Jaké jsou motivace společností pro využití služeb etického hackingu a kdo je stále nejsilnějším vektorem útoku? Pohled na vývoj ofenzivní bezpečnosti v Čechách a na Slovensku za uplynulých 8 let od prvního obchodníka Citadelo vám otevře mnoho otázek k zamyšlení a možná vás i přiměje jednat dříve, než zjistíte, že ve vaší síti už operuje nechtěný návštěvník.

Zpovídali jsme Jakuba Nováka Jakub má technický background, vystudoval Fakultu Aplikované Informatiky na Slovenské technické univerzitě v Bratislavě a už více než 8 let se jako Sales Manager v Citadelo věnuje business developmentu a také spravuje portfolia klientů s obratem nad 100 mil. CZK v rámci celé Evropy, primárně však v regionech Česká republika, Slovensko, DACH, a to napříč téměř všemi segmenty, jako například bankovní a finanční sektor, fin-tech a startupy, průmysl, automotive, zdravotnictví, telekomunikace, IoT, atd.

Jakube, lehká otázka na rozjezd. Jaké byly tvé začátky v ofenzivní bezpečnosti?

Letos je to už 8 let, co jsem nastoupil do Citadelo jako jeden z jeho prvních obchodníků. Začátky byly pro mě opravdu náročné. Obchod jsem nikdy předtím nedělal a byl jsem na to v podstatě téměř úplně sám. Když nad tím teď přemýšlím, byl a navždy to bude pro mě obrovský milník, protože jsem se v tom čase v podstatě rozhodl zcela změnit své zaměření. A to skočit ze vystudovaného technického člověka / developera do světa obchodu, o kterém jsem věděl úplně prd. Hlavním důvodem pro mě asi bylo, že jsem se osobnostně viděl v předchozím obchodníkovi Citadela, který byl právě na odchodu. Prostě jsem si tehdy řekl, že jdu do toho a vsadil jsem na to všechno. A řekněme si na rovinu, už na začátku jsem věděl, že nejsem ten typ, který by dokázal vydržet 8 hodin denně dívat se do monitoru.

Penetrační testování a tomu příbuzné služby tehdy (přelom let 2015-2016) řešilo jen málo společností. Rozjeté v této oblasti byly v podstatě hlavně finanční subjekty a subjekty, které úzce spolupracovaly pro finanční subjekty. Tyto jsou jinak entity, které ve velkém táhnou tento typ businessu dodnes. Tzn. dělat business v době mých začátků ve světě kyberbezpečnosti s ostatními typy firem znamenalo vydláždit úplně novou cestu. Samozřejmě čest výjimkám.

Jaké jsou motivace klientů, kteří se rozhodují, že se na tebe ohledně testování obrátí?

Postupně, jak přicházely legislativy jako kyberzákon, GDPR, NIS, atd., nám začaly firmy z ostatních odvětví rozumět stále více a více. Pro mě to není nejšťastnější způsob, jak s touto tématikou začít, protože firmy více-méně přicházejí z donucení, ale jde o výrazný posun vpřed. Mým vysněným postupem by bylo, kdyby společnosti, a tedy lidé, kteří tyto společnosti vedou, se proaktivně a preventivně věnovali kyberbezpečnosti, aby mohli klidně spát a naplno se věnovat svému businessu. Tam ještě ani nyní nejsme.

Kdy se rozhodují, že se na tebe ohledně testování obrátí?

V podstatě i tehdy i dnes eviduji čtyři hlavní motivace:

Soudržnost (compliance) s různými regulacemi, jako jsou např. zákon o kybernetické bezpečnosti, GDPR, NIS, ISO27k, a pod.
Vyžaduje to po nich klient
Stane se jim bezpečnostní incident
Chtějí mít klidný spánek a věnovat se bezstarostně svému businessu, proto se bezpečnosti věnují proaktivně

Samozřejmě nechci všechny házet do jednoho pytle, v mnoha případech může jít i o kombinaci.

Zmíněné zákonné regulace

Na úplném začátku pocházely téměř všechny aktivní společnosti na trhu v podstatě do prvních dvou kategorií. 1. ledna 2015 vznikl zákon o kybernetické bezpečnosti a hned na to v roce 2016 směrnice NIS. Ty zasáhly jako první banky, finanční instituce, energetický průmysl, kritickou infrastrukturu a další. Tehdy se začala situace otáčet. Zároveň, vzhledem k rychlému nárůstu hackerských útoků, si i ostatní společnosti začaly uvědomovat, že mají aktiva, která musí v digitálním světě chránit, protože jejich ztráta přímo ovlivňuje jejich existenci.

Vývoj testovaných sektorů v Citadelo

Finanční sektor
Vývojářské a technologické firmy
Energetický sektor
Výrobní průmysl
Farmacie

Jaká je aktuální situace z pohledu Citadelo, pokud jde o zájem společností o etický hacking?

