Sešli jsme se v posledním patře budovy s příhodným názvem Enterprise na Pankráci. V sídle Avastu se to hemží mezinárodním týmem ajťáků, ajťaček a podle všeho i dalších přidružených profesí, které chod globálního antivirového lídra potřebuje.

V každém patře kavárenský kout a příjemný veselý design, který navozuje dojem, že nejste v korporátu, ale spíš v nějakém coworkingu. Ondřej Vlček je avastový veterán a letos  byl jmenován CEO firmy. Při rozhovoru je klidný a soustředěný. Vlastně tak, jak se na kapitána kosmické lodi sluší a patří.

Co je pro vaši firmu dnes největší výzva?

My vlastně jen reagujeme na vývoj. Podobně jako medicína, která registruje viry, nemoci a pak na ně hledá lék. Rozdíl je, že nemoci v biologickém světě vznikají samovolně nebo od pánaboha, zatímco v tom digitálním je záměrně šíří lidé, kteří tím sledují nějaký zisk.

Jsou větší problém útoky na jednotlivce, nebo viry, které se šíří plošně?

Vytvářet viry je byznys. Jejich tvůrci si dělají nějaké rozvahy, jestli se jim to vyplatí nebo ne, protože úspěšný vir je většinou dost drahé sestavit. Na to potřebujete relativně kvalitní tým, který ví, co dělá, aby se to fakt chytlo. A z toho vyplývá, že se nemusíme ani tak bát nějakých extravagantních hrozeb typu, že někomu hacknete kardiostimulátor připojený bezdrátově k nemocnici. To by sice teoreticky šlo, ale není dokumentovaný jediný případ, že by se něco takového stalo. Nebo hacknout auto, aby do někoho najelo. Zatím nikdo nemá tuhle potřebu, protože na takový ojedinělý útok musíte vynaložit obrovské peníze.

Anonymní okno ve vyhledávači znamená, že se o historii vyhledávání nic neuloží ve vašem počítači. Ovšem Google, Facebook a všichni ostatní, kdo vás sledují, vědí, kde jste byli.

Větší problém je použití umělé inteligence pro čím dál levnější zahájení masového útoku. Například v oblasti phishingu, což je vyhledávání osobních, často citlivých informací o konkrétních lidech s tím, že si sestavíte jejich profil, a pak můžete ovlivňovat jejich chování.

Phishing je známý jako ty podvodné maily, ať pošlete někam peníze, protože jste vyhráli...

Ano, ale málo se ví, že při útocích na velké společnosti, které ty společnosti pak stojí miliardy, když dojde třeba k takzvanému datovému breachi, tedy průniku do databáze zákazníků firmy, začíná 90 procent z nich právě určitou formou phishingu. A to je velmi chytrý phishing, jiný než ty maily s lámanou češtinou, které jsme zvyklí dostávat jako uživatelé. Jsou to takzvané spearphishingy, které vycházejí z informací o vaší osobě.

Ten útočník o vás ví všechno, sleduje vás dlouhé měsíce, ví o vaší rodině, o vaší sekretářce. A třeba právě jí pošle nějaký e-mail, třeba že má poslat někam peníze nebo data, a ten mail vypadá naprosto důvěryhodně, projde všemi kontrolami. Tento typ útoku bylo tradičně velmi drahé udělat, když šlo o jednoho člověka. Ale teď je to jinak. Díky strojovému učení a díky dostupnosti dat, ať už těch, které jste dal v minulosti sám ven, nebo i dat, která byla již dříve ukradená třeba z databáze hotelu, kde jste bydlel, lze sestavit sofistikovaný profil množství lidí. Třeba i milionů lidí. A takový profil pak umožňuje útočníkům sestrojit právě phishingové útoky na konkrétní cílové skupiny lidí levně.

Takže čím dál chytřejší technika a čím dál více dat, která o sobě sami necháváme nebo byla v minulosti ukradená, vedou ke stále levnějším a lepším útokům. Byl to podobný přístup jako u skandálu kolem Cambridge analytika, kde byla data z Facebooku použita na ovlivnění skupin voličů před volbami, které nakonec vyhrál Trump?

