Kybernetická bezpečnost od A po Z – jak předejdete ztrátě dat

Kyberbezpečnost, kybernetická bezpečnost, počítačová bezpečnost nebo někdy IT bezpečnost, resp. bezpečnost informačních technologií – všechny tyto pojmy jsou synonyma pro problematiku, která se zabývá ochranou počítačových systémů před kybernetickými útoky, neoprávněnými přístupy do systémů, odcizením nebo poškozením dat i hardwaru, narušením poskytovaných služeb a dalšími aspekty kybernetické kriminality.

→ Tip: Věděli jste, že až 25 % zaměstnanců ohrožuje vaše firemní data?

Úvod do kybernetické bezpečnosti – o co jde?

Základní definici kyberbezpečnosti jsme vysvětlili v odstavci výše, zjednodušeně můžeme i konstatovat, že jde o komplexní počítačovou ochranu, která se realizuje v následujících oblastech:

• Prevence – předcházení hrozbám, útokům a rizikům a ochrana před nimi.
• Detekce – odhalování potenciálních i akutních hrozeb a činností i zranitelností v systémech.
• Fixace – oprava zranitelností a odstranění slabých míst a rizik v systémech.

Konkrétně se může jednat o následující činnosti:

• Zajišťování autorizace, autentizace a integrity údajů, např. využitím prvků biometrické autentizace, kryptografie a šifrování dat či hardwarových přístupových klíčů
• Zajišťování bezpečnosti operačních systémů a využití jejich mechanismů vynucujících bezpečné chování instalovaného softwaru včetně omezení tohoto softwaru na nezbytně nutné množství aplikací splňující bezpečností požadavky.
• Sledování záznamů včetně verzování a logování a shromažďování dalších údajů pro plánování reakcí na bezpečnostní incidenty pro zamezení úniku dat nebo zamezení kybernetických útoků.
• Ochrana před krádeží identity nebo dalších údajů prostředky fyzické ochrany hardwaru, např. zamezením přístupu neoprávněných osob.

→ Tip: Zjistěte, jak se chránit na všech frontách kybernetické války.

Pokud využíváte ve vaší společnosti vlastní interní IT oddělení, možná máte pocit, že vše výše uvedené je čistě v jejich zodpovědnosti. Není to tak ale docela pravda, jak si ostatně vysvětlíme dále.

Není ajťák jako ajťák – síťaři a admini nejsou (většinou) bezpečnostními experty

Dávno nežijeme v dobách, kdy na celou firmu stačil jeden pohublý dredatý správce sítě s tlustými kulatými brýlemi a tričkem s logem Linuxu, který na kterýkoliv požadavek podpory reagoval hláškou „…a zkusili jste to vypnout a zapnout…?“. Zejména ve větších společnostech se kompetence jednotlivých členů IT týmů obvykle liší: od podpory přes administrátory jednotlivých systémů až po síťaře a hardwarovou sekci. Jenže nic z toho se přímo netýká informační a kybernetické bezpečnosti.

Skutečný expert na kyberbezpečnost (ne tedy „čaroděj druhé kategorie“ jako běžný ajťák manažersky transformovaný na „bezpečáka“) by měl splňovat většinu následujících požadavků a dispozic:

• Schopnost analytického a preemptivního způsobu uvažování, rozvaha a emoční stabilita.
• Dokonalá znalost dané IT infrastruktury, počítačové sítě a její konfigurace.
• Perfektní znalosti správy softwarových i hardwarových bezpečnostních systémů (DLP systémy, firewally a routery, antiviry atp.).
• Přehled v zabezpečení všech používaných platforem.
• Orientace v kybernetické kriminalistice, forenzní analýze, v problematice bezpečnostních auditů či penetračních testů.
• …a ideálně i praxe v oboru.

Rozumíme, že toho není málo. Expertů na kybernetickou bezpečnost bohužel málo je. Není zapotřebí jen vzdělání a praxe, ale i dedukční schopnosti a ochota se neustále vzdělávat a zajímat se o novinky v oboru – v IT přitom platí, že co bylo aktuální včera, je dnes pasé jako klobouky. Kde takového člověka sehnat a přitom se nenechat obalamutit rychlokvaškami kurzů, kde vystavují tzv. „bezpečnostní certifikáty“ za docházku?

