fb
IT Systems 12/2022 IT Security 23. 1. 2023 9:22

Předejít útoku bude vždy méně nákladné než se z něj zotavit

John ShierInvestice českých firem a organi­za­cí do zajištění kybernetické bezpeč­nosti jsou dlouhodobě nedostatečné a často vycházejí jen z nutnosti zajistit splnění požadavků předpisů, říká John Shier, hlavní bezpečnostní analytik společnosti Sophos. Už více než dvě desetiletí se John Shier věnuje ochraně firem, organizací i koncových uživatelů před pokročilými hrozbami a zkoumá aktuální bezpečnostní rizika od ransomwaru až po nelegální aktivity na dark webu. V rozhovoru nám poskytl svůj pohled na kybernetickou bezpečnost v českých firmách, který vychází mimo jiné i ze zjištění aktuálního průzkumu vnímání kyberbezpečnosti českými manažery.

Jak se české firmy a organizace liší v přístupu ke kybernetické bezpečnosti od ostatních zemí?

České firmy se v tomto ohledu příliš neliší, spíše jen později reagují na bezpečnostní trendy a technologie. Pramení to především z nedostatku finančních prostředků, který má na bezpečnost IT největší dopad. A v těžkých časech se bohužel výdaje na bezpečnost IT škrtají mezi prvními. Řada firem proto stále spoléhá na starší technologie ochrany a zastaralý model zabezpečení sítě spočívající v ochraně perimetru.

Takže české firmy a organizace do kybernetické bezpečnosti investují málo?

Některé české firmy investují dostatečně, ale naprostá většina bohužel ne. Podle průzkumu NÚKIB z roku 2020 považuje 60 % respondentů prostředky vyčleněné na kybernetickou bezpečnost za nedostatečné a 75 % organizací vynakládá na bezpečnost pouze prostředky do výše 5 % svého rozpočtu na IT. Podle našeho průzkumu z roku 2022 nemá 61 % malých a středně velkých firem žádného pracovníka nebo oddělení odpovědné za bezpečnost. Bohužel, jedinou skutečnou motivací pro výdaje na kyberbezpečnost, zejména u organizací z veřejného sektoru, jsou často náklady nezbytné pro splnění předpisů.

Můžete uvést doporučenou výši investic do kybernetické bezpečnosti jako procento z příjmů?

Neexistuje žádné magické číslo, které by zajistilo, že se nestanete obětí kybernetického útoku. Skutečné náklady se budou v jednotli­vých organizacích lišit. Klíčové je pochopit, co je třeba chránit, a kriticky posoudit, jak dobře to organizace dnes dokáže udělat. Rozdíl mezi stávajícími a chybějícími bezpečnostními mechanismy bude tvořit váš rozpočet. Předejít útoku bude ale vždy méně nákladné než se z něj zotavit. Například americká města Baltimore a Atlanta byla zasažena ransomwarem a na obnovu svých systémů a dat každé z nich vynaložilo téměř 20 milionů dolarů. Jednou z možností ke zvážení je poskytnout týmu kybernetické bezpečnosti vlastní rozpočet, který nebude zatížen jinými prioritami organizace.

Jaké je povědomí českých top manažerů o kybernetické bezpečnosti?

Českým manažerům nechybí informace z médií nebo z bezpečnost­ních konferencí. Ale i když je kybernetická bezpečnost aktuálním tématem, mnozí z nich se nezajímají natolik, aby jednali – přijímají riziko v naději, že se nestanou obětí. Podle našeho aktuálního průzkumu si 72 % manažerů myslí, že firmy jsou vystaveny většímu riziku, ale 43 % považuje kyberútok za nepravděpodobný. Tento rozpor naznačuje nesoulad mezi riziky, která kybernetické útoky představují, a realitou kybernetické kriminality. Významnou roli ale může hrát také zmíněný nedostatek finančních prostředků.

Co je třeba udělat, aby se situace zlepšila?

Prvním krokem je určitě informovanost, ale ta musí být následována opatřeními. Organizace musí nejprve odhalit své slabé stránky a zavázat se ke zlepšení. To zahrnuje zavádění moderních technologií a vhodných kontrolních mechanismů. Nesmí se ale spokojit s napros­tým minimem. Organizace musí průběžně vyhodnocovat svůj stav zabezpečení a provádět úpravy, aby reagovala na aktuální prostředí hrozeb. Toho lze dosáhnout vytvořením a testováním plánů reakce na incidenty. Dnešní organizace si také musí osvojit robustní bezpeč­nost­ní kulturu, aby každý – doslova od skladníka až po generálního ředitele – chápal, proč je kyberbezpečnost pro firmu důležitá, a věděl, jak bezpečnostní incidenty neprodleně hlásit IT oddělení.

