Karol Suchánek

 

“KYBERNETICKÁ BEZPEČNOST KRITICKÝ BOD PRO VŠECHNY TYPY ORGANIZACÍ”

 

V 16 letech vyvinul svůj první bezpečnostní software. Absolvoval cyber security program na MIT v Bostonu a je držitelem bezpečnostní prověrky NATO, jako jedna ze dvou osob v ČR. Zároveň je soudním znalcem v oblasti kybernetické bezpečnosti. Posledních 10 let se stará o soukromí a bezpečnost firem a veřejně známých osobností po celém světě. Je součástí týmu cyber security expertů www.Shift2Cloud.eu, který vylepšuje efektivitu a bezpečnost firem.

Organizace po celém světě se vyrovnávají s výzvami pandemie. Patří mezi ně raketový rozvoj digitalizace a nových způsobů vzdálené práce. Na jedné straně si řada z nás pochvaluje pozitivní dopad na efektivitu. Zároveň však situace nahrává aktivitám kybernetických zločinců, kteří přicházejí se stále novými metodami útoků. Do hry vstupuje také dynamické dění na politické scéně a s ním spojený boom dezinformačních kampaní.

Dopad? Predikcí je celá řada. Například podle prestižní výzkumné společnosti Cybersecurity Ventures se očekává, že globální ekonomika zaplatí v tomto roce za důsledky kybernetické kriminality až 6,1 bilionu amerických dolarů. Kyberzločin však ohrožuje také celkovou bezpečnost společnosti a reputaci organizací. Vznikají tak nové nároky na leadership, protože jedině strategicky uchopená řešení mohou zajistit kybernetické zdraví organizací a celé společnosti.

Dávno již přitom neplatí, že jsou v ohrožení pouze velké podniky. Celá řada útoků totiž probíhá plošně a automatizovaně napříč internetem, jímž jsme propojeni všichni. Bez ohledu na obrat (či vůbec ziskovost), počet zaměstnanců nebo typ činnosti. Jistě, u velkých společností má hacker logicky šanci na získání velkého množství dat, ovšem bývají zpravidla lépe zabezpečené než menší a střední organizace. Z průzkumů expertního kolektivu Shift2Cloud vyplývá, že 60 % malých a středních firem neřeší bezpečnost a jsou tedy jednoduchým cílem. Přitom 61 % kybernetických incidentů se odehrává právě v menších a středních firmách.

Jak útoky reflektují globální dění?

Na dění ve společnosti reagují především podvodné zprávy. Kategorie, kterou souhrnně označujeme jako phishing, zahrnuje manipulaci s důvěrou lidí prostřednictvím falešných zpráv napříč komunikačními kanály. Nejde jen o e-maily, ale stále častěji také zprávy v chatovacích aplikacích, podvodné reklamy na internetu nebo dokonce telefonáty. Cíle mohou být různé, typicky je uživatel vyzván k nějaké úhradě, poskytnutí osobních či bankovních údajů, nebo rozkliknutí odkazu. Tím může být spuštěna instalace škodlivého programu, jako je ransomware. Pomocí něj útočník zašifruje data počítače a za jejich opětovné zpřístupnění požaduje výkupné. Uhrazení požadované částky však není žádnou zárukou, že hacker data opět zpřístupní – a především, že už s nimi neobchoduje na černém trhu. Takto se během pandemie množí podvodné zprávy nabízející třeba zázračné léky na covid, nebo vybízející k registraci na očkování.

Jakmile se však objeví nové téma, které ve společnosti rezonuje, stane se také dalším tématem pro hackery. Ti pracují nejen samostatně, ale také pro tajné služby jednotlivých zemí a teroristické organizace. Národní úřad pro kybernetickou bezpečnost (NÚKIB) například nedávno upozornil, že Česku hrozí zvýšené riziko útoků díky vyhoštění pracovníků ruské ambasády v reakci na podezření o zapojení ruských agentů do výbuchu muničního skladu ve Vrběticích. Může se jednat nejen o útoky na kritickou infrastrukturu, ale rovněž dezinformační zprávy, které povedou uživatele k otevření odkazů, aby se dozvěděli více. Rozmanitost možných útoků ilustruje fakt, že jen v souvislosti s kauzou Vrbětice vydal NÚKIB na svém webu doporučení věnovat pozornost 23 technikám útoku a 17 nejčastěji zneužívaným zranitelnostem.