Národní úřad pro informační a kybernetickou bezpečnost (NÚKIB) uvádí, že nejčastějším způsobem je outsourcing, tedy zajištění pracovníků externí společností. Takové řešení je flexibilní, obvykle i spolehlivé a nákladově nejvýhodnější (přinejmenším oproti zaškolování vlastních ajťáků na potřebnou úroveň). Rozhodně ale vybírejte pečlivě a důkladně prověřujte reference. Externí společnost musí zohlednit vaše specifické potřeby a aktuální stav včetně všech případných nedostatků a zranitelností.

→ Tip: Mohla by vás zajímat naše služba Manažer kybernetické bezpečnosti.

Co vám hrozí – ztráta dat, DDoS útoky, napadení ransomwarem, sociální inženýrství

Vysvětlili jsme si, co je vlastně kybernetická bezpečnost a kdo by ji měl zajišťovat. Co vám ale reálně hrozí? Zcela upřímně můžeme konstatovat, že největším kybernetickým nepřítelem je představa „nám se přece nemůže nic stát… určitě máme nějaký antivirus nebo něco… a určitě funguje nějaké obnovení dat…“. Něco podobného si mysleli ještě loni na Ředitelství silnic a dálnic (ŘSD). Po útoku ransomwaru v květnu 2022 došlo v ŘSD ke ztrátě dat v řádech desítek gigabytů. Obnovení smazaných dat vyšlo ŘSD na desítky milionů Kč, nehledě na další náklady spojené s ochromením celé organizace a ztrátu (už tak nepříliš valné) pověsti.

Nebo pro zajímavost ještě jedno číslo: podle operátora O2 došlo jen v jejich IT infrastruktuře k více než 100 milionům bezpečnostních incidentů. Jaké podoby mohou tyto incidenty nabývat?

Phishing

Podivné slovo „phishing“ vzniklo kombinací anglického „fishing“ (rybaření) a jména zločinecké skupiny „phreaks“, která se v devadesátých letech minulého století dopouštěla hackerských útoků na telekomunikační systémy. V případě phishingu tedy jde o ilegální „rybaření“ osobních nebo přihlašovacích údajů (v krajním případě o krádež identity) metodami tzv. sociálního inženýrství. Tyto odcizené údaje pak slouží kybernetickým útočníkům k napadení sítí, systémů, získání finančních prostředků skrze online bankovnictví nebo k prodeji (zejména v případě získání celých zákaznických databází apod.).

Tento typ útoku je velice rozšířený, představuje asi třetinu z celkového počtu bezpečnostních incidentů – je totiž snadno a přesně cílený a dostupný. Jak takový phishing poznáte? Útočníci rozesílají e-maily (SMS či jiný typ zpráv), ve kterých se vydávají za nějakou instituci (banky, e-shopy, obchodní partneři, nebo dokonce i policie), popř. konkrétní důvěryhodnou osobu a většinou zasílají žádosti „ověření účtů“, „potvrzení informací“ apod. Mějte na paměti, že skutečné instituce a jejich zástupci po vás nikdy nechtějí a nebudou chtít hesla či přístupové údaje nebo údaje o vašich účtech. Nikdy tedy neklikejte na žádné odkazy nebo tlačítka v podobných e-mailech a v případě pochyb raději kontaktujte svoji banku (či jinou instituci) pomocí zákaznické podpory, kde ověřte autenticitu zaslaného e-mailu.