Zájem u společností narůstá a je to z několika důvodů:

První, za co jsem neskutečně rád, je vlastní iniciativa společností. S extrémním nárůstem hackerských útoků je společnostem už dnes jasné, že není otázka jestli, ale kdy se stanou cílem hackerského útoku. Chtějí proto vědět pohled etického hackera na jejich infrastrukturu, aplikaci nebo na celou organizaci právě proto, aby se ochránili dříve, než na ně skuteční black hat hackeři zaměří svou pozornost. A to je správné rozhodnutí.

Když se podíváme na naše statistiky, za které vděčíme našemu skv ělému marketingovému oddělení, v roce 2023 jsme provedli 384 simulovaných útoků, při kterých jsme našli 2795 zranitelností. To je v průměru 7 zranitelností na jeden útok a to je hodně. Pro hackera to znamená, že má pro svůj úspěch připraveno 7 více či méně kritických zranitelností, které může řetězit a tím společnosti způsobit ohromnou škodu.

Zároveň se blíží účinnost směrnice NIS2 (konec 2024), která pověřuje další tržní segmenty testování ofenzivní bezpečnost vykonávat. V České republice a na Slovensku to zasáhne cca 10 000+ nových společností a zahrnuje celkem 19 tržních segmentů.

Následně je tu i DORA (v účinnosti od 17. 01. 2025), která mj. přímo nařizuje komplexní testování společností jako např. Threat Lead Penetration Test - obdoba našeho Red Teamingu, což je simulovaný komplexní hackerský útok na společnost.

Evropská směrnice NIS2 a nový zákon o kybernetické bezpečnosti, který chystá Česká republika, toto téma již rozhodně rezonuje v kuloárech společností.

| V roce 2023 jsme provedli 384 simulovaných útoků při kterých jsme našli 2795 zranitelností. Vedou Weby, Cloudy a Infrastruktura.

Kompletní report stáhněte tu

Evropská směrnice NIS2 a nový zákon o kybernetické bezpečnosti, který chystá Česká republika, toto téma již rozhodně rezonuje v kuloárech společností. Co to pro CISO znamená z pohledu ofenzivní bezpečnosti?

Po 17. říjnu 2024 bude třeba, aby CISO vyhodnotili tzv. rozsah řízení kybernetické bezpečnosti, identifikovali rizika a do roku začali pracovat na jejich odstranění. Z pohledu ofenzivní bezpečnosti jsme my jako Citadelo hned v úvodní fázi procesu, kdy prostřednictvím penetračního testu a auditů pomáháme CISO určit rozsah zranitelností jejich systémů a předáváme návrhy pro jejich odstranění.

Proces nově vstupujících společností do této regulace zahrnuje:

Určit velikost podniku
Stanovit, jestli jsou “základní subjekt“ nebo „důležitý subjekt“.
Projít auditem kybernetické bezpečnosti
Najít a vyhodnotit rizika a zranitelnosti
Sestavit implementační plán
Do roku jej začít realizovat

Rozpočet

Například NÚKIB v České republice provedl výzkum na reálných společnostech a určili průměrnou hodnotu implementace opatření na 800K - 1,2 mil. CZK na jeden firemní systém. Půjde tedy o nemalé finanční prostředky, které budou muset společnosti na kybernetickou bezpečnost vynaložit, a je třeba, aby CISO tyto rozpočty nastavovali již dnes a připravili se na jejich brzké čerpání.

| Rozpočty nastavujte již dnes, odhad nákladů je 800K - 1,2mio CZK na jeden systém.

Jaké služby v tuto chvíli nejvíce společnosti poptávají?

Penetrační testy webových a mobilních aplikací samozřejmě i s testy API, v rámci kterých aplikace komunikují s backendy, a infrastruktury (perimetr vs. interní infrastruktura). Narůstá počet poptávek i na komplexní Red Teaming simulovaný útok. Aktuálním trendem je služba OSINT, Social Engineering (phishing / vishing / smishing, fyzický průnik, atd.) ale také integrace na LLM / AI.

Kdo nebo co je dnes nejúspěšnějším vektorem útoku, tedy vstupním bodem do infrastruktury společnosti?

Naše interní statistiky ukazují, že nejslabším článkem byl, je a dovolím si říci, že pravděpodobně ještě dlouho bude, lidský faktor. Naše dlouhodobá úspěšnost simulovaných hackerských útoků kombinací Vishingu & Phishingu je téměř přes 40%, tedy skoro každá druhá oběť podlehne našim simulovaným útokům a vpustí etického hackera do firemní infrastruktury. To je alarmující stav. Následně může jít o zranitelné klientské aplikace či perimetr společnosti.

Aktuálně se již rozrůstají útoky Social Engineeringu s použitím AI a LLM. Jako příklad mohu uvést nedávný hackerský útok, kdy byl CFO jisté banky v Hongkongu obelstěn kombinací deepfake online meetingu a phishingu. Útok vedl k finanční ztrátě 25 milionů USD.