Tam to technicky fungovalo trochu jinak, ale v zásadě je to podobné.

Jde tedy o to, zda motivací útočníka je někoho konkrétního okrást, nebo ho manipulovat třeba před volbami. Cíle jsou různé, ale princip zneužití osobních dat stejný?

Ano. Největším nebezpečím třeba u fake news není, že šíříte vyloženě lži, ale když šíříte z 90 procent fakta a k tomu přidáte 10 procent manipulovaných informací. A navíc když přesně víte, na jakou skupinu lidí použít jaký argument. 

Jak moc se šíří takové fake news viry, respektive propaganda v Česku? Odborníci varují, že to je jakási studené datová válka mezi Západem na jedné straně a Ruskem nebo Čínou na druhé...

Můj osobní názor je, že celá ta ruská agenda se odehrává na bázi fake news. Oni chytře šíří obsah, který nerozděluje svět natvrdo na hodné versus zlé, Východ versus Západ, ale nenápadně podkopávají naše základní hodnoty. Používají metodu relativizace všeho, kdy ke každému faktu ze zpravodajství přidají náznaky, že to může být jinak. Člověk, který je tomu vystavený, snadno po nějaké době  zblbne a myslí si, že mu všichni jen lžou.

Google ví, co a za kolik jste si kde koupili, říká Ondřej Vlček


A to je nebezpečné, protože se to začíná vztahovat i na základní historická fakta. Tak se nám začalo podsouvat třeba to, že za druhé světové války postupy, které používali nacisté, vlastně používali i spojenci, že mezi Hitlerem a ostatními politiky není takový rozdíl... Tohle už ale není oblast kyberbezpečnosti, ale spíš  psychologických manipulací.

Ohledně souboje Západu s Ruskem a Čínou se začalo mluvit o tom, že GDPR a celkově ochrana osobních dat nás vojensky, respektive kybervojensky znevýhodňuje před totalitními zeměmi, jako je Čína. Tam žádná ochrana soukromí neexistuje a stát má přes své instituce i soukromé firmy data o miliardě svých občanů k dispozici. Díky tomu bude mít v oblasti kyberzbraní náskok. Taky si myslíte, že je z tohoto hlediska demokracie oproti tyranii v datovém světě slabší?

Taky jsem ten argument slyšel. Myslím, že to je pravda jen z poloviny. Jedna věc jsou PII, tedy Personally Identifying Information, respektive osobní data, ke kterým Evropa a Čína přistupuje opravdu odlišně. V Číně něco takového, jako jsou osobní data, neexistuje. Naopak je tam ilegální se snažit nějakým způsobem svá data chránit. Jenže těch strategicky klíčových aplikací a služeb, které jsou vázány přímo na osobní data, zase tolik není. Třeba dnes tolik probíraný software na rozpoznávání nebo na samořiditelná auta není vázaný na osobní data.    

Co vlastně jako Avast děláte, když objevíte nějaký útok? Vždyť je to v podstatě kriminální čin...

Když zjistíme útok nebo identifikujeme virus, tak nemůžeme na jeho původce zaútočit. My pouze chráníme zařízení našich klientů, ale nemůžeme škodit útočníkovi. Ale je fakt, že se můžeme obrátit na policii, a informujeme ji. A pokud mají policisté zájem, pak s nimi koordinujeme postup.

Jste aktivní ve více než stovce zemí, takže kontaktujete v každé zemi tamní policii?

Často kontaktujeme Europol, protože ten z hlediska kyberbezpečnosti zastřešuje celou Evropu. To se třeba hodně dělo kolem vyděračských útoků, takzvaných ransomware. Europol má dokonce vlastní skupinu, která řeší ransomware, a my jsme její součástí. Například letos v létě jsme měli docela slušný zářez s francouzskou policií. Šlo o virus, který měl na svědomí asi milion nakažených počítačů, a nám se je podařilo odvirovat vzdáleně a zároveň celou tu hackerskou síť shodit. Ale nejprve jsme k tomu museli mít souhlas tamní policie. 

