Rozhovor: Michael A. Goedeker

Michael Goedeker je generálním ředitelem společností Hakdefnet a HDN Int. a zároveň vzdělávacím ředitelem Risk-Intelligence Academy. Je také autorem v IGI-Gobal, kde píše o tématech kybernetické bezpečnosti v managementu (včetně aktualizací roku 2020), zkoumá a vysvětluje různé typy hybridních útoků na finanční průmysl a kritickou infrastrukturu. Letos se zúčastnil konference IS2 se svou přednáškou na téma „Hybridní válka: Zbraň doby kybernetické aneb co činí z vaší organizace cíl“. V následujícím rozhovoru jsme se ho ptali na předpojatost umělé inteligence, deepfake technologie, boje s nimi a další. V současné době pracujete na doktorském výzkumu na téma Cyber Risk Intelligence.

Jaká byla motivace pro výzkum této oblasti akademickou cestou?

Cítil jsem potřebu provést další výzkum v nové oblasti Cyber Risk Intelligence. Kombinuje stávající bezpečnostní přístupy a řešení s dalšími aspekty „kybernetické“ bezpečnosti a kybernetického zpravodajství založené na riziku. Jedná se o novou kombinovanou oblast s objektivním akademickým výzkumným přístupem. Prokletím v oboru kybernetické bezpečnosti je dnes pseudovýzkum, který je ve skutečnosti marketingovou brožurou, interpretací falešných dat a v některých případech spíše zbožným přáním než průzkumem založeným na faktech.

Jste také autorem několika online kurzů v Udemy, z nichž některé jsou velmi populární. Jak vás napadlo se do tvorby těchto kurzů pustit, jaké jsou výhody a nevýhody takových MOOC (pozn. red.: massive open online course, tj. hromadný otevřený online kurz) a jaký byl proces rozhodování o tom, který kurz by měl být bezplatný a který by měl být dostupný pouze za poplatek?

Obecně platí, že pokud vytvoříte nové školení založené na jedinečném výzkumu, zkušenostech a práci, mělo by být zpoplatněno. Jde o otázku hodnoty toho, co člověk získá za peníze, které investuje. Nešťastné ovšem je, že online platformy jako Udemy mají neetické lektory, kteří někdy vystupují jako studenti – vaše kurzy hodnotí špatně, zatímco své vlastní lépe. Také byla v raných fázích Udemy některá moje a další školení nelegálně stažena, kopírována a přepracována bez jakékoli platby nebo povolení. Opatrnost je tedy vždy namístě.

Účastnil jste se vyšetřování útoků BlackEnergy proti ukrajinské infrastruktuře elektrické sítě. Jak jste se dostal k účasti na vyšetřování a mohl byste popsat, jak to šlo krok za krokem?

Samozřejmě neprozradím všechny podrobnosti, ani co se přesně stalo z bezpečnostních, výzkumných a zdravotních důvodů, ale základní kroky byly následující.

Nejprve mi volal známý, že zákazník, pro kterého jsem absolvoval školení v SIEM, utrpěl něco jako útok. Po krátké diskusi jsem požádal o veškerá data, která měli, a prohlédl si dosavadní shromážděné informace. Všiml jsem si několika věcí, které mi připadaly divné, a začal je zkoumat podrobněji.

Provedl jsem výzkum pomocí různých nástrojů a technik, abych našel data a porovnal je s jinými zdroji. Pokračoval jsem v rozhovorech se zbytkem týmu pracujícího na tomto případu, čímž jsem sestavil ucelenější obraz o situaci. Sledoval jsem stopy z různých oblastí, věnoval bližší pozornost všem detailům a zaznamenával důkazy. Po diskuzi jsem uvedl svůj závěr, že útok byl legitimní a zřejmě nešlo o prostou skupinu, ale o APT, a to z oblasti agresivní vůči této zemi.

Při neustálém sbírání důkazů a zkoumání nových oblastí se celá věc zdála ještě komplikovanější, nicméně jsme se pomalu snažili sestavit obraz o tom, co a jak se stalo, a začali předvídat, co se může stát v budoucnu. Předpoklady a predikce, které jsem uvedl, byly do značné míry ověřeny, ale bylo to mnohem horší, než jsem si původně myslel. Poté jsme se rozhodli zveřejnit naše zprávy a sesbíraná data, mnohé společnosti je ale začaly vydávat za své. Naštěstí se ale našly i společnosti, které prozkoumávaly jiné oblasti, a my s nimi mohli porovnat naše zjištění. Ve výsledku byl rozsah a množství útoků daleko větší, než se zdálo.

