Kybernetické útoky budou minimálně po dobu pěti následujících let představovat třetí nejzávažnější hrozbu pro globální společnost a její stabilitu. Potenciálními i reálnými dopady je překonají pouze přírodní katastrofy a extrémní výkyvy počasí, tvrdí zpráva Global Risks Report 2018 z dílny Světového ekonomického fóra.

Zastoupení moderních technologií v pětici nejvýznamnějších hrozeb pro lidskou společnost nekončí kybernetickými útoky. Na čtvrtém místě figurují datové podvody, jež se dnes pravděpodobně rovněž odehrávají převážně v digitální podobě. Pátou hrozbu v pětiletém výhledu těch globálně nejzávažnějších reprezentují selhání při řešení klimatických změn.

Kybernetická bezpečnost, ilustrační foto

Jak správně podotýkají analytici Světového ekonomického fóra, dopady kybernetických útoků se už dávno neomezují pouze na digitální svět. Díky rostoucí propojenosti průmyslových systémů a kritické infrastruktury dokážou velmi účinně ohrozit i fyzická aktiva a služby. Zvyšující se míra elektronizace do jisté míry nahrává kybernetickým útočníkům v podstatě ve všech oblastech společenského a hospodářského života. Digitalizační fenomén komentuje také Maroš Barabas ze společnosti AEC: "Digitální transformace mění pohled na bezpečnost. Vznikají nové technologie, které se zaměřují na zpracování velkých objemů dat umělou inteligencí. Mění se plocha útoku a s ní i hrozby. Do popředí se staví člověk. Vnímáme větší důraz na kontrolu činností zaměstnanců, ale zároveň jejich ochranu a důležitost vzdělávání v oblasti bezpečnosti."

Tradiční - řekněme analogové - formy kriminality doprovázejí lidskou civilizaci od jejího dějinného úsvitu. Kybernetická větev se nejspíše stává přirozenou a samozřejmou součástí informační společnosti a digitální ekonomiky.

Rostoucí závislost na technologiích se netýká pouze byznysu. V rychlejším či pomalejším tempu tento trend ovlivňuje i jednotlivce, společenstva a státy. Motivy kybernetické kriminality se už dávno neomezují pouze na osobní obohacení. Ke slovu se dostávají geopolitické a mocenské zájmy nebo cíle organizovaného zločinu. I díky těmto vlivům a faktorům spektrum, dostupnost a vyspělost útoků kontinuálně roste.

Tvůrci studie Global Risks Report 2018 mají za to, že průběžně posiluje i strana obránců. Zaznamenali například významná zlepšení v řízení kybernetických rizik. Tomu ale podle jejich mínění nedostačují investice směřující do budování kybernetické odolnosti. V ní zaostávají podniky i státy. Specifický problém vidí nejen v potenciální úspěšné realizaci útoků a v jejich dost možná obtížně odstranitelných dopadech, ale také v rostoucí zátěži, kterou kybernetické zabezpečení představuje pro každodenní chod organizací.

Datové podvody, čtvrtá z nejzávažnějších identifikovaných globálních hrozeb, souvisí především s masovými úniky obsahu informačních systémů. Podle tvůrců studie tento problém i přes zvyšující se četnost a intenzitu opatření narůstá. Vloni došlo podle jejich informací k únikům datových záznamů v rozsahu, který objemově překonal součet předchozích dvou let. Rapidně rostoucí dostupnost informací s osobními údaji vede k poklesu jejich cen na černém trhu, tvrdí výzkumníci ze společnosti Google. A týká se to i dat s vysokou mírou detailu, která obsahují uživatelská jména, hesla, ověřovací otázky a příslušné odpovědi nebo čísla sociálního pojištění.

Nezisková organizace ITRC - Identity Theft Resource Center, která se mimo jiné snaží evidovat rozsah a frekvenci datových úniků ve Spojených státech, zjistila, že v minulém roce bylo nejvíce osobních informací, konkrétně 91,4 procenta z více než 174 milionů záznamů, kompromitováno v podnikatelském sektoru. Do něj použitá metodika neřadí finanční služby, školství, veřejný sektor včetně silových složek a zdravotnictví. V těchto odvětvích, jež nedosáhla ani desetiprocentního podílu na celkových únicích osobních údajů, ale bývají podobné incidenty vcelku běžně odhalovány a zveřejňovány. To samé se nedá říct o většině subjektů a oborů z běžné podnikatelské sféry, čili její podíl na objemu kompromitovaných dat může být mnohem vyšší. O čem tyto výsledky vypovídají?

