Rozhovor: Krádeže dat jsou výnosný byznys. Takže útočníci přibývají a zlepšují se

Oslovili jsme Petra Smolníka šéfredaktora vydavatelství AVERIA LTD a B2B influencera, který je zároveň poradcem pro kybernetickou bezpečnost a eGovernment.

Kybernetická bezpečnost je dlouhodobé téma, ale nyní v důsledku mezinárodního napětí, vydal NÚKIB výslovné varování. Je reálný důvod k obavám?

Reálný důvod k obavám o kybernetickou bezpečnost je již delší dobu. Výrazně totiž stoupl stupeň ohrožení již na počátku loňského roku kvůli „covidové“ situaci. Na jedné straně je mnohem více lidí na home office, což je riziková situace pro firmy. Na druhé straně mají problémy i vládní instituce, které na tuto situaci nemohly být připraveny. 

Již od začátku pandemie covid-19 je doložena zvýšená aktivita útoků. Jak si to vysvětlit a co je nyní jiné? 

Aktuální geopolitická situace nahrává informačnímu chaosu, a tak je možné rozvířit pro útočníky různého charakteru více rozvrstvených vln útoků a schovat plánované útoky v tomto zmatku. 

Nemyslím si, že bude útočit přímo Rusko, s nímž došlo k diplomatické roztržce, ale různé skupiny tohoto rozruchu mohou využít a jistě i využívají. 

V poslední době se zvyšuje zacílenost útoků a například v podvodných e-mailech se objevuje bezchybná čeština. Znamená to, že přibylo i útočníků z České republiky? 

To určitě ne, podle mých informací jsou takto sofistikovaně vytvořené útoky pouze poučením se z předchozích chyb a slabé výtěžnosti těchto útoků. Útočníci vyhodnocují úspěšnost svých útoků, a učí se, jak je příště udělat lépe. Je to standardní i když „temný“ byznys. 

Přestože je to již hodně vymlácená sláma, vyjmenujte nám prosím nejdůležitější dobré zvyky při práci s počítačem, kterými můžeme předcházet narušení našeho soukromí. 

Aktualizujte systémy, nebo si pravidelně kontrolujte, zda jsou vaše systémy aktuální, 

chraňte svůj systém nějakým dalším bezpečnostním softwarem, 

omezte úplně přístup na nezabezpečené wifi sítě, 

pravidelně měňte a kontrolujte svá přístupová hesla, 

omezte přeposílaní svých pracovních emailů a dat z firemního prostředí na soukromé adresy, 

vzdělávejte se v oblasti IT bezpečnosti, sledujte novinky a zprávy v této oblasti, 

pokud možno citlivá data zálohujte a šifrujte pravidelně minimálně 1× měsíčně, 

používejte vícefaktorové ověřování přístupů do důležitých informačních systémů a také do aplikací ve vašich mobilních zařízeních. 

Můžete alespoň zhruba odhadnout, jaké procento tvoří jednoduché útoky, kterým můžeme předejít výše zmíněným chováním? A kolik procent pak tedy tvoří sofistikované útoky? 

Takto cílená data nemám k dispozici, ale standardně se nejvíce těží z takzvaných „kobercových náletů“, ve kterých je velké množství e-mailových adres. Až následně po vyhodnocení, kde a jaká rybka uvízla v síti, se pokračuje dále v jiných formách útoků. Spousta těchto kobercových náletů nemá za cíl útočit, ale pouze získávat informace o tom, jak jsou jednotlivé systémy, nebo i konkrétní uživatelé zabezpečeni. Pak se teprve přistupuje k formování útoků. Nicméně jsou i specializované útoky pouze na firemní nebo government systémy, ale je jich určitě početně méně. Bohužel i jejich počet stále roste, jak naznačují mé informace z řady firem. 

Řada firem považuje za rizikové využívání cloudu? Domníváte se, že cloudová řešení zvyšují nebo snižují bezpečnost dat?

