Článek
Rozhovor si také můžete poslechnout v audioverzi.
Pro většinu lidí neznámá firma CrowdStrike způsobila před dvěma týdny celosvětový poprask. Chyba při aktualizaci bezpečnostního programu měla dopad na leteckou dopravu, zdravotní systémy nebo banky. Podle Dalibora Kačmáře, ředitele Microsoftu pro technologické standardy, za to mohl fakt, že firma měla u technologického giganta nadstandardní privilegia.
České státní správě, která využívá ke své práci výhradně produkty Microsoftu, podle Kačmáře ztráta dat nehrozí. „Český stát má nad daty ukládanými a zpracovávanými ve službách Microsoft 365 plnou kontrolu,“ upozorňuje v rozhovoru.
Jak se taková věc, jako byl nedávný výpadek, může stát?
Důvodem výpadku byla chybná aktualizace bezpečnostního řešení firmy CrowdStrike, konkrétně jeho produktu Falcon. Jde o pokročilý systém pro ochranu před kybernetickými útoky, zejména typu ransomware a malware. Takové systémy dnes běžně potřebují reagovat na vyvíjející se metody útoků a tak pravidelně aktualizovat své schopnosti. A to byl přesně případ tohoto incidentu. Při jedné z aktualizací došlo k hromadné distribuci chybného souboru, který následně zapříčinil celou krizi.
Dobře, neměl mít ale CrowdStrike nějaký plán B? Co konkrétně výpadek zapříčinilo?
Podobné aktualizace a systémy musí být vždy důsledně testovány. To popisuje CrowdStrike ve své předběžné zprávě vydané k incidentu. Z ní je zřejmé, že testy probíhaly, avšak došlo k chybě právě v softwaru provádějícím tyto testy. Další podrobnější zdůvodnění slíbil CrowdStrike provést a zveřejnit.
Data vždy šifrujeme a ukládáme v EU
Víme, jaká byla celková škoda? A jak se z incidentu chcete poučit?
Poučení z tohoto masivního incidentu je jednoduché - ještě důsledněji testovat a ověřovat funkčnost aplikací a jejich aktualizací. Ukazuje se, že i ověřené postupy, které běžně fungují, mohou nést chyby.
Zejména pak musí být extrémní pozornost věnována právě produktům, které mohou mít vliv na celý ekosystém, jako například operační systém počítače. Dobrou praxí zůstává postupné uvolňování aktualizací a případě identifikace potíží mít možnost proces zastavit a minimalizovat tak počet zasažených systémů a uživatelů.
Někteří experti poukazují na potenciální problém spojený s tím, že česká státní správa využívá pro své kancelářské produkty pouze řešení od Microsoftu. Problém vidí mimo jiné v tom, že nad daty ztrácí český stát kontrolu, jak to vidíte vy?
Často slýchám různé názory na téma „ztráty kontroly nad daty“. Zde je nutné říci, že ve většině případů se jedná o vyvolávání falešného pocitu bezpečí, následované nabídkou řešení nebo služeb, které mají opačný efekt - jejich pořízením dojde ke snížení kybernetické bezpečnosti bez vlivu na kontrolu nad daty.
Český stát nad daty ukládanými a zpracovávanými ve službách Microsoft 365 má plnou kontrolu. Tuto podmínku bylo nutné dokonce prokázat Národnímu úřadu pro kybernetickou a informační bezpečnost (NÚKIB), který velmi detailně v porovnání s řadou evropských zemí ověřuje kybernetickou informační bezpečnost, stejně jako smluvní záruky pro služby a data v nich ukládané.
V současné chvíli dokonce platí, že naše cloudové služby jsou jedinou komerční nabídkou, která tato velmi náročná kritéria pro nejvyšší bezpečnostní úroveň pro komerční část eGovernment cloudu splňuje.
Dalibor Kačmář
- Pozici ředitele pro technologické standardy zastává v Microsoftu od listopadu 2019. Ve své roli je odpovědný za vytváření technologické vize firmy na českém a slovenském trhu, zejména v oblasti cloudu, digitální transformace, kybernetické bezpečnosti a otevřených dat.
- V Microsoftu pracuje od roku 2003, naposledy v roli ředitele partnerské sítě a předtím v roli manažera divize Cloud + Enterprise. Je zakladatelem iniciativy Partneři ve vzdělávání, působil v divizi vývoje jako akademický evangelista a poté jako specialista na platformní strategie.
- Dříve vyučoval informatiku na univerzitách v České republice, USA a ve Finsku a také externě pracoval jako regionální ředitel programu Microsoft Developer Network.
- Ve volném čase se věnuje rodině, jízdě na kole, lyžování a skialpinismu, crossfitu, ale i klasické kytaře.
Jak ale může Microsoft zajistit, že v případě kritického výpadku Česko o svá data nepřijde?
Prakticky dochází k uložení kopií dat ve více datových centrech na území EU, data jsou vždy ve svých úložištích šifrována, stejně tak při jejich přenosu v prostředí veřejného internetu. Zároveň poskytujeme svým zákazníkům služby, které umožňují data kancelářských systémů kvalitně zálohovat, ale i ukládat mimo datová centra Microsoftu a data kdykoli přemístit v otevřených formátech.
