Martin Lohnert bol hosťom Okrúhleho stola ChannelWorld, kde sa riešili otázky kybernetickej bezpečnosti z pohľadu partnerov, distribútorov a vendorov. Taktiež sa diskutovalo o aktuálnom dianí v oblasti hrozieb, prístupu zákazníkov , potenciálu nových obchodných modelov aj o odkaze pandémie.
“V oblasti bezpečnosti hrá bohužiaľ zásadnú úlohu stále rovnaký trend – je dlhodobo podceňovaná a zanedbávaná,” hovorí Martin Lohnert, riaditeľ bezpečnostného operačného centra Void SOC spoločnosti Soitron. “U príliš mnoho organizácií, s ktorými sme sa stretli, bolo zabezpečenie v zlom stave a nemalo dostatočnú prioritu. Na druhú stranu, počas posledného roka sa všeobecný prístup k security začal mierne zlepšovať. Firmy veľmi rýchlo prešli do online sveta, čo sa nezaobišlo bez incidentov. Prinajmenšom, niektorým zákazníkom to otvorilo oči a začali vnímať security ako dôležitú tému. “
Nie je novinkou, že hackeri túto pandémiu koronavírusu využívajú viacerými spôsobmi po celom svete. V súčasnej dobe je v ich hľadáčiku veľmi náročná logistická operácia očkovania. Zameriavajú sa na celý dodávateľský reťazec vakcín, ktorý zahŕňa farmaceutické spoločnosti podieľajúce sa na vývoji očkovaní proti covid-19. Motivácia pre takéto útoky môže podľa odborníkov siahať až do oblasti štátom sponzorovaných hackerov alebo veľmi vyspelej a agresívnej hospodárske špionáže.
“S postupným nábehom na očkovanie budú hackeri počas roka 2021 ešte agresívnejší. Nielen firmy, ale aj jednotlivci by si tak mali dať pozor na to, čo sa im objaví v ich e-maili. Rovnako tak, ako pred pár mesiacmi, kedy používateľom prichádzali podvodné SMS ohľadom testov na covid-19,” dodáva bezpečnostný expert David Dvořák zo spoločnosti Soitron a pokračuje: “Dá sa očakávať aj masívna dezinformačná kampaň, ak pripustíme, že za hackermi je záujem z naozaj vysokých miest.”
Hackeri ale neútočia len na farmaceutický priemysel. Používajú aj rôzne nátlakové atribúty na jednotlivca z rôznych firiem. Ak sa hackerovi podarí husársky kúsok, že napríklad hackne jednotlivca, ktorý nedodržiava bezpečnostné štandardy – jednoduché heslo na pracovnom e-maily atď. – je to pre zločincov celkom veľké sústo.
“Dôležitá je preto aj individuálna zodpovednosť zamestnancov, nie len tá firemná,” pripomína David Dvořák.
Podvodné metódy e-mailovej komunikácie zahŕňajú:
• Predstieranie identity klientov (najmä tých farmaceutických).
• Vydávanie sa za legitímne zdravotnícke organizácie.
• Prílohy obsahujúce informácie o “bezpečnostných opatreniach”.
• E-maily označené “URGENT”, “DÔLEŽITÉ”. Obvykle sú písané veľkými písmenami, ktoré sa vás snažia vyprovokovať k rýchlej a bezmyšlienkové reakciu.
• E-mail s odkazom na registráciu k očkovanie.
“Myslite na zlaté pravidlo pri phishingu – odosielateľovi e-mailu neverte a zásadne nepristupujte na aktivity, ku ktorým vás vyzýva. Obsah a kontext takého podozrivého e-mailu overte prostredníctvom nezávislého zdroja (telefonický hovor na vami známe číslo). Prípadne napíšte čistý mail,”
podotýka bezpečnostný expert Soitronu David Dvořák.
