Ivan Makatura má viac ako 30 rokov skúseností v oblasti IT, s hlavným zameraním na informačnú a kybernetickú bezpečnosť. Disponuje rozsiahlymi skúsenosťami s vedením tímov na vrcholových manažérskych pozíciách v súkromnom aj verejnom sektore. Aktívne rozvíja vzdelávacie a certifikačné programy v oblasti kybernetickej bezpečnosti, aby posilnil národné kapacity a zvýšil povedomie o kybernetických hrozbách. Je spoluautorom slovenského zákona o kybernetickej bezpečnosti a vykonávacích predpisov. Pravidelne prednáša na národných aj medzinárodných konferenciách a odborných fórach. Je autorom mnohých článkov a monografií na túto tému. Pán Makatura poskytol Defencenews.sk rozhovor o svojich skúsenostiach z uvedenej oblasti. Tu je prvá časť rozhovoru:
Čítajte viac Elektrická sieť pod útokom: Ako sa Slovensko môže vyhnúť španielskej nočnej more
Dobrý deň, pán Makatura, na úvod sa Vás spýtam, kto je v Slovenskej republike zodpovedný za Kybernetickú bezpečnosť?
To je dané kompetenčným zákonom. Ústredným orgánom štátnej správy pre kybernetickú bezpečnosť je Národný bezpečnostný úrad (NBÚ). Okrem iného má ešte v kompetencii tzv. dôveryhodné služby, šifrovú službu a ochranu utajovaných skutočností.
Má NBÚ na starosti aj vydávanie príslušenstva k elektronickým schránkam?
Nie, to má na starosti Ministerstvo vnútra Slovenskej republiky (MV SR). Dôveryhodné služby rieši NBÚ z pohľadu regulácie, tzn. zákonom riadi všetko okolo šifrovej ochrany informácií; stanovuje pravidlá používania kryptografických mechanizmov a kryptografických algoritmov. Samotné vydávanie elektronických občianskych preukazov súvisí s evidenciou obyvateľov a to je kompetencia MV SR. Ale aby som bol exaktný, samotné prevádzkovanie elektronických schránok je vecou MIRRI (Ministerstvo investícií, regionálneho rozvoja a informatizácie), presnejšie NASES (Národná agentúra pre sieťové a elektronické služby). Mimochodom neuplynul ani mesiac, ako MV SR predstavilo aplikáciu na identifikáciu mobilným telefónom namiesto občianskeho preukazu.
Čítajte viac Umelá inteligencia mení oblasť kybernetickej kriminality
Ako je to s vojenským spravodajstvom a jeho činnosťou v oblasti kybernetickej bezpečnosti. Aký je jeho vzťah k NBÚ?
Vojenské spravodajstvo (VS) a NBÚ sa kompetenčne navzájom neprekrývajú, ale dopĺňajú. V oblasti kybernetickej bezpečnosti existuje termín CSIRT (Computer Security Incident Response Team – Tím pre reakciu na počítačové bezpečnostné incidenty). Táto skratka sa používa pre tie organizačné jednotky, ktoré rôzne ústredné orgány štátnej správy, aj vojaci, majú vnútri svojej organizačnej štruktúry a ktoré majú na starosti „len“ riešenie bezpečnostných incidentov. Takýchto CSIRT jednotiek existuje nenulové množstvo aj v komerčnej sfére, v bankách, u telekomunikačných operátorov, u niektorých poskytovateľov služieb. Na MIRRI pôsobí CSIRT.SK ako vládny tím. Na NBÚ existuje národný CSIRT tím, s názvom SK-CERT (Computer Emergency Response Team). Táto skratka má ochrannú známku na Carnegie Mellon University (Pittsburg, Pennsylvania, USA). Celý názov je: Národné centrum kybernetickej bezpečnosti SK-CERT. A Ministerstvo obrany prevádzkuje vlastný, vojenský CSIRT tím.
Čítajte viac V Taliansku sa v roku 2024 zvýšil počet kybernetických útokov
Existuje v Slovenskej republike aj prevencia v oblasti kybernetickej bezpečnosti, alebo sa spoliehame len na zásahy pri incidentoch?
