Kybernetické útoky byly loni ve znamení diverzifikace

... říká Miroslav Dvořák, technický ředitel ve společnosti ESET software.

Kybernetické útoky byly loni ve znamení diverzifikace


Jak hodnotíte vývoj v oblasti bezpečnosti v minulém roce? Jaké typy hrozeb jsou podle vaší zkušenosti aktuálně nejrozšířenější nebo nejnebezpečnější?

Pokud bych měl loňský rok popsat jen několika slovy, řekl bych, že je rokem diverzifikace. Útočníci, na rozdíl od minulého roku, kdy dominoval trend ransomware kampaní a posléze koncem roku těžba kryptoměn, oprášili i jiné způsoby jak monetizovat svoji škodlivou činnost na úkor firem i jednotlivců. Znovu se tak například objevují různé útoky na platební karty či bankovní účty. A to jak v podobě podvodných či trojanizovaných aplikací, nebo i za pomoci vývojářských nástrojů integrovaných ve webových prohlížečích. V neposlední řadě nesmím zapomenout zmínit také botnetové sítě složené z tzv. IoT zařízení.

Globální pohled na statistiky hrozeb nemusí být vždy ten správný. Jejich závažnost i prevalence se totiž liší země od země nebo segment od segmentu, v závislosti na ekonomické situaci nebo právních podmínkách. Nicméně existuje několik typů hrozeb, které jsou napříč celým zmíněným spektrem. Z našich statistik vyplývá, že jde především o adware umístěný ve webových stránkách, který se většinou stává vstupní branou pro další škodlivý kód. Dále malware zneužívající zranitelnosti operačních systémů. Na dalších místech bych jmenoval, i když ne už tak masivní, ale stále přetrvávající těžbu kryptoměn a ransomware.

Je podle vás možné, že některá rizika aplikací resp. operačních systémů mají souvislost se snahou výrobců softwaru o uživatelskou přívětivost a jednoduchost používání? Jaké jsou nejhorší případy?

To si úplně nemyslím, chyby vznikají především z důvodu neznalosti, nepozornosti nebo zanedbání povinností softwarových architektů, analytiků, programátorů, popř. testerů, zkrátka lidí stojících za vývojem software.

Jsou uživatelé připraveni se hrozbám bránit? Kde jsou největší rezervy v informovanosti popř. v dodržování bezpečnostních pravidel?

Uživatel bývá právem považován za nejslabší článek řetězu z pohledu bezpečnosti. Má totiž tendenci pravidla obcházet, protože ho omezují. K tomu přičtěme lidskou podstatu v podobě snahy vyhovět, když někdo potřebuje – ať už skutečně či zdánlivě - pomoci. A máme tu problém, který útočníci díky technikám sociálního inženýrství pravidelně zneužívají. Zejména při cíleném phishingu. V kombinaci s nízkým povědomím o základních pravidlech informační bezpečnosti u běžných uživatelů jde o hodně nebezpečnou kombinaci. Jsme navyklí absolvovat pravidelně školení o bezpečnosti práce nebo požární ochraně, ale seznámení se s riziky práce s informačními technologiemi je spíše výjimkou. A to je samozřejmě velký dluh nejen firem, médií ale především vzdělávacího systému.

Jsou na kyberhrozby připraveny podniky? S tím, jak digitalizují své procesy, zajišťují mobilitu pracovníků, čelí tlakům na využívání vlastních zařízení uživatelů pro práci, složitost zajištění bezpečnosti roste. Kde mají podniky aktuálně největší slabiny?

Generalizovat u takto komplexní problematiky není vhodné. Při hodnocení situace je nutné provést minimálně již zmiňovanou segmentaci, např. podle velikosti. Mezi velkými podniky, segmentem SMB a SOHO jsou totiž velké rozdíly dané jejich možnostmi i způsobem fungování. Dá se říci, že v průměru nejdále s bezpečností bývají velké firmy. Mají na bezpečnost dedikované rozpočty, týmy a stanovená pravidla IT bezpečnosti, provozují například i vlastní SoC apod.