Financial Times napsaly, že jistá izraelská firma, která pracuje pro různé tajné služby, je schopná hacknout iPhone. Apple tvrdí, že to není možné. Podobně se psalo o hacknutí účtů na Googlu. I ten to popírá. Jaký je váš názor?

My tuto kauzu taky sledujeme. Dostaly se k nám i vzorky softwarů, o kterých se tady bavíme. Ale já myslím, že se toho majitelé iPhonů nemusí bát. Pravda asi je, že s obrovským množstvím peněz se dá hacknout v zásadě všechno. Nebo v budoucnu to tak půjde. Tady už narážíme na téma kvantového počítání.

Pojem quantum computing se začíná používat stále častěji...

To je hodně zajímavé téma. My víme, že matematické koncepty pro tento druh programování jsou hotové. Teď se řeší fyzika, čili jak takový kvantový počítač vybavit, aby reálně fungoval. Google a jiní se tomu věnují a říkají, že mají dílčí úspěchy. Ale až to bude sestrojené, bude to pro bezpečnost čehokoliv na světě znamenat velký problém.

Bylo by to v rukou útočníků něco jako digitální zbraň hromadného ničení?  

S takovým počítačem by v podstatě veškeré šifrování bylo lehké rozlousknout. Dnes je totiž šifrování založené na tom, že se velmi dlouho hledají ty správné rozklady prvočísel. Tedy heslo. Jenže to ten kvantový počítač řeší strašně rychle.

Dojde k sestrojení kvantového počítače ještě za našich životů?

Myslím, že to je reálné. Až se tak stane, dojde ke zrychlení určitého typu úloh o mnoho řádů. Dám vám příklad: Já na svém dnešním počítači mohu dekódovat nějaké velmi složité šifrování, ale bude mi to trvat  asi tak 17 milionů let. A kdybych byl tak bohatý a mocný, že na ten problém budu moct nasadit všechny počítače na světě, pořád by to rozluštění kódu trvalo dva tisíce let. Jenže s kvantovým počítačem tu úlohu vyřeším za pár vteřin.

Co když takový počítač jako první vyrobí Čína? Nemůže pak hacknout třeba bezpečnostní systém atomových elektráren v Evropě?

Naštěstí ne. Jedna věc je být schopen rozšifrovat data. Druhá věc je se k těm datům dostat. Elektrárna samozřejmě nemá svá klíčová zařízení připojené k internetu. Čili musíte mít špehy uvnitř té elektrárny. Jako Spojenci za druhé světové války. Než díky slavné Enigmě rozluštili kód německých ponorek, museli jednu jejich ponorku nejdřív získat a dostat se k tomu kódovacímu zařízení.

A jak jsou z vašeho pohledu bezpečné dnes populární  blockchainové technologie, jejichž nejpopulárnějším příkladem je bitcoin?  

Základní výhodou blockchainu je, že je decentralizovaný a transparentní. Takže na rozdíl od šifrování, o kterém jsme mluvili dosud, si každý jeho uživatel může vyhledat a ověřit transakci nebo veškerou komunikaci, čímž má být systém hlídaný. Budoucnost těchto technologií je zajímavá. Ovšem  zároveň si dokážu představit, že někdo naprogramuje blockchain, kde je transparentní 99,9 procenta transakcí, ale ta jedna promile bude šikovně schovaná. Jinými slovy, všechno se dá zneužít. Nebezpečí je tedy v tom, že když budete dost dlouho říkat lidem, že blockchain je zcela bezpečný, tak tomu uvěří.

Na kryptoměnových burzách je dnes obrovské množství podvodů. Bitcoin přilákal do této oblasti hodně peněz, takže už se na tom hodně lidí spálilo. Ovšem blockchainová nebo nová holochainová technologie slibuje, že bude možné decentralizovat třeba i státní správu. Tím prý bude možné zrychlit a učinit transparentnější celé fungování států. Je to reálné?

Koncept blockchainů je zajímavý. Řeší komunikace a transakce, které by nemělo být možné ovlivnit zúčastněnými stranami, je tam nějaká nezávislost. To se mi líbí. Ale nevěřím tomu, že by třeba decentralizované měny jednou mohly nahradit centrální měny. Už jen proto, že to není v zájmu těch, kdo ovlivňují ekonomiku.