Kybernetická bezpečnosť má dve hlavné subdomény. Jedna sa v angličtine nazýva Security governance (riadenie, vedenie bezpečnosti) a druhá je Security operations (výkon bezpečnostných procesov). V rámci Security governance sú všetky aktivity, ktoré je nutné robiť prierezovo alebo preventívne. Týka sa to riadenia rizík, riadenia aktív, riadenia procesov, nastavovania kvality procesov, kvality informácií. Tomuto sa tiež zvykne hovoriť organizačné opatrenia, ktoré sú preventívneho charakteru, teda predtým, než nastane nejaký problém. Implementačná časť, výkonná časť a reaktívna časť sú súčasťou Security operations. V rámci nich pôsobia aj skôr spomínané tímy CSIRT. Čiže jedni sú tí, ktorí nastavujú pravidlá (governance), druhí sú tí, ktorí niečo implementujú, alebo bezprostredne reagujú na identifikované hrozby, alebo eskalované incidenty.
Čítajte viac Pochopenie sociálneho inžinierstva - ochrana pred kybernetickými hrozbami
Incidenty sú v tomto prípade kybernetické útoky koho na čo?
V odpovedi si pomôžem definíciou z Budapeštianskeho dohovoru o počítačovej kriminalite: kybernetické útoky sú „činy spáchané prostredníctvom alebo proti počítačovým systémom, údajom a sieťam.“ Za útoky v kybernetickom priestore je podľa slovenského práva považované konanie proti počítačom alebo zlomyseľné konanie vedené prostredníctvom počítačov. Zahŕňa to široké spektrum činov súvisiacich s neoprávneným prístupom, manipuláciou s údajmi, šírením malvéru, útokmi na IT infraštruktúru, ako aj s používaním technológií na páchanie klasických trestných činov (napr. podvod, vydieranie, stalking). V konečnom dôsledku je ale vždy za útokom človek – cieľom je človek, aj zdrojom útoku je človek. Niektoré úlohy útočného charakteru sa samozrejme dajú automatizovať. Útoky sa týkajú počítačového prostredia, kybernetického priestoru, ale cielené sú na ľudí, na ich aktíva, na to, čo ľudia považujú za cenné – citlivé informácie, identity a prístupové údaje, osobné údaje, peniaze.
Čítajte viac Nová éra kybernetickej bezpečnosti na Slovensku založená na štandardoch postkvantovej kryptografie NIST
Ak má bežný občan doma bežný počítač, k tomu služby internetu od nejakého poskytovateľa, ktorý mu v rámci zmluvy tvrdí, že mu poskytuje aj ochranu. V rámci rôznych aplikácií a nainštalovaného softvéru má tiež určitú ochranu. Ochranu mu v rámci reklamy ponúkajú aj rozličné firmy. Aká je minimálna nutná ochrana? Stačí tá, ktorú dodáva poskytovateľ internetu? Alebo je dobré ich mať čo najviac?
Nielenže dobré, ale aj veľmi odporúčané. V bezpečnosti platí princíp viacvrstvovej ochrany (v angličtine onion security – „cibuľová“ bezpečnosť). Čiže jadro, ktoré je cenné je obalené niekoľkými vrstvami. Základnou vrstvou je sieťová bezpečnosť, tú nejakým spôsobom zaisťuje poskytovateľ internetu. Potrebná je však aj bezpečnosť na úrovni operačného systému, ktorý máte doma, napr. Microsoft Windows, alebo macOS, či Linux, Android, alebo iOS. Potrebujete mať aj ochranu na úrovni aplikácie. Čiže na jednej strane máte ochranu na úrovni siete, pričom nejakú si musíte vykonať aj sami doma na vlastnom routri a dodržať aspoň základné odporúčania, tzv. hardening. Potrebné je tiež spraviť niečo s operačným systémom, aby bol bezpečnejší, vykonať niečo aj na úrovni aplikácie a zmeniť niečo najmä na úrovni konania používateľa. Človek na nejaké udalosti, na nejaké informácie reaguje určitým spôsobom. Nakoniec je v tej vrstve interakcie používateľa s aplikáciou a s informáciami nemalé množstvo hrozieb, ktoré môžu viesť až k incidentu.
