Bitcoin může rychle splasknout jako tulipánová bublina v Holandsku, tvrdí experti na kyberbezpečnost
ROZHOVOR. Čeho se v kyberbezpečnosti bojí bankéři a proč se obloukem vyhnout kryptoměnám, popisují ve druhé části rozhovoru Eva Neduchal a Tomáš Dedek, odborníci na kyberbezpečnost ze společnosti ISECO.CZ. Služby poskytují tuzemským bankovním domům i státní správě. K bitcoinu jsou skeptičtí: „Čeká se na první vekou paniku a pak to pravděpodobně sletí,“ říkají o budoucnosti kryptoměn.
Eva Neduchal (Foto: ISECO.cz)
Lze vysledovat nějaký trend za poslední roky, co je nového ve světě kyberzločinu?
Dedek: Kyberzločin je jako každý jiný zločin, akorát se odehrává na internetu. Do kyberzločinu patří například prodej kradeného zboží na Aukru, patří do něj obchody s lidmi, se zbraněmi. Vzpomeňme Silk Road, což bylo tržiště, kde si člověk mohl koupit drogy, nebo jiné – asi spíše falešné – stránky, na kterých nabízeli ke koupi třeba nájemného vraha…
Neduchal: A zaplatit to bitcoiny.
Dedek: A zaplatit to bitcoiny. Pokud se ptáte, co je za poslední dobu jinak, tak je to přesně toto. Kryptoměny jako relativně nový fenomén lze využít na nákup nelegálního zboží a služeb. Nicméně anonymita při jejich užití nijak zaručena není.
Neduchal: Nedávno jsem četla zajímavý článek o tom, že stejně jako existuje ochrana leteckého provozu, ochrana pozemní infrastruktury, tak teď do toho nově začlenili i kyberprostor. Že různé státy začaly najednou více chránit kybernetický prostor a začaly řešit jeho bezpečnost.
Dedek: Už dříve jsem od vojáků slýchal, že tak jako máme vzdušný prostor, máme i kybernetický prostor a budeme ho muset bránit podobnými prostředky. Což je za mě trochu za vlasy přitažené, ale dobře. Aspoň se k tomu nějak staví.
Za vším hledej… muže!
A kyberbezpečnost?
Tomáš Dedek (Foto: ISECO.cz)
Dedek: Tady to zůstává už delší dobu stejné. Jenom čím dál více elektronizujeme úplně všechno a hlouběji a zranitelných míst přibývá. Například banky začínají používat otevřené aplikace na komunikaci, internetové bankovnictví je čím dál komplexnější. Takže neustále narůstá počet zranitelností, které je potřeba nějakým způsobem řešit. Ale hrozby jsou pořád stejné. Jsou z jedné strany interní…
Neduchal: …odchází zaměstnanec, stáhne si databázi zákazníků, kde můžou být rodná čísla, data narození, adresy trvalého bydliště, nejde o jen o to, že odejde s pár telefonními čísly. A vezme si to s sebou do nového zaměstnání.
Dedek: Další slabinou jsou neproškolení lidé, kteří dělají chyby. A když navíc chybí kontrolní mechanismy, aby někdo včas přišel na to, že se chyba stala, tak je zaděláno na problém. Lidi – protože jim někdo neřekl – často dělají spoustu naprosto hloupých věcí, jako že si třeba píšou hesla někam do sešítku a ten nechávají na stole. Až po ostřejší věci, jako se třeba před pěti lety v jedné bance, kde se rozváděla vysoká manažerka a manžel se dostal k údajům o výši prémií a platů…
Neduchal: Ona měla na starosti chystanou restrukturalizaci skupiny, takže měla informace o platech členů vedení dceřiných firem. A ten rozvádějící se manžel to naposílal všem zaměstnancům.
A dá se něčemu takovému zabránit?
