Kyberbezpečnost: Staré i nové hrozby

Rizikem je nedostatečná ochrana soukromí, stínový internet věcí či nastupující konvergence výpočetních a provozních technologií.

Kyberbezpečnost: Staré i nové hrozby


Viděli jsme mnoho tradičních hrozeb, jakými jsou phishing a finanční malware, které cílí na získání bankovních a platebních údajů, varuje Patrick Müller z firmy Sophos. Současně ale roste sofistikovanost podvodů realizovaných prostřednictvím firemních e-mailů. Stále rostou i útoky ransomwarem zaměřené na podniky, města a nemocnice a v neposlední řadě i útoky na dodavatelské řetězce a poskytovatele řízených služeb.

Jedním z konkrétních trendů je nárůst hybridních nebo smíšených útoků, které kombinují automatizaci s interaktivní lidskou vynalézavostí, aby se účinněji vyhýbaly detekci. Jakmile tito útočníci proniknou do počítače nebo sítě oběti, zneužijí nainstalované softwarové nástroje (tzv. technika living off the land) a použijí další podvodné techniky, které se dají objevit pouze pomocí lidské inteligence.

„To vyžaduje nový přístup k zajištění bezpečnosti v podobě nepřetržitého monitoringu, analýzy a schopnosti reakce na hrozby realizované lidmi, které ale doplňují hluboká, vícevrstvá a synchronizovaná bezpečnostní řešení, která umožňují tyto neznámé hrozby identifikovat a blokovat,“ podotýká Müller.

S bezpečností souvisí i ochrana soukromí. Velkým problémem je nedostatečná ochrana privátních zařízení uživatelů. Liknavost v této oblasti pak může ohrozit bezpečnost celé organizace.

„Bezpečnost firmy či organizace je i přes veškerá technická zabezpečení především v rukou lidí,“ souhlasí Daniel Konečný a Petr Moláček, konzultanti pro oblast cyber risk insurance ve firmě Principal engineering. Proto je podle nich budování bezpečnostního povědomí pracovníků velmi důležitou součástí bezpečnostních opatření.

Finance za školení a vzdělávání v oblasti kybernetické bezpečnosti, ochrany informací a osobních údajů rozhodně nejsou zbytečně utracené peníze, míní Konečný a Moláček a pokračují: „Položte si otázku: ‚Znáte ve svém okolí někoho s heslem 123456?‘. A nejste to náhodou i vy?“

„Pro uživatele, kteří se snaží chránit své osobní soukromí, je největším problémem používání stejného hesla ve více aplikacích,“ soudí Müller ze Sophosu. Zločinci neustále zkoušejí tzv. credential stuffing, tedy zadávání přihlašovacích údajů složených z milionů již dříve uniklých hesel, jako se tomu stalo například před několika lety v případě LinkedInu, a zadáváním různých kombinací těchto uživatelských jmen a hesel se pokoušejí proniknout k účtům na jiných webech, zejména pak sociálních sítích.

Další velkou hrozbou jsou e-maily a zprávy se žádostmi o kliknutí například na fotografie nebo o poskytnutí půjčky, které přicházejí od členů rodiny, přátel nebo spolupracovníků, jejich účty už byly napadeny, pokračuje Müller. „Tyto zprávy jsou postaveny na důvěryhodnosti, protože jsou zaslány od přítele nebo blízké osoby. Čím více osobních údajů sdílíte on-line, tím zranitelnější jste, protože útočníkům potenciálně nabízíte dostatek informací k odcizení a zneužití vaší identity.“

Stínový internet věcí

Stínové IT, tj. využívání hardwaru či softwaru v jednotlivých částech organizace bez vědomí IT oddělení, nejen zvyšuje riziko napadení, ale zároveň snižuje náklady, zvyšuje produktivitu a urychluje inovace. Na vině obvykle bývá nepružnost a konzervativnost IT oddělení.
Ještě riskantnější z hlediska bezpečnosti je stínový internet věcí. Uživatelé v organizaci používají zařízení připojená k internetu (nebo ještě hůře celé sítě IoT) bez znalostí IT.

Tito lidé pravděpodobně hledají stejnou rychlost a flexibilitu, jakou se vyznačuje stínové IT, ale riskují mnohem více za mnohem menší přínos. Stínový IoT znamená úplně jinou úroveň stínového IT s potenciálním ohrožením mnoha dalších zařízení. Riziko představují i nové typy zařízení a případy použití, nemluvě o přidání zcela nových sítí a technologií do výpočetního prostředí organizace.

„Nejdůležitější věcí je zajistit, aby žádná inteligentní zařízení, ať už jsou jakákoli, nemohla být nikdy připojena k podnikové síti nikým jiným než pracovníky zodpovědnými za bezpečnost vašeho IT,“ podotýká Müller ze Sophosu. Inteligentní technologii, která sdílí a přijímá data z cloudu, nelze automaticky považovat za bezpečnou nebo soukromou.

