Chybami se člověk učí, ale raději se učme z chyb jiných
Pět nejčastějších nešvarů v zajištění kybernetické bezpečnosti firem
Chtělo by se říct, že chybami se člověk učí a jednou vyřešenými bezpečnostními prohřešky se společnosti zabývají. Není tomu ale vždy tak. Je zřejmé, že skutečnost je úplně jiná.
Denně se totiž setkáváme s bezpečnostními problémy v rámci jednotlivců i v rámci firem či organizací. Národních i těch nadnárodních. Téměř denně se dozvídáme o úniku citlivých dat, o zneužití soukromých či firemních účtů. Nejenže pak kvůli insider attackům, phishingu a kyberútokům unikají již zmíněná citlivá data klientů, zaměstnanců a jiných uživatelů, kyberútoky mohou být také příčinou zastavení provozu nemocnic, pozastavení služeb bank či například zmražení peněžního konta.
Jak se ale proti podobným útokům bránit? Ne málo se dočítáme o zásadních chybách, kterých se dopouští běžní uživatelé internetu a řadoví pracovníci ve firmách. Namátkou jsou například v hojném množství zastoupeny chyby související se slabými hesly či dokonce s nulovou ochranou dat, dále pak zveřejňování fotografií i zadávání dat do neověřených aplikací. Jak už ale bylo nastíněno, podobné úniky dat se netýkají jen jednotlivců. V dnešní době se firmy a různé organizace musí potýkat s kyberútoky i útoky z vnitřního firemního prostředí.
TOP 1: Kybernetický útok a vydírání
Jednou z největších a obávaných hrozeb je kybernetický útok, během kterého hrozí únik vysoce citlivých dat ve velkém množství, a to dokonce i přes vysokou úroveň zabezpečení. Za nejčastější hrozbu současnosti se považuje také vydírání (ransomware). V takové situaci útočník pronikne do klíčových systémů organizace, zašifruje data tak, aby k nim měl přístup jako jediný, přičemž jako jediný má také klíč k dešifrování. Následuje zaslání podmínek, ve kterých žádá výkupné (poměrně často to bývá převod určité částky v Bitcoinech či jiné kryptoměně šplhající se do řádů desítek milionů Kč). Organizace pak mívají na výběr – složit částku a doufat v dešifrování dat, nebo začít svá data obnovovat ze zálohy. V obou případech však vznikají velké škody.
Jako jeden z posledních mediálně známých případů kybernetického útoku lze uvést případ Fakultní nemocnice Brno, který se stal v březnu roku 2020. Fakultní nemocnice kvůli kybernetickému útoku přišla ke škodě v řádu desítek milionů korun. Byla jí odcizena ekonomická i některá administrativní data. Dokonce nemocnice přišla o internetový objednávkový systém dárců krve. Jak se ale proti kybernetickému útoku bránit?
Způsobů je několik:
- Oddělit kritické systémy, jako je např. transfuzní systém v Nemocnici, nebo systém pro výplatu dávek na ministerstvu apod. do oddělené infrastruktury, aby se k nim případný útočník vůbec nedostal.
- Aktivně vyhodnocovat hrozby – s tím může pomoci Národní úřad pro kybernetickou bezpečnost. Má experty, nabízí online školení, vydává doporučení.
- Dodržovat pravidla minimálního přístupu – zjednodušeně – všechny dveře do sítě nebo do systému jsou ve výchozím stavu zavřené, povolen je pouze vybraný a schválený přístup.
- Používat prvky aktivní ochrany infrastruktury – Intrusion detection system, Intrusion prevension system. Tzn. když už na organizaci někdo útočí, rychle se na něj přijde a zneškodní se v zárodku.
- Používat kvalitní nástroje pro monitoring infrastruktury. Platí to samé, co bylo napsáno výše. Pokud je provoz podezřelý nebo se systém chová nestandardně, v co nejkratší době na to lze díky kvalitním nástrojům a monitoringu přijít.
- V případě útoků na nemocnice – dříve neexistovaly plány, jak se bránit kybernetickému útoku. Chyběly věci v podobě seznamu systémů a aplikací a jejich stanovená priorita. Je potřeba vědět, co kde funguje, co se má v případě potřeby zachraňovat jako první a jakým způsobem.
- Mít kvalitní zálohu dat a hlavně postup, jak data ze zálohy efektivně a rychle dostat. V tomto bodě měly nemocnice také problém. Sice občas jakousi zálohu měly, ale data, která byla na záloze obsažena, byla zastaralá. V dalším případě nemocnice nebyly schopné data ze zálohy dostatečně rychle obnovit, což pak mnohdy způsobovalo omezení provozu.
