Jaké jsou aktuální trendy na poli bezpečnostních hrozeb?

Převládající metodou útoku stále zůstává phishing, tedy zaslání podvodného e-mailu, ve kterém se skrývá odkaz nebo příloha obsahující hrozbu. Samotný phishing ovšem představuje pouze způsob, jak dostat škodlivý software do napadeného systému, zajímavější je sledovat, co se děje poté. Ještě v nedávné minulosti totiž dominoval vyděračský ransomware, který vám zašifruje data na disku a vyzve vás k zaplacení výkupného, zatímco poslední dobou roste obliba krádeží přihlašovacích údajů.

Čím to je?

Útočníci zjistili, že jim to přináší podstatně širší možnosti. Představte si, že se vám podaří ukrást například přihlašovací údaje administrátora. Jedním krokem tak získáte přístup k centrální správě, můžete kompletně odstavit bezpečnostní řešení, nainstalovat do systému libovolný malware, smazat všechny zálohy a zašifrovat všechny servery. Vzápětí držíte danou organizaci pod krkem a můžete si říct o obrovské výkupné.

Copak si IT personál svá hesla nehlídá?

Hlídat si je může, ale dám vám příklad, se kterým jsme se setkali v praxi. Skrze nakažený e-mail se do počítače dostal malware, který měl za úkol vytížit procesor natolik, aby se daný počítač v podstatě nedal používat. Člověk, který u něj seděl, udělal zcela logickou věc a požádal o pomoc IT oddělení. Přišel administrátor, přihlásil se do počítače svým jménem a heslem, malware tyto údaje zachytil a bylo hotovo.

John Shier

Zastává pozici senior security advisora v technologické společnosti Sophos, pro kterou pracuje již více než 12 let. Úzce spolupracuje
se SophosLabs při studiu a analýze kybernetických útoků, které se objevují po celém světě. Je také odborníkem na pokročilou technologii potřebnou k boji proti těmto hrozbám.

O co útočníkům jde? Jedná se čistě o zisk?

Běžný kybernetický zločinec jde vždy po penězích, bez ohledu na to, zda přímo či nepřímo. Přímé cesty vedou jak skrze zmíněný ransomware, tak skrze krádeže přihlašovacích údajů. Zaznamenali jsme případ, kdy se útočník dostal do schránky finančního ředitele a odeslal jeho jménem e-mail do účtárny, že jistý dodavatel změnil banku a ať se všechny faktury odteď proplácí na přiložené číslo účtu. Přišlo se na to až po měsíci, když se daný dodavatel ozval, že nedostal zaplaceno.

A ty nepřímé cesty?

Tam se jedná v podstatě o totéž, pouze je tam krok navíc, kdy útočník ukradne informace a tyto následně zpeněží na černém trhu. Opět může jít o přihlašovací hesla, ale také o čísla platebních karet a další cenné údaje. Jedinou výjimkou, kdy útočníkům nejde o peníze, ale čistě o informace, jsou kybernetické útoky prováděné skupinami s vazbami na tajné služby.

To už se nacházíme skutečně na nejvyšší úrovni. Hrozí kybernetické útoky také malým firmám?

Samozřejmě. Je velký omyl se domnívat, že když jsem malá společnost, tak nikoho nezajímám. V prvé řadě si musíte uvědomit, že k většině napadení dojde tak, že do firmy přijde nakažený e-mail a někdo na něj klikne. Útočníci tyto e-maily neposílají po jednom a cíleně, nýbrž hromadně a na co největší počet adres, bez ohledu na to, zda patří jednotlivcům, rodinným podnikům nebo velkým korporacím. Už z tohoto důvodu se cílem může stát úplně každý. Navíc se v poslední době objevuje znepokojivý trend útoků skrze dodavatelské řetězce.

V čem spočívají?

Představte si, že jste útočník a chcete napadnout velkou korporaci, která má robustní bezpečnostní řešení. Můžete samozřejmě zaútočit napřímo a riskovat, že si vylámete zuby, nebo můžete být chytrý a vzít to oklikou přes menší subjekt, se kterým váš cíl spolupracuje.

Opět vám mohu dát příklad. Jednalo se o útok na nejmenovaného amerického výrobce obranných systémů, kde se útočník neúspěšně pokoušel prolomit zabezpečení, než zjistil, že firma v rámci benefitů platí asistentkám služby nehtového studia. Vzápětí se naboural do jeho systému, našel fakturu pro tohoto výrobce a vložil do ní svůj kód.

