Trendem posledních let jsou cloudy. Mnoho firem však stále ještě řeší dilema, jak zajistit bezpečnost pro svá data, která nebudou mít „pod střechou“. Kde nejvíce chybují?
Většinou zákazníci řeší, zda je daná služba bezpečná, nebo ne. Není už však pravidlem, aby smlouva s poskytovatelem řešila také to, co se stane, když dojde k havárii, kompromitaci dat atd. Na základě toho je třeba upravit smluvní vztahy a vlastní bezpečnostní politiku. To je důležitý úkol pro IT ředitele, případně ředitele pro (informační) bezpečnost, oni jsou ti správní lidé, kteří by se měli zabývat touto problematikou ve vztahu zákazník a poskytovatel dané služby.
Všichni víme, že 100% bezpečnost neexistuje. Jakýkoliv systém, jakákoliv služba jsou potenciálně napadnutelné, pokud útočník investuje dostatečně velké prostředky a úsilí, aby zabezpečení prolomil. Nicméně vždy jde o otázku poměru ceny a výkonu. Chce‑li útočník napadnout nějakou službu, obvykle dbá, aby zisk z akce byl větší než náklady s útokem spojené. Je tedy nutné především definovat si, co je potřeba chránit, co může útočník získat a jak velké pravděpodobné náklady bude muset vynaložit na to, aby data získal. Podle toho je třeba volit vhodné zabezpečení. To se netýká jenom cloudových služeb, jde o obecnou poučku pro nastavení bezpečnostní politiky ve firmě.
Firmy, které služby poskytují, i ty, které je využívají, mohou takto do značné míry eliminovat rizika. Vždy však nějaká rizika zůstanou, protože lidé vyvíjející malware ve snaze získávat data a ohrozit nějakou službu, ať už je jejich zájem jakýkoliv, udávají trend. My trendy samozřejmě sledujeme a aktivně navrhujeme řešení tak, abychom eliminovali i budoucí rizika, nicméně protistrana má vždy nějaký náskok a nám výrobcům nezbývá než co nejflexibilněji reagovat.
Informační bezpečnosti se profesionálně věnuje přes 12 let. Do Fortinetu nastoupil před 8 lety jako manažer pro region střední a východní Evropy (CEE). Postupně pracoval na různých pozicích, mimo jiné jako ředitel technické podpory pro Evropu, Blízký východ a Afriku (EMEA), kdy v Praze vybudoval nové Centrum technické pomoci pro region EMEA. Následně se vrátil do obchodního týmu CEE jako regionální ředitel.
Možnosti provozovatelů cloudových služeb investovat do zabezpečení jsou zpravidla o dost větší než možnosti jednotlivých klientů. Nakolik tedy přechody do cloudů ovlivňují způsoby a propracovanost útoků?
Myslím si, že to není o vlivu na způsob útoku, protože cloud je principiálně jenom instalace, technicky a bezpečnostně nějak zajištěná. U cloudu jde více o útoky na serverovou infrastrukturu, takže nejsou v základu mířeny na klienta ve smyslu uživatele, člověka, který sedí někde u počítače.
Jakákoliv větší služba samozřejmě významně přitahuje útoky typu Denial of Service (DoS – útok na internetové služby, při němž dochází k přehlcení požadavky a pádu nebo nedostupnosti služby pro uživatele – pozn. redakce). Nejedná se tedy mnohdy o útoky, které mají za úkol zcizit data, spíše o diskreditaci služby. Motivem, který se nabízí, je konkurenční boj, ale typicky jde spíše o hacktivistické útoky, případně aktivity mířící do kyberteroristické oblasti, kdy se útoky na velké služby dají v rámci kybernetického boje využít k propagandě apod. To, co se dnes děje, je tu v principu už tisíce let. Jenom se změnily zbraně a bojiště. Samozřejmě, existují cesty ke kompromitaci klienta služby a pokusy nakazit prostřednictvím klienta samotný cloud. Tady jde ale již o poměrně sofistikované způsoby a nebavíme se o desítkách tisíc útoků, spíše o desítkách, ale o to úspěšnějších
Vzpomeňme například napadení Sony, kdy útočníci zcizili a zveřejnili citlivá data ze serverů Sony. Nešlo sice o typicky cloudovou službu, jak je dnes vnímána, ale struktura je zde cloudovým službám podobná. Je zde sdílená funkcionalita a je jedno, zda se jedná o dokumentový systém, nebo o sdílenou databázi atd.
