Odber
Kybernetická bezpečnosť firiem - rozhovor s Michalom Špačekom

Kybernetická bezpečnosť firiem : Michal Špaček o najväčších mýtoch a vete, ktorá vás vyjde draho

ToSho
Bezpečnostné vzdelávanie
Nenechaj v tom známych samých – zdieľaj
Začiatočník

Sú firmy, ktoré nepadnú preto, že by mali smolu. Padnú, lebo si roky pestujú návyky. Pre ne je kybernetická bezpečnosť firiem len nutné zlo, čo je ekvivalentom jazdy autom bez pásov po diaľnici v protismere – len preto, že „zatiaľ sa nám nič nestalo“.

Do tejto mini-série o reálnej bezpečnosti som si vypýtal odpovede od človeka, ktorý nepotrebuje úvod – Michala Špačeka. Nie je to typ „korporátneho kazateľa“ a ani si nenaháňa klientov nasilu strašením. O to viac je zaujímavé čítať jeho názory tam, kde je stručný, kde je ostrý a kde až nepríjemne triezvy.

Položil som mu otázky, ktoré trápia (alebo by mali trápiť) každého admina aj riaditeľa. Nižšie nájdete jeho autentické odpovede a hneď pod nimi môj komentár – tvrdší, ale praktický preklad do reality vašej firmy.

1) Veta pred katastrofou: „To se nám nemůže stát“

Väčšina útokov nezačína geniálnym hackom, ale ignoranciou. Pýtal som sa Michala na fenomén firiem, ktoré veria vo svoju nesmrteľnosť.

Michal Špaček: „To se nám nemůže stát“, „nám se zatím nic nestalo, jen nám hacknuli blog na WordPressu“ apod. Ale to většinou není začátek spolupráce a lidé a firmy, které tohle říkají se mnou ani spolupracovat nechtějí a vlastně nechějí spolupracovat s nikým. Nenavazuji mnoho spoluprací za rok, a když za mnou někdo přijde, tak už většinou ví proč a za kým jde :-)“

Môj komentár:

Táto veta je mentálny antivírus, ktorý v skutočnosti nerobí nič — len vám ukazuje falošné okno „všetko OK“, kým sa v pozadí sťahuje ransomvér.

Najhoršie je, že fráza „nám sa nič nestalo“ v praxi často znamená len toto:

  1. Nikto sa ešte nepriznal.
  2. Nikto sa na logy nepozerá.
  3. Nikto nevie, čo je normálna prevádzka, takže ani nevie, čo je anomália.

A to „hacknuli nám WordPress“ je krásna ukážka bagatelizovania. Keby vám niekto vykradol byt, tiež nepoviete „len nám trochu poprehadzovali veci v obývačke“ 😅.

Manažérsky preklad : Ak je vaša stratégia kybernetickej bezpečnosti firmy postavená na slove „zatiaľ“, tak nemáte stratégiu. Máte len šťastie. A to sa minie.

Admin checklist (aby ste zajtra nemali infarkt):

  • Logy: Zapni a hlavne centralizuj logy (aspoň autentifikácie + admin akcie + audit).
  • MFA: Zapni ho všade, kde to ide (a nie „len admini“, útočník začína u recepčnej).
  • Zálohy: Nestačí mať „backup“. Musíte mať otestovaný „restore“.

2) VIP výnimky: „MFA ma otravuje“ a božský komplex

Každý admin to pozná. Zavedie sa bezpečnosť, ale niekto z vedenia to nechce, lebo ho to zdržuje.

Michal Špaček: „Nijak neuznávám takové výjimky. Pokud ho to otravuje, tak je potřeba to udělat tak, aby to neotravovalo, viz AviDovo pravidlo použitelnosti: ‚Security at the expense of usability comes at the expense of security.‘ které pronesl Avi Douglen, a které to přesně potvrzuje.“

Môj komentár:

Toto je jedna z najlepších viet v celom našom rozhovore. Lebo pravda je jednoduchá: VIP výnimka je vlastne VIP dierka v trupe lode. A keď do lode začne tiecť, netečie to „len do kajuty manažéra“. Tečie to všetkým.