- Nechat si pravidelně dělat bezpečností audit nebo ještě lépe – nechat si dělat nezávislé penetrační testy – v podstatě kyberútok nanečisto.
TOP 2: Útoky uvnitř organizace a záměrná zcizení dat
Často se zapomíná na útok uvnitř organizace tzv. insider attack. Pochopitelně, firmy se tím nechlubí, protože insidery jsou často zaměstnanci, ale nesmíme zapomenout na zajímavou skupinu – bývalí zaměstnanci. Nezřídka se potkáváme s tím, že po ukončení kontraktu zaměstnance, který se nemusí nést nutně v dobrém duchu, zůstanou odchozímu i jeho přístupy jako třeba VPN (vzdálený přístup) včetně dalších přístupů. A právě to by mohl být výrazný problém. Takový člověk se pro svého bývalého zaměstnavatele stává nemalou hrozbou. Může být otázkou času, kdy se v organizaci zjistí únik citlivých dat. V takové situaci pak není úplně těžké onoho konkrétního jedince dohledat, ale to není pointa. Pointa je, že už mohl napáchat škody, které už z něj nikdy nikdo nedostane. A to nejen přímé škody, kdy několik lidí musí po určitou dobu řešit jejich nápravu, která se mnohdy prodlouží, protože se musí pracovat na obnovách a aktualizaci dat. Pokuta v řádech milionů může být pro firmu to nejmenší. Představte si situaci ohledně zcizených údajů ze zdravotní pojišťovny.
Vhodným příkladem je zajisté situace ze zahraničí, a to ze Spojených států amerických, kdy nyní již bývalý zaměstnanec Jason Needham odešel v roce 2013 ze strojírenské firmy Allen & Hoshall se sídlem ve městě Memphis ve státu Tennessee a sám založil firmu HNA Engineering. Po ukončení pracovního poměru mu však zůstaly veškeré přístupy k citlivým datům. Needham tak i nadále přistupoval k e-mailovým účtům společnosti. Měl přístup k interním souborům, kde si stáhl návrhy projektů, finanční dokumenty, technická schémata a další soubory. Ve firmě Allen & Hoshall o jeho chování nevěděli až do roku 2016, kdy potenciální zákazník obdržel od nově vzniklé firmy návrh, který byl výrazným způsobem podobný tomu z firmy Allen & Hoshall. Ta kontaktovala FBI a v roce 2017 byl Jason Needham obviněn z trestného činu.
Další insider attack může nastat ve chvíli, kdy současný zaměstnanec cíleně zcizí data. Ty pak může prodávat konkurenci (například v případě technických návrhů), dále je pak může používat pro nastartování vlastního byznysu (dostane se ke kontaktům) apod. Částečně tomu může zamezit IdM (Identity Management) – kdy má zaměstnanec přístup ke správným (rozumějte schváleným) datům ve správný čas a na konkrétním místě. Dalším řešením by mohl být kvalitní log management, monitoring, DLP (Data Loss Prevention – systémy na ochranu dat), a zejména dobrý návrh samotné aplikace. Dále pak řízení přístupů pomocí rolí a různé trasholdy (prahové hodnoty) pro „podezřelé“ operace v systému – například když si někdo exportuje mnoho dat ze CRM.
Jako další příklad lze uvést americká společnost Tesla, která se kvůli málo důslednému omezení úrovně privilegovaných přístupů svých zaměstnanců musela potýkat se sabotérem. Ten využil svého přístupu k provedení změn kódu v operačním systému Tesla Manufacturing pod falešnými uživatelskými jmény a způsobil tak únik velkého množství vysoce citlivých dat třetím stranám. Na podobnou situaci upozorňovala i agentura Reuters, kdy se americké bankovní společnosti SunTrust Bank pokusil nyní již bývalý zaměstnanec stáhnout údaje o klientech s úmyslem je poskytnou třetí straně.
TOP 3: Neaktuální software
Patříte mezi zastánce oddalování aktualizací – ať už z důvodu „nedostatku času“ či nejste zastánci „pokroku“ a současná verze vám dostatečně vyhovuje? Mysleli jste si, že neaktuální software není nebezpečný? Opak je pravdou.
