Komunikačné aplikácie, ktoré ľudia bežne používajú, sú dobrý nástroj pre konverzáciu, ktorá je úplne neškodná. Určite by ich však nemali používať politici, predstavitelia verejnej správy a vlastne nikto, kto chce posielať dôležité informácie ako napríklad obchodné zmluvy, hovorí Tomáš Kuchárik, ktorý vyvíja aplikáciu pre zabezpečenú komunikáciu Silentel.
Aplikácie ukladajú množstvo dát priamo v telefóne. To znamená, že ak sa hackerovi podarí dostať do telefónu, má neobmedzený čas na to, aby sa neskôr dostal aj k dátam. „Navyše, pokiaľ pracujete s dokumentmi, bežné komunikačné aplikácie využívajú ďalšie aplikácie tretích strán, tam sa vytvárajú kópie dokumentov, ktoré sa však nemažú. Zostávajú natrvalo v telefóne,“ hovorí v rozhovore pre denník Pravda.
Problém je podľa neho aj to, čo všetko bežný užívateľ komunikačným aplikáciám o sebe prezrádza. „Väčšina aplikácií chce od vás telefónne číslo, e-mailové adresy, prístup ku galérii fotiek a podobne. Užívatelia dávajú aplikáciám veľmi veľa informácií o sebe, tieto informácie sa potom dajú použiť na nejaký sofistikovaný útok,“ dodáva.
Venujete sa zabezpečenej komunikácii cez aplikáciu, no o tých, ktoré ľudia bežne používajú, hovoríte, že nie sú dosť bezpečné. V čom je problém pri týchto aplikáciách?
Tých problémov je niekoľko. Pokiaľ sa bavíme o obchodnej komunikácii, o dôležitých zmluvách so štátnou organizáciou, o čomkoľvek dôležitom, tak cez takéto aplikácie nekomunikujem a používam certifikované riešenie, ako je Silentel. Na druhej strane platí, že pre bežných užívateľov nie sú až také veľké. Napríklad WhatsApp je vhodný, ak ideme do kina a potrebujeme sa dohodnúť, kde sa stretneme. Tu sa stretávajú dva svety, ktorých si musí byť užívateľ vedomý. Nie je nič zlé na používaní bežne rozšírených aplikácií, ale pokiaľ ide o niečo dôležité, čo má cenu, používam niečo iné.
V čom je teda problém? Tieto aplikácie hovoria o tom, že komunikáciu šifrujú, že správa sa zašifruje, zašifrovaná pošle a až u príjemcu rozšifruje. Všetky aplikácie hovoria, že bezpečnosť je prvoradá.
Keď sa pozriem na bezpečnosť, tak šifrovanie komunikačného kanála, teda to, o čom hovoríte, je možno jeden zo sto bodov, ktoré sú potrebné na to, aby bola aplikácia bezpečná. Tých vecí je oveľa viac. Aplikácie ukladajú množstvo dát priamo v telefóne. To znamená, že ak sa hackerovi podarí dostať do telefónu, má neobmedzený čas na to, aby sa neskôr dostal aj k dátam. Navyše, pokiaľ pracujete s dokumentmi, bežné komunikačné aplikácie využívajú ďalšie aplikácie tretích strán, tam sa vytvárajú kópie dokumentov, ktoré sa však nemažú. Zostávajú natrvalo v telefóne. Väčšina aplikácií chce od vás telefónne číslo, e-mailové adresy, prístup ku galérii fotiek a podobne.
Užívatelia dávajú aplikáciám veľmi veľa informácií o sebe, tieto informácie sa potom dajú použiť na nejaký sofistikovaný útok. Hackeri sa napokon môžu zmocniť celého telefónu. Riziko vždy existuje, preto je dôležité pre citlivú komunikáciu používať bezpečné aplikácie, ktoré vytvárajú uzavretý kruh, neukladajú dáta v telefóne, mažú správy a podobne. Tých opatrení je veľmi veľa.
Čítajte viac Povolila vzdialený prístup k počítaču a mobilu a dívala sa, ako jej z účtu miznú peniaze. Pozor na podvodníkov na internete
Ako vnímate posielanie iného obsahu ako zvukových správ?
Opäť by som rozlišoval, o aký druh obsahu ide. Ak je to bežná rodinná fotografia, krajinka, nemám problém to poslať štandardnými aplikáciami. Ak si fotím zmluvu, čokoľvek citlivé, ak nahrávam niečo, čo je dôležité, určite by som ich nepoužil. Neorganizoval by som policajnú akciu cez aplikácie, ktoré sú na trhu úplne bežné a bezodplatné. To je to isté ako v domácnosti. Bežné veci máte normálne dostupné, nejaké cennejšie veci už však budete mať v sejfe a ak máte niečo naozaj cenné, pravdepodobne použijete bankový sejf alebo niečo podobné.
Pýtam sa aj v tom kontexte, že prichádza nový druh hrozieb, ktoré predstavuje deep fake obsah. Potenciálne nebezpečná môže byť akákoľvek fotka.
