Skúsme si na úvod trochu predstaviť, ako vlastne vyzerá práca servisného technika v oblasti IT. Je to takéto typické "opraviť práčku alebo televízor"?

No, úplne to tak nie je. Servisný technik v IT nie je niekto, kto opravuje spotrebiče. Skôr by som povedal, že je to taká "upratovačka v IT", človek, ktorý robí trochu zo všetkého. Pokrýva sa tým veľmi široké spektrum úloh  od podpory používateľov, cez inštaláciu hardvéru a softvéru, až po rôzne zásahy do infraštruktúry. Nemáme tu striktne dané kategórie ako vo veľkých korporáciách.

Jednoducho: čo príde, to riešime.

Ako si sa k tejto pozícii dostal ty?

Začal som s jednoduchšími vecami napríklad inštalácie koncových staníc, pomoc s bloknutými kontami, podpora používateľov, či už našich interných, alebo externých klientov. Také tie klasické "level 1" úlohy. Postupne, ako prichádzali nové príležitosti, tak sa mi otvárali dvere aj k zložitejším technológiám.

Takže si sa vlastne učil postupne cez prax?

Presne. Začínal som ako taký lokálny admin, človek pre všetko. V začiatkoch bolo potrebné si veľa vecí robiť sám, aj keď si nevedel úplne všetko. A hlavne, vtedy nebolo všetko tak jednoduché ako dnes. Neexistovali dva kliky na všetko, musel si rozumieť tomu, čo robíš. Od skladania prvých počítačov, cez nastavovanie routerov, až po dnešok,  postupne som sa do toho dostal.

Čo si robil najčastejšie ako servisný technik?

Je to taká IT support klasika „nejde počítač, nejde mi internet  a nejde mi tlačiareň“. A tiež som pripravoval koncové stanice pre nových aj stávajúcich kolegov. Táto práca je ale stále plná prekvapení. Od takých prkotín ako zle uložené heslo v „password manageri“ až po „man-in-the-middle attack“.

Čo je „man-in-the-middle attack“?

Nasadili sme bezpečnostný nástroj, ktorý monitoroval komunikáciu a portál to vyhodnotil ako „man-in-the-middle attack“ , bezpečnostnú hrozbu a aplikácia, ktorú sme sledovali sa vypla. Klient nám iba nahlásil nefunkčnú appku a my sme museli spraviť kompletnú diagnostiku, aby sme zistili, čo sa reálne stalo. A tak sme odhalili tzv. false positive (bezpečnostný systém nesprávne identifikuje legitímnu aktivitu alebo súbor ako hrozbu) „man-in-the-middle attack“.

A čo boli tie zložitejšie veci, ku ktorým si sa dostal?

Napríklad práca s enterprise technológiami, centralizovaným manažmentom, bezpečnostnými nástrojmi. Jedna z prvých väčších úloh bola nasadenie dvojfaktorovej autentifikácie. Tá už spadá do správy kritickej infraštruktúry, kde sme museli pripraviť záložné serveri a vypracovať tzv. disaster recovery plán (plán obnovy činností).

Máš vôbec niečo ako typický pracovný deň?

V podstate nie. V MHD pozriem maily, aby som vedel, čo ma čaká. Každý deň je iný, niektoré úlohy sú dlhodobé, iné treba riešiť hneď. Väčšina práce je reaktívna, čo príde, to riešim. Medzi dlhodobejšie projekty na ktorých pracujem patrí napríklad zvyšovanie úrovne kybernetickej bezpečnosti. Tam patrí napríklad zabezpečovanie emailovej komunikácie, koncových staníc, serverov, mobilov alebo „VPN-less“ prístup. Ten znamená, že nevytáčaš VPNku ručne, ale vzdialené pripojenie k firemnej infraštruktúre prebieha automatizovane.

Čo ťa najviac baví?

Asi viac robota so systémami ako s ľuďmi. Baví ma konfigurácia, troubleshooting, proste keď niečo nejde, hľadať prečo. Nemám problém niečo skúsiť osemkrát, kým to konečne vyjde na deviaty. Nedávno sme riešili problém s e-mailovou synchronizáciou u jedného klienta. Zo začiatku mali nesprávne údaje, používali iný nástroj, než tvrdili.

Tak som začal pátrať od firewallu, cez webovú proxy, až po mailový server. Zistil som, že používajú starý šifrovací protokol, ktorý už viac ako 10 rokov nie je bezpečný. Nechceli sme kvôli tomu otvárať bezpečnostné diery, takže som im poskytol všetky info a nakoniec si to upravili a začalo im to fungovať.

A robíš aj proaktívne veci, nielen reaktívne?

Áno, napríklad nedávno sme nastavovali pokročilý firewall pre klienta, hlavne pre ich mobilné prístupy. Zakázali sme všetko okrem nevyhnutných vecí, teda len webové prehliadače a mailových klientov v telefónoch. Všetky ostatné porty a služby sme zablokovali, žiadne torrenty, žiadne zvláštne spojenia.