Neduchal: Určitě dá. Musíme začít od základu. Nedávat si jednoduchá hesla, nedávat si heslo 1234. Já už i dětem, které mají smartphone, říkám: Dávejte si tam něco, co si budete pamatovat, ideálně nějakou říkanku, slovní hříčku, kterou máte rádi a nějaké znaky vyměňte za čísla a za speciální znaky typu hvězdička, křížek, hashtag…
Mluvili jsme o kyberzločinu. Zločin řeší orgány činné v trestním řízení. Jak to chodí? Nahlašují to vůbec firmy? Třeba kvůli tomu, aby chránily svoji důvěryhodnost?
Dedek: Spousta těchto věcí se zamete pod koberec, nebo si to vyřeší interně. Je potřeba ale rozlišovat, co je trestný čin, co ohlašovací povinnost třeba v rámci GDPR, a co prostě „jenom“ interní záležitost.
Neduchal: Od toho mají velká PR oddělení a ta jsou na to profíci. Podat zprávu tak, aby vlastně nic neřekla…
Související články
V naší branži o klientech raději veřejně nemluvíme, říkají experti na bezpečnost informací
Tak jaká je obecná praxe u nás? Hlásí se to policii? Chce se, aby se to vyšetřovalo, nebo to zůstává, jak jste říkali „pod kobercem“ v rámci firmy?
Neduchal: Záleží, jak se k tomu ta daná společnost postaví. Vím o případu, kdy padlo trestní oznámení, že se data o zákaznících válela někde na uložto. Tak šli po konkrétním obchodníkovi a chtěli po něm náhradu škody.
Dedek: Kapacity policie i její možnosti a schopnosti se rozhodně posunuly a zvětšují se. A když se bance fakt stane, že se kradou peníze z účtů, tak to policie vyšetřovat musí.
Ruce pryč od bitcoinů
Jaký je váš pohled na bitcoiny? Minimálně centrální banky z virtuálních měn nadšené nejsou, bezpečnostní složky taky ne.
Dedek: Můj osobní názor je, že všichni rozumní lidi od toho dávají ruce pryč. Nikdo, žádný rozumný investor, nebude investovat do bitcoinu.
Například Karel Janeček ruce pryč nedává, ba naopak…
Dedek: On je dost extravagantní, tak asi i v tomhle. Člověk by si podle mě nepřál, aby jeho penzijní fond byl z padesáti procent o bitcoinu a o spekulacích s ním. Problém bitcoinu spočívá v tom, že to je čistě spekulativní věc, která neslouží k prvotnímu účelu. Částečně slouží, jasně, ale k nákupu „nelegálních věcí“ doprovázeném skrýváním identity. Ale člověk za sebou vždycky nějakou elektronickou stopu nechá. Není tak úplně snadné, zůstat anonymní, i když člověk použije bitcoin.
Dobré je přirovnání k „tulipánové horečce“ v Holandsku v 17. století, kdy se za cibuli tulipánu dal koupil barák. A jeden den si všichni řekli – a dost. A spadlo to. A lidem zůstalo pět cibulek a přišli o barák. Tak to je podobný. Nic za tím není. Není za tím žádná reálná hodnota.
Neduchal: Stačí, aby Čína udělala nějaké zásadní rozhodnutí typu „bitcoin se tady nebude používat“ a půjde jeho cena dolů, samozřejmě je těžké odhadnout, jak se k této problematice zástupci jednotlivých států postaví.
Dedek: Čeká se na první vekou paniku a pak to pravděpodobně sletí…
Co budí bankéře ze snů
Co je kybernetická noční můra pro bankéře?