Ale Michal trafil pointu presne: ak niekto bojuje proti MFA autentifikácii, často to nie je „len arogancia“. Niekedy je to signál, že ste to nasadili tak, že to reálne bolí (nezmyselné prompty, pýtanie kódu 7x denne, rozbité flow, zlé SSO).

Tvrdé pravidlo pre firmu: Výnimky sa nemajú „vybojovať“. Výnimky sa majú technicky zabiť tým, že ochrana bude:

  1. Použiteľná.
  2. Jednotná.
  3. A ideálne automatická.

Konkrétne riešenia, ktoré znižujú odpor (a tým aj výnimky):

  • SSO + „remember device“: Tam, kde to dáva zmysel (bezpečné zariadenie).
  • FIDO2 / passkeys: Pre VIP je to často najlepšie riešenie – strčia kľúč, dotknú sa a idú. Žiadne opisovanie kódov.
  • Podmienkové prístupy: (Risk-based / Location-based policies) – nech to nepýta overenie, keď sedí v kancelárii, ale len keď sa prihlási z Dubaja.
  • Jasná politika: „Admin práva sú nástroj, nie status.“

3) AI „programátori“: Vibey kód a mantinely

Je AI v programovaní spása alebo skaza? Pýtali sme sa na kvalitu kódu generovaného umelou inteligenciou.

Michal Špaček: „Tohle je skvělý výzkum na tohle téma: Bad Vibes: Comparing the Secure Coding Capabilities of Popular Coding Agents. Je těžké z toho něco vykopírovat, ale závěr pod nadpisem ‚“Vibing” Secure Code‘ to shrnuje všechno. AI dělá chyby, ale je umí identifikovat – narozdíl od unaveného programátora, ale přijde mi, že unavený programátor vs AI není férové srovnání. Nejen unavený programátor má mít mantinely v podobě statické analýzy apod., neměl by věřit ani sám sobě. AI tu může pomoci.“

Môj komentár:

AI nie je ani spasiteľ, ani démon. AI je zosilňovač. Zrýchli dobré procesy… a brutálne zrýchli aj zlý chaos.

Najväčšia hrozba nie je „že AI píše deravý kód“. To sa dialo aj bez AI (ľudia sú v tom experti). Najväčšia hrozba je, že ľudia začnú deployovať veci, ktorým nerozumejú, lebo „veď to prešlo, funguje to a vyzerá to cool“ (vibing).

Tvrdá, ale férová veta: Ak nemáte vo firme bezpečnostnú pipeline (SAST/DAST, dependency scanning, code review), AI vám nepomôže byť bezpečnejšími. AI vám len pomôže urobiť chybu rýchlejšie a vo väčšom rozsahu.

Minimum pre bezpečný vývoj (aj s AI):

  • Povinné code review (minimálne 1 ďalší človek, nie AI).
  • SAST + dependency scanning (kontrola známych zraniteľností – CVE).
  • Tajomstvá (API kľúče, heslá) striktne mimo kódu (Secrets Management).
  • Bezpečnostné testy ako podmienka merge/deploy.

4) Heslá: Problém nie sú ľudia, problém sú nástroje a blbé rady

bezpečné heslá stále témou? A prečo ich ľudia stále píšu na papieriky?

Michal Špaček: „Nesetkal jsem se s tím, že by se firmy bály passkeys, ale hesla budou nejspíš potřeba vždy, passkeys je zcela nenahradí, alespoň ne za mého života. A ano, je mnohdy jednodušší dávat za vinu špatnou ‚hygienu hesel‘ uživatelům, než poskytnout lepší nástroje pro kontrolu hesel apod. Možná i to stále ještě někde doporučované ‚nikam si hesla nezapisujte‘ je také důvodem, kdybychom trvdili ať si hesla zapisují na bezpečné místo do správce hesel, tak část problémů tu nemusíme mít (takhle dlouho).