Ale veľa proaktívnych činností sa ukrýva v reaktívnej práci. Dostal som nahlásený incident z cloudovej služby. Pre štandardnom postupe na odstránenie incidentu som si všimol novinky v danej cloudovej službe a zamyslel som sa nad nasadením tých najpraktickejších pre daného klienta. A potom som ich aj nasadil.

Čo sú najčastejšie prehmaty, ktoré musíš riešiť?

To je ťažké povedať. Môže to byť čokoľvek od pádu aplikácie kvôli chybnej sw knižnici, po nesprávne použitie nástroja zo strany užívateľa. Niekedy sa snažia nástroj použiť úplne inak, než je určený. Alebo riešime aj také veci, že im na internete vyskočí otázka, či chcú povoliť notifikácie, a oni dajú áno, a potom ich otravujú popupy a reklamy. Častokrát sú za nimi škodlivé stránky, ktoré majú phishingové kampane, ktoré sa snažia vylákať prihlasovacie údaje, môžu doručovať malware alebo môžu spustiť aj ransomwarový útok.

Takže útočníci vedia naozaj využiť aj tie najmenšie zraniteľnosti?

Jednoznačne. Napríklad, keď niekto klikne na podvodné notifikácie z webu „ste ohrozený, kliknite sem“, tak to nevedie k žiadnej pomoci. Skôr ťa to presmeruje na nejaký pofidérny obsah, niekedy aj na ransomware. Ransomware je typ útoku, kde ti útočníci zablokujú prístup k dátam a žiadajú výkupné. Často sa to šíri cez nástroje, ktoré analyzujú správanie používateľa a sú dosť sofistikované, dokážu byť v sieti mesiace, ticho zbierajú prístupy, dokonca sa dostanú aj do záloh, aby si nemal kam siahnuť, keď ťa zašifrujú.

Dá sa proti tomu brániť?

Určite, ale chce to disciplínu. Najdôležitejšie je mať zálohy, ideálne také, ktoré nie sú nonstop pripojené, ale offline. Niekto má páskové mechaniky, ktoré sa nosia do trezoru, iní si rotujú externé disky mimo bežnej prevádzky. To ťa ochráni aj pred požiarom, krádežou alebo akýmkoľvek výpadkom.

Sú útoky napojené na AI?

Áno, dnes sa útoky už kombinujú s AI enginami, ktoré sa učia napríklad lepšie vykonštruovať podvodné správy. Ale platí to aj naopak, AI sa využíva aj pri obrane samozrejme.

Aké sú najčastejšie typy útokov na firmy?

Určite phishing. Príde ti SMS-ka alebo mail, „váš účet je zablokovaný, prihláste sa rýchlo“, často aj s QR kódom. QR kódy sú zákerné, lebo nevidíš, kam vedú. Zoskenuješ to mobilom, otvorí sa stránka, ktorá vyzerá ako internetbanking, a už ťa lákajú, aby si zadal údaje.

Podvodníci sú šikovní, dokážu napodobniť vizuál banky, pridať falošnú hlavičku, dokonca to poslať do rovnakého mailového vlákna ako skutočná komunikácia z banky.

Takže veľa ľudí sa stane obeťou len preto, že boli v nesprávnom momente nepozorní?

Určite. Stačí stres, slabá chvíľka. A keď odošleš svoje údaje dobrovoľne, banka to už neberie ako svoj problém. Systémy neboli hacknuté, hackli teba ako človeka.

Robíš aj nejakú prevenciu?

U klientov napríklad nastavujeme ochranné pravidlá, monitorovanie, správnu konfiguráciu. Niekde si robia aj vlastné školenia o bezpečnom správaní, ale že by sme my robili prednášky pre bežných používateľov, to zatiaľ nie. Ale pravidelne participujem na internom vzdelávaní kolegov, kde sa venujeme najnovším formám kybernetických hrozieb.

Ale ľudia sa stále tvária, že „mňa sa to netýka“…

To je najväčší mýtus. Útočníci dnes idú automatizovane, strieľajú naslepo a skôr či neskôr niekto naletí. A ak sa na teba niekto zameria cielene, tzv. spear phishing, tak vtedy je to už fakt ťažké odhaliť. Často až nemožné.

A deje sa to len vo firmách?

Nie. Hocikde. Môže to byť výrobná prevádzka, kaviareň, hotel. Raz som bol služobne v hoteli, mali tam router s prednastavenými prihlasovacími údajmi, admin/admin. Normálne som sa dostal do systému. Ľudia často nemenia základné heslá a to je problém. Keď sa útočník pripojí s dobrou anténou, odchytí heslo alebo skúsi brute force útok (metóda, pri ktorej sa útočník pokúša získať prístup k systému alebo účtu opakovaným skúšaním rôznych kombinácií hesiel alebo šifrovacích kľúčov). Dnes už stačí málo.