Dedek: Nejhorší jsou reputační věci, kdy z toho vyplyne, že ztrácí jméno a důvěru. Občas to vůbec nesouvisí s bezpečností. Jako když před rokem jedné bance nejelo několik dní internetové bankovnictví. To byla technická chyba. A navíc se stalo to, že lidé viděli jiné zůstatky na svých účtech, než tam měly být. V tom core systému někde dole to samozřejmě bylo správně. Převody mezi bankami jsou správně zúčtované, do ČNB to bylo samozřejmě taky správně. Ale do front endu se prostě chybou propsala špatná data. A to samozřejmě důvěryhodnosti nepřidá. Asi toho se banky bojí nejvíc. Že budou mít špatné jméno a budou mít ostudu.
A další příběh s ostudou?
Dedek: Historický příběh, který je přesně o lidech. Přišel člověk v obleku do jiné banky, někde si vzal vozíček, přijel s tím do serverovny, tam si vybral něco, co vypadalo jako velký CD přehrávač, ten si naložil a zase s tím odešel. A nikdo mu nic neřekl. Protože se tvářil, že tam má být, a nikoho nenapadlo ho zkontrolovat. A byly to ve výsledku nějaké zálohy. Byla z toho samozřejmě šílená ostuda a bance i hrozily pokuty…
A šel si pro to cíleně, nebo si myslel, že to je CD přehrávač?
Dedek: Šel ukrást něco cenného. Nešel krást zálohy. Prostě ukradl to, co tam v té serverovně nejvíc svítilo.
Neduchal: Já mám v oblibě jiný příběh. Hackeři si zjistili u finančního ředitele nejmenované skupiny, že je vášnivý rybář. Tak mu poslali PDFko s nádhernými pruty za akční ceny. Jenže to PDFko obsahovalo vir a stahovalo mu finanční údaje skupiny. Přišlo se na to, že data někdo stahuje. Ale ještě dlouho se zjišťovalo, kudy to teče.
Nebo starší příklad. Likvidovala se pobočka anglické skupiny. A materiály, kde měli údaje o klientech, vyhodili normálně do popelnice. Stála ovšem za tím lidská nevědomost, ne úmysl. Takže tam jel šéf bezpečnosti, vyhledával a vozil dokumenty zpátky a ručně to dávaly do skartovačky.
Takže jde tedy o to zachytit, že se „něco děje“.
Neduchal: Ano, lze to zjistit. Jen musíte mít dobře nastavený bezpečnostní monitoring, který Vás upozorní na to, že je něco špatně. Ovšem, i když to máte dobře nastavené, musíte se na to dívat jako na nástroj, ty ruce už jsou vaše. Vy se musíte jít podívat na ten počítač, či jiné zařízení a zjistit, co se tam děje a následně udělat bezpečnostní opatření.
Dedek: Často aktivity nejsou o prvním průniku. Funguje to následovně: člověk se dostane na něčí počítač a takzvaně kompromituje jeho účet. Ale má (kyberútočník, pozn. red.) omezený přístup, pokud to zrovna není CFO té organizace. Potřebuje jít dál, potřebuje získat vyšší práva a zkouší to tedy dál a nechává za sebou nějakou digitální stopu. A pokud si já správně hlídám infrastrukturu a systémy, vyhodnocuji co se děje, tak už jsem schopen toto hrozící nebezpečí detekovat. K tomu slouží primárně systémy na bezpečnostní monitoring.
Neduchal: I přesto všechno manažeři často říkají: „Jo, buďme bezpeční, ale já nechci na svůj telefon to MDMko (Mobile Device Management, pozn. red.)“. Přitom se lehce dá oddělit soukromý svět od toho firemního. A když mu někdo vezme telefon, kde nemá oddělený soukromý a business svět, tak tam vidí všechny věci, i ty firemní. Kdežto kdyby měl nainstalovaný náš software, tak se mu to nestane. Jen řekne „Jo, já jsem ztratil telefon“. A přijde ajťák a na dálku ho smaže. A dotyčný přijde maximálně o svoje osobní fotky z dovolené.
Mobil versus soukromí
Na druhou stranu, málokdo chce být plně kontrolovatelný firmou 24 hodin denně. V Německu se někteří manažeři odpojují na víkend a večery od mailů. Myslí ty systémy i na tohle? Na člověka, který chce mít i nějaké soukromí?
