Jednoho rána uprostřed vrcholící pandemie koronaviru se Petr Chaloupka dozvěděl o hackerských útocích na brněnskou fakultní nemocnici, a než dorazil do své firmy GreyCortex, měl jasno. Nemocničním zařízením nabídnou zdarma svůj vlajkový produkt, který zajišťuje kybernetickou bezpečnost v rámci počítačových sítí. Navíc se v rámci projektu Hack the Crisis rozhodli vytvořit jeho novou generaci, která má dokázat na útoky nejen upozorňovat, ale také je aktivně odrážet. V rozhovoru pro StartupJobs Newsroom prozradil mimo to i zajímavé poznatky o stavu kyberzločinecké scény.
Petr Chaloupka
Můžete přiblížit, co GreyCortex dělá?
Náš stěžejní produkt se jmenuje GREYCORTEX MENDEL a jedná se o bezpečnostní technologii, která zajišťuje viditelnost a kybernetickou bezpečnost v rámci počítačových sítí.
Pro širší pochopení se musíme vrátit ještě před rok 2016, kdy společnost GreyCortex oficiálně zahájila své fungování jako samostatná firma. Technologie, na které je postaven náš produkt, totiž vznikla zhruba o deset let dříve v rámci univerzitního výzkumu jednoho z našich spoluzakladatelů, který se zabýval hledáním anomálií ve videosignálu.
Představte si to tak, že dostanete třeba 24 hodin videozáznamu z nějakého velkého mezinárodního letiště. Technologie měla být za pomoci videosignálu a strojového učení schopná automaticky poznat nestandardní chování, například identifikovat osobu, která nese zavazadlo, odloží ho a odchází od něho. V rámci daného výzkumu byla úžasná, měla jen drobnou vadu: Abychom byli schopni zpracovat 24 hodin videosignálu z velkého letiště, potřebovali jsme asi měsíc strojového času, chyběl tam tedy realtime. Bylo by nejspíš k ničemu, kdybychom s měsíčním zpožděním zjistili, že nějaký terorista nechal na letišti v zavazadle výbušninu.
Co tedy bylo dál?
Připadalo nám škoda tu technologii, která je v jádru dobrá, jen narazila na fyzikální hranice běžných počítačů, zahodit, a tak jsme ji vzali a ze světa videosignálu přenesli do světa počítačových sítí. Tam také teče obrovské množství dat, ale je jich řádově méně než ve videosignálu. A začali jsme hledat anomálie v infrastruktuře.
Jak to probíhá?
Můžete si to opět představit tak, že vezmete náš produkt, připojíte ho u sebe ve firmě, my si vezmeme „zrcadlo” veškerého vašeho síťového provozu, takže ten produkt je naprosto pasivní, žádným způsobem neovlivňuje vaši infrastrukturu jako takovou, a navíc potenciální útočník neví, že ho umíme sledovat a že ho s největší pravděpodobností sledujeme.
Čili technologie vyhledává anomálie a zároveň dovedeme rozpoznat ty škodlivé věci, které už někdo popsal. V rámci infrastruktury dokážeme porovnávat obrovské množství informací, a náš produkt se tudíž chová, jako byste měl několik desítek nebo stovek zkušených lidských síťových analytiků a bezpečáků, všichni by spolupracovali a díky tomu byli schopni odhalit známé i neznámé hrozby. Tuto technologii od roku 2016 prodáváme pod názvem GREYCORTEX MENDEL.
Současný nástroj umí klienta upozornit, že něco není v pořádku, nová generace má hrozbám i aktivně bránit.
Novinkou má teď být jakési vylepšení, které chcete dodávat nemocnicím jako ochranu před kyberútoky.
Ano. Už je to několik týdnů, co jsem jednoho dne vstal, poslechl si zprávy a dozvěděl se o kybernetickém útoku na brněnskou fakultku (Fakultní nemocnice Brno - pozn. red.). Samozřejmě mě to lidsky nadzdvihlo, asi jako každého, takže než jsem došel do práce, napadlo mě, že bychom naši technologii mohli těm nemocnicím bezplatně nabídnout. Během cesty jsem si to srovnal, a když jsem svou myšlenku uveřejnil na LinkedInu, dostal jsem obrovskou spoustu kladných reakcí a nabídek jednotlivců i firem s pomocí.