To je pravda.
Ako sa váš biznis zmenil s príchodom pandémie?
Zmenil sa radikálne a dokonca to rozšírim aj o vojnu na Ukrajine. Obe udalosti mali pre náš biznis, poviem to sebecky, pozitívny vplyv. Pandémia spôsobila, že ľudia boli zavretí doma a museli komunikovať bezpečným spôsobom. Naštartovali sa nám projekty. Okamžite sa síce projekty neuzatvárali, no používatelia videli, aké dôležité je to, aby mali zabezpečenú komunikáciu. S príchodom vojny sa to ešte prehĺbilo. Každý štát si v súčasnosti chce zaobstarať bezpečnú komunikáciu, riešenie, ktoré bude mať u seba. Za posledný rok takýto záujem registrujem z dvadsiatich až tridsiatich štátov.
Skúsme zhrnúť základné pravidlá bezpečnosti, ktoré by mal používateľ dodržiavať.
Ešte na začiatok poviem, že mať stopercentne zabezpečený telefón sa nedá. Dá sa však zabezpečiť, aby miera ochrany bola vysoká, no nikdy nebudete mať istotu. Do toho, čo považujeme za bezpečnosť telefónu, je zahrnutých veľmi veľa ľudí a firiem. Sú to operátori, výrobcovia operačných systémov a podobne. Mobilné zariadenie je veľmi komplikované a stopercentnú záruku vám nedá nikto. Základných pravidiel je niekoľko. Je dôležité používať silné heslo, režim zamknutej obrazovky, je dôležité nesťahovať si neznáme aplikácie, nedávať zbytočne práva k telefónu aplikáciám, ktoré nepoznám, neklikať na podozrivé odkazy, neotvárať správy od pochybných odosielateľov.
Občas niekto potrebuje poslať linku, asi je dobré avizovať to dopredu.
Presne tak. Ja osobne to robím tak, že niekomu zavolám, prípadne ak mne príde link, tak si minimálne pozriem e-mailovú adresu a skontrolujem, či je to správna adresa, či nie sú jedno-dve písmenká zmenené. Na linky určite neklikám, ak sú z adresy, ktorú nepoznám, automaticky to mažem.
Ako vnímate kauzu ako Pegasus, keď malo množstvo ľudí v zariadeniach špionážny softvér?
Bolo to šokujúce pre verejnosť, pre nás to nebolo až také šokujúce. Týchto prípadov je na svete veľa, Pegasus je najznámejší. Úmysel spoločnosti NSO, ktorá stojí za Pegasom, bol v podstate dobrý. Chceli pozbierať údaje o kriminálnikoch a poskytnúť ich štátnym úradom. Tie sa potom mohli dostať do telefónov kriminálnym živlom. Potom to, bohužiaľ, bolo zneužité na odpočúvanie politikov a novinárov. Pre nás to šok nebol. Ešte by som poznamenal, že je to systém, ktorý sa vyvíja. Veľa ľudí si myslí, že sa to predáva ako hotový produkt. To však nie je pravda. Sledovacie aplikácie ako napríklad Pegasus majú operátorov, ktorí hľadajú nové a nové možnosti a nedokonalosti. Ak nejaký hacker príde na nekalú zraniteľnosť napríklad v operačnom systéme telefónu, tak sa to za veľké peniaze snaží predať spoločnostiam ako NSO. Tie čiastky sa pohybujú v miliónoch dolárov. Firmy, ktoré toto robia, samozrejme následne nezverejňujú, ako hackujú telefón, ale poskytujú to ako službu na zákazku. Takýchto systémov je po svete, žiaľ, dosť veľa.
Čítajte viac Aplikácie ako ChatGPT zdokonaľujú útoky hekerov, hovorí expert na kybernetickú bezpečnosť Kubovič
Ukazuje tento príbeh, že takto nie je možné páchať dobro?
To je veľmi tenký ľad. Odpoveď by som nechal pre politikov a právnikov, aby spravili toto rozhodnutie. Kriminálne skupiny potrebujete kontrolovať, no malo by sa zabrániť zneužitiu týchto systémov. Ak takéto nástroje existujú, politici by sa mali snažiť o nejakú formu kontroly, aby sa tie nástroje potom nezneužili.
Vaša spoločnosť vyvíja Silentel, komunikačnú platformu, ktorá má certifikáciu od Severoatlantickej aliancie. Čo to znamená?
Znamená to, že NATO má nejaké kritériá, ktoré keď sú splnené, tak komunikácia spĺňa určité bezpečnostné štandardy. Vyžadujú sa určité veci, o ktorých nemôžem príliš hovoriť. Už aj samotné požiadavky na ten systém sú v utajenom režime. Potrebujete ako osoba aj firma previerku, aby ste sa vôbec k požiadavkám na systém dostali. Systém požiadaviek však existuje, ak ich splníte a NATO si vás preverí, tak sa dostanete do produktového katalógu. Pre krajiny v rámci aliancie je tu potom garancia, že si ten systém môžu kúpiť a vedia, že to riešenie je preverené. Tá previerka je dlhodobý proces. Keď to robíte prvýkrát, trvá jeden až dva roky. Národný bezpečnostný systém skúma váš systém minimálne rok až dva. Musíte poskytnúť zdrojové kódy, snažia sa systém prelomiť, hľadajú slabiny. Je to dlhodobý a komplikovaný systém.