Nepreposielajte ho s predošlou históriou. Pošlite ho na overenú e-mailovú adresu danej inštitúcie. Kontakt vyhľadajte na oficiálnych webových stránkach spoločnosti. Lepšie je ešte pred odoslaním zavolať na kontaktné číslo spoločnosti, či sa skutočne jedná o dôveryhodnú adresu.
Na aké varovné signály si dať pozor?
Než používateľ klikne na odkazy alebo otvorí prílohy, musí byť ostražitý. A to ako pri manipulácii so súkromnými e-mailami, tak najmä so svojim firemným účtom. Pri overovaní sa nikdy nespoliehajte iba na e-mail, pretože možno komunikujete
s útočníkom, nie so skutočným odosielateľom. Problémom je, že telefónne číslo nájdete v takej komunikácii minimálne. “Fake e-maily už sú dnes na vysokej úrovni. Pomáhajú ich vytvárať ľudia, z jednotlivých krajín, aby bol jazyk čo najviac autentický. Preto je lepšie takéto e-maily vôbec neotvárať a vykonať nezávislé overenie pôvodcu správy. Autorizovať ho podľa už vyššie popísaného postupu,” odporúča David Dvořák.
Samozrejme, spomínaný Smishing, Vishing a klonovanie SIM kariet nie sú útoky len na váš internet banking a osobné financie, ale cieľom môže byť získanie prístupu k peniazom či iným cennostiam firmy, v ktorej pracujete. V korporátnej sfére fungujú aj ďalšie metódy. V roku 2020 sa objavovali častejšie, boli sofistikovanejšie a lepšie cielené. Pozrime sa opäť na tri najčastejšie využívané.
FALOŠNÝ RIADITEĽ
Falošný riaditeľ je názov podvodu, kde sa útočník vydáva za generálneho riaditeľa s cieľom presvedčiť zodpovedné osoby, aby pod časovým tlakom zrealizovali bankový prevod na ním poskytnutý účet. Pre zvýšenie dôveryhodnosti využívajú zločinci rôzne techniky – detailne poznajú, kde a kedy sa skutočný riaditeľ vyskytuje. Útok tak zrealizujú v čase, kedy sa s ním nie je možné spojiť a informácie overiť (napr. keď je na konferencii). Aj keď podvod prebieha väčšinou prostredníctvom e-mailov, je známy aj prípad, kedy útočníci cez telefón použili pomocou umelej inteligencie vytvorený hlas, ktorý zamestnanci nedokázali rozoznať od hlasu skutočného riaditeľa. Firma vo Veľkej Británii prostredníctvom troch telefonátov prišla o €220.000.
FALOŠNÉ FAKTÚRY
Falošné faktúry sú známym a stále častejšie sa objavujúcim podvodom. Aj v tomto prípade je potrebné presvedčiť firmu či organizáciu, aby zrealizovala prevod na podvrhnutý účetpomocou falošných, ale dôveryhodne pôsobiacich, faktúr. V sofistikovanejších prípadoch si útočníci prostredie pred útokom dobre zmapujú, spoznajú ako funguje schvaľovanie platieb, s kým spoločnosť obchoduje, prípadne sa nabúrajú priamo do firemnej elektronickej pošty. Následne pošlú na schválenie faktúry od skutočných dodávateľov za naozaj dodané služby či tovar, ale so zmeneným číslom bankového účtu. Prípadne dodajú aj oficiálne vyzerajúci oznam o zmene platobných údajov.
Krádeže platobných údajov sa najčastejšie týkajú čísel kreditných kariet. Tradične sú realizované cez rôzne zariadenia, ktoré zločinci inštalujú k bankomatom či POS terminálom a prečítajú nimi potrebné údaje z kariet použitých v blízkosti. Novšou, a rastúcou, metódou sú „digitálne“ krádeže platobných údajov, t.j. bez toho, aby karta musela byť fyzicky prítomná. Cieľom sú organizácie prevádzkujúce e-shopy alebo inak prijímajúce platby online. Útočníci v nich infiltrujú webstránky pokladne a platobnej brány, kde (väčšinou prostredníctvom JavaScript kódu) monitorujú dáta o prebiehajúcich platbách. Tie odchytávajú, zaznamenávajú a predávajú na čiernom trhu, prípadne používajú na ďalšie zločinecké aktivity.
