Článek ve formátu PDF je možné stáhnout
zde.
Konference Security, kterou pořádá společnost Aricoma, má za sebou jubilejní 30. ročník. Nejlepší řečníci za posledních třicet let proto dostali volnou ruku a mohli mluvit, o čem chtěli. Publikum se rozhodně nenudilo. Společnost Aricoma uspořádala těsně před Velikonocemi, 27. a 28. března, další ročník největší české konference o kybernetické bezpečnosti Security 2024. První den se konalo dvacet workshopů a druhý den diváci slyšeli dvě desítky přednášek.
Ředitel společnosti Aricoma Milan Sameš hned na úvod akce prohlásil, že nynější geopolitická situace jasně ukazuje, že hrozby už budou vždy hybridní, tedy jak fyzické, tak virtuální. „Dobrá kybernetická bezpečnost je pro nás dnes stejně důležitá, jako byl pro naše předky hrad,“ dodal.
Trpělivost přináší růže – i hackerům
Jednou z hvězd konference byla Paula Januszkiewiczová, zakladatelka a ředitelka společnosti CQURE a jedna z nejznámějších penetračních testerek na světě. Zaplněnému sálu v přednášce s názvem Dobrodružství v podzemí: neobvyklé hackerské metody vytrvalosti a protiopatření ukázala, proč se během vývoje malwaru a následného útoku hackeři soustředí zejména na vytrvalost. Ta jim totiž umožní dlouho unikat odhalení a získat maximum toho, po čem ve firmách a organizacích jdou. „V dnešní době už máme přehled o jednotlivých typech útoků a víme, jak si s nimi poradit. Teoreticky by k žádným úspěšným útokům nemuselo docházet. Sami asi znáte situaci, kdy byste chtěli stihnout řadu úkolů, ale v rámci jednoho dne to není dost dobře možné. Úplně stejné je to s kyberbezpečností, není možné ohlídat všechno. Je třeba se s tím smířit, ale přitom být co nejvíc připravený,“ vysvětlila Paula Januszkiewiczová.
Jak se vyhnout králičí noře
Jako už se stalo tradicí, návštěvníci, jichž letos bylo rekordních 702, hlasovali o nejlepších řečnících. Nejoblíbenějším se stal německý hacker a popularizátor Tobias Schrödel, který názorně ukázal, co všechno je možné najít na darknetu o ransomwarových útočnících. Druhé místo obsadil Jan Kolouch z firmy Cesnet, který návštěvníkům poradil, jak se vyhnout „králičím norám“ na sociálních sítích. (Uvíznutí v králičí noře, „rabbit hole“, je proces, kdy uživatel veden algoritmem tvůrce sociální sítě zabředne do nabízených příspěvků a diskusí, takže nakonec ztratí přehled o tom, co na sociální síti původně chtěl najít či o čem chtěl komunikovat.) A třetí místo obsadili shodně již zmíněná Paula Januszkiewiczová a Tomáš Rosa z Raiffeisenbank, který mluvil o možnostech zneužití velkých jazykových modelů AI ke konstrukci nápaditějších podvodů v oblasti sociálního inženýrství.
Kybernetická bezpečnost dodavatelských řetězců
Pokud jde o mě, problematika sociálních sítí a toho, jak jejich algoritmy ovlivňují běžný život, od politiky po stravovací návyky, je zajímavá, nebo spíše děsivá, ale z profesního hlediska mě více zajímá kybernetická bezpečnost v průmyslu. Kdybych tedy volil já, na jedno z předních míst bych umístil příspěvek Pavla Hejduka, CISO společnosti ČEZ, o zabezpečení dodavatelských řetězců. Riziko infiltrace kybernetického útoku prostřednictvím dodavatelského řetězce je totiž velmi významným rizikem nejen pro energetické společnosti. Nahodilé anebo cílené narušení dodavatelského řetězce může mít dopady na bezpečnost i stabilitu dodávek. Přednáška prošla cestou od legislativních východisek a požadavků přes očekávání firem ke každodenní realitě. Pavel Hejduk se snažil také zodpovědět otázku, zda NIS2, resp. nový zákon o kybernetické bezpečnosti, něčemu pomůže, nebo učiní situaci ještě více nepřehlednou.
