Podle statistik počet útoků v kyberprostoru neustále stoupá. Co je terčem útočníků, o co jim nejčastěji jde?

Tomáš Hlavsa: Vidím dva motivy útočníků. Prvním jsou peníze, ukrást, zcizit, zkompromitovat a zpeněžit, což má mnoho různých forem, od nelegálního sběru obsahu přes krádeže identit až po zcizení obchodního tajemství a intelektuálního vlastnictví.

Druhým motivem je škodit, někam se dostat a něco zbourat, shodit web, kompromitovat nějaké systémy, napadnout cizí stát a způsobit mu škodu.

Jaké oblasti podnikání, pokud opomeneme kritickou infrastrukturu, jsou podle vás dnes nejohroženější?

Petr Němec: Komerční sféra a výrobní podniky, u nás zejména automobilový průmysl, kde sice nejsou přímo primární citlivá data o lidech, ale probíhá tam výroba. Tyto oblasti nejsou dostupné přímo z internetu, ale jsou dlouhodobě minimálně zabezpečeny. O ohrožení průmyslové výroby se přitom moc nemluví. Proniknout do výrobních zařízení je relativně jednoduché a cílem zájmových skupin může být například poškození dobrého jména firmy. Může jít o útok od konkurence, vydírání, často i zviditelnění v případě, že hackerovi nejde o peníze, nýbrž o pseudoslávu. Automobily také přecházejí s podporou autonomního řízení pomocí elektroniky s trvalým připojením k internetu. I sem se již zájem hackerů obrací, přímo na ovládnutí automobilů.

Tomáš Hlavsa: Jednou z ohrožených oblastí je dále zdravotnictví. Zdravotnická zařízení, nemocnice ani ministerstvo nejsou vůbec mentálně připraveny. Nebavím se teď o antivirech nebo firewallech, ale o sdílení zdravotních údajů a přístupu ke zdravotní dokumentaci. Ta představuje pro kyberzločince, kteří ji chtějí ukrást za účelem zisku, doslova zlatý důl.

Představte si, že unikne vaše zdravotní dokumentace, která je dnes zakomponována do jednoho standardizovaného kódu. Pokud byste měl nějakou ošklivou nemoc, jste špatně pojistitelný, špatně zaměstnatelný a to je obrovsky nedoceněný průšvih. Myslím, že se o tom bude v příštích měsících a letech ještě hodně mluvit v souvislosti se zákonem o kybernetické bezpečnosti, zabezpečením kritické infrastruktury, ale třeba i v návaznosti na GDPR. Tato hrozba není v médiích příliš popisována, ale velmi brzy na ni dojde.

V čem obrana podniků nejčastěji selhává?

Tomáš Hlavsa: Nechci používat slovo "proces", ale ono se sem přímo vnucuje. Není to záležitostí technologií, ty se dnes dají nakoupit i v běžném maloobchodním řetězci, který nabízí také elektroniku. Je to věc lidí a procesů. Lidé musí být na IT bezpečnost alespoň základně proškoleni a musí být nastaveny procesy a zavedené postupy s jejich dokumentací. Jinak celek nebude fungovat, přestože budete mít na IT bezpečnost sebelepší technologii. Když ji člověk nebude umět ovládat, nebo ještě hůře, když ani neví, že by ji měl ovládat, protože není dostatečně proškolen na to, aby zvládal alespoň základní bezpečnostní scénáře, pak je to těžké.

Bezpečnostní experti zdůrazňují, že je nutné mít především strategii kybernetické obrany. Znamená to, že na tento aspekt se v našich končinách zapomíná?

Tomáš Hlavsa: Myslím, že bezpečnostní strategie je v České republice velmi dobře uchopena formou zákona o kybernetické bezpečnosti 181/2014 Sb. s návaznou vyhláškou 82/2018 Sb., která na tyto otázky pamatuje. Dává sice ne úplně přesný návod, ale minimálně výčet parametrů a oblastí, které by měly být zabezpečením pokryty. Zejména vyhláška 82 je někdy až návodná, takže kdo umí číst a vezme ji do ruky a přejde si pět šest stránek, měl by nabrat základní představu o tom, co by měl udělat, kam by měl směřovat, čeho by chtěl dosáhnout. Pokud nějaká firma žádnou vlastní představu nemá, stačí, když vezme do ruky tuto vyhlášku kybernetického zákona.

Co všechno taková strategie řeší? A kdo má ve firmě obvykle tuto oblast na starosti?

Tomáš Hlavsa: Bezpečnost má několik vrstev. Je to fyzická bezpečnost, kam patří zavírání dveří a oken, zamykání, mříže na oknech atd., dále režimová opatření, jakými jsou čtečky karet, přístupové a docházkové systémy atd. Pak je to personální bezpečnost, tj. vědět, koho ve firmě mám, co je to za lidi, jakou mají historii s respektem k zákonu o ochraně údajů, vědět, s kým pracuji, s jakými dodavateli, zákazníky… Toto vše je čistě lidská záležitost, bezpečnost na úrovni lidských zdrojů. Nu a pak je zde IT bezpečnost. Když se řekne počítače, sítě, síťové přepínače, servery, aplikace, komunikace, všechny tyto vrstvy a slupky bezpečnosti je třeba ve strategii zohlednit, byť jedinou větičkou. Když tam nebude, pak to nikdo neřeší.

Strategie je jedna věc, pořízení a nasazení bezpečnostních řešení věc druhá. Jakými technologickými změnami prošly bezpečnostní technologie? Na jaké technologie či inovace se nyní podniky spoléhají?