Dostali jsme také nabídku od CzechInvestu, zda bychom nechtěli být jednou z prvních firem projektu Hack the Crisis v ČR (iniciativa na podporu projektů, které mohou pomoci proti následkům pandemie koronaviru - pozn. red.). Nám se to strašně líbilo, a abychom tam nešli jen s nějakou proklamací, že jsme udělali nabídku nemocnicím a teď z toho chceme půl roku žít, tak jsme si řekli, že připravíme další verze svých produktů, které vedle toho, že umějí analyzovat útoky - ať už je to malware, ransomware či další kampaně - budou umět v určité míře útoky také zastavit. Říkejme tomu třeba nová generace. A na ní teď pracujeme.
Nová generace se tedy liší tím, že dokáže útokům i aktivně zabránit, je to tak?
Přesně tak. Dnes je ta technologie sama o sobě pasivní, čili velmi dobře dokážeme dát společnostem, potažmo nemocnicím, vědět, že se něco děje, co to je a jakým způsobem tomu případně mohou zabránit. Oni už pak sami musí jít a třeba fyzicky odpojit daný segment infrastruktury.
Nějakým způsobem už dnes umíme spolupracovat s aktivními prvky typu firewall, ale v rámci nové generace plánujeme pracovat i na tom - a teď nechci příliš zabíhat do technických podrobností - abychom sami byli schopni aktivně té nákaze zabránit a zastavit ji. Tedy aby na straně nemocnic nebo pak i dalších zákazníků bylo co nejméně práce.
Do této fáze bychom se dostali tak jako tak, protože jsme k tomu směřovali a je to logický cíl, ale nastalá situace nás přiměla se na to víc zaměřit a v příštích 12 měsících tento směr vývoje upřednostnit.
Nejedná se tedy o produkt určený výhradně nemocnicím, ale počítáte s jeho nasazením mezi běžné klienty?
Ano, bude to produkt pro všechny, a co se týče nemocnic, tak jsme řekli, že na dobu půl roku jim dáme tento produkt zdarma, nebudeme z nich dělat zákazníky.
Nabídka na bezplatné používání nemocnicemi je tedy časově omezená?
Ano, v souladu se zadáním v rámci projektu Hack the Crisis jsme se dohodli, že po dokončení této nové verze produktu ji nabídneme českým nemocnicím na půl roku zdarma k používání.
Počítáte tedy, že do roka by mohlo být hotovo?
V tuto chvíli máme vývoj rozfázovaný na 12 měsíců a jsem přesvědčen, že bychom to mohli zvládnout. Do té doby můžeme nemocnicím nabídnout produkt, kterým disponujeme už nyní. Dokáže jim velice dobře pomoct. Pravdou je, že jsme dnes jednou z 15, maximálně 20 firem na světě, které se k ochraně infrastruktury síťového provozu staví podobným způsobem jako my.
Nemocnice patří mezi časté cíle kybernetických útoků - podle nedávných dat poradenské společnosti BDO evidují zdravotnická zařízení měsíčně stovky pokusů o zavirování a loni hackeři napadli každou pátou nemocnici v Česku, Národní úřad pro kybernetickou bezpečnost (NÚKIB) pak před pár týdny vydal varování před možnou vlnou kyberútoků na tato zařízení. Co je důvodem tak masivních útoků na nemocnice?
Vezměte si dvě instituce, banku a nemocnici. Když je porovnáte, tak obě řeší stejný problém: Dnes a denně na ně někdo útočí, přičemž velká část těchto útoků je automatizovaná, přicházejí neustále. Pokud jste ovšem banka, máte dostatek prostředků a možností, jak si ochranu zajistit - třeba tím, že si koupíte produkt našeho typu nebo nějaký jiný, který použijete k ochraně. S největší pravděpodobností budete mít mnohem větší možnosti, schopnosti a znalosti na to, jak se ubránit, než běžná nemocnice.
Když si představíte jakoukoli typickou středně velkou nemocnici, tak v ní máte běžně jednoho, dva, maximálně tři lidi v IT, kteří se starají zároveň o to, aby doktoři mohli tisknout recepty, aby chodily obrázky z RTG a tak dále a zároveň se mají starat o kybernetickou bezpečnost. Nemocnice jsou tudíž cílem jednak proto, že kybernetičtí zločinci vědí, že úroveň kybernetické bezpečnosti je v nich obecně nižší, a také proto, že pokud jde útočníkům skutečně o peníze, tak nemocnice s větší pravděpodobností zaplatí výpalné, protože v jejich případě jde o životy. Banka si může říct: My se s vámi bavit nebudeme, protože máme fungující zálohy a dokážeme všechno obnovit během jednoho dne, v nemocnici ale mohou umírat lidé.