Čítajte viac Konferencia o kybernetickej bezpečnosti SECTEC SECURITY DAY 2025
Kybernetický útok, to je aj získavanie informácií z počítača. Čo je najbezpečnejšie pre užívateľa počítača, keď si chce ochrániť svoje cenné informácie, fotografie, alebo videonahrávky? Je abstraktný cloud bezpečný?
Vnímanie laickej verejnosti je úplne pochopiteľné, keď majú pocit, že ak majú svoje cenné súbory fyzicky u seba, je to bezpečnejšie, ako keď sú dáta v cloude. Nie je to však celkom pravda. Závisí to od miery zabezpečenia úložiska. Pokiaľ je to lokálne úložisko a počítač je voľne pripojený do internetu a nie sú tam žiadne ochrany a nie je žiadnym spôsobom chránená práve tá cenná informácia, tak je to menej bezpečné, ako dobré cloudové úložisko s dobrým riadením prístupových práv a s dobrým šifrovaním. Takže sa nedá povedať, že ak je niečo v pre nás abstraktnom cloude, tak je to menej bezpečné, ako to, čo máme uložené lokálne. Dokonca by som si dovolil povedať, že úroveň zabezpečenia cloudových služieb od serióznych poskytovateľov je výrazne vyššia ako je úroveň zabezpečenia počítača bežného domáceho používateľa.
Čítajte viac Kyberzločinci sa v novej kampani pokúsili vykradnúť austrálske dôchodkové účty
Veľa firiem, ktoré poskytujú množstvo produktov aj s kybernetickou ochranou. Niektoré tvrdia, že práve ich produkt je ten najvhodnejší, ako „strecha“ pre ostatné produkty. Ak zákazník podľahne reklame viacerých výrobcov a nakúpi si viac produktov, nevznikne tým redundancia ochrany?
Redundancia je výraz na zdvojenie systémov z hľadiska výkonnosti a kapacity, takže by som ho v tomto prípade nepoužil. Veľké podniky svoju bezpečnosť zakladajú okrem iného aj na princípe nebyť závislý na jednom výrobcovi, na jednom type výrobku. Ak sa v produkte, alebo v sérii produktov jedného výrobcu vyskytne nejaká zraniteľnosť, alebo chyba, ktorá môže potenciálne viesť k incidentu, tá sa potom zvyčajne premietne vo všetkých výrobkoch v celej sérii. To znamená, že ak napríklad firewall jedného výrobcu používam pre jednu časť siete a firewall druhého výrobcu pre druhú časť siete, minimálne si zabezpečím to, že ak sa v jednej z nich vyskytne nejaká zraniteľnosť, tak v tej druhej v tej istej chvíli nie. Toto je štandardný postup. Architektúru vo veľkých podnikoch nastavujú informatici práve takým spôsobom, že vedome rozdeľujú výrobcov a používajú viacero typov výrobkov presne preto, aby znížili pravdepodobnosť výskytu zraniteľnosti v jednom konkrétnom type výrobku. Pretože ak by mali len jeden konkrétny typ od jedného výrobcu, tak je veľmi pravdepodobné, že zraniteľné budú všetky výrobky od toho výrobcu.
Čítajte viac Ransomware ako služba: Temná stránka podnikania v kyberpriestore
Zatiaľ sme sa rozprávali o tom, že sa počítače ničia, alebo sa z nich získavajú informácie prostredníctvom siete. Existujú aj iné spôsoby na takúto činnosť?