Praktickými aspekty řízení dodavatelských řetězců podle nového zákona o kybernetické bezpečnosti, konkrétně požadavky na smlouvy s dodavateli, se zabývala následující přednáška Barbory Vlachové z advokátní kanceláře Portos.
Jak zabezpečit informační systémy krajského města
Jakub Bělka a Martin Kylián jsou z firmy SITMP (Správa informačních technologií města Plzeň), která poskytuje IT služby přibližně stovce institucí, jako jsou magistrát města, městské obvody, školy, dopravní podnik atd. Provozuje a zabezpečuje stovky aplikací a API a zajišťuje kolem 20 000 uživatelských identit. Ve své přednášce ukázali design uceleného prostředí aplikačních služeb zabezpečeného prostředky od firmy F5. Zaměřili se na nástroje spojené s publikací a zabezpečením webových aplikací, jak tradičních, tak Kubernetes (systém pro virtualizaci a kontejnerizaci na úrovni operačního systému), v kontextu aktuální bezpečnostní situace a DDoS útoků vedených proti českým organizacím. Představili rovněž řešení vzdáleného přístupu k aplikacím, který je zabezpečený pomocí konceptu Zero Trust.
Umělá inteligence v moderní kybernetické bezpečnosti
Konference se nemohla vyhnout dnes tak módnímu pojmu umělé inteligence. David Arnold z BlackBerry CyberSecurity hovořil o významu metod umělé inteligence v moderní kybernetické bezpečnosti. Umělá inteligence se používá na obou stranách: pomáhá tvořit nové útoky, ale také je lépe detekovat a bránit se proti nim.
Hrozby pod hladinou generativní AI
Zásadní však pro mě byla přednáška Radima Vaňka o kybernetické bezpečnosti služby Microsoft Copilot, protože podobné copiloty se začínají používat také v průmyslu pro podporu projektování, programování, servisu a mnoha dalších úloh. Copilot je služba společnosti Microsoft, která pomáhá uživatelům softwaru jako jejich inteligentní průvodce. U zákazníků ve všech odvětvích vyvolává ohromný zájem, ale jaké je zabezpečení takové služby z pohledu firemního prostředí? Jak je zákazník ochráněn proti úniku dat? Používá Copilot získané informace k dalšímu svému učení? Je tato znalost sdílena s dalšími zákazníky? Je možné nasadit Copilot do firemního prostředí na ostrá data a nebát se AI?
A neméně zajímavá a znepokojující byla přednáška První krok pod hladinu generativních modelů: útok z hlubiny GPT Yehora Safonova z firmy Aricoma. V současné době pronikají generativní modely umělé inteligence do všech sfér lidského života, od školních lavic po kanceláře výkonných ředitelů. Podílejí se na vzdělávání lidí, analýze dat, programování, strategickém rozhodování na úrovni podniků, nebo dokonce celého státu. Modely AI přispívají ke vzniku tzv. hybridních týmů, kde softwarový agent odvádí veškerou rutinní práci a člověku zbývá jen, aby si užíval krásu „virtuálního světa“ a interpretoval výstupy umělého kolegy. Například nástroj ChatGPT 4.0 je moderní společností vnímán jako vyhledávač nové generace, který nabízí mnoho nezanedbatelných výhod s neustále se rozšiřujícími funkcemi v podobě různých doplňků a externích pluginů. Čím dál častěji ale vnímáme také rizika, která se mohou skrývat pod jeho hladinou. Prezentace se zaměřila na detailní zkoumání temné stránky generativních modelů s primární motivací zabránit možným rizikům v podobě úniků citlivých dat, nesprávnému nebo neetickému rozhodování nebo zneužití modelů útočníky.
Závěrem: kam pro další informace
Více informací o konferenci včetně přehledu přednášek a přehledu přednášejících zájemci najdou na https://www.aricoma.com/cs/akce/security-2024#.
Petr Bartošík
(Foto: Aricoma)
Obr. 1. Pohled do jednoho ze dvou hlavních konferenčních sálů
Obr. 2. Panelová diskuse zabývající se otázkami z publika k tématu kybernetické bezpečnosti dodavatelských řetězců a NIS2
Obr. 3. Nedílnou součástí akce byla i doprovodná výstavka s možností vzájemných setkání