Ako to vyzeralo, ako sa stalo, že ste komunikovali s NATO?
V našom prípade to bola obojsmerná komunikácia. Robíme na certifikátoch s NBÚ a na takýchto úradoch sa to v každej krajine aj začína. My chceme predávať aj v iných krajinách, nielen na Slovensku a NATO certifikát pomôže ako garancia v ostatných členských krajinách. Priamo sme však komunikovali aj s centrálou NATO.
Váš biznis v tejto oblasti sa začal tak, že ste kontaktovali NBÚ?
Áno.
Prišli ste s tým, že ste firma, čo sa zaoberá bezpečnou komunikáciou, nech to teda preveria? Bolo to tak, pýtam sa na biznis model. Je to niečo úplne iné ako otvoriť si kvetinárstvo.
Bolo to nejako tak, aj keď to sú veľmi citlivé veci, o ktorých nemôžem hovoriť. Ale vždy to vychádza z dvoch strán. Ministerstvo obrany, vnútra, zahraničných vecí, jednoducho štátne orgány, keď chcú komunikovať o citlivých veciach, musia použiť certifikované nástroje. My sme videli potrebu zákazníkov v štátnej správe a videli sme v tom príležitosť, ako toto riešenie predať aj v ďalších krajinách po celom svete.
Nedávno jeden z vrcholových politických predstaviteľov hovoril o tom, že používa aplikáciu Signal. Vy hovoríte o tom, že je to problém. Ako sa dívate na to, že predstavitelia verejnej správy používajú relatívne bežné aplikácie? Oni na to predsa nie sú sami, majú za sebou expertov, ktorí by im vedeli povedať, čo používať a čo nie. Ako to teda vnímate?
Dívam sa na to dosť kriticky. Na Slovensku je v oblasti bezpečnosti dosť šikovných ľudí. Sú aj v štátnej správe a už niekoľko rokov hovoria o tom, že je potrebné mať nezávislý zabezpečený komunikačný systém. V mnohých prípadoch na to politici nereagujú. Neviem, či je to nedôvera, prípadne nevedomosť, treba sa pýtať konkrétne ich.
Čítajte viac Podvody s bankovými kartami sú na vzostupe. Podvodníci sa tvária ako banka, kuriér či pošta, nedajte sa oklamať (+ návod)
Prekvapuje ma, že v takejto situácii majú politici vôbec na výber. O tom by mali rozhodovať, aspoň tak sa to z môjho pohľadu javí, výhradne odborníci.
Máte pravdu, v mnohých západných krajinách to tak funguje. Bezpečnostné zložky jednoducho politikom oznámia, akým spôsobom musia komunikovať, bohužiaľ aj v západných krajinách, videli sme to aj v USA, kde si politici nosili citlivé dokumenty domov. Porušovanie zásad bezpečnosti nie je len na Slovensku, funguje aj v zahraničí. Na Slovensku je toho však asi až príliš. Politici by mali používať zabezpečené komunikačné kanály, namiesto toho posielajú dáta do sveta, nevedia vlastne ani kam. Používajú informácie, ktoré patria krajine, tieto informácie by teda mali zostať na Slovensku. Vlastní ich Slovensko, nevlastní ich politik, ktorý sa potom svojvoľne rozhodne, že ich bude posielať kade-tade.
Čo sú tie vlastnosti, ktoré aplikácie bežne nemajú a dobre zabezpečená aplikácia by ich mať mala?
Je ich veľa. Dôležitá je správa dát, ktorá by mala zostať pod vlastnou kontrolou. Celá aplikácia by mala mať zabezpečenú vlastnú integritu, mali by existovať mechanizmy na to, aby sa dáta neuchovávali na mobilnom zariadení. Mali by existovať nástroje na to, aby mohol administrátor v prípade krádeže zariadenia vymazať obsah zariadenia. Dôležité je tiež nepoužívať osobné identifikátory ako telefónne číslo, e-mailová adresa. Je dôležité, aby aplikácia automaticky nesťahovala adresár kontaktov do seba. Tiež je dôležité, aby aplikácia neotvárala súbory pomocou aplikácií tretích strán. Spomenul som niektoré najdôležitejšie okolnosti, takýchto vecí je možno päťdesiat až sto.
O konkrétnych podobách rôznych hrozieb viete viac, ako je štandard populácie. Spávate pokojne?
Spávam, mám to jednoznačne oddelené. Mobilný telefón používam, bez toho sa dnes už nedá žiť. Je to podobné, ako keď prechádzate cez cestu. Existuje riziko, že vás niekedy niečo zrazí, napriek tomu cez cestu prechádzate.