Tomáš Rosa: V bance držíme krok s hackery

Zabýváte se kryptografií, šifrováním a ochranou v rámci banky. Co je na této oblasti pro banku nejvýznamnější a nejdůležitější?

Snížit provozní riziko, když to vezmeme hodně obecně. Konkrétněji pak zejména ochránit data klientů, ať už před neautorizovaným čtením nebo před neautorizovanou manipulací.

Kryptografie se dnes už nezabývá zdaleka jenom šifrováním, tedy ochranou důvěrnosti. Zabývá se i ochranou přístupu k datům a zabývá se i fenoménem digitálního podepisování, to znamená možností opatřit nějaký elektronický dokument elektronickým podpisem, který vykazuje vlastnosti, jako je nepopiratelnost. To znamená, že se třetí nezávislá strana, typicky soud, může přesvědčit o tom, zda nějaká operace v digitálním světě proběhla, nebo neproběhla. K tomu právě slouží digitální podepisování.

Zatím jsme coby lidstvo ještě poněkud pozadu se zaváděním tohoto velmi užitečného nástroje do praxe. Používáme řadu napodobenin skutečnému digitálnímu podpisu, které například nepopiratelnost tak kvalitní nemají, ale to je holt asi běh na delší trať. Nicméně uvážíte-li, že podpisová schémata jsou v akademické obci pravidelně publikována už od roku 1978, tak nás může trochu zarážet, jak dlouho to trvá, než přejdou do praktického používání.

Co je důvodem, že je taková prodleva od invence nepopiratelného digitálního podpisu k jeho aplikaci v bankách a ve finančním světě?

^REKLAMA

První počin byl patrně algoritmus RSA z roku 1978. A jako takový je matematicky poměrně elegantní a snad můžeme říci do určité míry i jednoduchý. Ovšem ono to není jenom o matematickém vzorečku, ono je to také o tom, že ten matematický vzoreček je potřeba naprogramovat. To by snad ještě také nebylo v tomto případě tak těžké, ale nakonec je potřeba také vybudovat odpovídající infrastrukturu IT a uvést ji do praxe.

To znamená v tomhle případě tzv. certifikáty, které spojují identitu tak, jak ji známe my, to znamená například výraz „Tomáš Rosa, kryptolog v Raiffeisenbank“ s konkrétní hodnotou tzv. veřejného klíče, která slouží k ověřování mých podpisů. A vybudovat v rámci EU infrastrukturu, která tyto certifikáty důvěryhodným způsobem vydává a spravuje, trvalo bezmála 40 let a myslím si, že ještě zdaleka nemůžeme říct, že je tento nástroj plně využíván.

Na druhou stranu každý klient, který přistupuje k internetovému bankovnictví pomocí certifikátu, tak podepisuje transakce tímto způsobem. Čím se to liší od toho ideálu, o kterém jste hovořil?

Já bych nerad úplně dehonestoval tyto metody, co se týče potvrzování platebních příkazů, kde si můžeme dovolit poněkud jemnější práci s rizikem a kde máme k dispozici jiné robustní protokoly. Já mám na mysli spíše oblast podepisování dokumentů, jako jsou smlouvy, například mezi bankou a klienty apod. A zde může digitální podepisování výrazně zrychlit, zefektivnit agendu.

A tam víte sám, že se mnohdy setkáte s tím, že někdy třeba je místo digitálního podpisu použitý obyčejný obrázek muří nohy apod. A znám i z vlastních zkušeností, že není úplně lehké prostředí digitálního podepisování vybudovat a následně ho obhájit před dotazy těch, kteří se domnívají, že je to příliš silný a drahý nástroj na to, co od něho chceme.

To jsme poněkud odbočili, ale zrovna toto je téma, které je zajímavé ve všech bankách v EU v současnou chvíli. Všechny se v podstatě setkávají s tím, že jedna věc je vědět, jak na to, a druhá věc je tento koncept prosadit v praxi, a tím myslím i mezi klienty. Řada námitek paradoxně přichází ze strany klientů, kterým přijde zatěžko si zařizovat certifikáty svých veřejných klíčů. Připadá jim to zdlouhavé, složité, a výhody jim bohužel unikají. Nakonec se raději spokojí s něčím, co je i pro ně méně robustní a efektivní nástroj. S tím už ale jako kryptolog mnoho neudělám.

Vy jako kryptolog pracujete v Raiffeisen bank v oblasti aplikovaného výzkumu.

^REKLAMA

Dá se to tak říct, i když bílé pláště tu nenosíme

Co to přesně znamená a proč si banka, jakožto finanční instituce, drží aplikovaný výzkum?

Ona si drží aplikovaný výzkum i v mnoha ostatních odvětvích, zejména ve finanční matematice či ekonomii. Ale máte patrně na mysli, proč zrovna disciplína, která spíše patří někam do IT, je takto udržována.

Přesně tak.

Kryptografie je prakticky v každém bankovním produktu a je tam opravdu důležitá. Bankovní produkty jsou vystaveny dennodenně do internetu a ty tam jsou doby, kdy útočit na bankovní produkt znamenalo v první řadě přijít na pobočku a tam začít jednat. Dnes to znamená sednout k počítači a začít posílat příslušné datagramy temnou sítí až k branám bankovních serverů. A to může udělat kdokoliv, kdykoliv a kolikrát bude chtít.

Jak časté jsou takovéto útoky?