Co se týká bezpečnosti firem, které cloudy využívají, tam je to stále stejné. Techniky útoku a technologie používané pro útok se vyvíjejí co do důmyslnosti a kvality kódu, principy však zůstávají už několik let velmi podobné. Naprostá většina cest vede přes zranitelnost softwaru, operačního systému či hardwaru, který daná služba používá. Další cestou je zaútočit na uživatele vnitřní sítě poskytovatele služby a skrz jejich napadené počítače, tablety či smartphony se dostat do vnitřní sítě a z ní ke spravované platformě na, na které cloud běží. V principu je ale jedno, jestli je napadena cloudová služba, nebo koncový zákazník, metody jsou podobné. Z mého pohledu se zásadní změna na poli bezpečnosti udála spíše rozšířením mobilních zařízení a ztrátou klasického perimetru, než přechody do cloudů.
Jak ovlivní bezpečnost masivní nástup internetu věcí?
Internet věcí není supernovinkou. Je tu už od chvíle, kdy někdo připojil první televizi, Blu‑ray přehrávač či cokoliv dalšího v domácnosti k internetu. Pokud se bavíme o připojování spotřebičů v domácnosti na síť a přijmeme premisu, že typickým médiem pro připojení bude internet a IP verze 6, narůstá nebezpečí, že zařízení lze nakazit nebo zneužít. Bude tedy nezbytné vyvinout větší úsilí k jejich zabezpečení.
Pak se ovšem nabízí otázka: Budou se mu věnovat výrobci lednic a dalších spotřebičů, které se do sítě připojují? Vezměte si, jak jsou dnes zabezpečené televize. Zneužitelnost v podstatě libovolné platformy, kterou dnes televize využívají, je obrovská. Přesto se výrobci otázce bezpečnosti nijak zásadně nevěnují. Budou to dělat v budoucnu? Co je pro ně zdrojem příjmu? Masový prodej. Bezpečnost navyšuje cenu a snižuje zisk. Aplikace bezpečnosti bude tedy jenom taková, aby neohrožovala prodeje.
Bude zapotřebí vyvíjet mediální tlak na výrobce a vést společenskou diskusi, aby výrobci přijali zodpovědnost za svá zařízení a věnovali dostatečnou pozornost jejich zabezpečení.
Nebo se to vyvine tím směrem, že se bezpečnosti připojení budou muset věnovat v mnohem větší míře domácnosti a bude je to stát více peněz.
Troufám si říci, že v dohledné době nedokážeme přesvědčit výrobce lednic, praček, světel, ozvučení či čehokoliv, co bude připojené k internetu, aby bezpečnost produktů dělali na úrovni bránící zneužitelnosti. Kdo pak uživatelům pomůže? Patrně specializovaná firma, která se na tento trh zaměří, ale cena bude asi natolik vysoká, že si většina zákazníků nebude moci takové zabezpečení dovolit. Podle mého názoru dostanou prostor internetoví provideři, kteří se budou snažit bezpečnost dodat formou služby související s připojením domácnosti.
Obecně si myslím, že internet věcí (IoT) je do budoucna jednou z největších hrozeb pro bezpečnost. Umožňuje totiž potenciálnímu útočníkovi získat poměrně enormní výpočetní zdroje. Uvědomme si, že dnes už i velmi malý procesor v pračce nebo v hloupém routeru má nezanedbatelný výkon. A takových zařízení bude opravdu mnoho. Jejich zabezpečení nebude nijak zásadní a při schopnostech dnešních útočníků je otázkou několika hodin od uvedení produktu na trh, kdy budou disponovat velkou výpočetní kapacitou a budou schopní získávat informace o chodu domácnosti. Budou moci například zjistit, kdy jste doma, jaký je váš životní rytmus. Vysledují tak, kdy je nejvhodnější příležitost domácnost vykrást.
