Technický ředitel české pobočky společnosti ESET Miroslav Dvořák se domnívá, že díky zkušenosti s karanténou, kterou zapříčinil covid-19, se mnoho firem v oblasti kyberbezpečnosti posune dál.
* Které společnosti z pohledu iT infrastruktury a kyberbezpečnosti nejlépe obstály v takzvané koronakrizi?
velice záleželo a záleží na oboru činnosti organizace, její velikosti, ale také na tom, zda jde o soukromou, či státní organizaci. vyplývá to jak ze zkušeností nabytých v období koronavirové pandemie, tak i z exkluzivního průzkumu, který jsme si na toto téma nechali v květnu zpracovat.
* Kdo tedy obstál?
Nejlépe se s nastalou situací v rovině procesní, technologické i informačně bezpečnostní vypořádaly technologické společnosti, kde se to dalo očekávat. Pak určitě ty s převážně kancelářskou prací, například poradenské, finanční či pojišťovací společnosti.
* Proč zrovna tyto společnosti?
Protože nebyl problém, aby většina zaměstnanců začala pracovat z domova. Ale předně jsou z hlediska digitalizace a kyberbezpečnosti poměrně napřed. Samozřejmě bezproblémově také prošly všechny společnosti, které se otázkám zajištění kontinuity svého podnikání věnují dlouhodobě. díky tomu mohly bez potíží využít svých do zálohy připravených plánů na zajištění provozu v případě neočekávané události. vypracování takzvaných „disaster recovery“ a „business continuity plans“ by mělo být standardem, a to bez ohledu na velikost, zaměření nebo formu vlastnictví firmy.
* Znamená to, že vy jako technologická společnost jste prošli krizí bez problémů?
Ano, ale ne díky tomu, že jsme technologická firma, nýbrž proto, že jsme byli připraveni. Kromě toho, že se samozřejmě snažíme jít příkladem, máme s krizovými scénáři poměrně bohatou zkušenost. Sídlíme totiž v pražských Holešovicích, které zažily v nedávné minulosti hned dvakrát povodňovou vlnu. A proto jsme byli schopni prakticky okamžitě opustit kanceláře a pracovat z domova. To vše právě díky plánu kontinuity podnikání.
* Lze říci, že firmy, které již zažily nějakou katastrofu, jsou na takové situace připravenější?
V podstatě ano. Protože mají vlastní zkušenost, dovedou si poměrně jednoduše spočítat, kolik stojí zajištění kontinuity a jaké jsou denní ztráty, když firma nefunguje. No a koronavirus tuto zkušenost předal všem.
* S jakými problémy či výzvami se organizace a zaměstnanci potýkali, když najednou téměř všichni z firmy pracovali z domova?
Při práci z domova potřebujete zaměstnancům zpřístupnit vnitrofiremní informační systémy, ve kterých běžně pracují, stejně jako jim umožnit vzájemnou spolupráci a komunikaci. A právě tyto oblasti se staly akutní potřebou a výzvou pro společnosti, kde nebyla do příchodu karantény práce z domova možná. IT oddělení firem byla ze dne na den postavena před problém, jak to celé v co nejkratším čase zařídit. Někteří si bohužel vybrali rychlá a snadná řešení, která ovšem vystavila jejich IT infrastrukturu, zaměstnance a i jejich zákazníky vysokému riziku. Otevřeli pro kyberzločince tisíce dveří.
* Které kampaně se během nouzového stavu nejvíce objevovaly?
Během tohoto období naše detekční systémy zaznamenávaly především phishingové kampaně zaměřené na získání citlivých údajů, ale také podvody spojené s podvrženými odesílateli e-mailů, obsahující povely k příkazům k úhradě. Stranou útočníků nezůstaly ani nástroje, které firmy začaly masivně používat pro vzájemnou komunikaci. Myslím tím například videokonferenční platformy nebo VPN řešení.
* Můžete být konkrétnější?
Podle údajů z našeho průzkumu, který jsem zmiňoval v úvodu, neposkytl zaměstnavatel potřebnou techniku a ani informace ke způsobu práce z domova celým 23 procentům zaměstnanců, což považujeme za alarmující zjištění. Takže například zaměstnanec používá zařízení, které není firemní, a tak nad ním nemá firemní IT specialista kontrolu. Zaměstnanec přitom bude mít přístup k firemním datům, serverům, komunikačním kanálům a dalším. To je noční můra každého IT „bezpečáka“.
* Jaká jsou rizika?
Na tom zařízení může sedět cokoli. Může tam být keylogger, což je software, který si hlídá a zaznamenává, co uživatel píše na klávesnici. Takže například v momentě, kdy se dotyčný přihlásí do interního systému, útočník přesně ví, jaké je uživatelské jméno a heslo. V případě, že není vstup do informačního systému či vPN ošetřen druhým faktorem ověření, má útočník do firmy otevřené dveře.
