Black Swan Security Congress: Na otázky odpovídá Martin Leskovjan

Black Swan Security Congress Paralelní Polis

1. Bylo nějaké téma, které na posledním květnovém Black Swan kongresu převažovalo? Jaké?

Jedním z velkých témat byla bezpečnost koncových uživatelských zařízení. V souvislosti s rozšiřováním a zvyšující se dostupností kvalitních nástrojů pro zabezpečení přenosu komunikace se národní bezpečnostní agentury a organizované zločinecké skupiny stále více spoléhají na prolamování komplexnějších a robustnějších operačních systémů a uživatelských aplikací.

Dalším významným tématem byla převratná role technologie pro rozpoznávání biometrických údajů ve spojení se strojovým učením (face recognition a AI) v oblasti sledování a porušování soukromí.

2. Vysvětlil bys ještě jednou svými slovy, co to je efekt „černé labutě“ v IT bezpečnosti?

Martin LeskovjanJedná se o mimořádné a načekané události, ať už pozitivního významu (např. vynález kryptoměn změnil chápání bezpečnosti peněz na internetu a dal vzniknout technologii blockchainu) nebo katastrofického dopadu (např. prolomení rozšířeného šifrování, které bylo pokládané za bezpečné – naposledy např. chyba ROCA v krpytografických implementacích RSA knihoven, nebo nálezy zranitelností SPECTRE a MELTDOWN), které ovšem vždy významně zasáhnout do dané sféry a většina subjektů na jejich výskyt obvykle není připravena. S narůstající komplexitou IT prostředí a obrovskou asymetrií mezi uživatelskými a veřejně dostupnými informacemi a možnostmi zločineckých skupin a národně-bezpečnostních státních složek je třeba změnit chápání rizik, ke kterému lze nejlépe dospět právě skrze hodnocení prizmatem černých labutí.

Jedná se o mimořádné a načekané události, ať už pozitivního významu nebo katastrofického dopadu, které ovšem vždy významně zasáhnout do dané sféry a většina subjektů na jejich výskyt obvykle není připravena. Tyto události mohou mít pozitivní význam, například vynález kryptoměn změnil chápání bezpečnosti peněz na internetu a dal vzniknout technologii blockchainu, ale i katastrofické dopady. Jako příklad uvedu prolomení rozšířeného šifrování, které bylo pokládané za bezpečné – naposledy chyba ROCA v kryptografických implementacích RSA knihoven nebo nálezy zranitelností SPECTRE a MELTDOWN.

S narůstající komplexitou IT prostředí a obrovskou asymetrií mezi uživatelskými a veřejně dostupnými informacemi a možnostmi zločineckých skupin a národně-bezpečnostních státních složek je třeba změnit chápání rizik, ke kterému lze nejlépe dospět právě skrze hodnocení prizmatem černých labutí.

3. Opravdu bychom se „černých labutí“ měli obávat?

Není to jedno z takových těch rizik, kdy by úsilí věnované ochraně bylo tak velké, a zároveň možnost výskytu je tak nepravděpodobné, že to člověku nestojí za námahu a raději podstoupí to riziko? Přirovnám to k asi banálnímu příkladu, kdy se člověk rozhoduje, jestli se bude přepravovat autem. Vždycky je tam malá pravděpodobnost, že bude mít autonehodu, přesto výhody z přepravy jsou pro nějak tak velké, že to riziko podstoupí.

Problém nastává ve chvíli, kdy se stane smrtelná nehoda. A ty se na silnicích stávají. Zřídka kdy se rozhodujeme binárně (pojedu nebo nepojedu), ale do rozhodování vstupuje řada faktorů. Pojedu autem, tedy pojedu rychle pro uspíšení cesty se zvýšeným rizikem fatálního incidentu? Nebo se budu důsledně držet nižších rychlostí, pravidel bezpečné jízdy a k tomu budu investovat do bezpečnosti svého auta zvolením bezpečnějšího modelu a důslednou údržbou? Na silnici více než kde jinde také nastává mnoho zcela nepředvídatelných situací daných zranitelnostmi automobilové dopravy – zpravidla jsou těmi riziky hlavně špatní řidiči za volanty okolních vozů –, takže je relevantní si uvědomit, že jde o velmi rizikové prostředí, ačkoliv pravděpodobnost nehody je vlastně velmi nízká. Rizikovost spočívá ve velkém množství neznámých s možným fatálním dopadem.

Černé labutě v různých měřítkách jsou jednoduše všude kolem nás a dějí se. Jen mnohdy si je racionalizujeme chybnými argumenty a neučíme se z nich. Toto se snaží akce, jako byl Black Swan Security Congress, změnit.

4. Je podle tebe v silách firem/organizací, aby se před těmito riziky chránily?

Nikdy se nelze před těmito riziky chránit důsledně. Mnohdy to možná ani není vhodné. Důležité je přemýšlet tak, aby organizace byly schopny fatální události přestát a zkušenost vstřebat do své budoucí podoby. To je základní rozdíl mezi fragilními (nepružnými a křehkými) strukturami versus antifragilními systémy, které dokážou s černými labutěmi pracovat a učit se z nich.

5. Pro jaký typ firem je téma ochrany nejpalčivější, jestli to tak jde říct? Které společnosti by se nejvíce měli chránit před „černými labutěmi“, protože jejich dopad by nejen pro ně mohl být fatální?

Přirozeně jde o organizace, které provozují tzv. kritickou infrastrukturu jako zdravotní zařízení, energetika, doprava nebo státní instituce. Jsou totiž mimořádně fragilní na černé labutě a fatální incident může fatálně dopadnout na celou společnost. Představa, že hacker vypustí Lipenskou přehradu nebo zablokuje chod Motolské nemocnice, je tak nepříjemná, až ji zodpovědné osoby možná raději vytěsňují s odůvodněním, že to se jim přeci nemůže stát.

Organizace provozující prvky kritické infrastruktury se ohledně informační bezpečnosti teprve probouzejí a hledají jak k této problematice vůbec přistoupit. Bohužel jejich pozornost a prostředky většinou plně vyčerpá komplikovaná legislativa a normy, které často s reálnou odolností proti hackerským a podobným útokům nemají mnoho společného.

6. Plánuješ další kongres na toto téma? Nebo podobný? Příp. kdy, jaké bude hlavní téma a jací speakři se zúčastní?

Díky velmi pozitivním ohlasům chceme určitě pokračovat a nastartovat přípravu dalšího ročníku. Zatím nemáme termín, ale budeme usilovat primárně o osobní přítomnost Nassima Nicolase Taleba, který se přes videokonferenci zúčastní už tradičního Hackers Congress Paralelní Polis letos v říjnu.

Leave a Comment