Krátce po ruské invazi na Ukrajinu jsme byli téměř každý den informováni o hackerských útocích na ruské či ukrajinské instituce. Proč si myslíte, že tyto aktivity nejsou nyní tak časté?

Začátek války upoutal pozornost komunity kyberzločinců, nicméně jejich role v konfliktu byla zanedbatelná. Nedocházelo k cílení na kritickou infrastrukturu a většina útoků byla náhodně distribuována proti ruským či ukrajinským doménám. Z komunity kyberzločinců nebyly zaznamenány žádné významné akce a po několika týdnech hackeři zjevně ztratili zájem. Neznamená to, že by útoky nebyly důležité, ale šlo spíše o kulturní projevy obou stran a součást probíhající informační války.

Jak ovlivnila válka na Ukrajině situaci v oblasti kyberbezpečnosti ve světě obecně? Měli bychom v souvislosti s válkou změnit svůj přístup ke kybernetické bezpečnosti?

Kromě těch bezprostředních útočníků měla válka v oblasti kyberbezpečnosti na zbytek světa jen malý dopad. Jak se však bude měnit místní rovnováha, může se to změnit. S blížící se zimou by se Rusko mohlo začít zaměřovat na energetickou infrastrukturu evropských zemí ve snaze zpochybnit sankce proti ruské energetice a tlačit na politiky, aby je zmírnili. Průměrné náklady na obnovu po ransomwarovém útoku činí podle průzkumu Sophos State of Ransomware 1,4 milionu dolarů. A ve světle této statistiky by společnosti měly být na obranu proti kybernetickým útokům připraveny vždy – bez ohledu na aktuální geopolitickou situaci.

Sophos nedávno zveřejnil zprávu o úspěšném útoku na vícefaktorové ověřování. Máme ještě nějakou „neprůstřelnou“ ochranu, na kterou se můžeme spolehnout?

Nic takového jako neprůstřelná ochrana neexistuje. Skutečnost je taková, že chvíli trvalo, než se vícefaktorové ověřování (Multi-factor authentication, MFA) masově rozšířilo, ale i pak se z obavy před odporem uživatelů uplatňovalo jen minimálně. Dlouhou dobu nemuseli útočníci dělat nic víc než „žádat“ o přihlašovací údaje prostřednic­tvím phishingu. Nyní se kyberzločinci této nové překážce jednoduše přizpůsobují a k jejímu obejití opět uplatňují jen minimum úsilí. Ať už jde o použití sociálního inženýrství k oklamání uživatelů, aby schválili žádosti o MFA, nebo o transparentní proxy ke krádeži šestimístných kódů. Nejde ani tak o inovaci, jako spíše o to, že zločinci reagují na měnící se podmínky. Pokud chceme ověřování skutečně posílit, existují technologie, které mohou organizace implementovat. Jde například o ověřené push notifikace nebo hardwarové tokeny.

Jaký je vývoj v oblasti využívání umělé inteligence kyberútočníky?

Útočníci v současné době umělou inteligenci příliš nevyužívají, proto­že jim dobře fungují i stávající metody. Jedním z hlavních vývojových trendů je ale dostupnost rozsáhlých modelů pro úpravu obrazu, videa, zvuku (řeči) i textu širší veřejnosti. Pokud víme, v kybernetic­ké kriminalitě to zatím není výrazné, ale můžeme očekávat nárůst kompromitace firemních e-mailů i tzv. velrybářských útoků, a pak i výraznější rozšíření těchto technik. Útoky budou pravděpodobně využívat realistické deepfakes, kdy je existující osobnost kompletně podvržena na všech úrovních (video, hlas, text), a pak také falešný obsah v sociálních sítích a obecně na webu, který bude kompletně generovaný, ale perfektně konzistentní. Půjde například o zdánlivě různorodé, falešné skupiny na sociálních sítích. Tyto profily se časem stanou interaktivnějšími, protože s obětí povedou víceméně souvislou konverzaci prostřednictvím podvrženého hlasu a videa.

Kalendář akcí
Konference - Semináře - Školení
Časopis IT Systems/Speciál
Aktuální číslo časopisu IT Systems Aktuální číslo časopisu příloha #1
Archív časopisu IT Systems
IT Systems 4 IT Systems 3 IT Systems 1-2 IT Systems 12
Archív časopisu IT Systems Special
Aktuální číslo časopisu příloha #1 Aktuální číslo časopisu příloha #1 Aktuální číslo časopisu příloha #1 Aktuální číslo časopisu příloha #1