Toto lze zjistit z provozu domácích wi‑fi už dnes. IoT však umožní zneužití takových informací v masové míře. A doba, kdy spousta lidí nemá problém odkrývat své soukromí na sociálních sítích, nahrává útočníkům a snižuje tlak na bezpečnost.
A Průmysl 4.0?
Naprostá většina výrobních kapacit dnes spoléhá na výpočetní zdroje a v posledních 5–6 letech došlo k dramatickému rozvoji jejich připojení nejenom k internetu, ale i k dalším přenosovým sítím, jakou je například TETRA. Tablet se stává standardním pracovním nástrojem manažerů a výrobní podniky nejsou výjimkou. Dochází tak ke zmíněné ztrátě perimetru a to i ve výrobních sítích, jejichž bezpečnost nebyla před rokem 2011 v podstatě řešena. Nástroje, které se v těchto sítích používají, nemají implementovanou žádnou bezpečnost a naprostá většina tzv. PLC (programovatelný logický automat) nemá implementovaná ani hesla. A pokud je implementovaná mají, jde často o natvrdo zadané heslo pro uživatelský a administrátorský režim, které není problém na internetu dohledat, případně vyčíst z manuálu. Naprostá většina těchto zařízení jsou řízena systémy běžícími na Windows XP a starších, tedy na systémech notoricky známých svou zranitelností. Připojování průmyslu do sítí tak přináší obrovská rizika.
Výpočetní techniku můžete měnit třeba každé 2–3 roky, ale s nasazením PLC řízené technologie výrobní podnik počítá na 20–30 let. Na to má spočítaný byznys plán, výrobní kapacity, návratnosti investic atd. Pokud je nasazení těchto strojů ani ne v polovině jejich plánované životnosti, výměna za modernější typ disponující alespoň nějakým zabezpečením není reálná.
O to horší je, že výrobci ani dnes neprodukují zařízení, která by bezpečnost měla implementovanou na opravdu solidní úrovni.
Bezpečnost v sítích se tak bude hodně orientovat na „obálkovou“ metodu. Tam, kde si firmy uvědomují zmíněná rizika, poroste snaha lépe kontrolovat své sítě a monitorovat jejich provoz. Bude zapotřebí obestavět tyto sítě obálkou, která umožní výrobní kapacity kvalitněji chránit.
Jsme v začátcích. Reálná diskuse na toto téma se u výrobců vede teprve 1–2 roky. U průmyslu však panuje obrovská setrvačnost a troufám si říci, že tato setrvačnost představuje jednu z největších překážek.
Zásadní rizika kompromitace průmyslových sítí neplynou ani tak ze snah ukrást data o výrobních cyklech a zneužít je, ale spíše z možností narušení kapacity či kvality výroby.
A nemusí jít přitom „jen“ o peníze. Zásadním problémem je možnost ochromení v rámci kybernetického boje. Kupříkladu Stuxnet, kde došlo údajně ke zničení odstředivek v iránském jaderném programu. Nebo projekt Aurora, legální americký výzkum, v jehož rámci se odborníci snažili přivést generátor k výbuchu – úspěšně. V Německu došlo v loňském roce ke zmrazení vysoké pece. Útoky tedy již probíhají, nejde jen o teoretickou rovinu, a připravenost firem i státních institucí je diskutabilní.
Nejde tedy jen o záležitosti jednotlivých firem, ohrožena je bezpečnost státu. Věnují tomuto problému odpovědné orgány v České republice dostatečnou pozornost?
Neumím posoudit, jestli dostatečnou. Jako jedni z mála v Evropě však máme platný kybernetický zákon, což je skutečnost, kterou bych z pohledu aktivit České republiky v tomto směru hodnotil pozitivně.
Podle mě platí, co bohužel platilo vždy a všude - že na bezpečnost jdou jenom zbytkové peníze. Nejprve se utratí za věci, které by bylo potřeba zabezpečit, a na zabezpečení samotné jde jen zbytek rozpočtu. Byl vytvořen kybernetický zákon, ale rozpočtová kapitola k tomu, jak ho naplnit, chybí.
