Jan Majtan vedie Sekciu kybernetickej bezpečnosti na Úrade podpredsedu vlády SR pre investície a informatizáciu.
Autor TASR
Bratislava 10. marca (TASR) - Študoval bankovníctvo a aplikovanú informatiku na univerzitách vo Viedni a Amsterdame. V roku 1999 nastúpil do CA Bankverein vo Viedni do projektov digitalizácie a informatizácie, následne pracoval na vedúcich pozíciách v bankovom sektore. Neskôr pôsobil ako riaditeľ a poradca v konzultačných spoločnostiach zameraných na IT bezpečnosť, projektové riadenie, design IT systémov a riadil niekoľko veľkých IT bezpečnostných projektov. Dnes Jan Majtan vedie Sekciu kybernetickej bezpečnosti na Úrade podpredsedu vlády SR pre investície a informatizáciu. Odpovedal na otázky TASR v rámci multimediálneho projektu Osobnosti: tváre, myšlienky.
-Len málokto má o občanoch toľko informácií a dát ako štátne resp. verejné inštitúcie. Tým skôr sa stáva aktuálnym problémom ich zabezpečenie a ochrana proti zneužitiu či hackerským útokom. Ak sa v polovici roku 2018 vytvorila samostatná sekcia pre kybernetickú bezpečnosť, dá sa to chápať ako signál, že štát tejto oblasti pripisuje dôležitosť?-
Rozhodne. Táto téma rezonuje nielen v médiách, ale má na ľudí a ich bežné fungovanie značný dosah, aj keď si to nie vždy uvedomujú. Je to, ako keď nám v tele koluje skrytý vírus, no zatiaľ nemáme žiadne príznaky ochorenia – problém v jeho počiatočnom štádiu odhalí len dôkladné vyšetrenie. Podobne aj v kybernetickej bezpečnosti sa často hrozba neukáže hneď. Jedna z najťažších vecí vôbec, je zistiť, že neželaný prienik do systému nastal. Analyzovať ho potom už viete. Ale čas, ktorý uplynie od reálneho útoku až po jeho odhalenie, môže predstavovať mesiace alebo dokonca aj roky, čo znásobuje možné dôsledky. Českému ministerstvu zahraničných vecí trvalo odhalenie infiltrácie viac ako rok a pol.
-Otázka kybernetickej bezpečnosti je zrejme taká stará ako samotné počítače. Kedy táto hrozba prerástla do súčasných rozmerov?-
Má to úzky súvis s masovým rozvojom mobilných technológií. Niekedy okolo roku 2007, keď sa začala písať éra smartfónov, začali mať ľudia pri sebe zariadenia, ktoré im okrem ekonomického a praktického benefitu poskytujú aj ten pocitový v podobe prístupu na sociálne siete. Keď využívate sociálne siete, znamená to, že umožňujete zbierať dáta o vašich záujmoch, blízkych, vzťahoch, ako aj o tom, kde ste a čo robíte. Všetko niečo stojí. Keď máte k dispozícii sociálnu sieť alebo vyhľadávač, ktorý nie je spoplatnený, bolo by naivné si myslieť, že prevádzkovateľ takejto siete poskytuje svoje služby zadarmo. Vy mu platíte samými sebou, teda svojimi údajmi, geolokáciou, tým, že systém vie, s kým komunikujete, čo vyhľadávate a čo vás trápi. Taká retrospektíva histórie vášho vyhľadávania – a to vie Google urobiť veľmi pekne – dokonale vyskladá vašu osobnú históriu, takže sa na vaše veľké prekvapenie odrazu rozpomeniete, kedy ste boli chorý, na čom ste pracovali, kedy ste sa s kým stretli a podobne.
-Klasickým príkladom je situácia, keď niekoho trápi povedzme nadváha – a len čo si vyhľadá niečo o tomto probléme, začnú ho zaplavovať reklamy na diéty či prípravky na chudnutie.-
Áno, takýmto spôsobom môžete človeku dodávať informácie alebo rady, ktoré by ho mohli zaujímať. Ale čo je vážnejšie, systém okolo vás vytvorí akúsi umelú „bublinu“, ktorá vás ešte viac utvrdzuje vo vašich predstavách alebo názoroch. To sa dá využívať veľmi cielene. Poskytovateľ služby to robí preto, aby zákazníka udržal čo najdlhšie „online“, aby jeho profil vedel predať viacerým stranám, a aby v ňom ešte aj vytváral pocit, že ide o dobrú službu.