Mimochodem, vymyslel jsem si takové Špačkovo pravidlo špatných článků o tvorbě hesel: když má článek v nadpisu jednotné číslo, např. ‚jak na bezpečné heslo‘, tak ten článek je špatný a nikdo by ho neměl číst. Když používá množné číslo, ‚jak na bezpečná hesla‘, tak může být dobrý.“

Môj komentár:

Toto je presne tá „tichá katastrofa“: firmy roky tlačia na ľudí, aby robili niečo kognitívne nemožné (pamätať si 150 unikátnych, zložitých hesiel), a potom sa tvária prekvapene, že ľudia:

  1. Recyklujú heslá (jedno heslo vládne všetkým).
  2. Ukladajú si ich do nezabezpečených poznámok.
  3. Zdieľajú ich cez chat (lebo „potrebujem to hneď“).

Ak chce firma menej incidentov, musí prestať viesť vojnu proti ľudskej pamäti.

Realistická cesta:

  • Password manager pre všetkých: Firemný štandard, nie „dobre mienená rada“.
  • Passkeys: Zaviesť všade, kde to technológia povoľuje.
  • Zrušiť „hlúpe“ pravidlá: Rotácia hesiel každých 30 dní bez dôvodu je bezpečnostné riziko, nie ochrana. Núti ľudí vymýšľať Heslo1, Heslo2, Heslo3.
  • Kontrola: Blokovanie slabých hesiel pri ich vytváraní (server-side check).

5) „Bezpečná interná sieť“ — spojenie, ktorého sa treba báť

Stále existujú firmy, ktoré veria, že za firewallom je svet gombička.

Michal Špaček: „Nicméně já nepracuji s mnoho firmami, a když už, tak s těmi jejichž firemní sítí je Internet, kde nečeká nic dobrého ‚by design‘ 🙂 Slovního spojení ‚vnitropodniková bezpečná síť‘ se bojím jak čert kříže :-)“

Môj komentár:

Toto je geniálne, lebo „interná bezpečná sieť“ je často len marketingový názov pre realitu: „Nemáme segmentáciu, lebo veď sme za firewallom.“

A potom príde realita:

  • Jeden kompromitovaný notebook obchodníka.
  • Jeden infikovaný e-mail na recepcii.
  • Alebo jediný „dočasný“ port forward od admina…

…a zrazu je z „internej bezpečnej siete“ veľmi rýchlo interná diskotéka pre útočníka, ktorý sa pohybuje laterálne (do strán) bez akejkoľvek prekážky.

Tvrdá veta pre manažment: Ak sa spoliehate na to, že „to je interne, tam sa útočník nedostane“, tak sa spoliehate na náhodu. Zero Trust nie je buzzword, je to nutnosť.

Minimum, ktoré by mala mať každá firma:

  • Segmentácia siete: Aspoň základ (Server VLAN vs. User VLAN vs. IoT/Guest VLAN). Tlačiareň nemá čo vidieť na databázový server.
  • Princíp minimálnych práv: Nikto nemá mať admin práva „pre istotu“.
  • Monitoring: Kto a kedy sa prihlasuje?

Záver: Kybernetická bezpečnosť firiem – prečo sa tento text oplatí čítať znova?

Michalove odpovede sú miestami strohé, ale práve tie vybrané časti sú brutálne použiteľné. Ukazujú, že kybernetická bezpečnosť firiem sa nerozpadá na „hackeri vs. my“, ale na každodenné rozhodnutia: výnimky pre šéfa, použiteľnosť MFA, správne nástroje na heslá a mentálne skratky, ktoré robíme.

A teraz tá nepríjemná pravda na koniec: Firma, ktorá potrebuje katastrofu na to, aby zmenila správanie, nemá bezpečnosť — má len drahé učenie. Nečakajte na ransomvér, aby ste zistili, že „nám sa to môže stať“.

Starling

Odporúčané články:

Prihlásiť sa na odber
Upozorniť na
0 komentárov
Najstaršie
Najnovšie Najviac hlasovalo
Inline Feedbacks
Zobraziť všetky komentáre
Accessibility by WAH