Hackerské útoky: Nevyhnutelnost nebo jen důsledek zanedbání?

Můžete nám v kostce svou činnost a servis představit?
Téměř 30 let se pohybuji v oblasti informačních a komunikačních technologií a posledních 10 let se zaměřuji na kybernetickou bezpečnost.  Přesněji řečeno řešení kybernetické bezpečnosti formou služby s využitím profesionálního bezpečnostního centra, se kterým se dnes setkáte většinou pod názvem SOC. Jednoduše lze říci, že stejně, jako strážní služba zajišťuje vstup do podniku, hlídá celý areál, reaguje na incidenty a hrozby, SOC obdobným způsobem nepřetržitě hlídá informační a komunikační systémy a technologie zákazníka a zajišťuje kybernetickou bezpečnost. A nejen to, tím, že společně se zákazníkem díky našim odborným znalostem a zkušenostem neustále systémy odlaďujeme, výrazně snižujeme možnost úspěšného kybernetického útoku.

Jaké jsou běžné příznaky kybernetického útoku?
Přesně v tom je problém. Kybernetický útok nemusí být, a mnohdy není, pro mnoho organizací na první pohled patrný. A když se jej podaří odhalit, bývá již mnohdy pozdě. Nejhorší scénář je, že ráno v práci nezapnete počítač a všechna vaše data jsou zašifrována. Pak už těch možností moc nezbývá. Principem služby je nacházet všechny anomálie, které se v systému objeví a důsledně je prověřovat, zda se jedná o možné bezpečnostní riziko, nebo se jedná např. o provozní problém či lidskou chybu.

Jak často je vyžadována diagnostika serverů?
Pro nás je velmi důležité mít přehled o tom, jak pracují servery v rámci infrastruktury. Proto je vhodné a doporučujeme využívat minimálně nástroj na provozní monitoring pro aktuální informace o stavu serverů či služeb. Také je vhodné mít přehled o nových aktualizacích či dostupných bezpečnostních záplatách po objevení nové zranitelnosti. Samozřejmě přehled nestačí a je nutné aktualizace a záplaty neprodleně aplikovat. I s těmito činnostmi může pomáhat služba bezpečnostního centra. A na otázku jak často, dokážu odpovědět jenom slovíčkem permanentně.

Můžete prozradit jaká přesně odvětví jsou nejvíc riziková z hlediska hackerských útoků?
Jeden z významných odborníků v oblasti kybernetické bezpečnosti a zakladatel několika bezpečnostních dohledových center pan Karel Šimeček vždy říkal, že v oblasti kybernetické ochrany existují pouze dvě cesty, buď být marketingově naprosto ale naprosto nezajímavý, nebo se účinně bránit. Samozřejmě jsou odvětví, která jsou ohroženější a velmi často se stávají terčem sofistikovaných kybernetických útoků, např. zdravotnictví, ale útočníci si dnes už moc nevybírají. Prostě zkoušejí, kde se jim podaří prolomit zabezpečení a v okamžiku úspěchu pokračuje útok dál s cílem poškodit napadený subjekt. I motivace může být různá, nejčastěji se jedná o finanční motivaci, ale setkáváme se i se snahou se zviditelnit, konkurenčním bojem, nějakou formou msty či snahou dehonestovat konkrétní osobu. Nemyslím si tedy, že by dnes existoval subjekt, který si může dovolit kybernetickou ochranu neřešit.

„Svět je nebezpečné místo k životu, ne kvůli lidem, kteří jsou zlí, ale kvůli lidem, kteří s tím nic neudělají.“– Albert Einstein

Jak by se dalo chránit před potenciální hrozbou bez zasahování specialistů?
Je nutné si uvědomit, že nákup zařízení pro kybernetickou bezpečnost je krok správným směrem, ovšem nikoliv poslední. Musíte kybernetickou ochranu aktivně řešit především v oblasti personálního zajištění. Prostě musíte mít vlastní specialisty, kteří se budou bezpečnosti věnovat. V praxi to znamená mít několik technicky zdatných specialistů v různých odborných rolích, kteří budou nepřetržitě monitorovat vaši síť, vaše zařízení a aktivně řešit všechny anomálie. A ano, takové řešení je velmi drahé. Druhou variantou je nákup této ochrany formou služby, kde profesionální bezpečností centrum přebírá tuto práci za zákazníka. Jelikož se vlastně bavíme o sdílení odborných specialistů mezi několik uživatelů, je taková služba i ekonomicky přijatelnější. A z mých zkušeností také sofistikovanější.