Několik typů phishingových útoků, se kterými se můžete setkat:

• Social media phishing – obvykle je rozesílaný pomocí komunikátorů jednotlivých sociálních sítí s cílem impaktu na co největší možný počet uživatelů.
• Microsoft 365 phishing je cílená metoda, která se zaměřuje na uživatele cloudových služeb Microsoft 365. Útočníci se vydávají za Microsoft a varují před údajným napadením účtu jiným uživatelem případně nabádají ke změně přihlašovacích údajů z jiných důvodů s tím, že odkaz v e-mailu vede na falešné stránky sloužící k zachycení údajů.
• Whaling je velmi nebezpečný útok na „velkou rybu“, obvykle se jedná o vysoce postavené manažery. Cíl je dlouho dobře profilován pomocí sociálního inženýrství s úmyslem odcizit citlivá firemní data.
• Vishing znamená „voice phishing“ a provádí se prostřednictvím telefonních hovorů. Volající se vydávají za pracovníky podpory či zástupce veřejných institucí. Na podzim roku 2022 varoval NÚKIB před rozsáhlou vishingovou kampaní mířenou na zdravotnická zařízení, kdy se volající vydávali za kontrolory Úřadu pro ochranu osobních údajů, kteří měli provádět údajný audit GDPR.
• USB dropping – nastražený USB flashdisk (nebo jiné paměťové médium), který obsahuje malware, popř. speciálně upravený firmware.
• Spear phishing – nejrozšířenější typ zaměřený na jednotlivce obvykle z firemního prostředí.

→ Tip: Mohly by vás zajímat další detaily o největší hrozbě pro české firmy, spear phishingu.

Phishingu může ve spěchu podlehnout i zkušený ajťák – pracuje se často s emocemi, důvěrou a psychologickým nátlakem. Zapotřebí je tedy zvýšená pozornost a obezřetnost, a především důsledné proškolování základů kybernetické bezpečnosti všech zaměstnanců.

Naprostým základem by mělo být dodržování následujících zásad:

• Nikdy neotevírejte podezřelé e-maily a už vůbec vložené přílohy či odkazy.
• Používejte pouze silná hesla nebo biometrické ověřování a pokud možno i dvoufázovou autentifikaci.
• Nikdy nepoužívejte anonymní nebo nezaheslovaná cloudová úložiště a neznámá USB zařízení (jako flashdisky, telefony apod.).
• Používejte bezpečnostní software jako např. antivirus s antispamovým a antiphishingovým fitrem.

→ Tip: Prověřte, kde máte slabá místa v kybernetické bezpečnosti pomocí phishingových testů.

Ransomware

Phishingový útok představuje pouze jakousi přípravu pro „těžkou váhu“ v podobě ransomwaru. Podobně jako u phisingu je i tento výraz složeninou: anglického „ransom“ (výkupné) a software. Jde o druh malwaru, který nepoužívá metody sociálního inženýrství, ale techniku tzv. kryptovirologie – asymetrické šifrování dat.

Jak to funguje? Ransomware skrytě zablokuje celý systém nebo zařízení či zašifruje data uložená na disku. Abyste předešli ztrátě dat, musíte útočníkům zaplatit „výpalné“. To ale rozhodně nedělejte! Kybernetičtí zločinci se obvykle vůbec neozvou nebo nedojde k obnovení dat na disku ani po zaplacení. Ani tak ale nebudete mít jistotu, že nedojde k prodeji vašich dat – resp. je to velice pravděpodobné, zvláště jde-li o citlivá data, jako jsou osobní údaje nebo firemní know-how.

Ochranou vůči ransomwaru je okamžité vypnutí počítače (proces šifrování uložených dat může trvat desítky minut, i několik hodin) po obdržení vyděračské zprávy a neprodlené kontaktování service desku.

→ Tip: Mohly by vás zajímat informace o nové vlně ransomwaru.

DDoS útoky

Zkratka DDoS znamená „Distributed Denial-of-Service“, tedy distribuovaný útok typu odepření služeb. Jedná se o hackerský útok, která má omezit, nebo dokonce vyřadit provoz serveru (služby, sítě) zahlcením síťové infrastruktury obrovským množstvím nesmyslných požadavků.