„I když děláte něco tak jednoduchého, jako je připojení chytré kamery k vaší kancelářské síti, abyste si mohli stáhnout a sdílet fotografie a záznamy z nějaké akce, pak pokud jste nezměnili tovární nastavení zabezpečení nebo heslo, případně si nenainstalovali nejnovější aktualizace softwaru, poskytujete útočníkům snadný přístup k vašim datům,“ pokračuje Müller. „Pokud už musíte tato zařízení používat, vždy zapojte do součinnosti pracovníky vašeho IT od samého začátku.“

Konvergence IT a provozu

Tradičně mají výpočetní (IT) a provozní (OT) technologie v organizaci velmi odlišné role. IT je obvykle pověřeno přenosem dat mezi počítači a lidmi, zatímco OT přenosem dat mezi „věcmi“, jako jsou senzory, akční členy, inteligentní stroje a další zařízení s cílem zlepšit výrobní a průmyslové procesy. Dříve měly IT a OT zcela oddělené nejen role, ale i technologie a sítě.

Oddělení odpovědná za OT přemýšlejí v desetiletých či víceletých cyklech, zatímco IT oddělení uvažují ve tříletých periodách. V IT prostředích je mnohem více změn a iterací než v OT prostředích, která jsou tradičně extrémně statická.

Nyní však společnosti chtějí využívat telemetrická data produkovaná zařízeními OT pro analytiku provozovanou v datovém centru nebo v cloudu. To vyžaduje bezpečné připojení odpovídající celopodnikovým nebo regulačním požadavkům. Nastává situace, kdy z hlediska bezpečnosti může dojít ke střetu mezi oběma skupinami technologií.

Provozní technologie používané pro řízení podnikových procesů, průmyslové kontrolní systémy nevyjímaje, představují podle Müllera ze Sophosu rostoucí bezpečnostní riziko. Existuje pro to několik důvodů, přičemž tím hlavním je, že v důsledku digitální transformace už OT nejsou ve vzduchoprázdnu, tedy nepřipojené k internetu, ale on-line a velmi často připojené k dalším IT systémům a do IT infrastruktury.
„Protože odpovědnost za zařízení OT tradičně nespadá do kompetence IT oddělení, tak například v oblasti průmyslové výroby a zdrojů existuje riziko, že rozvíjející se bezpečnostní hrozby nemusejí být zcela podchyceny,“ pokračuje Müller. Kromě toho tyto stále složitější připojené OT systémy mohou být velmi obtížně monitorovatelné a spravovatelné. Díky tomu je role IT oddělení při zajišťování bezpečnosti OT systémů zvláště důležitá.

GDPR a bezpečnost

Jak se České podniky a jejich podnikové systémy v minulém období musely vyrovnat s novými výzvami a závazky souvisejícími se zavedením direktivy GDPR. Co bylo v uplynulém období v souvislosti s GDPR jejich největší Achillovou patou?

„V minulém roce jsme byli svědkem enormního počtu auditů, při kterých se podniky snažily zjistit, kde mají data, kdo k nim má přístup a jak je správně uchovávat,“ uvádí Müller ze Sophosu a pokračuje: „Podniky intenzivně revidovaly procesy z pohledu bezpečnosti, z čehož vzešla mnohá doporučení, jak s daty nakládat tak, aby jejich správa byla v souladu s GDPR. U našich zákazníků jsme zaznamenali zvýšený zájem a následný nákup nových bezpečnostních technologií, zejména pak řešení pro šifrování dat, které málokterý podnik používá.“

„Požadavky GDPR se v Česku vstřebaly takříkajíc po česku. Často se totiž v naší praxi setkáváme jak s extrémy, ale i s naprostou liknavostí při zpracování osobních údajů,“ konstatují Konečný a Moláček z Principal engineering. „A co nás také mrzí, je, že od rozumného posouzení rizik a nasazení vhodných bezpečnostních opatření a postupů zpracování osobních údajů se sklouzává k diskuzi podnikových právníků nad výkladem jednotlivých ustanovení legislativy.“

Nezřídka je patrná touha podniků formálně vyhovět, ale bez pochopení úmyslu legislativce. V praxi pak zaměstnanci netuší, k čemu GDPR slouží, a považují ho za administrativní zátěž.

„My vnímáme zajištění ochrany osobních údajů podle legislativy GDPR spíše jako prevenci než jako nástroj moci a pomsty,“ pokračují Konečný a Moláček, podle nichž se často s ochranou osobních údajů totiž spojila spousta byrokracie. To nakonec vede spíš ke zhoršení života občanů než k ochraně jejich práv a svobod.

„My jsme ale optimisté. Věříme, že zdravý rozum nakonec převládne a úsilí zaměřené k prosazení požadavků GDPR se dostane do rozumných kolejí. Anebo si nakonec zvykneme,“ uzavírají.


Úvodní foto: Adobe Stock




Komentáře