Koncom minulého roka upozornila VISA na nový typ softvéru kradnúceho platobné dáta pod názvom Pipka, ktorý po sebe vedel dokonca zahladiť stopy.
Ako by ste zhodnotili stav kyberbezpečnosti slovenských miest a obcí?
Martin Lohnert: Keď si človek predstaví katastrofálnu situáciu a ešte ju veľmi zhorší, tak zhruba tak. Spomínam si, ako mi raz v jednom meste povedali: „Kybernetická bezpečnosť? Tak tým sme sa ešte nikdy nezaoberali.“ Samozrejme, sú aj svetlé výnimky, no vo všeobecnosti je kybernetická bezpečnosť mimo ich záujem.
Dávid Dvořák: Pre mestá a obce – podobne ako napríklad pre nemocnice– je táto téma veľmi vzdialená. To je prvý dôvod, prečo je stav taký zlý. Druhý dôvod je nedostatok financií. Majú totiž veľmi limitované rozpočty a keďže kyberbezpečnosť nevnímajú ako dôležitú, ani na ňu nevyčleňujú peniaze. No a tretí dôvod je nedostatok odborníkov v regiónoch. Nájsť tam ľudí, ktorí tejto téme aspoň ako-tak rozumejú, je priam nadľudský výkon. Napríklad všetci certifikovaní kybernetickí audítori sú koncentrovaní v Bratislave.
Nedostatok peňazí je asi niečo, čo sa len tak nezmení. Vedia mestá a obce spraviť niečo pre bezpečnosť svojich dát aj s obmedzenými rozpočtami?
ML: Určite áno. Už tým, že sa to pre ne stane témou. Ak odskočím od technických aspektov, tak najslabším článkom vždy bývajú ľudia. Ak chceme výrazne zvyšovať kybernetickú bezpečnosť, mali by sme sa venovať zvyšovaniu povedomia a vzdelávaniu ľudí, ktorí v miestnych samosprávach pracujú. Zorganizovať napríklad školenia, na ktorých im ukážeme, na aké maily neklikať alebo ako rozpoznať falošnú faktúru. A to si nevyžaduje astronomické investície. Rovnako tak napríklad zmeny konfigurácie, nastavení či implementácia technických riešení, ktoré môžu byť primerané veľkosti mesta a jeho finančným možnostiam.
DD: Často sa stretávame s tým, že keď sa aj nejaké mesto či obec rozhodne kybernetickú bezpečnosť riešiť, hľadá najjednoduchšie riešenie. Buď si kúpia „zázračnú krabičku“, alebo ešte horšie – kúpia si iba dokumentáciu, ktorú založia do zakladača. Bez toho, aby pre bezpečnosť skutočne niečo spravili. Kupovať si dokumenty pritom môže byť vo finále drahšie ako skutočné riešenie.
Nestáva sa to aj preto, že sa spoliehajú na zhovievavosť NBÚ a na to, že pokutu nakoniec nedostanú?
ML: Je to možné, no zaoberať by sa tým obce mali bez ohľadu na legislatívu. Majú totiž povinnosť voči občanom. Tí sa spoliehajú, že samospráva ich dáta ochráni. To, že jej to ukladá aj zákon a že jej hrozia pokuty, by mala byť iba posledná skladačka do mozaiky dôvodov, prečo sa kyberbezpečnosťou zaoberať.
Vraveli ste, že najslabšie ohnivko sú ľudia, preto ich treba vzdelávať. Nenarážame tu ale na problém s nedostatkom odborníkov, ktorý ste sami identifikovali?