Pokud byste se zeptal čistě na pokusy, např. skenovat naši síť, tak to běží prakticky neustále. A pokud byste chtěl vědět nějaké sofistikovanější kampaně zaměřené třeba obecně na bankovní klienty, teď myslím všech bank, ne jenom Raiffeisen, tak tam zažíváme několik kampaní do roka.

Říkáme tomu kampaně, které v podstatě míří zejména na retailové klienty a na jejich účty. A tomu všemu se musíte bránit v první řadě kvalitní kryptografií. S řadou zabezpečovacích postupů nám mohou pomoci klienti, ovšem pokud se udělá chyba přímo v návrhu produktu, přímo v kryptografikém schématu, tak s tím vám žádný klient už nepomůže.

Kvalitní práce v tomto oboru jest důležitá. Ukazuje se, že hodně záleží i na tom, aby kryptolog znal i poměrně do hloubky interní prostředí a produkty, aby byl schopen nejenom navrhnout něco, co je bezpečné, ale něco, co také funguje efektivně, a tedy, když už jsem v bance, ekonomicky smysluplně.

A proč aplikovaný výzkum? To už pramení z toho, že ta celá disciplína je v oblasti toho aplikovaného výzkumu, to znamená, neustále se rozvíjí, neustále jsou publikovány nové algoritmy a útoky na nové algoritmy a je potřeba na to neustále reagovat.

Do roka je více než 10 významných konferencí, na jedné každé je prezentováno více než 30 zajímavých příspěvků a jeden každý může mít zásadní význam pro to, co děláte. Takže je potřeba neustále studovat. Vlastně většina času bankovního kryptologa je sledování, co bylo publikováno nového, a promítání závěrů z publikací do toho, co se musí upravit, co se musí udělat lépe, co se musí udělat jinak.

Říká se, že zločinci mají náskok před policií, hackeři mívají náskok před lidmi, kteří se snaží ochránit své sítě. Jak velká je tato mezera?

Dříve se říkávalo, že je potřeba mít náskok před hackery. Ale to bylo stejně pošetilé, jako kdyby policie tvrdila, že chce mít náskok před zločinci. Ostatně bavíme se nyní, nikoliv o těch hackerech, kteří řeší složité problémy prostě proto, aby ukázali, že na to mají, ale o kriminálnících, kteří je řeší proto, aby se obohatili. Je to kriminální scéna tak jako tak a není důvod si myslet, že kriminálníci, kteří páchají běžnou trestnou činnost, se budou nějak příliš psychologicky a sociálně odlišovat od pachatelů té tzv. počítačové kriminality.

Není důvod se domnívat, že můžeme udržovat něco jako náskok před touto kriminální scénou. Vždy děláme tzv. analýzy rizika, při nich odhadujeme, jaké možné cesty nejspíš povedou k napadení připravovaného produktu, a už tam děláme příslušná opatření nebo detekční mechanismy.

Ale z vlastní zkušenosti je zkrátka třeba uznat, že to, co nakonec kriminálníky napadne, vás i po těch mnoha letech dokáže inspirovat. Nechci záměrně použít slovo zaskočit, ale řekněme inspirovat. A tím pádem je opravdu pošetilé myslet si, že můžete před tímhle vším mít náskok.

Když tedy přiznáme, že první krok udělá většinou kriminálník, tak zase nesmí mít před vámi přílišný náskok. Musí to být tak vyrovnané, jako s tou policií. Něco jako sebeobranné bojové umění – vy dáte soupeři možnost prvního úderu, ale druhý už nedá. A asi tak by to mělo fungovat v bezpečnosti. Vy mu dovolíte něco zkusit, co vás třeba nenapadlo, ale jeho pokus ve finále nedopadne dobře.

Spolupracujete třeba i s některými řekněme „dobrými“ hackery na testování vašich systémů?

Určitě. Je to úplně běžná praxe. Říká se tomu penetrační testy. A je to v podstatě najímání elitních hackerů na to, aby se pokusili ve stanoveném čase se stanovenou znalostí proniknout do nově připraveného produktu a podle toho, nakolik se jim to povede a jakých výsledků dosáhnou, tak se potom ještě před uvolněním toho produktu dělají finální úpravy a třeba se někdy i dost změní jeho architektura.

A u stávajících produktů? Přeci jenom sám jste říkal, že se technologie vyvíjí…

U stávajících produktů probíhají tzv. retesty. To znamená s periodou jednoho, dvou let se přetestuje s ohledem na to, jestli je odolný i vůči novým útočným metodám.

Náš interní kryptologický tým není jenom pro Českou republiku. Podařilo se nám etablovat kompetenční centrum, které funguje pro celou skupinu Raiffeisenbank International, takže naši zákazníci jsou i v Rakousku, Polsku, Bulharsku, Rusku, Ukrajině a můžeme jmenovat v podstatě celou mapu, kde působí Raiffeisen Bank International.

Vyhledávání slabin probíhá v okamžiku, kdy pročítáte sborníky s novými kryptoanalytickými metodami a říkáte si: „Sakra, tohle by se nás mohlo týkat, tady bude potřeba něco udělat.“ Takže to probíhá prakticky neustále.

Penetrační testy se zaměřují spíše na implementační a technické slabiny. To znamená ne, že by byl špatně matematický vzorec, ale je špatně jeho implementace. A tam se to testuje poněkud jinými metodami, jiným způsobem a více kumulativně, abych tak řekl. To znamená, že se po nějaké době vždycky udělá nějaké penzum přetestování.

Děkuji za rozhovor.