Si teda paranoidný aj v súkromí?

Trochu áno. Pristupujem k tomu, že každý a všetko ma chce oklamať. Takže všetko mám zakázané, neverím ničomu, všetko si nastavujem sám. A fungujem tak aj doma.

A čo sociálne siete?

Stále frflem kamošom, že nepostujte každú hlúposť. Napríklad, že sú na dovolenke, prečo to dávať hneď von? Veď počkajte, kým sa vrátite. Ja sám mám LinkedIn profil skoro prázdny, len tak, aby som mal prístup. Nevidím zmysel vo vešaní osobných vecí na internet. Ľudia si neuvedomujú, že aj z fotky zmrzliny na Instagrame sa dá urobiť cielene zameraná phishingová kampaň. To už nie je sci-fi.

Čo sú podľa teba najväčšie mýty, ktoré sa týkajú bezpečnosti alebo IT infraštruktúry?

Určite ten, že „mňa sa to netýka“. Ľudia si myslia, že nie sú pre nikoho zaujímaví. Ale útoky dnes nie sú osobné. Automatizované systémy skúšajú každého. My sme raz mali incident, niekomu z kolegov prišiel mail, klasická blbosť. Niečo ako „nigérijský princ ti chce poslať milión dolárov“. Príloha vyzerala ako obrázok, ale v skutočnosti to bol obraz disku, akoby .ISO súbor, ktorý sa po otvorení pripojil ako virtuálna CD jednotka. Vnútri bol autorun skript, .bat súbor, ktorý sa snažil niečo spustiť. Našťastie sme mali endpoint ochranu na vysokej úrovni, takže to zastavila.

A mal si aj doma podobnú skúsenosť?

Jasné. Doma som si všimol, že mi zrazu hučí počítač. Kuknem a šesť jadier na 100 %, procesor vyťažený. Zistil som, že mi niekto pustil kryptominer. Nakoniec sa ukázalo, že sa to asi spustilo pri návšteve nejakého webu, kde bežal škodlivý skript. Však dnes máš všade trackery, reklamy, skripty, takže keď máš niečo dočasne povolené, tak ti tam niečo prešmykne. A to bol presne ten prípad, niečo sa uložilo do System32, bežalo to ako ovládač a ťažil si na mne Monero. Asi zarobili tak dva doláre, kým som si to všimol.

Takže firewall pozná už skoro každý, ale čo ďalšie nástroje na prevenciu?

Tie profi nástroje nie sú lacné a sú zložité. Nestačí ich kúpiť a zapnúť. Treba ich správne nastaviť, spravovať, aktualizovať. A aj sledovať. Firmy si myslia, že kúpia si niečo za tisíce a sú v bezpečí. Ale každý deň vznikajú nové hrozby. Už sme zažili, že cez VPN našli chybu, hneď sme museli reagovať, obmedziť prístupy, kým prišla záplata. Bežný človek toto nezvládne. Ideálne je, aby každá firma mala dedikovaný tím, ktorý rieši len bezpečnosť.

Keby si mal zhrnúť, kde sa dnes nachádza kyberbezpečnosť?

Kyberbezpečnosť je dnes ako neustály boj mačky a myši. Útočníci nie sú obmedzení rozpočtom, reguláciami. Napredujú rýchlejšie ako obrancovia. Už existuje aj „ransomware-as-a-service“. Zaplatíš si niekoho, a ten ti vyrobí útok na mieru. Proste biznis.

Baví ťa táto práca?

Jasné. Od malička som všetko rozoberal a skúšal pochopiť, ako veci fungujú. Najviac ma asi zaujíma oblasť bezpečnosti: ako sú nastavené procesy, aké sú komunikačné cesty, kde sú slabiny, a ako ich riešiť. Dnes už ani tak nie je problém prelomiť systém ako skôr zmanipulovať človeka, ľudská chyba je najväčšia slabina.

Pamätáš si, kedy bol tvoj prvý kontakt s IT bezpečnosťou?

Prvý kontakt? To bolo ešte doma, na základke. Na internete sú voľne dostupné nástroje a návody, ako sa s tým hrať. Pamätám si, že som si sám skúšal hackovať hry, čítať ich pamäť cez Cheat Engine, upravovať parametre, získavať virtuálne peniaze.

Čo je podľa teba najdôležitejšia zručnosť pre IT technika?

Určite analytické myslenie. Vedieť si pospájať súvislosti, čo s čím súvisí, kde čo prebieha, čo sa má kde stať. Napríklad keď v logu vidíš, že v nejakom čase sa niečo stalo, tak očakávaš odozvu inde. A keď ju nevidíš, vieš, že tam je problém.