DD: Je pravda, že nám chýbajú desiatky tisíc odborníkov v regiónoch, no nemôžeme čakať, kým ich vychováme – to bude trvať ešte veľmi dlho. Musíme pracovať s tými, ktorých máme. Mestá a obce sa môžu spojiť (napríklad v rámci okresov, krajov, či Združenia miest a obcí Slovenska) a spoločne si nejakých odborníkov zavolať – či už z firiem, univerzít alebo štátnych inštitúcií. Odkiaľkoľvek sa im podarí. Keď sa mestá spoja, môžu zdieľať nielen know-how, ale aj náklady, aby ich nenieslo každé jedno mesto samo.
Takže by to mali mestá a obce riešiť spoločne?
ML: Určite. Keby to mala komplexne riešiť každá obec sama, nezvládne to. Ani finančne, ani časovo, ani organizačne, ani kapacitne. Jediná rozumná cesta je spojiť sa, zdieľať skúsenosti zároveň využiť komerčnú ponuku. Keď sa akékoľvek služby, aj tie súvisiacie s kybernetickou bezpečnosťou, robia pre desiatky či stovky subjektov, tak je jednotková cena výrazne nižšia.
Mnohé mestá a obce kyberbezpečnosť neriešia, pretože sú presvedčené, že ich sa to netýka. Nie je to však pravda. Prečo sú pre útočníkov zaujímavé aj samosprávy a s akými najčastejšími útokmi sa stretávate?
ML: Situácia je rovnaká ako pri malých firmách. Často si myslia, že útočníkov nezaujímajú. Treba si však uvedomiť dve veci. Po prvé – nevyhnú sa plošným útokom, pri ktorých program útočníka automaticky hľadá zraniteľné miesta bez toho, aby na niekoho priamo cielil. Pri nich je jedno, či server vlastní advokátska kancelária, malé mesto alebo veľká firma. Po druhé – na Slovensku už vieme aj o cielených útokoch na mestá a obce. Z technického hľadiska sú zväčša triviálne, no pre nízku úroveň zabezpečenia a povedomia často úspešné. Napríklad podvodné e-maily alebo falošné faktúry, ktoré mestá uhradia, pretože sa tvária ako od ich dodávateľov. Bežný je aj phishing či ransomware, teda vydieračský vírus.
DD: Nie vždy za tým musí byť takýto viditeľný finančný dopad. Ak sa dostane útočník k citlivým dátam, možno ešte horšie je, že nevieme, ako, kto a kedy tieto údaje zneužije.
Ak sa nejaká samospráva rozhodne „dobehnúť zameškané“ v kybernetickej bezpečnosti, čím by mala začať?
ML: Výberom kompetentného a spoľahlivého partnera, ktorý jej v tom poradí. Pri tomto výbere partnera by ale mali byť dostatočne nároční. Raz nám totiž v jednom meste povedali, že dostali výhodnú ponuku na „komplexné riešenie“. Riešenie údajne obsahovalo obecnú webstránku, kyberbezpečnosť „na kľúč,“ splnenie zákonných povinností ZoKB a GDPR. Všetko za 25 eur mesačne, čo znelo ako fantastická ponuka. Neskôr sa ukázalo, že ponuku predkladá živnostník bez skúseností, ktorý začal podnikať len pár mesiacov predtým. To by asi nemala byť autorita na ktorú sa v oblasti bezpečnosti spoľahnúť. Obce sa v tom ale neorientujú, a to celú situáciu komplikuje.
Ako teda rozoznajú dobrú ponuku?
ML: Zapojením kritického myslenia. Je to podobné, ako keď napríklad staviam dom. Ak by mi dala ponuku stavebná firma, ktorá vznikla pred niekoľkými mesiacmi, budem mať pochybnosti – či má referencie, či mi na to bude vedieť dať záruku a podobne. Treba to posudzovať ešte citlivejšie, ako akúkoľvek inú ponuku, keďže sa v tejto oblasti obce nevyznajú. Existujú však aj nekomerčné združenia – napríklad Asociácia kybernetickej bezpečnosti – na ktoré sa môžu obrátiť s prosbou o odporúčanie či pomoc s posúdením ponuky.