Z tohoto pohledu to tedy dostatečné asi není, na druhou stranu jsem realista, a co se týká naší republiky i mírný optimista. Mnohé země v Evropě jsou na tom výrazně hůře. Poučit se naopak můžeme třeba v Izraeli, kde mají hodně zkušeností. V polostátních firmách, které kybernetický zákon vnímá jako kritickou infrastrukturu a kde by útoky měly dramatické dopady, by aktivita měla být výrazně vyšší.
Jaké způsoby či techniky útoků jsou na vzestupu?
Nejběžnější útok, na který dnes narazíte, je útok na výpočetní zdroje. Těch bude z logiky věci vždy nejvíce, protože abyste mohli cokoliv dělat, potřebujete určitou výpočetní kapacitu a ta stojí peníze. Takže si ji zaplatíte nebo ukradnete.
Budeme‑li za útok považovat i spam, jasné prvenství bude na jeho straně. Je jedno, zda půjde o marketingový útok na smysly ve snaze prodat produkt, nebo prostředek, jak dopravit malware do počítače za účelem získání výpočetního výkonu či dat a citlivých údajů.
Obecně je vzestupný trend jednoznačně u DoS útoků. Jde totiž o jednu z nejjednodušších forem útoku spojenou s nejmenšími náklady. Na úrovni kybernetické války se pak tyto útoky používají pro mapování propustnosti a odolnosti jednotlivých bodů infrastruktury potenciálního cíle.
Co se týká útoků na data nebo ekonomiku firem, ty můžeme rozdělit na dva okruhy. Prvním jsou útoky přímo generující peníze. Asi nejtypičtějším zástupcem, který se v poslední době hodně rozvinul, je ransomware, tedy malware, který zašifruje data. Vy pak, za relativně rozumnou částku, obdržíte klíč pro dešifrování, a o data pak nepřijdete. Jde o cestu k poměrně rychlému přímému zisku.
Další část útoků, která roste, souvisí se získáváním dat z infrastruktury. Hodně útoků je zaměřeno na napadení webových stránek a skrze ně k nakažení cílových strojů a usazení malwaru.
Nedetekujeme výrazné zvýšení množství phishingových útoků, pozorujeme však výrazný růst jejich kvality. Trendem je zneužití důvěrně známých formulářů ze serverů, jako jsou Facebook, LinkedIn, nebo zásilkových služeb UPS, FedEx a dalších. Pro spoustu lidí je takový formulář důvěrně známý. Pokud ho někdo perfektně zkopíruje, použije důvěryhodně působící adresu, pak je odkliknutí ze strany uživatele poměrně časté.
V internetovém bankovnictví se už společnost celkem poučila, tam takových útoků ubývá. Ty dnešní většinou nejsou vedeny k přímému získání jména a hesla, ale k nakažení počítače či mobilu, které předání jmen a hesel zprostředkují.
Chtěl byste na závěr zmínit ještě nějaká aktuální rizika, o kterých jsme nemluvili?
Nezmínili jsme bezpečnost bezdrátových sítí, ale to by mohlo být téma na samostatnou diskusi. Spousta firem bezdrátové sítě řeší, spousta jich je má, podle průzkumů však jejich bezpečnost valnou úroveň nemívá. Bezdrátové sítě nejsou většinou zcela bezpečné, nicméně nemít je v podstatě nelze. Dorůstá generace, pro kterou je bezdrátová síť součástí životních potřeb. Přitom jde o oblast, které se moc nevěnuje ani legislativa.
Pro zajímavost, ve veřejném prostoru legislativa žádným způsobem neřeší, kdo je zodpovědný, pokud je přístupový bod zneužit k trestné činnosti.
Oklikou se vracíme k tomu, že bezpečnost je třeba ve firmách aktivně řešit a mít zpracovanou bezpečnostní politiku. Důležité je chápat, jaká rizika nám bezdrátová síť přináší, a adekvátně je minimalizovat.
Zkrácená verze rozhovoru byla publikována v ICT revue 1-2/2016