Žádný IT systém není primárně bezpečný ani nebezpečný, to z něj dělají až lidé, kteří ho používají. Využívání cloudu a takto vytvořených platforem je většinou dobře zabezpečeno proti takzvaným brutal force útokům, tedy proti narušení hrubou silou. V dnešní době je však pro útočníky jednodušší útočit na cloud skrze uživatele, kteří do něj přistupují. Děje se tak různými formami od sociálního inženýrství, sledování jejich aktivit na internetu, až po vydírání a podobně. Aktuálně jdou některé firmy cestou takzvaných privátních cloudových systémů, zda se toto řešení osvědčí, ukáže teprve čas.

Doporučení, které zveřejnil NÚKIB vnímám jako určené především velkým firmám s IT oddělením, ale podívejme se na malé firmy do cca 50 zaměstnanců. Jak mají reagovat? 

Měli by se obrátit na svoje IT a security oddělení, nebo na specializované firmy, které se zabývají kybernetickou bezpečností. Rozhodně každá firma by měla tyto otázky aktivně řešit. Základem pro jakékoliv aktivity je nechat si zpracovat audit firmy z pohledu IT bezpečnosti. Dnes se již tyto audity dělají i pro firmy o pár zaměstnancích a nejsou extrémně drahé. 

Jak firma pozná, že byla napadena? Nakolik se dá zjistit rozsah škod? 

Někdy to zjistí až po letech (jako v případě některých našich ministerstev) a někdo to nezjistí nikdy. Pro řadu útočníků je mnohdy lepší být uvnitř a třeba jen sledovat a stahovat vaše data a pak potichu zmizet. Data, která od vás získají, pak prodají vaší konkurenci. Útoky se totiž dějí také na zakázku a je jich celá řada. 

Máte nějaký konkrétní příklad?

Jeden příběh z Německa mě v poslední době zaujal. Patří do kategorie sociálního inženýrství. 

Jedna firma chtěla získat odborníka od konkurenční firmy, a tak si objednala službu hackera. Ten se naboural do firemních účtů i sociálních sítí daného zaměstnance a nenápadně jej nějaký čas sledoval. Pak přišel čas povýšení tohoto zaměstnance a útočníci začali jednat: formou podvrženého příspěvku na jeho sociálních sítích zveřejnili jeho „tajný koníček“, který byl očividně v rozporu s jeho zaměstnáním. Než se vše podařilo vysvětlit, byla jeho pověst natolik pošramocena i v očích jeho kolegů v práci, že nakonec dal sám výpověď a šel dělat úplně jinou práci. Ve výsledku tak z tohoto zaplaceného útoku neměl prospěch nikdo. O všech subjektech, které se na tomto speciálním „obchodním projektu“ podíleli, se zjistilo všechno. Jediný člověk unikl spravedlnosti a hádejte, kdo to byl? Uhádli jste to? No přeci ten hacker. 

Na koho se obrátit, když vím, že moje firma byla cílem úspěšného útoku? Co ještě můžu zachránit?

Na to je odpověď jednoduchá. Pokud jste firma a máte nějaké škody, musíte se obrátit na Policii České republiky. Úřady musí všechny útoky hlásit na NÚKIB a většinou také na PČR. 

Každopádně zde je každá rada drahá, jak moc drahá, zjistíte podle nákladů, které vám vzniknou řešením dané situace. Většina firem spoléhá na to, že právě na ni žádný útok veden nebude, bohužel o opaku se v blízké budoucnosti přesvědčí celá řada z nich. Získávání dat a jejich prodej, nebo i další formy kybernetických útoků, jsou na vzestupu a je to obchod jako každý jiný, takže se s novými technologiemi neustále rozvíjí. 

Jaký útok za poslední rok byl v ČR nejzávažnější?

Na tuto otázku nelze odpovědět z pohledu závažnosti útoku. Útoků bylo mnoho a o některých se nikdy ani nedozvíme z důvodů utajení. Při posuzování závažnosti je otázkou, jaké kritérium pro nás bude hlavní, posuzujeme výši škod nebo citlivost dotčeného subjektu? Z mého pohledu jsou nejnebezpečnější útoky na nemocnice a podobná zařízení, jelikož zde může dojít i ke ztrátám na lidských životech.