Tomáš je studentem fakulty informatiky, navazujícího magisterského programu se specializací na řízení kyberbezpečnosti. K oboru se přitom dostal náhodou během střední školy díky účasti v Kybersoutěži, v níž se následně probojoval až do finále. Právě tato zkušenost ho nasměrovala ke studiu kyberbezpečnosti a postupně i k profesní dráze.
Dnes své dovednosti uplatňuje ve vládním týmu CERT při Národním úřadu pro kybernetickou a informační bezpečnost (NÚKIB), kde testuje odolnost systémů a hledá jejich slabiny. V rámci projektu Cyber Security Seminars, na kterém fakulta spolupracuje se společností Google, se vrátil i na svou střední školu. Studentům tam připravil simulaci phishingového útoku, díky níž si mohli kybernetickou krizi vyzkoušet v praxi.
Přestože se věnuje IT, volný čas tráví co nejdál od monitoru. Své „baterky“ dobíjí nejraději pohybem v přírodě.
Tomáše během studia zvláště zaujalo penetrační testování. Už od začátku ho bavilo hledat cesty, jak se dostat přes zabezpečení, řešit úkoly a přechytračit systém. Vždy však jen v rámci testovacích a legálních scénářů.
„Penetrační testování tvoří klíčovou součást etického hackingu. Odborníci používají stejné nástroje a techniky jako útočníci, ale s opačným cílem. Odhalit zranitelnosti dříve, než je někdo zneužije, a následně je opravit,“ vysvětluje Tomáš Hájek.
Vedle studia se podílí na projektu INJECT, který vzdělává v kyberbezpečnosti pomocí simulací. Navrhuje a vytváří cvičení zaměřená na trénink zvládání kybernetických incidentů. Mezi partnery projektu patří i státní instituce.
Princip je jednoduchý: účastníci dostávají takzvané „injecty“, což jsou úkoly a informace, které je provádějí příběhem. Mohou řešit například simulovaný útok na navigační systémy nebo únik osobních údajů. Podle svých rozhodnutí získávají zpětnou vazbu. Cílem cvičení je projít krizí „nanečisto“ a naučit se správně reagovat.
Tomáš zdůrazňuje, že podobná cvičení nejsou jen pro IT specialisty. „Každý systém – technický i lidský – se dříve či později dostane do krize. Trénink pomáhá rozpoznat opakující se vzorce a jednat rychleji a jistěji.“ Tématu digitálních tabletop cvičení se věnoval už ve své bakalářské práci a nyní na něj navazuje i ve své diplomové práci.
Vývoj útoků samozřejmě ovlivňuje i umělá inteligence. „Útoky jsou díky ní mnohem sofistikovanější, například phishingové e-maily už nejsou plné gramatických chyb a AI dokáže věrně napodobit hlas v telefonu, takzvaný deepfake,“ komentuje Tomáš a dodává, že AI nepomáhá jen útočníkům, ale i obráncům, kteří díky ní můžou například rychle analyzovat podezřelé chování v síti.
Nejslabším článkem přesto zůstává člověk. Stačí nepozornost nebo snaha mít práci rychle hotovou a uživatel klikne na škodlivý odkaz. Proto je podle Tomáše klíčová takzvaná security awareness – naučená ostražitost.
Pro běžné uživatele platí jednoduché pravidlo: místo složitých kombinací znaků používejte dlouhá frázová hesla – věty, které si snadno zapamatujete. Délka je podle Tomáše důležitější než složitost. A kde je to možné, doporučuje zapnout dvoufázové ověření.
Studentům, kteří uvažují o studiu oborů, které se zabývají kyberbezpečností, vzkazuje: nebát se a zkusit to. „Kyberbezpečnost navíc není jen o programování, ale i o sociologii, psychologii a právu. Je to obor, kde se učíte každý den – i když jdete spát, svět kybernetické bezpečnosti se nikdy nezastaví.“