U středních a malých firem takové možnosti nebývají. Nedostatek vlastních kapacit v této oblasti se pak ti odpovědnější snaží řešit jejich nákupem od MSSP nebo spoléhají na dodavatele cloudovýcg řešení a jejich deklarované záruky.

Mám-li ale v podnikovém segmentu zmínit alespoň jednu, možná dvě věci, kde mají firmy velké nedostatky a které je potřeba silně akcentovat z důvodu jejich zneužívání kyberzločinci, budou to dodavatelské řetězce ve smyslu zvládnutí jejich přístupu do prostředí a informačních systémů odběratelské organizace a jako další, opět již zmíněné, povědomí o pravidlech informační bezpečnosti u zaměstnanců.

Pokud se ptáte na BYOD, nevidím zde ani po letech trvání tohoto trendu jasného vítěze. Tábory zastánců i odpůrců využívání vlastních zařízení ve firemním prostředí jsou zhruba stejně velké. Já osobně jsem z mnoha důvodů (právních i technických) a i díky zkušenostem v této otázce velice konzervativní a BYOD považuji za mírně řečeno problematickou otázku.

Jsou nějaké typy aplikací, jejichž používání byste doporučili zakázat nebo omezit ve firemním prostředí? Daří se řídit rizika při používání vlastních zařízení (BYOD)?

Pro každou organizaci se může být nebezpečím něco zcela odlišného. Analýza rizik, která právě takové otázky řeší, by tak měla být jasnou součástí fungování každé společnosti.

Jednou z možností ochrany dat před zneužitím je šifrování. Využívají podle vás podniky této možnosti dostatečně, a to především v souvislosti s používáním přenosné techniky, kterou je možné zcizit? Změnila se situace v této oblasti v souvislosti s direktivou GDPR?

Z toho co víme, tak nevyužívají. V první polovině letošního roku jsme realizovali průzkum, ze kterého vyplynulo, že dvě třetiny Čechů vůbec nešifrují data na externích discích nebo při internetové komunikaci. A to ani v případech, kdy jde o citlivé firemní informace. Lidé obecně nešifrují ze dvou hlavních důvodů: buď neví, jak se to dělá, nebo jsou přesvědčeni, že to nepotřebují. Jeden z těchto dvou důvodů uvedlo 77 procent z těch, co nešifrují. Šifrování je přitom dnes prakticky nutností. Pokud si s někým elektronicky vyměňujete citlivá data a nemáte je zašifrovaná, riskujete, že vaši komunikaci někdo zachytí a data zneužije.

Pro firmy, které nakládají s osobními údaji klientů nebo zaměstnanců, je šifrování více než vhodné. Podle evropského nařízení o ochraně osobních údajů, GDPR, které platí od letošního května, a které výrazně podpořilo zájem o šifrování, musí firmy hlásit Úřadu na ochranu osobních údajů veškeré případy porušení zabezpečení osobních údajů, které představují riziko pro práva a svobody osob. V případě, kdy jsou uniklá data zašifrována, ohlašovací povinnost nevzniká. Pokuty ukládané Úřadem na ochranu osobních údajů za úniky osobních údajů nemají mít likvidační charakter, ale jistě budou, zejména při opakovaném porušení, citelné. Proto je dobré zbytečně neriskovat. O tom, že jsou pokuty realitou i v českém prostředí svědčí například aktuální postih společnosti Mall.cz.

Kromě útoků na zařízení a infrastrukturu jsou aktuálním nebezpečím i útoky na uživatele metodami sociálního inženýrství? Jaké jsou způsoby obrany v tomto případě? Existují možnosti, jak zapojit technologie?

Možnosti obrany před útokem založeným na technikách sociální inženýrství určitě existují a není jich málo. Jako první netechnické opatření bych zmínil především poučeného uživatele. U opatření technického charakteru se bavíme především o antispamových nástrojích, bezpečnostním softwaru, filtrování přístupu na web, segmentaci sítí, omezení uživatelských práv, atd. Nasazením zmíněných nástrojů a opatření se sice riziko škody 100% neeliminuje, ale dochází k jeho významné minimalizaci.


Úvodní foto: eset.com




Komentáře