„Nešťastné ovšem je, že online platformy jako Udemy mají neetické lektory, kteří někdy vystupují jako studenti – vaše kurzy hodnotí špatně, zatímco své vlastní lépe.“

Ve své prezentaci IS2 jste zmínil, že pokles demokracie je dílem umělé inteligence. Můžete tuto myšlenku rozšířit?

Jistě, sociální média sice používá více než 70 % Američanů pro své „novinky“ nebo „fakta“, ale platformy sociálních médií jsou prodejními platformami nabízejícími ten opravdový „produkt“, tedy vás, inzerentům, kteří cíleně vám chtějí prodávat své produkty a informace.

V normální situaci na trhu by lidé používali zdravý rozum a kontrolu faktů k ověření údajů a zpráv, alespoň do určité míry. To se v prostředí sociálních médií neděje, protože se skládá z algoritmů umělé inteligence nebo strojového učení, které mají za cíl pouze prodávat. Nemají zájem o fakta ani nezjišťují žádná data týkající se skutečností nebo reality. Jde o to vám něco prodat. Abyste to koupili, musíte být manipulováni k domněnce, že potřebujete něco, co obvykle vůbec nepotřebujete. V tom je zkrátka problém s umělou inteligencí a sociálními médii. Máte zde chamtivost, peníze, manipulaci a nulovou kontrolu faktů nebo zájem o pravdivost v jednom balíčku. Je to plížící se nukleární válka, a ještě na steroidech.

V souvislosti s loňskou IS2 sdílel Jeffrey Bardin svůj názor, že jakýkoli algoritmus umělé inteligence vytvořený lidmi bude neodmyslitelně sdílet naše předsudky. Myslíte si, že existuje způsob, jak tyto předsudky z umělé inteligence odstranit? Někteří odborníci totiž poukazují na to, že by se nám závěry takto předpojaté umělé inteligence nemusely příliš líbit.

Jeff má pravdu. Jakékoli technologie, které budujeme jako lidé, jsou jen tak dobré jako způsob jejich použití. Tyto způsoby obvykle prodávají nebo vydělávají peníze. Jelikož se nezajímají o pravdu nebo realitu, jsou ze své podstaty předpojaté a zkreslují realitu na příliš zjednodušené tréninkové oblasti, které nesimulují realitu ve více dimenzích. Ve fyzice jsme se naučili, že všechno má akci a reakci, pro umělou inteligenci platí totéž. Pokud tedy shromažďujete data, která jsou podle vás důležitá, budou do této kategorie zařazena, ať už to tak opravdu je, nebo není.

Jelikož se zpravodajství snaží vyhýbat takovým předsudkům, jak je v současnosti umělá inteligence vhodná pro zpracování?

Zpracování není možné plně automatizovanou umělou inteligencí. Jednoduše nemůžete nahradit vyškolené operátory, kteří procházejí data. Zkoušel jsem to se svým systémem. Může přinejlepším urychlit analýzu dat na první úrovni a vyřešit spoustu pracovní zátěže, ale poté stále potřebujete lidi, aby prošli zbytkem dat a opatrně je vyladili na základě daného způsobu použití. Jelikož jsou způsoby použití specifické, zabudoval jsem tuto skutečnost do našeho systému. Žádný systém v současné době nedělá zpravodajství tak dobře, jak to dokáže člověk, a většinou dochází k nesprávným závěrům, protože algoritmy jsou zafixovány a vycvičeny na něco, o čem nevíte, že je správné nebo přinejlepším vysoce teoretické a vytvořené lidmi, kteří nikdy ve zpravodajství nepracovali.