Bezpečnostní trendy pro rok 2018

Směru a cestám dalšího vývoje kybernetické bezpečnosti se věnuje řada firem a oborových analytiků. Patří k nim i specialisté společnosti NTT Security, kteří ve svém výhledu pro rok 2018 nabízejí o něco praktičtější a v podnicích zužitkovatelnější postřehy než konkurenti.

Upozorňují například na rostoucí popularitu přístupu DevOps, který organizacím přináší rychlejší a efektivnější výsledky v oblasti vývoje aplikací a služeb. K jeho odvrácené straně ale patří vyšší pravděpodobnost produkce nebezpečného kódu a chyb. Do celého životního cyklu aplikací by podle specialistů měly být integrovány bezpečnostní hlediska a opatření. A týká se to i přístupu DevOps, jenž se může transformovat na DevSecOps. Řešení případných bezpečnostních problémů se totiž stane mnohem jednodušším a efektivnějším, pokud do nastavování vývojových a produkčních procesů budou vtaženi také bezpečnostní profesionálové. Případné kulturní a názorové rozbroje mezi nimi a vývojáři pomohou do jisté míry odstranit automatizované nástroje pro kontrolu a schvalování příslušných procesů a kódů.

Hořekování nad nedostatkem kvalifikovaných odborníků na počítačovou bezpečnost lze do jisté míry řešit nasazením strojového učení a řízených služeb. Ani jeden z uvedených přístupů nepředstavuje žhavou novinku. Strojové učení využívají dodavatelé bezpečnostních technologií již řadu let. V rámci tzv. vícevrstvého přístupu ke kybernetické bezpečnosti dokáže v mnohém nahradit lidskou sílu. Její přítomnost je ale pro mnoho situací stále nezbytná, což právě řeší nabídka řízených bezpečnostních služeb. Ty podle zprávy Risk:Value 2017 využívá nebo plánuje nasadit 44 procent organizací z celého světa. Hlavní motivy tohoto kroku mají podobu nedostatku vlastních expertů a snahy o zpřístupnění vyspělých technologií.

Aplikace prvků umělé inteligence do oblasti kybernetické bezpečnosti může řešit i další z dílčích trendů, jímž je neustále rostoucí objem provozních logů (záznamů), jež organizace schraňují pro analýzu a případný audit. Na jejich zpracování lidské síly nestačí a samotné ukládání bez dalšího nebo průběžného rozboru postrádá smysl, resp. efekt.

Na nedostatek odborníků shodně upozorňuje i Maroš Barabas z AEC: "Jedno z hlavních letošních témat bude určitě nedostatek kvalitních lidí se zkušenostmi v bezpečnosti a reakce firem na tuto skutečnost. Zajímavé také bude, jak se tomuto nedostatku přizpůsobí bezpečnostní technologie, jako např. zvyšováním automatizace v detekci i prevenci právě kvůli potřebě minimalizovat lidské zapojení."

Problematika kybernetické bezpečnosti se rozšiřuje nad jejich někdejší technologický rámec. Specialisté společnosti NTT Security v této souvislosti hovoří o tzv. otázce digitálního přežití. Do hledání odpovědí na ni se musí zapojit i netechnické složky organizace. Celková podniková strategie a bezpečnostní strategie všech digitalizačních a digitálních procesů by měly korespondovat. Tento krok vyžaduje jistou kulturní změnu. Výroky a názory odborníků na kybernetickou bezpečnost by se pro své netechnicky orientované příjemce měly stát srozumitelnějšími.

Legislativní změny, GDPR a NIS

Zodpovědné podniky, jež jakkoli obsluhují obyvatele zemí Evropské unie, od května čekají dvě významné legislativní změny. Ano, první představuje všudypřítomné nařízení GDPR a druhou směrnice NIS. Obě úpravy mají úzké vazby na kybernetickou bezpečnost. Obě v květnu nabudou účinnosti a mnoho organizací bude muset prokazovat minimálně formální soulad s jejich požadavky. "Nařízení GDPR bezpečnostní scénu ovlivní zásadně. Subjekty podléhající tomuto nařízení nepochybně zvýší poptávku po zabezpečení dat, sítí a IT infrastruktury obecně. Ovlivní ale i samotné útočníky, neboť hodnota dat výrazně vzroste," dodává Michal Hebeda ze společnosti Sophos.

Lze očekávat, že přinejmenším v prvních měsících aktivního nasazení GDPR bude mnoho uživatelů na své osobní údaje obezřetnější. Dost možná jde o vhodnou příležitost pro revizi šíře a účelu poskytovaných informací i pro jednotlivce, zákazníky či odběratele služeb. Specialisté společnosti NTT Security očekávanou změnu označují termínem "konec pasivní důvěry".