DD: Môžu si napríklad najať odborného konzultanta – špecialistu, ktorý im pomôže overiť daného dodávateľa alebo určité milníky pri realizovaní projektu. Stačí, ak ho zaplatia iba na malú časť projektu, nie na celý, keďže takýto odborník by bol pre mestá na celý čas asi príliš nákladný. Podobne ako pri spomínanej stavbe domu. Väčšina bežných ľudí, ktorí výstavbe nerozumejú, si tiež najímajú stavebný dozor.
V roku 2020 sa ľudstvo musí vyrovnávať s množstvom ochorení či úmrtí a ich spoločenskými, ekonomickými aj politickými dopadmi. Nedávno zverejnená rozsiahla správa Europolu o internetovej kriminalite zároveň oficiálne potvrdzuje, že mimoriadnu situáciu spôsobenú globálnou pandémiou COVID-19 sa intenzívne pokúšajú zneužiť aj kybernetickí zločinci.
Hackeri pokračujú v osvedčených trikoch, šíria vydieračské a inak škodiace vírusy, a zároveň svoje taktiky prispôsobujú aktuálnej realite, kde ľudia oveľa častejšie pracujú, nakupujú a komunikujú cez Internet. Je užitočné tieto teraz “populárne” spôsoby poznať, aby ste vedeli pred čím sa chrániť
SMISHING
SMishing sú útoky prostredníctvom podvodných SMS správ. Samotný názov je kombináciou SMS a phishing. Nakoľko stále viac ľudí sa k podozrivým emailom správa opatrne a zlepšujú sa aj technické riešenia, ktoré ich filtrujú, presúva sa záujem útočníkov do mobilných telefónov.
Ľudia sú dnes už bežne zvyknutí používať SMS ako druhý faktor pre prihlasovanie do citlivých systémov (internet bankingu, firemnej pošty či aplikácií) vďaka čomu im pripisujú vyššiu dôveryhodnosť a bývajú pri malých obrazovkách menej obozretní. V kombinácii s tým, že mobilné zariadenia bývajú mimo správy firemného IT a bez akýchkoľvek ochranných či dohľadových nástrojov, predstavujú pre podvodníkov veľmi atraktívny cieľ. Prostredníctvom SMS, iMessage či iných správ vám pošlú napríklad informáciu o doručovaní zásielky s odkazom, ktorý od vás bude chcieť vyplnenie údajov. Známe sú aj prípady, kedy SMS vyzývala k verifikácii, aktualizácii či “reaktivácii” účtov presmerovaním na podvodnú stránku či dokonca zavolaním do falošného kontaktného centra.
VISHING
Vishing predstavuje telefonické podvody (voice + phising) s prvkami sociálneho inžinierstva, pred ktorými v lete 2020 varovala aj americká FBI. Útočníci zneužívajú fakt, že pri práci z domu chýba osobný kontakt a tak je možné, že vašu dôveru si ľahšie získa aj neznámy volajúci. Šanca je ešte vyššia, keď útočník spomenie mená zodpovedných či názvy oddelení, ktoré získal štúdiom verejne dostupných zdrojov alebo z iných telefonátov, či pridá vymyslený príbeh, že práve nastúpil a potrebuje práve vašu pomoc. Vzbudením súcitu boli útočníci úspešní v získavaní napríklad jednorazových hesiel pre prihlasovanie do VPN. A tie im otvorili cestu k ďalším útokom a škodám.
KLONOVANIE SIM KARIET
Klonovanie SIM kariet je útok, kde podvodníci presvedčia mobilného operátora, aby pre vaše číslo aktivoval novú SIM kartu, ktorú budú mať k dispozícii oni. Použijú pritom vaše identifikačné údaje a často aj falšované doklady. V momente, keď sa nová karta aktivuje, vaša pôvodná prestane fungovať. Kým však na problém vôbec prídete a dopátrate sa k príčine, prejde niekoľko hodín. Za tých pár hodín stihnú útočníci pristúpiť k vášmu internet bankingu, prihlásia sa s použitím overovacích SMS (keďže vaše mobilné číslo teraz funguje na ich SIM karte), zrealizujú prevody či výbery, ktoré im denný limit dovolí. Sú známe aj prípady, kedy ukradnuté číslo zneužili na lúpež ďalších služieb a prístupov (email, sociálne siete, e-shopy atď.)