Petr Němec: Většina výrobců se dnes masivně snaží bezpečnostní technologie přesunout do cloudového prostředí. Přicházejí internet věcí, Průmysl 4.0 a veškerá tato data se zpracovávají v cloudu. Je samozřejmě otázkou k diskusi, zda jde o správný směr, ale je to současný trend. S tím, jak se do něj snaží dostat data, posilují i oblast bezpečnosti v cloudu.

Jaké jsou kompetence společnosti Atos v oblasti bezpečnosti?

Petr Němec: Společnost Atos dodává komplexní řešení se zaměřením na kybernetickou bezpečnost. Od sítí přes zabezpečení hardwaru, operačních systémů i aplikací. Portfolio společnosti Atos obsahuje vlastní produkty i produkty třetích stran, které jsme schopni dodat a implementovat. Právě na implementaci bych dal největší důraz, protože se často setkáváme se zákazníky, kteří se rozhodnou pro určitého výrobce bezpečnostního systému a společnost Atos si potom vyberou jako implementátora. Důvodem jsou naše zkušenosti, reference a kompetence. Je to jeden z našich častých postupů, kdy poskytujeme implementaci řešení třetí strany.

Co zákazníci nejčastěji poptávají?

Petr Němec: V současnosti je jedno z velmi žádaných řešení zabezpečení databází. Tato oblast je často podceňována, případně řešena až na posledním místě. Když si však vezmete strukturu dnešních informačních systémů, pak veškeré informace, nejcennější data v nich obsažená, jsou právě v databázích. Při jejich ochraně jde o nasazení speciálního softwaru pro odchycení a analýzu veškeré komunikace, která probíhá mezi aplikací a databází. Z této komunikace jste schopni zjistit, kdo, kdy a k jakým datům přistupoval. To je důležité pro auditní záznamy a vyšetřování úniků dat. Ze zákona o kybernetické bezpečnosti je třeba auditní logy o komunikaci po nějakou dobu uchovávat, většinou v rozmezí 12 až 24 měsíců.

Příkladem implementace takového systému je proces, kdy se provede analýza, sledování stavu u zákazníka, kolik má databází, jaký výkon má mít jeho systém, který se na ně nasadí. Následuje implementace a instalace systému včetně uvedení do pilotní fáze. Následuje sběr dat a jejich analýza. Ve spolupráci se zákazníkem se připraví use cases, tj. typické situace, které jsou pro zákazníka důležité. Měl by vědět, jak jeho vlastní administrátoři či administrátoři dodavatele přistupují k těmto citlivým údajům, protože privilegovaní uživatelé mají nejsilnější oprávnění. V dalších krocích implementace se rozšiřují use cases, které jdou do větší hloubky, určuje se, které databáze jsou kritické, a těmito rekurzivními kroky probíhá celá implementace.

Jak v dnešní době útok na firmu vypadá?

Petr Němec: Útoky můžeme rozdělit na dvě základní oblasti. První jsou uvnitř výrobního podniku, jde o izolované výrobní linky nebo datová centra. K nim se z internetu nedá přímo dostat, aby se je podařilo ovládat na dálku, většinou k tomu musíte mít prostředníka. Nebo může jít o sofistikované programy, které se tam zanesou "nevědomky" např. při servisní činnosti. Tyto škodlivé programy pak vykonávají vlastní činnost, při které se pokoušejí navázat komunikaci, sbírají data nebo jsou určeny k poškození výrobních zařízení. Dostat se do uzavřené oblasti výrobních linek je pro hackera velmi obtížné a musí nad tím velmi přemýšlet a plánovat dlouho dopředu.

Druhou oblastí jsou naše zařízení, telefony, tablety, počítače, ale už i chytré televize, myčky, robotické vysavače; souhrnně internet věcí. I tato oblast bude vystavena obrovskému tlaku útočníků, protože počet těchto zařízení neustále narůstá a nástroje pro útoky již jsou také velmi levné a efektivně lze útočit i skrze mobilní telefony.

Jak je zneužít? Hacker nechá uživatele připojit k nějaké závadné wi-fi síti, přes kterou může skrytě ovládat jeho zařízení. USB klíče jsou také stále populární a pořád jsou nejjednodušším zdrojem útoků. V USB klíči může být minipočítač s nákazou, který pokud připojíte k PC, ovládne jej, aniž byste to tušili. Během pár minut vám ho může totálně zlikvidovat, že už se nedá použít. Může mu smazat data na disku, včetně operačního systému, nebo jej poškodí vysokým výbojem. Toto jsou tedy dvě základní oblasti útoků nejčastěji s cílem nakazit, ovládnout, poškodit, zničit.

Jak se podle vás bude vyvíjet situace na poli kyberbezpečnosti? Jaké nové postupy se u kyberzločinců objevují?

Tomáš Hlavsa: Ještě před pár lety byly častým zaklínadlem o bezpečnosti v novinách útoky DoS (denial of service), případně DDoS (distributed denial of service), mající za cíl zahlcení infrastruktury vlnou požadavků. Podle našich informací se ale dnes kyberkriminalita přesouvá ke krádežím informací, proto jsou tak populární technologie typu DLP (data leakage protection), pomocí nichž se organizace chrání před zcizením nebo kompromitací své dokumentace, výrobních postupů apod. Podobný trend lze očekávat i do budoucna.

Na útoky DDoS jsou dnes asi už všichni připraveni, nebo alespoň ti, které to trápí, ale krádež informací je mnohem komplexnější úloha. Atos coby evropská jednička na poli kybernetické bezpečnosti očekává, že tento typ hrozeb a útoků nadále poroste, stejně jako snaha o kompromitaci informací, dokumentace, výrobních plánů a postupů. Už nejde o to, jen proniknout a poškodit, ale proniknout a být přítomen, po kouscích, kapičkách si brát, co zrovna potřebuji. Tato hrozba bude do budoucna trvalá a poroste.

Článek byl publikován v komerční příloze ICT revue.