Takže útočníci hledají nejsnadnější cestu dovnitř?

Přesně tak. Mimochodem, toto byl útok na konkrétní cíl, ale jsou i případy podobných "obchvatů" s nesrovnatelně širším dopadem. Před několika lety došlo k napadení ukrajinského poskytovatele účetního softwaru, kde útočníci skryli kód do chystané aktualizace, kterou si stáhli a nainstalovali všichni zákazníci včetně lokálních zastoupení korporací. Výsledkem byly škody v řádu miliard dolarů.

Tím chci ilustrovat dvě skutečnosti. Zaprvé, i maličká firma s jedinou provozovnou může představovat nesmírně cenný cíl. Zadruhé, propojování systémů mezi různými subjekty přináší obrovské výhody pro byznys, ale také velká rizika. Organizace by měly myslet na to, že zanedbáním bezpečnosti mnohdy neohrožují pouze sebe, ale také své obchodní partnery.

Zatím to zní dost strašidelně. Podceňují podle vás firmy IT bezpečnost?

Jak které. Všeobecné povědomí o bezpečnostních hrozbách se zvyšuje, ale zároveň stále vidíme řadu nedostatků. Všichni si ještě neuvědomili, že každá firma je dnes i IT firmou a každá IT firma je bezpečnostní firmou. Tím chci říct, že pokud máte alespoň jeden počítač připojený k internetu, tak nemůžete předstírat, že se vás téma IT bezpečnosti netýká. Firmy by se měly také více zabývat vyhodnocováním rizik a likvidačních scénářů. Je přirozené přemýšlet, zda si mohu dovolit tu či onu investici, jak dlouho mi vydrží zásoby nebo co bych dělal, kdyby spadlo elektrické vedení. Stejně tak přirozené by ale mělo být přemýšlet nad tím, co s mým byznysem udělá vyřazení IT na hodinu, na den, na týden, na měsíc…

Takže hlavní motivací by měl být strach?

Možná bych to raději nazval obezřetností. Vyhodnocení krizových scénářů je v každém případě užitečné myšlenkové cvičení, které vám může odhalit stránky vašeho byznysu, kterých jste si dosud nebyl vědom, včetně toho, nakolik je závislý na bezproblémovém chodu IT. Podle toho se pak navíc můžete kvalifikovaně rozhodovat při výběru míry a úrovně zabezpečení.

Když jsme u toho, jak nejlépe obhájit investice do bezpečnosti před vedením?

Z mého pohledu je na tyto investice nejlepší pohlížet jako na aktivní pojištění, podobně jako když si pojistíte nemovitost proti požáru a součástí smlouvy je instalace požárních alarmů. Berte to jako preventivní opatření, kdy investujete nějaké peníze do toho, abyste v budoucnu nepřišli o mnohonásobně vyšší částky.

Jak důležitá je podpora ze strany vedení firmy?

Zcela zásadní, a zdaleka nejen proto, že vedení rozhoduje o penězích. Pokud firmu vedou osvícení lidé, kteří jsou ochotní naslouchat a porozumět celé problematice IT bezpečnosti, vytváří to ideální podmínky pro zavedení širších opatření, která posílí schopnost firmy odolávat hrozbám více než jakýkoliv firewall.

Mluvíte o lidském faktoru?

Přesně tak. Na začátku jsem říkal, že k napadení nejčastěji dojde tak, že někdo klikne na něco, na co by kliknout neměl. Všichni děláme chyby, ale pokud se firma rozhodne aktivně budovat něco, čemu říkáme bezpečnostní kultura, může celou situaci obrátit a využít lidský faktor ve svůj prospěch.

Jak konkrétně toho dosáhne?

Základem je vytvořit prostředí, ve kterém jsou zaměstnanci důkladně proškoleni v tom, na co si mají dát pozor a jak poznají phishingový e-mail, ale také motivováni k tomu, aby takové incidenty okamžitě hlásili bezpečnostnímu týmu. Jestliže takový e-mail přišel jednomu člověku ve firmě, velmi pravděpodobně přišel i dalším, a protože všichni děláme chyby…

Článek byl publikován v komerční příloze Hospodářských novin a týdeníku Ekonom.