-Kde je hranica legálnosti, keď údaje o užívateľovi nie sú len podkladom pre nevinnú cielenú reklamu, ale môžu byť doslova zneužité?-
Tou hranicou je napríklad zneužitie identity. To znamená, že vaše osobné dáta budú použité na to, aby vás niekto inpersonalizoval, teda aby niekoho iného urobil vami. Alebo na základe vašej identity vzniknú virtuálne klony, ktoré sa používajú na rôzne aktivity. Tzv. moderné sociálne inžinierstvo má mnoho nástrojov, ako vašu identitu dôkladne využiť. Môže to mať aj finančné dopady. Veľmi zjednodušene, môžete prísť povedzme o výplatu. Zmenia napríklad vaše osobné a bankové údaje a vaše peniaze pristanú na inom účte a vy to zistíte až po nejakom čase.
-Čo môže používateľ internetu robiť, aby minimalizoval riziko zneužitia?-
Je dôležité byť ostražitý, overovať si, aké stránky si prezeráte, aké používate aplikácie. Nepoznám napríklad veľa ľudí, ktorí si čítajú podmienky používania aplikácií a služieb. Málokto si uvedomuje, že vaše dáta, ktoré zadáte do aplikácie, cestujú potom po celom svete. Donedávna sa akýkoľvek obsah na vašom facebookovom profile – teda obrázok, text, video – stával automaticky vlastníctvom Facebooku, ktorý s ním mohol nakladať podľa vlastného uváženia. Našťastie dnes máme smernicu o ochrane osobných údajov – GDPR, čo musia rešpektovať aj veľkí hráči. Obrovské množstvo dát je však v rukách niekoľkých firiem na trhu, ktoré sú mimo jurisdikcie Slovenska aj Európskej únie. Tie síce poskytujú služby alebo produkty občanom EÚ, a teda musia dodržiavať aj pravidlá EÚ, ale nie je jednoduché to vynútiť a skontrolovať. Obrovské množstvá dát sú koncentrované u spoločností, ako sú Google, Facebook, Amazon alebo Netflix, na ktoré máme len sprostredkovaný dosah. Ťažko sa tiež zisťujú skutočné lokality, v ktorých sú dáta uložené.
-Čo to znamená?-
Keď zadáte nejaký údaj na váš facebookový účet, informácia sa okamžite rozloží a uloží sa v rôznych fragmentoch na viacerých miestach na svete. Možno v desiatkach globálnych datacentier. Veď si predstavte, že nejaký systém používa miliarda užívateľov a tí očakávajú, že ich aktivity a požiadavky sú spracované okamžite. Na to potrebujete extrémne robustný systém z hľadiska výkonu aj dostupnosti dát. Aktuálne prebieha diskusia o možnosti pre užívateľov, mazať tweety na Twitteri. Ak napríklad napíšem a zverejním nejaký tweet, aby som mal možnosť ho do hodiny odstrániť. To je technicky extrémne komplikovaná vec, pretože dáta z tweetu sú takisto rozkúskované a ukladajú sa geograficky veľmi diverzifikovane na množstve miest. Ak chcete správu vymazať, pre systém je náročný výkonnostný problém spraviť to synchronizovane a v konečnom dôsledku sa to nemusí úplne podariť. Takýto veľký systém, to je svet sám osebe.
-Teda ani keď vymažem mail zo svojej schránky, nie je v skutočnosti vymazaný?-
Nemusí to znamenať, že je vymazaný. Poskytovateľ ho často len zneprístupní. A pri vynaložení dostatočne veľkej námahy a peňazí, by ste sa zrejme k nemu vedeli opäť dostať.
-Nakoľko bolo efektívne prijatie nariadenia GDPR?-
GDPR určite má zmysel. Často sa toto opatrenie, najmä v podnikateľských kruhoch, prezentovalo ako nejaká prekážka, komplikácia alebo zložitosť. Ale viete si spomenúť na nejakú inú národnú alebo nadnárodnú entitu, ktorá by natoľko chránila súkromie a dáta svojich obyvateľov ako Európska únia? Pritom je to len základ pre ďalšie pokračovanie. A tým, ktorí túto normu implementovali správne a venovali jej implementácii primeraný čas a námahu, sa to určite vráti. Spomenul by som aj iniciatívu Internet Governance Forum, čo je platforma, v ktorej sa angažujú napríklad Francúzi, dokonca prezident Macron osobne. Ide o vytvorenie priestoru, ktorý by umožnil rozumne regulovať obrovských hráčov mimo našej jurisdikcie a primať ich, aby rešpektovali neutralitu siete. Nielen politickú, ale aj názorovú či kultúrnospoločenskú. Dnes napríklad vybudujete internetovú diaľnicu a mali by ste zabezpečiť, aby mal na ňu každý rovnaký prístup. Ale keď povedzme Google použije diaľnicu v plnom profile, neostáva tam veľa priestoru pre iných.
