To, že samy pojišťovny tlačí firmy k tomu, aby útočníkům zaplatily, zní neuvěřitelně. Proč to dělají?
Je to pro ně výhodnější, než vyplácet postiženým firmám náklady na obnovu dat ze záloh a škodu způsobenou odstávkou systémů. Na druhé straně to má ten efekt, že hackerům roste chuť a s ní výše požadovaného výkupného. Dříve chtěli tisíce, dnes už jde často o více než sto tisíc korun, ve Spojených státech i statisíce dolarů.
Nejen banky: hackeři se soustředí i na malé firmy
Firmy, které se stanou terčem ransomware útoků, nemají na výběr?
Buď můžete zaplatit výkupné, nebo data obnovit ze záloh. Podniky, které hackeři napadli, většinou nemají dobře ochráněné firemní IT, mají špatně vyřešené zálohování a přijdou o data včetně záloh. Navíc často nemají s obnovou dat zkušenosti, a když přijde na věc, tápou, trvá to dlouho a občas zjistí, že jim něco v zálohách chybí. Kdežto program na dešifrování dat, který jim poskytnou vyděrači po zaplacení, funguje okamžitě. Pojištěné firmě by pojišťovna měla uhradit veškeré škody. A je jen logické, že raději než náklady na obnovu dat či systémů, uhradí o řád nižší výkupné.
Jak zástupci firem poznají, že jde o skutečně vážnou hrozbu?
Řekněme, že jeden a tentýž program zašifruje data a zároveň pošle postižené firmě ransomware note, tedy zprávu, ve které se dočtete, na koho se obrátit a kolik zaplatit. Aby jim zástupci firem uvěřili, útočníci jim sdělí: vyberte si jeden soubor, který chcete dešifrovat, my to zdarma uděláme. Když firma zaplatí, dostane k dispozici nástroj, pomocí kterého problém vyřeší. Nikdo jiný, než útočníci ten nástroj na dešifrování zašifrovaných dat nemá - ani policie, ani tajné služby. Útočníci bývají o krok napřed. Jsou to desítky firem, které se na nás obrátily poté, co takto přišly o data.
Ilegální software? Firmy se nebojí policie, ale Microsoftu
Takže firmy nejsou bezbranné. Jde jen o to, aby kladly důraz na vlastní IT bezpečnost?
Pokud máte dobře vyřešenou ochranu, můžete se podobným útokům vyhnout. Našim stávajícím zákazníkům se nestávají. A někdy máte prostě jenom štěstí. Známe případ firmy, kterou hackeři napadli, prolomili její bezpečnost, ale program na šifrování dat spustili špatně a útok se nepovedl. Je to asi stejné, jako kdyby na dům spadla bomba, ale nevybuchla. Ještě bych doplnil, že většina útoků pochází ze zahraničí a firmy jsou často vybírány náhodně, aniž by o nich útočníci cokoli věděli.
Mluvil jste o bezmocnosti policie. Takže podnikatelům v boji s hackery nepomůže? Nedá se například vypátrat, kam plynou peníze z výkupného?
Útočníci samozřejmě nejsou naivní - nenechávají si výkupné posílat na bankovní účty ani si osobně nepřijdou pro kufřík s penězi. Zmíněné vydírání začalo být populární s rozvojem kryptoměn. Pokud platíte v kryptoměnách, příjemce nemůžete nikdy vystopovat ani stopnout platbu. Také se stává, že vám místo útoku na data nainstalují do systému software, jenž kryptoměny těží. Takže spotřebovávají vaši elektřinu a využívají váš výkon, aby natěžili kryptoměny pro sebe. Často se jim to vyplácí víc - záleží na aktuální ceně kryptoměn. Že nemáte přístup k datům, zjistíte okamžitě, ale když se vám zpomalí server, může trvat velmi dlouho, než to objevíte.
Existují statistická čísla, kolik firem se nechá připravit o data a kolik naopak zaplatí výkupné? Mám pocit, že se o problému v Česku moc nepíše. Podniky to tají?
Takové statistiky neznám. Ne všechny firmy samozřejmě výkupné zaplatí. Některé společnosti data obnoví ze záloh, pro jiné není ztráta dat takový problém. Odhaduji, že v České republice může jít o tisíce firem, které se s podobnými případy setkaly. Jen na nás se obrátí přes deset firem ročně. Podniky to samozřejmě nechtějí zveřejňovat, protože to nepůsobí dobře a poškozuje to jejich renomé, takže si to řeší interně. Ne vždy také můžete výkupné zaplatit, protože se občas nepodaří s útočníky spojit.