87 %

Podle studie EY z konce loňského roku 9 z 10 oslovených organizací plánuje navyšovat rozpočet na kybernetickou a informační bezpečnost. 87 procent subjektů chce přitom navýšit své výdaje o více než polovinu.

77 %

Takové procento oslovených subjektů v průzkumu společnosti EY z konce roku 2017 řadí mezi nejpravděpodobnější příčiny, resp. původce kybernetických útoků nedbalý přístup pracovníků.

Adopce cloud computingu v podnikovém prostředí již rovněž nepatří mezi žhavá témata. Organizace se ale volbou tohoto provozního modelu nezbavují odpovědnosti za ochranu dat. Ačkoliv většina poskytovatelů nabízí jisté smluvní garance, velký prostor se podle specialistů otevírá auditním službám třetích stran. Jejich úkolem je prověření stavu a návrh případných nápravných opatření. Na specifika cloudových služeb upozorňuje také Jindřich Šavel ze společnosti Novicom: "Principy fungování sítí a internetu se nemění. Mění se pouze místa, ze kterých se k podnikovým informacím přistupuje. Je nutné důsledně zvažovat, které informace jsou vhodné pro uložení v cloudu a jaké mohou být důsledky případné kompromitace zařízení, z nichž se do těchto služeb přistupuje."

K čerstvějším tématům, a to nejen ve světě kybernetické bezpečnosti, patří internet věcí. Jeho aplikace v mnoha oborech a situacích má často přímý vliv nejen na provozuschopnost různých systémů, ale i na lidské životy. Specialisté společnosti NTT Security označují úroveň zabezpečení implementace internetu věcí za vysoce nevyspělou. A problém se týká podniků i domácností. Situaci v prvním uvedeném táboře dokáže řešit ověřený a obezřetný dodavatel. V případě domácností se bude stav zlepšovat pouze evolučně. Téma bezpečnosti internetu věcí doplňuje Milan Habrcetl ze společnosti Cisco: "Prudký nárůst zařízení, ať už chytrých telefonů nebo senzorů internetu věcí, má na přístup ke kybernetické bezpečnosti zcela zásadní vliv, protože už dnes se může malware skrývat v každém z nich, například v připojeném termostatu. Proto se hlavní pozornost ochrany obrací k detekci nestandardní komunikace v síti, která nám avizuje probíhající útok. Otázka bezpečnosti internetu věcí se stane nosným tématem příštích několika let."

Neutuchající případy úniků dat si vyžádají také změnu metrik pro posuzování míry akceptovatelného rizika. V něm by se měl výrazněji projevit také fakt, že za mnoha případy kompromitování interních údajů nestojí kybernetický zločin. Jsou důsledkem neúmyslných chyb a neznalosti vlastních zaměstnanců či uživatelů. Lokální zkušenost k tématu připojuje Daniel Hofman ze společnosti PwC: "Tuzemským podnikům chybí kvalifikovaní lidé a dostatečné povědomí o bezpečnosti mezi jejich zaměstnanci. Uvědomělý zaměstnanec, který neotevře zavirovanou přílohu e-mailu, je cennější než monitorovací systémy sítě."

Šíří se rovněž vyspělejší techniky sociálního inženýrství, které pracují s větší či menší znalostí napadené organizace. Obvykle se útočníci vydávají za interní systémové administrátory nebo zaměstnance dodavatelských firem. Snaží se obvykle získat přístupové údaje a jejich činnost bývá velmi náročné odhalit. Adekvátní obrana mimo jiné spočívá v řádném proškolení uživatelů a detailním nastavení některých organizačních opatření.

Část zátěže lze delegovat na služby kategorie MDR - Managed Detection and Response. Na evoluci v oblasti sociálního inženýrství upozorňuje také Zbyněk Malý ze společnosti Anect: "Očekáváme další šíření útoků pomocí sociálního inženýrství, zejména prostřednictvím technik phishingu. Cílit budou na domácí uživatele i podniky. V obou případech půjde primárně o získání přístupových informací k využívaným systémům."

Podniky průběžně zdokonalují svou schopnost detekce incidentů. Stále ale zaostávají v oblasti připravenosti a reakce na kybernetické události. Podle informací zprávy Risk:Value 2017 organizace předpokládají, že proces obnovy po úspěšném útoku kompletně absolvují v průměru za 74 dní. A situaci ještě komplikují hrozby typu APT - Advanced Persistent Threats, jejichž detekce obvykle překračuje možnosti a schopnosti většiny podniků.

 

Článek byl publikován v únorovém čísle magazínu ICT revue.