A řekněme si narovinu, kyberkriminalita je zločin jako každý jiný. Lidé, kteří ji páchají, nemají svědomí. Jejich podnikáním je to, že jsou zločinci. Následky útoku na nemocnici jsou jim úplně jedno, zkrátka je to pro ně jednodušší a snadnější cíl. Při útocích z poslední doby měly nemocnice zašifrovaná data, takže jim nic nefungovalo, a kyberkriminálník pak řekne: Zaplaťte mi tu a tu částku a já vám pošlu šifrovací klíč, abyste se k těm datům mohli dostat.
Jak často se tohle stává?
Stává se to poměrně často, a teď se nebavme jen o nemocnicích. Případy, které nakonec vyplují na povrch, o nichž se bavíme a které se pak třeba objeví i v médiích, tvoří jen vrcholek ledovce.
Kyberkriminalita není nic nového, nevznikla letos, naopak je to odvětví zločinu, které je obrovským způsobem na vzestupu, a je potřeba si uvědomit, že kyberkriminálníci jsou minimálně stejně tak chytří jako my ostatní, kteří sedíme v bezpečnostních firmách a snažíme se vyvíjet prostředky a produkty, jež jim brání v jejich činnosti. Je to organizovaný zločin jako kterýkoli jiný a samozřejmě čím víc jsou oni úspěšní, tzn. čím víc peněz vyberou na výpalném, tím víc investují do dalšího rozvoje svého „podnikání”.
Dneska kyberkriminálník není ten umaštěnej kluk, který by seděl někde u počítače a zkoušel, kam až se dostane. Jsou to organizované firmy, které mají hlavy, mají oddělení výzkumu, vývoje, kvality, testování, mají dokonce zákaznickou podporu. Kdybyste se setkal s ransomware gangem - a nepřeji vám to - který zašifruje data vaší firmy, tak jednání s nimi bude probíhat na takové úrovni, že kdyby takhle fungovaly zákaznické podpory ve všech firmách, tak se nám všem žije mnohem lépe. Říkám to nerad, ale je to podnikání, které je dnes na úrovni, třebaže je to samozřejmě zločin.
Daří se je dopadat?
Zcela minimálně. Tuším, že to byla estonská policie, která před pár dny ve spolupráci s Interpolem dopadla nějakou skupinu, co šířila ransomware. Ale takové případy jsou ojedinělé a spíš bych řekl, že se někdy ke kyberzločincům dostanou při vyšetřování úplně jiných zločinů, neboť jsou provázané.
Dnes se pohybujeme ve virtuálním prostředí, a pokud oni neudělají fatální chybu, tak jsou de facto nedohledatelní. Jsou v internetu schovaní jako kdokoli jiný, a ke všemu vědí, co dělat. Vezměte si, jak poměrně složité bývá dohledat někoho, kdo na Facebooku vystupuje pod nickem Franta Lojza a šíří tam nenávist.
A jak se daří vaší firmě obecně?
V květnu jsme oslavili čtyři roky existence, sídlíme v Brně v JICu (Inovační agentura JIC - pozn. red.), máme vlastní pobočku v Japonsku a obchodní kancelář v Polsku. Aktuálně je nás kolem 40.
Dále se můžeme opřít o síť vlastních partnerů v rámci světa a také o další partnerskou síť, jež vyplývá z našeho členství v technologické alianci společnosti ESET, která je světovým gigantem. V rámci aliance máme přístup ke všem kanálům ESETu, takže teoreticky jsme dnes ve více než 220 zemích světa. Prakticky to tak samozřejmě není, ale s mnoha partnery z technologické aliance již dlouhodobě spolupracujeme.
Jste po těch čtyřech letech ziskoví?
My jsme na začátku dostali jedinou investici, a to 1,3 milionu dolarů od společnosti Y Soft. Dnes je naším jediným akcionářem, má tedy 40 procent ve firmě, zakladatelé společnosti stále drží majoritu 60 procent. Tato investice nám na začátku umožnila razantně rozšířit vývojový tým a během roku a půl jsme se dostali do černých čísel. Od té doby žijeme a rosteme z toho, co si GreyCortex sám vydělá z prodeje produktů.
Kolik to dělá? Respektive jaký je váš roční obrat?
Aktuálně jsou to nižší desítky milionů korun a zhruba 100+ platících zákazníků po celém světě, přičemž celkem - i v rámci aktuálně rozjetých obchodů - máme celosvětově více než 300 nasazení. Velikost zákazníků je od středních firem (náš nejmenší zákazník má zhruba 100 zaměstnanců) až po velké korporace (náš aktuálně největší zákazník má více než 30000 zaměstnanců).
Foto: GreyCortex, archiv Petra Chaloupky