Hackeři často vyhledávají a využívají právě zastaralých a neaktualizovaných softwarů, u kterých si jsou vědomi chyb a nedostatků. Právě ty jim pak značným způsobem usnadňují přístup k vašim citlivým údajům, se kterými pak mohou nakládat dle své libosti. V dnešní době existuje mnoho programů, které onu konkrétní zranitelnost využijí k ovládnutí systému – útočník tak nečiní manuálně, nýbrž to za něj dělají specializované nástroje.
Je důležité mít na mysli, že aktualizace softwaru je vždy zkrátka nutná. S aktualizacemi přichází bezpečnostní opravy, které znemožňují přístup útočníkům. S aktualizacemi dochází k vylepšením současných softwarů, vylepšuje se jak jejich fungování, tak i jejich zabezpečení. Možná byste se dnes divili, kde všude ještě běží Windows XP.
TOP 4: Phishing
Pochopitelně největší problémy s bezpečností jsou 1000x omílané phishing útoky a hackerské útoky. Phishingový útok má víceméně jediný cíl, a to od vás získat citlivá data, jako jsou kupříkladu přístupová hesla k účtům. Přičemž je nutno podotknout, že za takovým útokem obvykle stojí člověk vydávající se za někoho důvěryhodného. Získané údaje pak může útočník použít napřímo – vykrade bankovní účet – ale čím dál častěji slouží tyto ukradené přístupové údaje jako vstupní brána k dalším útokům. Napadený se VPN připojí do firemní sítě a dvířka ke kybernetickému útoku na organizaci jsou otevřená.
Pravděpodobně jste již zaznamenali různá varování v podobě neotevírání podezřelých e-mailů, které na první pohled vypadají jako vámi vyžádaná pošta. Při druhém pohledu, například na mnohdy zvláštní e-mailovou, gramatické chyby či na pobídku o vložení e-mailové adresy i hesla k internetovému bankovnictví, je jasné, že dotyčný jedinec čelí phishingovému útoku. Opět nutno podotknout, že se v poslední době kvalita těchto podvržených webových stránek a podvržených e-mailů razantním způsobem zlepšila. To je možné přičítat i neustále se zkvalitňujícím se automatickým překladačům.
Jak se ale takovým útokům bránit? Lze phishing odstranit? Ano a ne. Phishing bohužel zcela odstranit nelze, ale lze se proti němu pomocí několika kroků bránit. V prvé řadě by všichni uživatelé měli dbát na to, komu a kam zadávají své informace. Kontrolovat adresu, odkud nově příchozí email přišel, nestačí. V dnešní době lze e-mailovou adresu lehce podvrhnout. V další řadě je důležité také zvážit, zda je nutné, a hlavně bezpečné klikat na konkrétní odkaz na webu či v e-mailu. V tomto bodě by se uživatelé měli soustředit na kterou adresu vedou odkazy a v žádném případě a za žádných okolností by na stránky z odkazů neměli zadávat své přihlašovací údaje. V neposlední řadě je potřebné dbát na dostatečné zabezpečení – ať už pomocí antivirového programu nebo pomocí vícefaktorového ověření.
TOP 5: Zabezpečení dlouhým heslem nestačí
Hesla nám nejenže pomáhají, ale vyloženě chrání naše soukromí, citlivá data, fotografie a mnoho dalšího. V případě slabého hesla je, bohužel, jen otázkou času, kdy nám bude narušeno naše soukromí.
V případě vymýšlení silného hesla je důležité mít na paměti originalitu, délku a znaky. Co se týče originality – zadáním našeho rodného čísla, jména či jména dětí anebo dokonce toho, co máme rádi, nikoho neobelstíme. Heslo by nemělo být krátké a zároveň by v něm měly být využité speciální znaky. Tady ovšem pozor – dnes se již stalo denním pořádkem, že některé znaky nahrazují písmena, proto bychom je měli využívat originálně.
V této chvíli se však dostáváme do bodu, kdy ani takto vymyšlené heslo nemusí být dostatečné. Proto je vhodné využívat vícefaktorové ověření například v podobě aplikace v telefonu (dnes hojně využívané bankami) nebo vícefaktorové ověření v podobě biometriky – otisku prstu či scanu obličeje, jako má Apple své faceID.
V případě vícefaktorového ověření nám po zadání hesla přijde obvykle na telefonní číslo unikátní kód, po jehož zadání budeme ke svému účtu přihlášeni. Právě vícefaktorové ověření výrazným způsobem přispívá k vysoké online bezpečnosti.
 |
Mgr. Marcel Poul Autor článku je ředitelem realizace projektů společnosti BCV solutions. Vystudoval bezpečnost informačních technologií na Masarykově Univerzitě v Brně. |