Setkáváte se také s žádostmi o pomoc, že je klient pod silným kybernetickým útokem a nefungují mu žádné systémy?
Toto slyšíme hrozně neradi a většinou je na jakékoliv řešení již pozdě. Pokud je subjekt chráněn kybernetickým bezpečnostním centrem, žádosti a požadavky většinou směřují opačným směrem, tedy od služby směrem ke klientovi. Specialisté bezpečnostního centra sledují, co se v síti klienta děje, vyhodnocují všechny anomálie a při zjištění nedostatků ať již bezpečnostního, nebo také provozního charakteru, směřují požadavky včetně návrhu opatření směrem ke klientovi. Tento postup právě výrazně napomáhá k eliminaci budoucích bezpečnostních incidentů. Pokud nastává situace, kdy samotný klient nedisponuje dostatečným množstvím technicky znalých odborníků, i v tomto případě jsou služby bezpečnostního centra výrazným přínosem a certifikovaní specialisté centra mohou přímo pomáhat s konfigurací některých zařízení, případně s požadavky jiného charakteru z technické oblasti.

Jakými způsoby se dá preventivně kybernetickému útoku zabránit?
Útoku je nutno aktivně předcházet! K tomu právě slouží odborné znalosti, správné technologie a jejich správné nastavení a důkladné odladění. A samozřejmě, pokud se začne ve vaší síti dít cokoliv podezřelého, musíte rychle reagovat, zjistit příčinu a zvolit adekvátní reakci. Buď si tyto činnosti musíte zajistit sami, nebo využijete službu složenou z týmu operátorů, kteří nepřetržitě monitorují vaši síť, z týmu analytiků, kteří vyhodnocují všechna zjištění, analyzují je a navrhují opatření a z týmu dalších technických specialistů, kteří jsou certifikovaní odborníci na různé technologie. Extrémně důležitý je nepřetržitý monitoring, kybernetickou bezpečnost prostě nemůže zajišťovat IT specialista na půl úvazku. Tedy může, ale musíte se modlit, aby k útoku došlo v době jeho pracovní doby.

S jakými přesně druhy kybernetických útoků se v rámci své činností setkáváte?
Typové množství útoků je tak obrovské, že je ani nelze všechny popsat. V poslední době jsou poměrně časté útoky DDoS, tedy útoky, kdy obrovské množství útočících zařízení posílá dotazy na vaše technologie a tím je fyzicky vyřadí z provozu. Mnoho organizací se mylně domnívá, že jsou napadeni DDoS útokem, než se ukáže, že se jedná o horší variantu ransomware útoku, který vám šifruje data. Tento typ útoku zažila např. Nemocnice Benešov nebo v poslední době ŘSD. Škody takových útoků jsou následně ve vyšších desítkách miliónů korun, oproti tomu jsou vynaložené náklady za kybernetickou ochranu minimální. Ale setkat se můžete např. i s problematickým zaměstnancem, který vám krade data, nebo je jeho cílem se zaměstnavateli za něco pomstít.

Jak odlišovat důvěryhodné internetové zdroje od těch zavádějících i přes to, že na první pohled vypadají řádně?
Je nutné kontrolovat, zda je připojení bezpečné, což můžeme rozpoznat ze zkratky HTTPS v URL a zda certifikát, který určuje bezpečnost takové stránky, není podvržen a je platný. Kontrolovat legitimitu odkazů, zda to, na co mám kliknout, je opravdu to, kam klikám a nejedná se o podvržený odkaz. Také je vhodné si všímat případného výskytu množství gramatických chyb, číst recenze, bezhlavě nepovolovat cookies, neklikat na všechno co přijde pod ruku a ověřovat si zdroje a autory. Je toho moc, že? V každém případě se množství kybernetických útoků a bohužel jejich sofistikovanost stále zvyšuje. Je nutné být obezřetný a rozvážný při každém kliknutí na internetu.