Jak se v kontextu nových hrozeb a příležitostí, o kterých jsme mluvili, vyvíjí potřeby vašich klientů?

Je to čím dál víc o ochraně soukromí. Kromě našeho tradičního produktu VPN, který je na pomezí kyberbezpečnosti a ochrany soukromí, jsme spustili produkt AntiTrack. Umožňuje vypnout či aspoň potlačit sledování toho, jak se na síti pohybujete, tedy ten online tracking. V této oblasti jsme pionýři a máme velký úspěch. 

A nestačí, když si pro vyhledávání otevřu anonymní okno?

To právě lidi mate. Anonymní okno ve vyhledávači znamená, že se o historii vyhledávání nic neuloží ve vašem počítači. Ovšem Google, Facebook a všichni ostatní, kdo vás sledují, vědí, kde jste byli. Protože dneska téměř všechny weby, kam půjdete, mají nějaké elementy od Googlu nebo Facebooku. Ať už jsou to reklamy, nějaké trackingy a tak dále. Takže drtivá většina webů, na které se půjdete podívat, včetně Flowee, je provázaná s Googlem nebo Facebookem. A tím pádem si to ten Google může spojit. Čili Google vidí všechno, co děláte.

A může moje anonymní brouzdání po síti dekódovat i můj zaměstnavatel?

Jestli má nainstalované monitorovací aplikace, tak ano. To ale většina firem nemá.

A váš AntiTrack to sledování umí vypnout?

Vypnout je silné slovo. Já bych řekl, že nabízíme takové rušičky.

Hodně lidí neví, že si lze veškerou historii vyhledávání na Googlu a Facebooku vymazat...

Ano, Google a Facebook samozřejmě dneska pro své evropské zákazníky nabízejí takzvaný takeout. Jinými slovy si můžete zažádat, aby na vás takzvaně zapomněli. Aby vymazali všechna data o historii vašeho pohybu a vaše vyhledávání a aby o vás nadále neskladovali žádná data. A taky si můžete od Googlu vyžádat, aby vám poslal všechna data, která o vás má. Vy si je stáhnete do svého počítače. Náhle máte svou osobní historii. Mimochodem doporučuji každému, aby si to zkusil. Je to docela zajímavý pokus.

Docela jsem koukal, když jsem zjistil, že Google ví, kde jsem byl a co jsem dělal třeba 18. února 2015...

Mají na to relativně slušně user friendly appku takeout.google.com. Tam si člověk stáhne všechno o sobě. Dostane třeba stogigový archiv, kde má všechny fotky, všechny navštívené weby, všechny fyzické lokace, nákupy, které udělal... Pokud používáte gmail, tak vám přes něj například chodí účtenky ze všech nákupů. Jakákoliv účtenka, která přišla z jakéhokoliv e-shopu, tam je uložená. Google ví, co a za kolik jste si kde koupili.

Má to i Facebook?

I na Facebooku je takeout. Musí být. Správně by totiž všechny firmy, které štosují jakákoliv vaše osobní data, měly nabízet takeout. Pokud to nemají, tak nesplňují GDPR. Ostatně za poslední rok a půl bylo uděleno 60 tisíc pokut firmám, které nesplnily GDPR.

Jaký je vlastně váš názor na GDPR?

Určitě byla nějaká regulace potřeba. Můžeme se bavit o tom, jak moc je šťastná současná podoba GDPR. Pro mě je to moc složité. Já bych chtěl pravidla, která by byla na tři stránky, a aby jim rozuměl i někdo bez právního vzdělání. Ale myslím si, že je to krok správným směrem. A taky kvituji, že minimálně nadnárodní hráči, přestože to vlastně musí udělat jenom pro EU, tak to začali řešit už i globálně, nabízejí GDPR ochranu i v Americe, kde to zákon ještě nevyžaduje.

Co byste poradil rodičům, aby jejich děti byly úspěšné v novém světě, kde technologie hrají čím dál větší roli?  