DDoS útoky se provádějí pomocí sítí (tzv. botnetů), které se skládají z počítačů infikovaných malwarem (botů) umožňujícím jejich vzdálené ovládání útočníky. Když se botnet zaměří na server oběti, každý bot odešle požadavky na IP adresu cíle. To způsobí zahlcení serveru, čímž dojde k odmítnutí služby běžnému provozu. Problém je, že každý bot je zdánlivě legitimní síťové zařízení, takže je obtížné rozlišit DDoS útok od běžného provozu.

V tom tkví právě ona zákeřnost DDoS útoků – na rozdíl od phishingu a ransomwaru jim nelze účinně předcházet. Jedinou smysluplnou ochranou může být důsledný IT monitoring. Pokud svěříte monitorování vašeho síťového provozu specialistům provádějícím odborný dohled 24/7, mohou včas zaregistrovat anomálie, k čemuž využívají specializované heuristické nástroje. Ty rovněž umožňují zastavení nebo výrazné zpomalení zahlcujících požadavků vysílaných botnetem.

Na tomto místě se rádi pochlubíme skutečností, že v datovém centru Algotechu nikdy nedošlo k výraznějšímu bezpečnostnímu incidentu včetně DDoS útoků, které jsme dokázali detekovat a odříznout už při prvních známkách anomálií v běžném síťovém provozu.

→ Tip: Zjistěte více o neprostupné ochraně našeho datového centra.

Internet je džungle – nebuďte snadnou kořistí!

Výše jsme popsali několik základních útoků a typů narušení kybernetické bezpečnosti. Ve skutečnosti ale existuje mnohem širší škála malwaru a hackerských útoků: od virů, trojských koňů přes middle-man útoky a DNS tunneling až po intenzivní metody jako brute force či SQL injektáže. Jejich popisy zdaleka přesahují kapacity tohoto textu, vydaly by na samostatnou knihu. Nevěšte hlavu, sepsali jsme ji pro vás!

→ Tip: Stáhněte si zdarma e-book našich bezpečnostních odborníků Firemní kybernetická bezpečnost.

S kybernetickými útoky se setkalo přes 64 % všech společností. Bylo by bláhové je podceňovat a rozhodně byste se měli vydat cestou předběžné opatrnosti a prevence. Tady je ukázka několika bezpečnostních zásad, kterými byste se měli důsledně řídit:

• Účastněte se pravidelně školení kybernetické bezpečnosti.
• Zabezpečte svůj mobilní telefon, zvlášť, pokud na něm máte přístup k firemním datům.
• Dodržujte firemní bezpečnostní politiky.
• Neukládejte na anonymní cloudová úložiště citlivá firemní data.
• Nepoužívejte neznámé USB disky.
• Nikdy neotevírejte podezřelé e-maily, odkazy v nich a už vůbec ne přílohy.
• Neodkládejte aktualizace operačního systému a už vůbec ne bezpečnostních aplikací.
• I při krátkém vzdálení se ze svého pracoviště důsledně uzamykejte nebo vypínejte svůj počítač.
• Používejte silná a dlouhá hesla nejlépe v kombinaci s biometrickým přihlašováním a vícefaktorovým ověřováním.
• Nestahujte neznámé soubory a dokumenty z internetu.

Ani to však bohužel není zárukou stoprocentního zajištění kybernetické bezpečnosti. I dobře proškolený a zkušený uživatel se může dopustit chyby, bezpečnostní experty nevynechávaje (o to závažnější důsledky pak může takové pochybení mít).

Na druhou stranu máte k dispozici hned pár pomocných rukou – softwarové prostředky kybernetické bezpečnosti (antiviry, firewally ad.) a naše bezpečnostní experty pracující v režimu 24/7. Zajistíme vám nepřetržitý IT monitoring abyste se nestali terčem DDoS útoků, proškolíme vaše zaměstnance a otestujeme jejich odolnost vůči phishingu, prověříme vaše zabezpečení penetračními testy, odhalíme vaše slabá místa hloubkovým bezpečnostním auditem a navrhneme účinná opatření.

Ozvěte se nám, společně vyladíme kyberbezpečnost ve vaší firmě tak, abyste starosti s IT mohli s lehkým svědomím už konečně hodit za hlavu.