Práce odkudkoliv a mileniálové

Akcelerující přesun pracovníků na home office s sebou nese zcela logická rizika. Domácí počítače a tablety, stejně jako síť a připojení k internetu, nemusí být dostatečně zabezpečené. Domácí zařízení často používá více členů rodiny, včetně dětí, a to nejen díky distanční výuce. Je tedy nanejvýš vhodné, aby byl každý zaměstnanec a uživatel firemního software dostatečně srozuměn s bezpečností práce na dálku. Postupný nástup mladší generace, která je s moderními technologiemi více sžitá, by mohl znamenat snadnější cestu ke kybernetickému zdraví. Na druhou stranu, i když jsou mladí lidé stále lépe srozuměni se základními pravidly, nelze na to spoléhat. Zcela zásadní je strategicky řízený systém kontinuálního vzdělávání. Výhodou není jen to, že je vzdělávání vnímáno jako cenný zaměstnanecký benefit. Ale především obrovská úspora nákladů na řešení bezpečnostních incidentů. Jeden útok, který se hackerům zadaří, přijde firmy v průměru na 80 milionů korun. Pokud zahrnuje také únik osobních dat, hrozí za něj firmě pokuta až ve výši 4 % z globálního obratu. Nezáleží tedy, zda se incident odehrál v ČR, nebo jinde – pokuta je vyměřena z výše obratu všech jejích poboček kdekoliv na světě.

Řízení, kontrola a kontinuita

Achillovou patou mnoha organizací je fakt, že nemají definovány jasné standardy bezpečnosti a kontrolní mechanismy pro dodržování povinných regulací (např. GDPR). Spoléhat v bezpečnosti na to, že má organizace dodavatele IT služeb nebo vlastní oddělení, se nemusí vyplatit. Stejně jako například lékaři, také IT experti se specializují na určité oblasti. Jaké byly poslední návrhy na zvýšení IT bezpečnosti od vašeho IT, či dodavatele? Dostáváte pravidelné reporty z bezpečnostního monitoringu? Pokud ne, už jsou možná útočníci ve vaší síti. Například hotelová síť Marriott v roce 2018 zjistila, že jí někdo přes díru v IT infrastruktuře už celé čtyři roky krade data o zákaznících. Pobavte se se svým IT o jejich představě kybernetické bezpečnosti. Vysvětlete, že nejde o kritiku, a dejte prostor diskusi o zapojení experta na kybernetickou bezpečnost.

Dále je u řady organizací ohrožena kontinuita jejich činnosti vinou nevhodného způsobu zálohování dat – nebo jeho úplné absence. Zálohování sice není primární ochranou proti zcizení dat, ale poskytuje možnost data obnovitzbezpečnéhoúložiště.Tímjejednoznačně některá z cloudových služeb, u nichž největší roli hraje technologická vyspělost. V tomto ohledu je bezprecedentním lídrem řešení společnost Microsoft, jak opakovaně potvrzují analýzy Gartneru. Je to logické – kdo jiný by měl být schopen nejlépe zabezpečit zálohování dat z nejpoužívanějšího operačního systému, než jeho autor? Data se ukládají ve více kopiích umístěných v geograficky vzdálených datových centrech, která jsou špičkově chráněna také proti riziku přírodních katastrof a spravována týmy expertů. S profesionální cloudovou službou navíc odpadne značná část nákladů na vlastní infrastrukturu a větší procesní efektivita se promítá do revenue. Skrze cloud jsou také automaticky aktualizována a neustále kontrolována všechna koncová zařízení – firemní počítače a další technika připojená online.

Bezpečnostní audit, nutný výchozí bod

Aby mohl být sestaven strategický plán a návrh optimální bezpečnostní architektury, procesů a vzdělávání, je nutné znát výchozí situaci. Základní audit je přitom možné realizovat již v ceně od 17 900 korun. Při auditu se neprovádí jen kontrola bezpečnostního nastavení. Je také potřeba jasně vidět, jak aktuální zabezpečení a lidé ve firmě odolávají konkrétním pokusům o nabourání. K tomu slouží simulace reálných útoků. Testuje se nejen odolnost samotné IT infrastruktury, ale také se využívají metody sociálního inženýrství. Tedy techniky, které útočníci aplikují přímo na lidi a mají je přimět k vyzrazení určitých informací. Představte si třeba, že útočník zavolá do firmy a systematicky kladenými otázkami od recepční zjistí, jestli má firma vlastního IT specialistu, nebo využívá externí firmu. Zdánlivě banální informace, která však může při plánování útoku sehrát důležitou roli.

Následuje implementace zvolených opatření a zavedení špičkových nástrojů pro detekci pokročilých kybernetických útoků. Nedílnou součástí je také na míru navržené průběžné školení pro všechny uživatele a IT oddělení. Zabezpečení firmy je totiž jen tak silné, jak dobře s ním umí zacházet právě lidé. Vzdělávání musí být pravidelné, aby bylo možné držet krok. Člověk však není dokonalý, proto může udělat chybu, která i přes veškeré zabezpečení vede k problému. Zcela zásadní je tedy nonstop podpora a okamžitá pomoc s řešením bezpečnostních incidentů. Jednoznačně nejvíce výhod v dnešní době přináší organizacím všech velikostí a typů přechod na cloudové řešení.