Pravidelne upozorňuje úrady na diery v systémoch, cez ktoré môžu hackeri ukradnúť citlivé informácie o nás všetkých. Nedávno napríklad poukázal na slabú ochranu údajov o zaočkovaných v databáze Národného centra zdravotníckych informácií (NZCI), za čo si „vyslúžil“ trestné oznámenie.
Etický hacker Pavol Lupták je majiteľom bezpečnostnej IT spoločnosti Nethemba a je častým hosťom na bezpečnostných konferenciách po svete. Ako digitálny nomád veľa cestuje a má trvalý pobyt aj v Paname a Paraguaji pre prípad, že by sa už na Slovensku necítil bezpečne.
Národné centrum zdravotníckych informácií na vaše upozornenie na bezpečnostné diery v systéme reagovalo trestným oznámením na neznámeho páchateľa. Už ste boli v tejto veci vypovedať?
Nie. Myslím si, že ani nepôjdem. Štátni manažéri sa takto bežne snažia pred verejnosťou zbaviť zodpovednosti a vyviniť sa z chyby, ktorá by ich mohla stáť miesto. Keby skutočne trvali na trestnom oznámení, na súde by sa bez pochybností prišlo na to, že v skutočnosti bol problém na ich strane.
Tvrdíte, že ste zo štátnej databázy vďaka chybe v systéme získali údaje o tom, či sú jednotliví politici zaočkovaní. Čo by sa stalo, keby ste ich zverejnili?
Najskôr by nás zažalovali. Lenže to nie je náš štýl. Postupujeme v súlade s procedúrami, ktorými sa riadia etickí hackeri. Dieru v systéme NCZI sme nahlásili špeciálnej jednotke CSIRT (útvar vlády pre riešenie bezpečnostných IT incidentov vo verejnej správe, pozn. red.). Verejne sme o zraniteľnosti údajov informovali až vtedy, keď boli chyby v systéme opravené a systém NCZI opäť zabezpečený.
Na sociálnych sieťach sa objavili údajné očkovacie certifikáty dvoch politikov. Ide o údaje z vášho prieniku?
Nie. Zverejnené certifikáty, ktoré som videl na webe, sú fake, ide o vymyslené QR kódy.
Na základnú ochranu súkromia na internete stačí podľa Luptáka pár jednoduchých pravidiel. Foto: archív P. Luptáka
Podáte žalobu za prípadné právne a iné výdavky, ak by sa spor s NCZI dostal až na súd?
Teraz je to trestné stíhanie na neznámeho páchateľa a verím, že nás nebudú žalovať. Len potrebovali odviesť pozornosť od svojho zlyhania.
Klienti najmä z finančného sektora
Správajú sa komerčné firmy na Slovensku zodpovednejšie v oblasti počítačovej bezpečnosti?
Závisí to od sektora. Banky a poisťovne riešia bezpečnosť svojich systémov dlhodobo a veľmi zodpovedne. Každoročne majú vyčlenený rozpočet na testovanie počítačovej bezpečnosti a my ako firma máme s viacerými stabilné partnerské zmluvy.
Ale podľa verejných údajov má Nethemba len pár zamestnancov, dokonca ste v ostatných rokoch znižovali ich počet. Je to dôsledok malého počtu zákaziek na Slovensku?
To bude skôr tým, že uprednostňujeme iné formy spolupráce ako zamestnanie na trvalý pracovný pomer. Máme veľa externistov, asi polovica našich ľudí sú cudzinci, pracujú pre nás ľudia z Veľkej Británie či Gruzínska. Máme stabilne veľa práce, aj počas krízy, ktorá sa nás veľmi nedotkla. Ostatných sedem rokov sme plne vyťažení. A sme stále lokálna slovenská firma.
Akých máte klientov?
Asi polovicu klientov máme z finančného sektora a potom je to pestré. Energetika, veľké e-shopy, tých máme asi 20 až 30, vývojárske firmy, pre ktoré testujeme ich aplikácie. Nedávno sme začali robiť kryptoburzy a burzy ako také, tiež robíme bezpečnostné audity smart kontraktov.
Razíme filozofiu obojstrannej dobrovoľnosti spolupráce, preto neberieme všetky zákazky. Klientov si vyberáme, vzťah musí byť rovnocenný a obojstranne akceptovaný, takže sa kolegov vždy pýtame, či chcú pre konkrétnu firmu pracovať.
Štátne úrady zásadne odmietajú
Aké môžu byť dôvody odmietnutia klienta?
Napríklad v prípade, že je to štátna inštitúcia. Pre štát zo zásady nepracujeme. Aj preto, že štát sústavne zhoršuje podnikateľské prostredie a spolupráca so štátnymi úradmi je pomalá a nepružná.
Koľko firiem takto odmietnete?
Približne 10 percent zákazníkov. Ale, samozrejme, robíme všetko preto, aby sme zbytočne klientov neodmietali.
Výhodou IT špecialistov je možnosť pracovať odkiaľkoľvek, napríklad aj z dažďového pralesa. Foto: archív P. Luptáka
Pribúda alebo ubúda hackerských útokov na slovenské firmy?
To si netrúfam odhadnúť. Viem povedať, že útoky sa z roka na rok vyvíjajú a menia. Napríklad posledné dva roky boli výrazne na vzostupe vydieračské útoky na firmy cez ransomware.
CSIRT vo svojich mesačných správach hovorí o desiatkach útokov či únikov údajov klientov z veľkých firiem vo svete. Na Slovensku neregistruje takmer žiadne podobné aktivity. Sme príliš malá ekonomika pre hackerov?
