chtěl znát odpověď i já. Máte samozřejmě spoustu dokumentů a publikací, kde jsou popsané profily hackerů, od tzv. „script kiddies“ neboli začátečníků zkoušejících, co dokážou, přes zhrzeného zaměstnance, až po státem podporovaný a placený kyberterorismus. Je toho celá paleta. Problém je státem sponzorovaný kybernetický terorismus, což se ukázalo poté, co Rusko 24. února 2022 zaútočilo na Ukrajinu. Tehdy naše křivky letěly strmě vzhůru a ukazovaly násobně víc útoků než jindy.

Nebyla to náhoda?

Rozhodně si nemyslím, že to byla náhoda. Míra útoků se zesedminásobila. Hlášeny byly pokusy o průniky, skenování sítí a pokusy o krádeže dat. Útoky na odepření služby (DDoS) vykazovaly dokonce více než desetinásobný nárůst. 

Vy vidíte, odkud ten útok přichází?

Vidíme zdrojovou IP adresu. Otázka fyzické lokalizace útočníka je ale jiná věc. Útočníci většinou používají anonymizační software, který znemožní jejich lokalizaci. Sedím-li v Thajsku, mohu se napojit do Brazílie, odtamtud se propojím přes USA do Ruska, Čínu, přes Indii a vynořím se v Itálii, takže se navenek jevím jako Ital. Kdo opravdu sedí na druhé straně, je jen obtížně zjistitelné. Útočníci používají pro pohyb na internetu nástroje umožňující skrývat stopy. Na tuto identifikaci jsou jiné a pokročilejší metody a techniky, které si s dovolením nechám pro sebe jako naše interní know-how.

Daří se vám být o krok napřed před těmi zločinci?

Ne, nedaří, a ono to prakticky nejde. Kdokoliv vám bude tvrdit opak, tak nemluví pravdu. Je to jako boj mezi lékařem a nemocí. Nemoci budou vždycky napřed. My budeme vždy jen reagovat a nasazovat protiopatření. Ano, máme tu cosi jako rozvědku, která na základě specifických údajů dokáže útoky do určité míry předvídat. Ale opět to nepokrývá celé portfolio kybernetického světa, takže bych to přirovnal k ucpávání děravé hráze. Jeden únik vody zastavíte, ale máte spoustu dalších, a navíc nové stále přibývají.

Vyvíjíte sami nějaký malware, abyste věděli, jak se hackeři chovají, dokázali vidět do jejich mysli a předvídali jejich chování?

Malware pouze analyzujeme, abychom znali trendy v tvorbě škodlivých kódů, ale že bychom sami vyvíjeli malware, to ne. Odpověď je jednoduchá, my jsme součástí skupiny Deutsche Telekom a spolupracujeme s kolegy z Německa a tam mají na výzkum malware speciální oddělení. My čerpáme znalosti a zkušenosti od nich a na oplátku jim poskytujeme služby, ve kterých jsme zas lepší my.

V čem jsou Češi výjimeční? 

Naše pozice na security trhu je velice silná a oceňovaná. Máme za sebou několik úspěšných dodávek. Hlavní deviza Čechů je flexibilita a umění si poradit v nečekaných situacích. Němečtí kolegové mají většinou vše precizní, přesně dané s nádhernými postupy a také propracovanější, robustnější a lépe udělané systémy, ale někdy jim trošičku chybí invence. Je to něco, kde se vzájemně hodně silně inspirujeme. My jim přinášíme schopnost naší flexibility, operativy a možnosti rychlé reakce, oni systém. 

Kolik lidí tady pracuje?

V současné době má tým SOC 15 lidí, širší tým pak čítá osmdesát lidí. 

Co přesně chráníte?

Naše ochrana má široký záběr, aby zastřešila všechny klíčové služby T-Mobilu a Slovak Telekomu. Navíc chráníme naše velké i malé zákazníky. Odrážíme snahy o přehlcení linek s cílem znepřístupnit poskytované služby, filtrujeme nežádoucí nebo průnikové dotazy na webové stránky, kdy se útočníci snaží dostat do interní infrastruktury a systémů T-Mobilu a získat z nich citlivá data, která by chtěli následně zobchodovat na černém kybernetickém trhu, případně jinak poškodit společnost. Zároveň hlídáme a vyhodnocujeme bezpečnostní hlášení ze systémů našich zákazníků a provádíme odpovídající protiopatření. Zaměřujeme se ale i na ochranu koncových zákazníků a jejich mobilů.

Kdo je typický člen vašeho týmu?

Kybernetický sekuriťák je obvykle zobrazován jako mladík s kapucí přes hlavu, sedící v potemnělé místnosti u Coca Coly a pizzy. Tyhle stereotypy u nás neplatí, máme tady v týmu i čtyři děvčata se skvělými výsledky. Jestli mohu povzbudit i další dívky z IT, naše dveře jsou pro ně otevřené. Spolupráce funguje naprosto fantasticky, ta diverzita přispívá k dynamičnosti týmu.

Berete i polepšené hackery?

Tato hranice je velice tenká. Pokud byl někdo trestně právně stíhaný, zavírá mu to dveře. Nikdy nevíte, kdy se zmíněný jedinec opět obrátí na „temnou stranu síly“. Na druhou stranu takzvané etické hackery rozhodně bereme. To jsou lidé, kteří své schopnosti směřují k prolomení stávajících ochranných opatření za účelem jejich posílení proti kriminálním kyberútokům. Máme pro ně dokonce vypsanou soutěž.

Jak se soutěží?

Na webu zveřejníme seznam stránek s výzvou, aby na ně etičtí hackeři zaútočili. Hackeři nám své nálezy a průniky hlásí a my jim za ně vyplácíme finanční odměny podle toho, jak významný jejich nález je.

Jak velký je zájem o takovou výzvu?

Po dobu fungování soutěže pro etické hackery již bylo na odměnách vyplaceno několik desítek tisíc euro. Většinou tak jednou za měsíc, možná dvakrát, přichází opravdu pecka, která zabrání k odhalení nebo k nějakému úniku citlivých dat ze společnosti. Takový nález oceňujeme nejvyšší taxou. 

Co je předpokladem pro to, aby u vás člověk mohl pracovat? 

Nové kolegy hledáme velmi usilovně, protože s digitalizací celé společnosti, celého státu a i všech odvětví ekonomiky významně rostou požadavky na kybernetickou ochranu. Objem práce je stále větší a bohužel se nám nedaří získávat nové kolegy tak rychle, jak bychom potřebovali. Požadavky na práci v oblasti kybernetické bezpečnosti jsou velmi obsáhlé. Uchazeč o členství v našem týmu by měl mít hodně širokou znalost z IT světa. Musí to být síťař, databázista, správce operačního systému, znalec aplikací, kódů a tak dále. Je to dost obtížný obor, těžko se nám získávají další lidé, ale o to kvalitnější tým tady máme. Jak z lidského, tak z profesionálního hlediska. Je tu úžasná nálada a spolupráce, organizujeme akce i mimo práci, družíme se jak to jde.  

Martin Salač: Dětství prožil v 80. letech na osmibitových počítačích. Po studiu na pražské ČVUT získal dlouhodobou zkušenost z operativy. Dvacet let se věnoval správě a údržbě různých typů IT systémů, programování, nastavování bezpečnostních politik a bezpečnostním analýzám. V oddělení SOC českého T-Mobilu pracuje pět let, během nichž prodělal několik výměnných školení v zahraničí, především v Deutsche Telekom.