* Zmiňoval jste i phishingové kampaně, můžete konkrétněji vysvětlit, jak takový útok probíhá?
Zkusím zjednodušeně popsat variantu cíleného útoku, která je pro společnost, jež je jeho cílem, výrazně nebezpečnější. cílený phishingový útok totiž znamená, že se na něj útočníci důkladně připravují, a proto je mnohem složitější výsledný podvodný e-mail nebo jejich sadu odlišit od legitimní firemní korespondence. Součástí přípravy je především zjištění všech potřebných informací o cílové společnosti, jména a kontakty na důležité lidi, jejich funkce, organizační schéma, ale také třeba grafickou podobu firemní e-mailové komunikace a tak dále. všechny tyto získané poznatky jsou útočníci poté schopni zakomponovat do e-mailu, který díky nim vypadá naprosto věrohodně. viděl jsem například i případ, kdy útočníci znali dokonce termín, kdy určitý člověk cestuje na služební cestu, a byli tak schopni poslat jeho jménem zprávu finančnímu oddělení k uhrazení nenadálého výdaje souvisejícího se služební cestou. cílový účet platby samozřejmě patřil útočníkům.
* Mluvil jste o tisících otevřených dveří pro kyberzločince. využili toho? Bylo více napadení než před koronavirem?
* To bohužel není snadné zjistit. v našich systémech vidíme pouze část této tajenky, kterou představují detekce zločinci používaného malware. Její větší část zůstává skryta. například proto, že informace o kompromitaci společnosti není zrovna typem informace, se kterou by se chtěl někdo veřejně chlubit, pokud to není vyloženě nutné. Z pohledu detekcí se za poslední tři měsíce početně výrazně nic nezměnilo. Pouze se přeskupilo pořadí nejvíce detekovaných hrozeb.
* Znamená to tedy, že útočníci tuto možnost nevyužili v plném rozsahu?
Jak jsem řekl, mnoho dveří je stále otevřených a je jen otázkou času, pokud to firmy nenapraví, kdy se k nim nějaký útočník pokusí dostat. Zároveň je spousta napadení, která jsou zatím latentní, útočníci sbírají data a čekají na svou příležitost.
* Není tedy důvod být v klidu.
Není. Mimochodem v šedé zóně internetu se dnes zcela běžně obchoduje s daty, které nabízí jedna část útočníků ostatním a umožnuje jim napadení konkrétní zranitelné instituce či společnosti. v aukčním portálu si můžete vybírat podle země, typu zranitelnosti, operačního systému zranitelného serveru a samozřejmě i ceny. Česká republika patří k nejdražším zemím, kde se cena za informace obsahující IP adresu zranitelného serveru plus jméno a heslo jeho administrátora pohybuje kolem 25 dolarů. tato cena reflektuje především ekonomickou sílu a bohatství dané země. Stejné informace pro server z rozvojové země lze pořídit za méně než polovinu.
* To jsou hackeři, kteří jen mapují v dané zemi možnosti napadení pouze na kšeft?
Ano. je to celkem nové, dřív si kyberzločinecké skupiny dělaly práci od a do Z samy. Dnes se některé skupiny zaměřují jen na to, že zjišťují informace o zranitelných subjektech, které dále prodávají. Mnohdy k jejich zjištění ani nepotřebují na firmy útočit. Stále častěji totiž využívají otevřené zdroje dostupné na internetu pomocí techniky zvané OSINT.
* Z hlediska vašeho byznysu vás inspirovala situace k nějakému novému bezpečnostnímu produktu?
K softwarovému produktu přímo ne, ale vytvořili jsme v tomto období velké množství vzdělávacích materiálů, které reagovaly na aktuální výzvy, jako byla práce z domova a podobně.
* Myslíte si, že se firmy poučily z krize? Že po stránce iT vybavení, procesů a kyberbezpečnosti bude případná nová krize bez větších komplikací?
Jsem v tomto ohledu pragmatik, a tak si dovedu spíše představit scénář, kde ti, kteří problematiku zajištění kontinuity podnikání berou vážně a ochrana proti kybernetickým hrozbám je jednou z jejích součástí, budou připraveni příště ještě lépe.
* A ti ostatní?
Pak tu bude skupina společností, které nebyly ve zvládnutí situace premianty, ale pandemie je přiměla k přehodnocení přístupu a začnou se seriózně zabývat nápravou stavu. Částečně už tento posun vidíme u prodeje některých našich specializovaných bezpečnostních řešení, jako jsou produkty pro dvoufaktorovou autentizaci či pokročilou detekci hrozeb.
* Aspoň trochu dobrá zpráva.
Ano, nicméně tu máme poslední zbývající skupinu společností, které nebudou nejspíše reagovat vůbec. Buď proto, že vědomě akceptují související rizika, nebo že je jim to jedno.
O autorovi| vlastimil Poliačik, poliacik@mf.cz