-Čo si má laik pod touto diaľnicou predstaviť? Čoho je to metafora?-
Napríklad káblov a sietí. A objemu dátových tokov, z ktorých značnú časť konzumujú veľké nadnárodné spoločnosti.
-Ak hovoríme o veľkých hráčoch, málokto má v rukách toľko dát o občanoch ako verejné inštitúcie, povedzme taký daňový úrad, poisťovne, samosprávy... Teda prioritne riešite problém bezpečnosti týchto informácií?-
Áno, ide najmä o verejný sektor ako správcu a zároveň poskytovateľa služby. Je potrebné vytvoriť podmienky pre bezpečné fungovanie 300.000 zamestnancov verejnej správy, ako aj pre 5 a pol milióna občanov v pozícii klientov. Je to obrovské množstvo dát, ktoré, ak by ste agregovali, dostanete o každom dôkladnejší obraz, než by si možno vytvoril o sebe on sám. Lebo človek zabúda, naša pamäť je selektívna, ale digitálna stopa, tá neselektuje, nezabúda, tá všetko drží. Navyše si možno z fyziky pamätáte na diódu, ktorá prepúšťa elektrický prúd len jedným smerom. Aj tu platí, že ak raz uniknú dáta, a predovšetkým biometrické, už sú vonku a nedajú sa vrátiť späť. V pase máme napríklad digitálnu podobu tváre, na polícii máme odtlačky prstov, k tomu zdravotné záznamy... Pokiaľ uniknú takéto informácie, môže ich niekto použiť a zneužiť našu identitu. Takže je potrebné navrhnúť systém a aplikácie tak, aby sa podobným veciam predišlo, resp. aby sa v čo najväčšej miere eliminovali.
-Je to splniteľná úloha?-
Je splniteľná, len tomu treba venovať pozornosť, zdroje, aj politiky – v zmysle pravidiel, vyhlášok, smerníc. Aby sme na jednej strane vedeli údaje preventívne a proaktívne chrániť a tiež, ak sa stane nejaký incident, aby sme vedeli adekvátne zareagovať. Pracujeme na tom systematicky, ale je to veľmi široký záber. Stopercentná bezpečnosť sa nedá zaručiť. Samozrejme ľudia nemusia hneď ráno vstávať s obavou, že je tu takáto hrozba, stačí, aby boli opatrní, ak majú nejaké aktivity vo virtuálnom priestore a ak niekomu dávajú svoju identitu, či už dobrovoľne alebo povinne.
-Čo je pritom dôležitejšie, investovať prostriedky do zabezpečenia, alebo vychovávať ľudí, aby s dátami pracovali zodpovedne?-
Oboje je postupný proces a naozaj si žiada veľa edukácie, snaženia, vysvetľovania. Na začiatok si možno stačí len uvedomiť, že nemusíte každému a za každých okolností poskytovať svoje meno, mail, adresu, skrátka, že dobrý systém je nastavený tak, aby mu stačilo nevyhnutné minimum informácií o užívateľovi. Snažíme sa tým minimalizovať plochu útoku. Tak ako pri súbojoch, keď na seba súperi strieľali, otočili sa zboku, aby sa znížila pravdepodobnosť zásahu. Keď ide o digitálne dáta, robíme často presný opak: postavíme sa čelom a ešte aj rozpažíme, takže robíme všetko pre to, aby bol zásah pravdepodobnejší. Preto je dôležité, aby ľudia vnímali zložitosť digitálneho sveta.
-Nemôžete konkretizovať opatrenia, ktoré štát robí na ochranu svojich resp. našich dát?-
Spočívajú v troch vrstvách. Prvou je nastavenie pravidiel, tzv. governance, vzdelávanie, kontrola a audit. Druhou sú tzv. CSIRT-y (Computer Security Incident Response Team), tímy expertov, ktorí proaktívne a reaktívne zasahujú, riešia incidenty, analyzujú a navrhujú bezpečnostné opatrenia. No a treťou je kontinuálny monitoring kľúčových uzlov štátu, tzv. SOC (Security Operations Centre). Technické riešenia sú spravidla utajované a má to svoje dôvody. Steny, teda ochranné opatrenia, sa navrhujú bezpečne, chyby v aplikáciách však nie je možné úplne vylúčiť, preto nezverejňovaním detailov značne sťažujeme potenciálnemu útočníkovi ich nájdenie a zneužitie.