Změní se situace, ekonomika, politika, protivníci… Máte-li pevný algoritmus, který fungoval v jednom konkrétním scénáři, jak pravděpodobné je, že bude fungovat v jiném? Velmi nepravděpodobné. Lidé investovali do nových jednorožců (pozn. red.: jednorožci, anglicky „unicorns“, jsou firmy, které ještě nevstoupily na burzu a třeba to ani v budoucnu neplánují, a přesto jejich hodnota již přesáhla 1 mld. USD), aniž by měli fakta a etické partnery, se kterými by mohli pracovat. Jsme to tedy my, vědci a malé společnosti, kdo musí bojovat o přežití a snažit se napravit, co nefunguje.

Existuje několik typů analýz zpravodajství – popisná, prediktivní a normativní, přičemž většinou řešení kybernetické inteligence je jednoduchá popisná analýza. Setkal jste se s případy, kdy byla použita prediktivní analýza a taková inteligence zmařila útok, který se měl uskutečnit?

Ještě ne, proto vytvářím vícerozměrnou teorii hrozeb a rizik a pracuji na informacích o kybernetických rizicích. Některé věci můžeme předvídat, ale není to dostatečně proaktivní, abychom byli schopni skutečně zastavit útoky dříve, než k nim dojde, protože problémem není zpravodajství, ale líné chování a neimplementace zabezpečení, správa zranitelností, správa oprav a nedostatečné učení o tom, proč lidé útočí.

Jaké jsou rozdíly mezi životním cyklem klasického a kybernetického zpravodajství?

Podle mého názoru jsou tyto základní životní cykly stejné, v „kybernetickém“ zpravodajství jsou však zapotřebí další kroky, protože kybernetická říše nemá žádnou hmatatelnou suverenitu a je dynamičtější a náchylnější ke zkreslení dat a padělkům (falešné zprávy atd.) než „klasický“ nebo HUMINT (pozn. red.: z angličtiny HUMan INTeligence, jeden z druhů získávání informací, využívá lidských spolupracovníků) sběr informací týkající se odhalování falešných informací. V jakém bodě bezpečnostní vyspělosti organizace je podle vás rozumné zvážit vytvoření interního programu kybernetických hrozeb pokrývajícího celý životní cyklus zpravodajství? Kybernetické hrozby a rizika musí znát a uvědomovat o nich každá společnost, která k výdělku využívá internet nebo kybernetickou sféru. Povědomí o rizicích a jejich řízení musí být prováděno všemi, ale budování týmu za účelem hledání, správy a zastavení využívání rizik a hrozeb vyžaduje více úrovní a více týmů. Podíváme-li se na tým a technologii zmírňující rizika, pak jde o ochotu riskovat výnosy a dopady na ně. To by znamenalo, že faktorem není jen vyspělost, ale také splatnost a rozpočet.

Na začátku Hakdefnetu bylo myšlenkou vytvoření skupiny, která by prováděla výzkum a skládala se z členů akademické obce, vlády, obchodu a výzkumných pracovníků, kteří se snažili pomáhat bránit lidi před oslabujícími útoky narušujícími společnost a svět. V roce 2004 jsem viděl potřebu, aby to bylo provedeno více skupinami, ale tam ještě nejsme.

Abych tedy odpověděl na otázku… Neexistuje žádná křišťálová koule, která by říkala, co se má jak dělat. Bezpečnost je dynamický, živý a transformační proces. Neexistuje žádný začátek a žádný konec. Rizika a úrovně rizik diktují, co musíme nebo můžeme dělat na základě hlavních rizik, kterým čelíme. Musí se také mluvit o konkrétním rozpočtu, jinak je celá tato diskuse vysoce teoretická.

Technologie Deepfake rychle postupuje a brzy se dostane do bodu, kdy bude téměř k nerozeznání od originálu. Jaký dopad to bude mít na kybernetické a klasické zpravodajství a na naši společnost jako celek?

Deepfake podvody jsou již nyní velmi pokročilé. Ověření údajů v médiích a zprávách a to, jak hodnotíme platnost shromážděných informací, se stává velmi obtížným. Způsobují to dvě věci. Lidé, země a podniky buď nedůvěřují údajům, zprávám a médiím, nebo v horším případě věří falešným zprávám jako faktům, což vede k narušení společnosti a může to vyústit v občanské nepokoje.