Jak postupovat v případech úniku dat? Můžeme dnes důvěřovat aplikacím?
Tak snažím se tady vysvětlit, že k úniku dat by nemělo dojít. Pokud taková situace nastane je nutné se co nejdříve odpojit od internetu. Prostě zamezit dalším škodám. Osobně doporučuji co nejdřív kontaktovat odbornou společnost, která se problematikou zabývá a další postup řešit s nimi. Samozřejmostí je nahlásit incident Policii ČR, a pokud spadáte pod povinné subjekty dle Zákona o kybernetické bezpečnosti, také Národnímu úřadu pro kybernetickou bezpečnost. K dalším obecným doporučením určitě patří vytvoření nových hesel ke všem vašim účtům. Dnes už je samozřejmostí mít nastavené dvoufaktorové ověřování, díky kterému musíte poskytnout více na sobě nezávislých faktorů k potvrzení přístupu. Pokud vám začnou chodit emaily nebo zprávy týkající se úniku dat, neklikejte na žádné odkazy. Mobilní telefony se stávají stále vyspělejšími a jejich používání včetně různých aplikací se stává běžnou součástí života. Bohužel se spousta hackerů posouvá právě do oblasti mobilních aplikací. Dnešní nejrozšířenější platformy iOS a Android negarantují bezpečnost vytvořených aplikací. Opět v rámci obecných pravidel je nestahovat aplikace, které neznám, sledovat recenze, ověřit si autora aplikace, ověřit si název aplikace (zda se neliší od původního). V neposlední řadě je nutné hlavně číst a nepovolovat aplikacím nadbytečná oprávnění, která by s aplikací neměla souviset. Jedná se především o sledování a sdílení polohy, čtení kontaktů a zpráv, přístup k fotoaparátu atd. A samozřejmostí je využívat maximální ochranu mobilního telefonu stejně, jako u notebooku či PC.

Jaká je vaše vize do budoucna?
Pořád mám pocit, že kybernetická ochrana je velmi často brána na lehkou váhu. I přes odstrašující příklady z nedávné minulosti se v mnoha institucích, organizacích a firmách nevěnují kybernetické ochraně vůbec, nebo v minimální míře. V komerční sféře je situace malinko lepší, většina majitelů si dnes umí vypočítat, co společnost stojí den výpadku provozu a podle toho se chová. Přesto se snad blýská na lepší časy, je připravena nová směrnice Evropského parlamentu a Rady o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v Unii, směrnice NIS2, která přináší mnoho změn v oblasti zajišťování kybernetické bezpečnosti a týká se nejen organizací, které jsou již dnes ze zákona o kybernetické bezpečnosti povinny své systémy zabezpečovat, ale i velkého množství organizací, které budou do regulace spadat nově a do dnešního dne žádné povinnosti plnit nemusely. Takže mým přáním je, aby přibývalo společností, které ke své kybernetické ochraně přistupují zodpovědně, s péčí řádného hospodáře a aby ubývalo množství úspěšných kybernetických útoků. Albert Einstein prohlásil, že „Svět je nebezpečné místo k životu, ne kvůli lidem, kteří jsou zlí, ale kvůli lidem, kteří s tím nic neudělají“.     

Ing. Pavel Meletzký, MBA
Specialista na kybernetickou bezpečnost, s 30 letou praxí v informačních a komunikačních technologiích, posledních 10 let se zaměřením na kybernetickou bezpečnost a služby bezpečnostního dohledového centra. V letech 2018 až 2022 předseda komise informatiky rady Statutárního města Opavy.

Autor: Yeva Bartkiv, Zdroj foto: Shutterstock / archiv Pavla Meletzkého