-Prezraďte nám aspoň, na akej úrovni je Slovensko v kybernetickej bezpečnosti z medzinárodného hľadiska.-
Sme povedzme na úrovni okolitých krajín strednej Európy. Samozrejme, záleží na tom, o akú oblasť presne ide. Napríklad Poľsko ako väčšia krajina má v oblasti bezpečnosti väčší rozpočet a zamestnáva aj viac ľudí. Mojou úlohou je venovať sa budúcnosti. Pozrieť sa, kde sme dnes a čo spravíme pre to, aby sme sa dostali ďalej. To, čo plánujeme urobiť v oblasti kybernetickej bezpečnosti na Slovensku, by nás už v priebehu niekoľkých rokov mohlo zásadne posunúť niekde inde.
-Nedávno sa objavili informácie, že k najvyhľadávanejším pojmom na internete patrí kybernetická bezpečnosť, ale aj možnosti uplatniť sa v tejto sfére. Je to naozaj také atraktívne?-
V našom európskom priestore potrebujeme množstvo mladých ľudí, ktorí by boli ochotní a schopní sa venovať kybernetickej bezpečnosti. Len v spomínanom Francúzsku chýba v tejto chvíli 80 až 100.000 expertov. Na úrovni EÚ môžeme hovoriť o milióne ľudí, ktorí by sa vedeli krásne uplatniť, keby sa chceli venovať tejto oblasti. A tento dopyt bude rásť. Hovorím to preto, aby nad tým ľudia porozmýšľali. Aj súčasné deti a mladí ľudia. Nemusí ísť iba o matematikov alebo fyzikov. Dôležité je, ak majú schopnosť logicky myslieť, sústrediť sa. Máme veľmi dobrú spoluprácu s technickými či prírodovednými smermi na našich univerzitách a vysokých školách. A hľadáme aj konkrétnych ľudí pre naše aktivity. Pritom už neplatí, ako by si niekto mohol pomyslieť, že ide o prácu pre štát a za malé peniaze. Už aj na úrovni štátu vieme týchto ľudí oceniť, pretože je to špecificky zameraná odborná práca. Idea je pritiahnuť najlepších. Avšak nejde len o peniaze, ale aj o to, že veci, ktoré robia ľudia u nás, teda v štruktúrach kybernetickej bezpečnosti vo verejnom sektore, nemajú príležitosť robiť v komerčnej a súkromnej sfére. Dá sa tu naučiť veľa nového, takže zamestnanec, ak chce na sebe pracovať, má možnosť rýchlo si zvyšovať svoju kvalifikáciu. Investovali sme a priebežne investujeme veľa peňazí do školení, ktoré nie sú vôbec lacné a prebiehajú väčšinou v zahraničí.
-Často sa dnes spomínajú hybridné hrozby, úsilie niektorých krajín ovplyvňovať demokratické voľby, internet je tiež živnou pôdou pre také riziká, ako je povedzme extrémizmus, radikálne politické prúdy a podobne... V politickej rovine sa tieto nebezpečenstvá neraz podceňujú. Môže sa občan spoľahnúť aspoň na to, že sa nepodceňujú v rovine expertnej?-
Nepodceňujú sa, vnímame ich. Určite tu existujú hybridné hrozby s tým, že by som si dovolil nekonkretizovať ich pôvodcov. Priestor monitorujeme, snažíme sa zlepšovať naše kapacity a dosahujeme pokrok aj v tejto oblasti. Pritom práve Európa má zložitú pozíciu, pretože je korektná, snaží sa reagovať racionálne, a tak má problém s tzv. atribúciou. To znamená, že ak vidíte problém, čelíte nejakému vytrvalému útoku, alebo hoci aj útoku jednorazovému, môžete povedať, že to bol ten-ktorý útočník až vtedy, keď o tom máte úplnú informáciu. Lenže získať takúto komplexnú informáciu, ktorá by identifikovala útočníka, je zdĺhavé a často veľmi náročné a 100-percentnú istotu nemáte takmer nikdy. Európa, ktorá je korektná, rešpektuje právo a rešpektuje súkromie, trpí v globálnom kontexte, keďže niektorí iní hráči týmto pojmom dôležitosť vôbec neprikladajú.
Rozhovor s Janom Majtanom je súčasťou multimediálneho projektu Osobnosti: tváre, myšlienky v rámci ktorého prináša TASR každý týždeň rozhovory, fotografie a videá osobností slovenského, európskeho i svetového politického, spoločenského, ekonomického, športového a kultúrneho života.