Možno je to aj o tom, že je Slovensko známe silným zázemím etických hackerov a IT spoločnosťami. Vezmite si prípad NCZI. Povedali sme im o chybe, rovnako ako vlani, keď sme stiahli 130-tisíc výsledkov PCR testov, a vďaka tomu vedeli diery včas opraviť. Možno sme tým vylepšili slovenské štatistiky.
Je na Slovensku veľa firiem, ktoré sa venujú bezpečnostným auditom a penetračným testom IT systémov?
Skôr nie, medzi Citadelom a Nethembou si už obvykle nemáte z koho vyberať.
Váhanie a ututlávanie
Veľkých a stredných firiem tu však máme tisíce. Kde sú všetky zákazky, keď obe firmy máte spolu tržby do 1,5 milióna eur?
Väčšina firiem na tento typ zabezpečenia kašle.
To zrejme preháňate.
Je to tak. Penetračné testy a bezpečnostné audity sú ako poistenie. Kým sa vám niečo nestane, poistenie si neplatíte. Veľké množstvo firiem začína riešiť bezpečnosť svojich IT systémov buď preto, že mali reálny incident, niekto ich nabúral a ukradol im dáta.
Alebo preto, že sú súčasťou nadnárodnej korporácie a prikazuje im to „matka“. Tá potom určí aj to, kto bude testovať. Veľa z pobočiek nadnárodných korporácií u nás sa testuje mimo Slovenska, napríklad chorvátskymi a rakúskymi firmami.
Priznávajú firmy útoky na svoje databázy?
Vec sa má tak, že podľa zákona by firmy mali útok a únik citlivých informácií reportovať štátu, konkrétne Úradu na ochranu osobných údajov. Ja si však myslím, že veľké množstvo firiem to nerobí, pretože to môže byť pre ne veľký reputačný problém.
Kým tie informácie neuniknú a nezjavia sa niekde na dark webe, tak sa snažia incident skôr ututlať a diery rýchlo opraviť. Okrem toho im hrozí aj pokuta Úradu na ochranu osobných údajov a žaloby zo strany klientov. Kto sa potom dobrovoľne „nabonzuje“? Ale to platí na celom svete, nielen na Slovensku.
Riziká zneužitia osobných údajov
Dlhodobo upozorňujete na to, že štát by mal zbierať o ľuďoch minimum údajov, pretože sa to môže skončiť zle. Čo tým myslíte?
Už dnes sa členovia extrémistických politických strán nachádzajú v slovenskom parlamente. Čo k tomu dodať? Keď sa dostanú k moci, dokážu zneužiť informácie spôsobom, ktorý si dnes nepripúšťame a zdá sa nám na európske pomery nepredstaviteľný.
Nevnímam to tak, či sa štátom plošne zbierané informácie zneužijú, ale kedy sa to stane. Robím všetko preto, aby som sa dokázal chrániť. Aj preto som si vybavil trvalý pobyt v Paname a Paraguaji a môžem tam v prípade potreby vždy odísť.
Inšpiráciu pre život a podnikanie čerpá P. Lupták na cestách po svete. Foto: archív P. Luptáka
Osobné údaje sme však sami a dobrovoľne odovzdali už desiatkam súkromných firiem. Vedia, čo a kedy nakupujeme, mnohé už dokonca používajú aj naše biometrické údaje ako odtlačky prstov alebo tvárovú geometriu. Ak o nás vedia tak veľa súkromné subjekty, nie je neskoro báť sa štátu?
Spoločnosti ako Google alebo Apple sa o údaje starajú tisícnásobne lepšie ako štát. Platia si najlepších bezpečnostných expertov na svete a predtým, ako nasadia nový informačný systém alebo jeho prvok, robia si množstvo bezpečnostných testov.
Pravdepodobnosť, že im uniknú údaje, je o niekoľko rádov nižšia, ako že uniknú zo štátnej inštitúcie. Firma má obrovskú motiváciu zabezpečiť vaše osobné údaje, pretože ak zlyhá, má u klientov problém. Štát a jeho úrady majú monopol – ak NCZI uniknú osobné údaje, nemôžete si vybrať iné NCZI, ktoré sa o kvalitu zabezpečenia stará lepšie.
Ako sa chrániť
Čo radíte ľuďom, ako sa môžu chrániť na internete v bežnom živote?
Je niekoľko jednoduchých, ale veľmi účinných pravidiel. Pravidlo číslo jeden – neočakávajte od súkromných sietí žiadne súkromie. Používajte ich, ale zverte im len také informácie, ktoré ste ochotní povedať kdekoľvek, aj na ulici. Po druhé, ak chcete komunikovať citlivé informácie, používajte aplikáciu Signal. Je to najbezpečnejší messenger a je zadarmo.
Tretie pravidlo – na zabezpečenie aplikácií na webe si určite zapnite dvojfaktorovú identifikáciu. To znamená, že okrem samotného hesla treba používať aj nejaký SMS alebo iný jednorazový token. Dobrá aplikácia na to je napríklad Google Authentificator. Po štvrté, namiesto hesiel používajte heslové frázy.
Čo je to?
Veta, ktorú si ľahko zapamätáte. Napríklad miesto bežného hesla v tvare priezvisko a rok narodenia zadajte heslovú frázu „Facebook nerešpektuje moje súkromie“. Ľahko sa pamätá a s každým písmenom exponenciálne rastie zložitosť jej prelomenia hrubou výpočtovou silou.
Piate pravidlo – ak používate veľa hesiel, používajte heslové manažéry. Bezpečné aplikácie, kde si môžete uložiť svoje heslá, sú napríklad Bitwarden, KeePass alebo Dashlane. Rady pre ľudí, ktorým prekáža sledovanie polohy cez SIM kartu či cez finančné transakcie, sú zložitejšie na realizáciu. No ak vám ide o základné zabezpečenie súkromia na internete, výrazne vám pomôže dodržiavať týchto pár pravidiel.