Dedek: Teď jsme trošku přeskočili do jiné oblasti, do zabezpečení mobilních zařízení. Tím je dnešní doba zajímavá. To je oproti minulosti hodně jiné a tím se vracíme k vaší otázce, co je jinak. Dříve člověk šel do práce, tam měl to svoje PC, sedl a pracoval na něm. Pak ho vypnul a šel domů. Postupně to začalo maily v mobilu a dneska už všichni chtějí pracovat odevšad, na všech zařízeních, která mají. Chtějí mít maily, dokumenty v mobilu, v tabletu, chtějí na to přistupovat doma. A data už ani nejsou často v organizaci, ale někde v cloudu.
Co s tím?
Dedek: Firmy k tomu musí přistupovat odpovědně a nastavit pravidla. Nelze, aby si zaměstnanec přinesl zařízení, na které si navíc instaluje každou blbost, kterou najde na internetu. To je pak samozřejmě velká díra do bezpečnosti..
Neduchal: A na to existují softwary, jako třeba zmiňovaný Mobile Device Management. Ten je schopný oddělit soukromý svět od toho pracovního. A v telefonu mám bezpečný container, který se mi připojuje do pracovní části. A moje soukromí tím zůstává zcela nedotčené. Odejdu z firmy a jen mi řeknou: „tady mažu container, telefon vám zůstává“.
Pop-up mobil Mobile (207451)SMR mobil článek Mobile (207411)SMR mobil článek 2 Mobile (207416)SMR mobil článek 2 Mobile (207416-2)SMR mobil článek 2 Mobile (207416-3)SMR mobil pouze text Mobile (207431)Líbil se vám tento text? Pokud nás podpoříte, bude budoucnost HlídacíPes.org daleko jistější.
Přispět 50 KčPřispět 100 KčPřispět 200 KčPřispět 500 KčPřispět 1000 Kč
Platbu on-line zabezpečuje Darujme.cz
Recommended (5901)
8 komentářů
Na Bitcoin jsem dělal semestrovou práci a jsem docela překvapen, že tito odborníci na bezpečnost jaksi pozapomněli na jeden z největších kladů principu blockchainu, na čemž je Bitcoin založen. Princip spočívá v tom, že veškeré transakce jsou dohledatelné a i když jsou zašifrované, jsou velmi těžko použitelné pro daňové úniky a hlavně pro teroristy. Dále si evidentně neuvědomují, že celkový objem bitcoinových transakcí stoupá a doba, kdy nové Bitcoiny už nebudou moci vstoupit do oběhu se blíží. Jedině mají pravdu v tom, že kurz Bitcoinu velmi kolísá, což dělá investice do této kryptoměny velmi problematické, ale nikoliv transakce. Kolísavost se totiž dá snadno obejít včasnou výměnou za některou tradiční měnu. Totiž rychlost mezinárodních transakcí kromě průhlednosti a dohledatelnosti je velká výhoda Bitcoinu, se kterou tradiční banky zatím těžko mohou konkurovat…
Jasne, rychlost je k9njurencna vyhoda krypta ? To asi nepouzivate western union. Vsetko co ponuka krypto, tak ma klasicka mena a na lepsej urovni…..
Pamätam rok 2017. Vsetci kryptonadsenci cosi blabolili o btc ako zaisteni pre pripad post apo zivota. Akosi zabudali, ze v post apo nebude elektrika ani internet, takze plna penazenka btc im bude na h…o
Ano, podíval jsem se na Western Union a jeho ceny, které jsou velmi dobré a rovněž transakce do většiny zemí netrvá vůbec dlouhou.
Ale Western Union není všude. Například na Antigua v Karibiku a určitě i v jiných ne zas tak exotických krajinách.