CrowdStrike měl nadstandardní privilegia
V médiích už se objevily zprávy, že nedávný výpadek zneužívají internetoví podvodníci. Jakým způsobem lze podobné incidenty zneužít?
Ano, tyto informace také sledujeme a byly také zveřejněny řadou nezávislých odborníků. V případě aktuálního incidentu firmy CrowdStrike se kyberzločinci snažili využít paniku a snahu správců postižených informačních systémů najít potřebné informace a řešení pro rychlé zotavení systémů. Objevilo se proto mnoho webových stránek s podvrženým obsahem a nástroji pro řešení nastalé situace. Až takový úspěšný útok pak teprve může mít dopad na data postižených organizací.
Jak se v takových situacích zachovat? Jsou v takových chvílích instituce a firmy více zranitelné?
Hlavní je získávat informace z důvěryhodných zdrojů. Pro tento incident to byly stránky jak samotného výrobce CrowdStrike, tak výrobce postižených operačních systémů Microsoft. Velmi rychle a dobře reagoval také NÚKIB, který na svém účtu na síti X i na webových stránkách úřadu průběžně informoval o situaci a sdílel doporučení jednotlivých výrobců a provozovatelů cloudových služeb.
Jak incident ovlivní vztahy mezi Microsoftem a CrowdStrike? Připravuje se do budoucna nějaké opatření nad rámec plánovaných – tedy reakce ze strany Microsoftu právě na nedávný výpadek?
Microsoft vytváří systémy a řešení co možná nejvíce otevřené tak, aby umožnily i dalším výrobcům dodávat své produkty. Budování rozmanitého ekosystému právě vytváří prostor pro soutěž a volbu dodavatele. To platí i pro dodavatele bezpečnostních řešení, mezi která patří i produkty firmy CrowdStrike. Tato řešení však mají specifické podmínky, pokud jde o přístup jejich aplikací uvnitř operačního systému.
Jak moc specifické?
Aby bezpečnostní řešení mohla odhalovat podezřelé chování, je nutné, aby měla nadstandardní privilegia. A právě tento fakt způsobil tak fatální selhání, které jsme měli možnost vidět. Snahou Microsoftu je nyní nabídnout prostředí operačních systémů, které dává výrobcům možnost realizovat jejich řešení v plném rozsahu, tedy bez jejich omezení, avšak znemožňuje v případě jakékoli chyby tak zásadní dopad na stabilitu a dostupnost celého systému.
Technicky zde mluvíme o technologiích jako jsou Virtualization-base Security (VBS) Enclaves a Azure Attestation Service, které umožní ochránit jádro operačního systému a ověřit důvěryhodnost využívané aplikace.
Čtyři tisíce útoků za vteřinu
Jak v takových extrémních případech vypadá krizová komunikace? Můžete přiblížit, jak jsou tyto situace časově a stresově náročné?
Hlavní je technická podpora, která pracuje v režimu 24×7×365, protože je zajištěna zaměstnanci po celém světě. Všechny incidenty jsou jednak zveřejňovány na webových stránkách Microsoftu v reálném čase, dále pak prostřednictvím sociálních sítí a v neposlední řadě pak ve speciálních aplikacích určených pro správce systémů. Zde oprávněné osoby vidí případné dopady na jejich konkrétní využívané služby.
Existuje například nějaký speciální tým nebo vyčleněné osoby přímo pro tyto případy? Jaké záruky Microsoft má, aby byly dopady takových výpadků co nejmenší?
Celkově to jsou tisíce odborníků, kteří se věnují předcházení situací, jejich řešení a řízením krizové komunikace. Microsoft díky tomu je schopen úspěšně chránit své zákazníky před stále rostoucím počtem kybernetických útoků.
Kolik hackerských útoků denně na Microsoft někdo páchá?
Za poslední rok bylo v průměru zablokováno čtyři tisíce útoků na identity za sekundu. Více než 300 jedinečných aktérů hrozeb sledovaných službou Microsoft Threat Intelligence, včetně 160 aktérů národních států, 50 skupin ransomwaru a stovek dalších. Bylo odstraněno více než 100 000 domén, které byly využívány kyberzločinci, včetně více než 600 domén využívaných aktéry hrozeb národních států.
Microsoft zpracovává 65 miliard signálů za den. To je více než 750 milionů signálů za sekundu syntetizovaných pomocí sofistikované analýzy dat a algoritmů umělé inteligence k pochopení a ochraně před digitálními hrozbami a kriminální kybernetickou aktivitou.
Je podle vás nutné mít v dnešní digitální době i „fyzické“ pojistky? Jestli ano, jaké to v dnešní době jsou? A existují plány pro případný blackout?
Každá společnost a organizace, nehledě na její velikost, by měla mít vyhotoveny plány pro případ výpadku a zotavení z něj. Tyto povinnosti dokonce pro některé organizace plynou ze zákona o kybernetické bezpečnosti. I Microsoft má tyto plány připraveny, certifikovány a auditovány. Důležité je mít je nejenom na papíře, ale pravidelně je testovat a v případě nedostatků vylepšovat.
Pro některé systémy je samozřejmě vhodné mít možnost přechodu na náhradní provoz, třeba nedigitální, který zajistí zcela esenciální funkce. Ve většině případů je však klíčové mít k dispozici odolnou, distribuovanou a zálohovanou infrastrukturu, která je schopna velký výpadek ustát nebo se z něj rychle zotavit.