Pokud se to ještě zhorší a nic už nebude fungovat, společnost ve všech zemích se začne rozpadat a přirozená rovnováha se ztratí. Je potřeba vidět logiku. Neměli bychom nechat manipulovat globální společností, aby nevěřila ničemu, co vidí, nebo naopak věřila všemu. Jen tak se můžeme vyhnout nepokojům, které v globálním měřítku jistě přijdou, pokud to nezastavíme. Jak bychom měli zabránit následkům? Tím, že jej nepřijmeme jako legitimní útočný nástroj a nebudeme považovat jeho použití za společensky přijatelné. Každá společnost, která toto umožňuje, by měla být potrestána a bojkotována. Ano, můžeme vytvořit systémy, které vloží popisky a upozornění, pokud rozpoznají, že byly zdroje upraveny. Veškerá bezpečnost, které chceme a potřebujeme dosáhnout, začíná ale tím, že to na žádné úrovni nepovolíme jako metodu útoku.

V rozhovoru pro hakin9 jste zmínil, že internet nikdy neměl být bezpečný. Myslíte si, že existuje cesta zpět k prolomení tohoto paradigmatu a vytvoření protokolů, díky nimž bude internet ve své podstatě bezpečný, nebo jsme příliš daleko na cestě zaměření na funkční stránku?

Realista ve mně říká, že rozbitý systém lze přinejlepším opravit, pouze pokud známe všechny chyby zabezpečení a zadní vrátka, která pak zabrání jejich použití a zneužití. S ohledem na peníze, čas a úsilí, které musíme investovat, by nový systém, jenž od začátku funguje jinak s vestavěným zabezpečením, dával větší smysl.

Optimista ve mně říká, že odpověď závisí na lidech, lidskosti a otázce, proč máme potřebu navzájem krást a útočit. Pokud najdeme odpověď na tuto palčivou otázku, mohli bychom vyřešit problémy s protokoly, řešeními, kontrolami, rovnováhami a dalšími faktory snižujícími riziko na přijatelnou úroveň. Dokud budeme mít ega, dokud je tu někdo, kdo chce vládnout světu nebo ublížit ostatním, kdo věří, že je lepší než zbytek lidstva, nebo cítí potřebu hackovat, aby si vydělával na živobytí, vždy budeme řešení pouze nahánět. Realita této otázky je realitou lidstva a umělé inteligence. Internet je stejně dobrý nebo stejně vadný jako my lidé.

„A tak je to i s kyberprostorem. Klíčem k řešení našich bezpečnostních problémů je začít akceptovat skutečnost, že jsme všichni propojení a na sobě závislí.“

Pokud byste k tomu měl pravomoc a mohl zvolit tři změny, které by vám pomohly zajistit větší bezpečnost, jaké by to byly?

To je těžká otázka, ale zkusím to.

• Přimět lidi, aby viděli, že jsme všichni propojeni a navzájem za sebe zodpovídáme (síťová připojení založená na důvěře).
• Aby byl útok na kritický systém, který je součástí podpory životně důležitých funkcí (např. zdravotnictví), mimo rozsah útoků (když někdo zaútočí, je na celý týden nebo měsíc blokován z celé sítě).
• Vytvořit lepší hardware a software, který funguje a je bezpečný. Nechte systém odměňovat lidi za hledání chyb, chybných konfigurací a zranitelných systémů.
• Nebo vytvořit systém, kde lidé mohou přežít, aniž by museli útočit na systémy jiných lidí (univerzální platy, dost jídla a peněz na život).

Jaké jsou podle vás největší brzdy ve vývoji kyberbezpečnosti v nejbližší budoucnosti?

Závislost na technologii pro kritické a důležité oblasti (AI, ML, rozsáhlé sítě závislostí řídících zařízení IoT a správa systémů kritické infrastruktury). Nedostatek zabezpečení zakomponovaných do všeho, co děláme.

Máte nějakou zprávu pro naše čtenáře?

Obvykle až když jako druh čelíme vyhynutí, konečně začneme vidět, že všichni musíme dokázat společně žít na této skále plovoucí v prostoru obrovského vesmíru, který má určitě inteligentnější formy života na jiných planetách. A tak je to i s kyberprostorem. Klíčem k řešení našich bezpečnostních problémů je začít akceptovat skutečnost, že jsme všichni propojení a na sobě závislí.

Děkujeme za rozhovor.

Za DSM se ptali Adam Lamser a Daniela Seigová.