Díky využití těchto technologií se pro oběti téměř stírá rozdíl mezi fikcí a skutečností. Dá se tedy očekávat, že toto procento bude narůstat.

| Více než 40% obětí vpustí etického hackera nevědomě do firemní sítě.

Jak může probíhat takový útok Phishingu & Vishingu a je rozdíl v jakém byznysovém odvětví to hacker dělá?

Na byznysovém odvětví nezáleží. Když bude chtít hacker nějakou společnost vyhackovat, provede to tak, že si nejprve na ní provede OSINT (open source intelligence). Zjistí si, kdo tam pracuje na jakých pozicích, jaké jsou dostupné informace o společnosti ve veřejných a neveřejných zdrojích, darknetech, zjistí si zvyky společnosti a jejich lidí a také jestli neproběhl nějaký data leak ze společnosti např. s hesly apod. Na základě zjištěných informací zosnuje útok skrze vybrané oběti, tedy lidi ve společnostech, kteří jsou pro něj zájmoví. Nebo naplánuje spear phishing zaměřený na celou společnost.

Při společnosti o velikosti 100 zaměstnanců má při 40% úspěšnosti příležitost získat 40 obětí, kterým kompromituje stanice a dostane se do firemní sítě.

Jak pomáháš klientům se proti takovému útoku bránit?

S klienty řešíme pravidelné a důkladné bezpečnostní školení zaměstnanců, kde jim kromě samotné teorie předvádíme i praktické ukázky různých hackerských technik, aby je následně dokázali co nejlépe rozpoznat. A kombinujeme to s pravidelným penetračním testováním formou sociálního inženýrství - phishingových / vishingových / smishingových kampaní. To je podle mého názoru aktuálně nejefektivnější cesta, jak toto procento držet na relativně nízké úrovni.

Zaměstnanci se často domnívají, že jsouv prostředí společnosti více chráněni a neuvědomují si, jakými kroky aktivně vytvářejí pro hackery jednoduchý vstup do sítě společnosti a nejsou si plně vědomi ničivých dopadů, které to s sebou nese. Je třeba jim tyto znalosti rozšiřovat a pravidelně jejich míru citlivosti ověřovat. Nebo si to možná i uvědomují, ale v dnešním obrovském návalu práce se zvyšuje procento chybovosti, protože každý chce přece každý úkol vyřešit co nejrychleji k spokojenosti zaměstnavatele.

Zmínil jsi, že narůstá zájem o OSINT. Co tato služba klientovi objasní a je rozdíl mezi tím, jak ho dělají Black Hat Hackeři a jak ho dělá Citadelo?

Techniky mezi black hat a white hat hackery jsou naprosto stejné. V rámci OSINTu dokážeme klientovi zjistit mnoho informací. Obecně se dá říct, že zjistíme, co vše je o společnosti pro Black Hat Hackery na webech a darknetech dostupné a tedy s jakými kartami budou při potenciálním útoku na klienta hrát. Zjištěním těchto dat získá společnost náskok se proti případnému hackerskému útoku ochránit.

Oblasti Citadelo OSINTu:

Uniklá jména a hesla, citlivé dokumenty společnosti atd.
Rekonstrukce jejich infrastruktury, plány budov.
Management, struktura společnosti a jejich obchodní vztahy.
Seznamy zaměstnanců, detaily jejich kontaktních informací apod.
Etický hacking se stal nedílnou součástí testování ofenzivní bezpečnosti.

| Etický hacking se stal nedílnou součástí testování ofenzivní bezpečnosti.

Co bys poradil společnostem při výběru poskytovatele etického hackingu a podle čeho se mají na trhu orientovat?

Určitě je důležité si danou společnost prověřit ve smyslu hloubky její expertízy, tedy obecně řečeno kvality. Etický hacking je komplexní disciplína a vždy je dobré hledat partnera, který má s jejím komplexním pojetím prokazatelné zkušenosti. Expertíza a seniorita týmu etických hackerů je v tomto ohledu naprosto klíčová. Pořekadlo “Když dva dělají totéž, není to totéž.” v tomto odvětví platí dvojnásob. Hledal bych společnost, která má etický hacking jako svůj core business.

Zveřejněné informace o referencích, nalezených zranitelnostech a CVE's nebo vydané reporty, délka působení v oboru, počet etických hackerů, jejich technologické zaměření a mnoho dalšího jsou velmi dobré vstupní informace. Nakonec bych doporučil se s vybranou společností setkat a projít s ní jejich procesy, které se k dané službě vážou, protože to může být tím místem, které ji udělají nejen kvalitní, ale i nákladově efektivní.

Pokud jsme vás zaujali, kontaktujte nás již dnes, abyste byli o krok vpředu před black-hat hackery. CS_LEAD_FORM_SPECIAL_PLACEHOLDER