A nebo může být celkem drahý, do Afrických zemí je poplatek kolikrát i téměř 20%.
A postapokaliptiku jsem někde zmiňoval?
Mám na to jiný názor, leč třeba se pletu, rád se nechám opravit,
1) Veškeré transakce jsou v blokchainu sice dohledatelné, leč není v nich reálná identifikace subjektů.
2) Asi by to chtělo hlubší analýzu jaké druhy transakcí v tom zvýšeném objemu převažují. Zda nakupy, prodeje zboží, nebo neustále spekulativní točení na bitcoinových burzách
3) Rada, „kolísavost se totiž dá snadno obejít včasnou výměnou za některou tradiční měnu“ je sice „k nezaplacení“, jenomže má jednu ohromnou nevýhodu. Totiž právě při konverzích bitcoin/tradiční měna se platí ty ošklivé poplatky. (Což nemusí být viditelné, ta burza, resp. prodejce si trochu navýší kurz).
No a vzhledem k tomu že platba bitcoiny už ani není rychlá, není k takovému převádění a placení bitcoiny prakticky důvod – než třeba zaplatit kartou.
Btw, pokud by šlo už někomu o to, zaplatit online někomu přes celý svět, k tomu už existuje řada el peněženek pro tradiční měny, není nutné si vymýšlet a generovat vlastní virtualní měnu
1) Identifikace subjektů je stále možná i když je identita uživatelů a obsah Bitcoinů zašifrovaná. Vždy se dají totiž určit místa a údaje dle IP adresy, ze kterých byly transakce provedeny. Takhle už bylo dopadeno nemálo kriminálníků a zabito nemálo džihádistů
2) Znát druhy transakcí by bylo jistě zajímavé a nepamatuji se, který zdroj na ně poukazoval. Matně si vzpomínám, že se zřejmě jednalo o převody v exotických zemích a také mezi EU, USA, Afrikou a Asií. Tam si banky účtují mnohdy lichvářské sumy.
3) Ošklivé poplatky při konverzích bitcoin/tradiční měna mohou být, určitě záleží na danné instituci a měnách. Nedávno kamarád platil 500 Liber za mezinárodní bezhotovostní převod 2000 liber, což já považuji za skandální lichvářskou sumu.
Nedávno jsem převáděl peníze z mého amerického konta na české korunové konto a trvalo to bankám téměř dva pracovní dny, respektive jsem peníze poslal v pátek ráno a na kontě byly v úterý.
Banka si ale dala čas až do pátku, což mi připadá v dnešní době rovněž jako dosti lichvářské móresy. Poplatek byl zhruba 7%, což není na druhou stranu tak závratná suma.
Takže kdybych dělal podobné transakce častěji, Bitcoin bych určitě používal za předpokladu, když by transakce za převod do tradičních měn nestály víc než zmíněných 7%.
No nevím ale o bitcoinu má tento „odborník“ poněkud naivní představy.
V (ne)dohledatelnosti subjektu při transakci klasickou měnou a bitcoinem není moc velký rozdíl s možnostmi jaké má stát. Kufr bankovek je pro zločince jen malinko praktičtější.
Dedek k bitcoinu: “ Nic za tím není. Není za tím žádná reálná hodnota.“
Nutno podotknout, že za současnými „normálními“ penězi také nic není, žádná reálné hodnota. Jsou to pouze „fiat money“. Navíc, dají se snadno manipulovat často zkorumpovanými státy (viz např. Argentina, Venezuela). To u bitconů alespoň víme, že jsou chráněny „síťovou důvěrou“, tj. je prakticky nemožné aby kdokoli jednak zpětně provedl manipulace a aby prováděl v oblasti „fiat money“ tak běžné „kvantitativní uvolňování (rozuměj: naprosto šílený „tisk“ peněz, resp.zvyšování objemu peněz v oběhu). Počet bitcoinů má svoji definitivní maximální hodnotu.