Všetky tri spôsoby môžu pripraviť o peniaze vás osobne, ale známe sú aj prípady, kde škody spôsobili podobné útoky na mestá, nemocnice a súkromné firmy. Najbližšie sa pozrieme podrobnejšie na tri ďalšie kybernetické podvody zamerané práve na organizácie.
Môžu vidieť priebeh celej výroby, zastaviť ju alebo danú firmu od jej riadenia úplne odstrihnúť. Aj takto to môže dopadnúť, keď sa do priemyselného podniku nabúra hacker. Kybernetická bezpečnosť je v slovenských a českých priemyselných firmách jednou z posledných priorít, veď prvoradá je produkcia. Útočníkov pritom lákajú výrobné spoločnosti čoraz viac.
Písal sa rok 2015 a na Ukrajine zostalo bez elektriny 225 000 domácností. Niekoľkohodinový výpadok bol výsledkom koordinovanej akcie skupiny hackerov, ktorým sa podarilo dostať do troch distribučných spoločností. Kým v tomto prípade išlo o pomerne sofistikovaný útok, u nás by na ochromenie výroby v niektorých podnikoch postačilo výrazne menej úsilia. Mnohé priemyselné podniky vrátane elektrární, mraziarní či hydinární kybernetickú bezpečnosť zanedbávajú.
ZAPLAŤTE, INAK ZASTAVÍME VÝROBU
Minuloročný prieskum spoločnosti Soitron realizovaný tímom analytikov Void SOC (Security Operations Center) ukázal, že až 509 priemyselných podnikovna Slovensku a 1580 v Českej republike má svoje priemyselné riadiace systémy (tzv. ICS) dostupné na internete. Bez hackovania tak bolo možné vidieť priebeh ich výroby, teploty v jednotlivých skladoch mraziarní či kvalitu vypúšťaných odpadových vôd. V prípade jednej fotovoltaickej elektrárne mali návštevníci dokonca prístup k zmene hesla – a to bez akejkoľvek námahy.
NÁS SA TO NETÝKA
Hoci si niektoré priemyselné firmy v Čechách a na Slovensku myslia, že kyberútočníkov nezaujímajú, nie je to pravda. Ak sa hacker dostane napríklad ku konkurenčne zaujímavým informáciám o výrobe alebo nebodaj k možnosti celú produkciu zastaviť, má v rukách ideálnu pozíciu na vydieranie. Mnohé firmy sú v takýchto prípadoch bezmocné a útočníkovi radšej zaplatia. Okrem zastavenia výroby či úniku dôležitých informácií môže mať hackerský útok aj ďalšie dôsledky – finančné straty, poškodenie strojov či produktov, environmentálne škody, ohrozenie životov, reputačné riziko a mnohé iné.
VYSOKÝ DLH NA BEZPOČNOSTNÝCH TECHNOLÓGIÁCH
Jedným z dôvodov, prečo sú priemyselné podniky tak slabo chránené, je aj dlhý životný cyklus ich technológií. Mnohé výrobné stroje majú 10 a viac rokov, a preto sú, logicky, nepripravené na digitalizáciu. Problémy potom nastávajú, keď sa podniky snažia tieto staršie stroje postupne „automatizovať“. Pridávajú k nim rôzne zariadenia na riadenie či sledovanie výroby (či už teploty, počtu určitých úkonov a pod.), ktoré sú pripojené na internet. Tieto ale často nie sú schopné odolávať dnešným kybernetickým hrozbám.