Pýtate sa na cestu prieniku. Na prečítanie informácií, na získanie dát z nejakého počítača sa dajú použiť aj také mechanizmy, alebo nástroje, ktoré umožnia odchytiť elektromagnetické vlnenie počítača, dekódovať ho a spracovať do pôvodného formátu, teda do informácie, ktorá je zmysluplná. Počítače sú zdrojmi elektromagnetického vyžarovania, sú to len stroje, ktoré majú svoje transformátory, cievky, plošné spoje, množstvo elektronických súčiastok. A všetky v elektromagnetickom spektre vyžarujú dáta, ktoré spracúvajú. Tie sa samozrejme dajú odchytiť. Je k tomu potrebné mať určité zručnosti a nástroje, takže hocikto to nedokáže. Do počítača, alebo do nejakého IT prostredia sa dá samozrejme preniknúť aj cez bezdrôtové siete, ktoré tiež vyžarujú elektromagnetické vlny. Teda aj wi-fi siete sú možným bodom prieniku. Rovnako aj všetky bezdrôtové technológie, ktoré počítače obsahujú, čiže týka sa to aj Bluetooth, NFC, RFID (vysokofrekvenčná identifikácia) atď. s rôznou prenosovou rýchlosťou, s rôznou dostupnosťou a na nejakú vzdialenosť. Typickým spôsobom prieniku do výpočtových systémov je prostredníctvom štandardnej počítačovej siete.
Čítajte viac Satelitná bezpečnosť pod lupou: Ako hackovanie mení hru vo vesmíre
Vy máte, pán Makatura, skúsenosti z mnohých prednášok, školení, ktoré poskytujete pre veľké firmy, štátne organizácie. Robíte prednášky aj pre bežných používateľov, ktorí sedia vo svojom zamestnaní za počítačom. Hodnotíte aj ich na základe ich reakcií a otázok ako slabý článok v Kybernetickej bezpečnosti?
Medzi bezpečnostnými pracovníkmi koluje taká „bradatá veta“, že najväčšie riziko sa nachádza medzi stoličkou a obrazovkou. To je holý fakt. Ľudský faktor predstavuje v absolútnej väčšine základný komponent všetkých kybernetických bezpečnostných hrozieb. Preto moja odpoveď na vašu otázku je – jednoznačne áno. Preto som už aj na začiatku spomenul, že keď to rozvrstvíme, tak sa bavíme o dátach, ktoré sú akoby jadrom, podstatou ochrany. Tie dáta sú spracované nejakými technologickými prostriedkami, informačnými komunikačnými technológiami a tie dáta sú ďalej prezentované, vizualizované pre potreby človeka. A ten človek s tými dátami, informáciami nejakým spôsobom interaguje, prichádza s nimi do styku, interpretuje ich ako znalosti. Preto je typická väčšina incidentov založená na zneužití, nedostatočnej spôsobilosti alebo nepozornosti človeka. Typické sú najmä útoky pomocou sociálneho inžinierstva, ktoré smerujú na človeka, nie na technológiu. Tu cieľom nie je technológia ako taká, ale technológia prostredníctvom človeka. Opätovne zdôrazním, že odpoveď na vašu otázku je jednoznačne áno. Zraniteľnosti na úrovni používateľa sú dôvodom, prečo je potrebné neustále zvyšovať to, čomu sa hovorí bezpečnostné povedomie. Bol som päť rokov generálnym riaditeľom a predsedom predstavenstva Kompetenčného a certifikačného centra kybernetickej bezpečnosti, ktoré je okrem iného aj akreditovanou vzdelávacou inštitúciou vzdelávania dospelých. Robili sme kurzy aj pre profesionálov a expertov, teda pre ľudí, ktorí už mali určité penzum znalostí. Boli to napríklad audítori kybernetickej bezpečnosti, manažéri kybernetickej bezpečnosti. Ale robili sme aj základné školenia o digitálnych zručnostiach. Závisí to od cieľovej skupiny, koho je potrebné školiť a o čom. Pretože informatikovi, alebo bezpečnostnému zamestnancovi už nemusíte vysvetľovať základy. Prezentujete mu ale špecifické veci, napr. pravidlá alebo návrhy, ako riešiť problémy v konkrétnych situáciách v kybernetickom priestore. Laickému používateľovi sa snažíte vysvetľovať veci zjednodušeným, niekedy opisným spôsobom a smerujete principiálne k tomu, aby ste zvýšili tú jeho zručnosť, ktorej sa odborne hovorí digitálna gramotnosť. To je schopnosť používať prostriedky informačných a komunikačných technológií bezpečným spôsobom.