Máte zkušenost s hackerským útokem?
Dá se obecně říct, jak nastavit a ochránit firemní IT, aby fungovalo spolehlivě a bylo zabezpečeno proti hacknutí či ztrátě dat?
Na řešení bezpečnosti není žádná kouzelná formulka. Nejde o to, že si pořídíte jednu věc, která se nějak nastaví, a bude vše v pořádku. Ti, co nabízejí nějaký produkt, se snaží zákazníkům namluvit, že jedna krabička vše vyřeší, ale tak to samozřejmě není. Manažeři se zeptají ve svém IT oddělení: Máme antivirus? Máme firewall? Zálohujeme? Pokud je na všechno odpověď ano, nabydou dojmu, že jsou proti kyberútokům ochráněni. To ale zdaleka nestačí. Nastavení bezpečnosti je komplexní záležitost.
Je klíčové zálohování dat?
Obecně se dá říct, že je důležitá prevence, zálohování dat i aktivní ochrana proti kyberútokům. Některé firmy tvrdí, že zálohují, ale v podstatě jen vykopírují data ze svého počítače na druhý disk. V případě, že dojde k nějaké havárii, musejí si opět všechno nainstalovat, nahrát všechny programy, aby s nimi mohly pracovat. Vrátí to do původního stavu, ale nepoznají, v čem byl problém. Ještě hůře jsou na tom firmy, které mají zastaralé informační systémy. Málokdo ví, jak fungují. Nemají k dispozici žádné instalační soubory, nikdo to ale neřeší. V momentě, kdy to havaruje, musejí si zavolat na pomoc experty. Takže místo toho, aby firma problém vyřešila za dvě hodiny vlastními silami, řeší to týden a stojí to více peněz.
Většina českých podniků tedy nemá zabezpečení dostatečné?
Je to tak, i když pozorujeme postupné zlepšování. Zabezpečení serverů a sítí bylo před deseti lety na mnohem nižší úrovni. Na druhé straně jsou nástroje, které používají útočníci, sofistikovanější a jednodušší na používání, takže obtížnost nějakou firmu hacknout zůstala stejná. V mnoha českých firmách je nicméně počítačová gramotnost stále na nízké úrovni. Nedávno se nám ozvala firma, která přišla o data hned třikrát, a předminulý společnost, jež je ztratila poprvé, ale kompletně i se zálohami. Laika by napadlo, že IT správci jsou hloupí, když si to správně nenastaví, jenže oni často nevědí, co útočník dokáže, a když to zjistí, už je pozdě.
Přečtěte si také:
Ruské aplikace jsou v hledáčku FBI, představují bezpečnostní hrozbu
Doporučoval byste firmám najmout si externího experta, případně si nechat udělat digitální audit?
Každý podnik, který nemá jistotu, by to měl s externí kontrolou zkusit. Jen by bylo dobré, aby ti, kteří to budou kontrolovat, nebyli ve střetu zájmů. Například firma, co dělá IT outsourcing, může neprávem pošpinit někoho z vašeho IT oddělení, aby u vás získala zakázku na správu IT. Ideální je nezávislý poradce zvenčí, nezainteresovaný na žádné konkrétní zakázce v kontrolované firmě.
S kybernetickou bezpečností se potýkají zejména menší podniky. Je to tak?
Větší firmy mívají dostatečný budget a vlastní specialisty. Čím menší společnost, tím méně má prostředků a tím je to pro ni komplikovanější. Taková firma by měla vycházet z toho, co ji nejvíce ohrožuje, když se něco pokazí, a určit si priority. A to je samozřejmě individuální. Některé firmě nevadí, když jí tři dny nebudou fungovat počítače, jiná ví, že dvě hodiny nefunkčních počítačů nebo internetu pro ni budou znamenat obrovské peníze na smluvních pokutách. Pro některou firmu je zase klíčové, aby se jí ani na okamžik nezastavila výroba. Někomu vadí, že o data přijde úplně, jiný zase nesmí dopustit, aby mu unikla citlivá data a stala se veřejně dostupnými. To, co je pro společnost klíčové, by měla chránit primárně.
Čtěte dále:
Vaše zestárlá tvář. Mýty a fakta o fenoménu jménem FaceApp
11 věcí, které si budete chtít vymazat z Facebooku
FBI školí akademiky: obává se čínské špionáže