Není to až tak o ovládání nových technologií nebo o tom naučit někoho programovat. To jsou totiž jen nástroje. Pořád se mění a přichází další. Klíčová je schopnost pracovat s daty, s informacemi. Já jsem byl nadšený, když jsem si nedávno otevřel učebnici matematiky svého nejstaršího syna – má ji napůl v angličtině. Ta mi přišla víc jako informatika než matematika.

Ondřej Vlček

V Avastu pracuje od roku 1995, kdy tam přišel na brigádu, když dokončil první ročník na Jaderné fakultě ČVUT. Byl to právě on, kdo tehdy napsal první antivirový program firmy pro Windows 95. Dnes patří mezi spolumajitele a loňský vstup společnosti na burzu ho vynesl do miliardářského žebříčku časopisu Forbes mezi 80 nejbohatších Čechů. Z hlavního programátora firmy se postupně vypracoval na technického a provozního ředitele. CEO Avastu je od 1. července 2019. Firmu Avast založili v roce 1988 Eduard Kučera a Pavel Baudiš. Dnes firma patří k největším kyberbezpečnostním hráčům na světě a její antivirus chrání téměř půl miliardy uživatelů. Londýnská burza, kde je Avast obchodován, aktuálně oceňuje českou firmu na 85 miliard korun.

Bylo tam hodně příkladů o datových setech, které vyžadovaly pochopení toho, jaká data jsou podstatná a jaká nikoliv. Snad hodinu jsem to tam louskal a dělal si ty příkládky, protože mě to fakt bavilo. Dneska už všichni víme, že ty informace máme všude pod nosem, jenže je jich moc a mnoho z nich jsou nerelevantní nebo nedůvěryhodné. Podstatné je umět si je přečíst, přebrat, rozvíjet kritické myšlení. Třeba obrovský průšvih je teď deep fake...

Čili nafingovaná videa nebo zvukové záznamy, které vypadají jako pravé...

Přesně tak. Jak poznat pravdu v audiovizuálním obsahu? Teprve nedávno se lidé naučili vnímat, že neplatí, že co je psáno, to je dáno. Že přistupují k obsahu na internetu kriticky. Že když čtou zpravodajský článek, tak si říkají: Je to pravda, nebo kec? Ale když už slyší audio, když slyší hlas někoho na nahrávce, tak už to berou bez podezření. Jasně, zní to jako hlas toho politika, tak to musí říkat on. Jenže technologie dnes umí váš hlas dokonale napodobit. A s videem to platí stejně.

V souvislosti s fake news a deep fake použil americký časopis New Yorker pojem „kolaps reality“. Posouváme se do světa, kde oddělit iluzi od reality je stále obtížnější...

A to je právě obrovský  problém. Čili u dětí je třeba se zajímat i o to, jakou roli má hrát jejich mozek obklopený všemi těmi technologiemi. Aby to nebylo tak, že počítače budou stále chytřejší a my lidé stále blbější.

Jak jsou na tom vaše děti s hraním her a používáním mobilů?

Nejstarší syn už moc nehraje hry. Je totiž sportovec a už ho to paření přestalo bavit, maximálně si občas zajezdí nějaká auta. Dva mladší hrají víc, samozřejmě třeba Minecraft. Ale tahle hra je relativně tvořivá, takže se u toho dost i naučí.

Omezujete jim čas na mobilu, respektive na internetu?

Dlouho jsme to používali. Ten takzvaný screen time na mobilu i na počítači. Měli jsme to v sinusoidách, takže občas jsme jim povolili víc a občas míň času, trošku jsme s tím experimentovali. Je až šokující vidět, jak děti dokážou brečet, opravdu být totálně zoufalé, že se jim mobil vypnul, když hrály hru, ale za pět minut jsou v úplné extázi z nějaké jiné aktivity. To, co se stalo před krátkou chvilkou, už je nezajímá. Protože děti žijí pořád v přítomnosti.

Související…

S Věrou Jourovou o tom, zda pravda a láska nakonec zvítězí i na internetu
Jaromír Hasoň

foto: Avast, zdroj: Ondřej Vlček, Avast