Pre vedenie podniku to má obrovskú výhodu – výroba je plne automatizovaná. Ak ale nie sú tieto nové digitálne technológie dostatočne chránené, stávajú sa z nich otvorené dvere pre hackerov.
Vo všeobecnosti sa dá skonštatovať, že značná časť výrobných podnikov neinvestuje do bezpečnosti priebežne a ich „ technologický dlh“ tak len narastá. Minimálne niektoré z nich, ako prevádzkovateľov, pritom čaká v blízkej dobe povinný audit kybernetickej bezpečnosti. Ten musia absolvovať významné slovenské firmy definované zákonom o kybernetickej bezpečnosti. Ide napríklad o subjekty pôsobiace v odvetví energetiky, farmaceutického, hutníckeho či chemického priemyslu.
Významné slovenské firmy, štátne či finančné inštitúcie sú povinné prejsť auditom kybernetickej bezpečnosti a záverečnú správu o ňom predložiť Národnému bezpečnostnému úradu. Ukladá im to zákon o kybernetickej bezpečnosti. Koho presne sa táto povinnosť týka, ako sa na ňu pripraviť, kto audity vykonáva a koľko času si na to vyhradiť?
Audit kybernetickej bezpečnosti si musia zabezpečiť prevádzkovatelia základných služieb. Patria sem napríklad bankový sektor, priemysel, telekomunikačné spoločnosti, pošta, energetika, výrobcovia liekov, zdravotné kliniky či nemocnice, samosprávy nad 1000 obyvateľov, ale aj mnohé ďalšie. Príloha zákona definuje presne 11 odvetví (napr. doprava, digitálna infraštruktúra, elektronické komunikácie, infraštruktúra finančných trhov, voda a atmosféra, verejná správa a i.), z ktorých subjekty musia prejsť týmto auditom. Ide teda o povinnosť, ktorá sa týka tisícok rôznych subjektov. Skontrolujte si preto vo vlastnom záujme, či nie ste náhodou medzi nimi.
DEADLINE ZA DVERAMI
Termín splnenia tejto zákonnej povinnosti sa už nezadržateľne blíži. Všetky subjekty zapísané Národným bezpečnostným úradom do zoznamu prevádzkovateľov pred 9.11.2018, musia stihnúť audit do 9.11.2021 podľa dátumu zápisu (3 roky po zápise). Subjekty zapísané po 9.11.2018 musia vykonať svoj audit do 2 rokov od príslušného dátumu zápisu do registra.
O ČO ŠTÁTU IDE?
Počet kybernetických útokov u nás i vo svete rastie, aj samotné ataky sú komplexnejšie a zložitejšie. Dôkazom toho je aj nedávny útok na spoločnosť Garmin ako aj pribúdajúce útoky na rôzne nemocnice. Cieľom zákona o kybernetickej bezpečnosti je preto pripraviť a zabezpečiť, aby boli kľúčové slovenské firmy viac odolné voči kyberútokom. Snahou auditu je overiť, či dané firmy, samosprávy či iné subjekty zo zoznamu prevádzkovateľov základných služieb spĺňajú všetko to, čo od nich žiada zákon o kybernetickej bezpečnosti. Ide o množstvo rôznych povinností a bezpečnostných opatrení. Pred samotným auditom je teda potrebné ich najskôr všetky implementovať.
ČAS JE KĽÚČOVÝ
Kým niektorí prevádzkovatelia mnohé z opatrení už dnes spĺňajú a audit bude pre nich „malina“, množstvo slovenských firiem na bezpečnosť a odolnosť voči hackerom dlhé roky zabúdala. Z vlastných skúseností vieme, že mnohé firmy kybernetickú bezpečnosť vôbec neriešia, čakajú až na povinné audity. Z pohľadu bezpečnosti sú zanedbané hlavne priemyselné odvetvia, zdravotnícke zariadenia a samosprávy. V ich prípade je ideálne, aby s implementáciou začali čím skôr. Hoci z pohľadu zákonných lehôt je ešte trochu času, implementácia opatrení môže byť pre niektorých poskytovateľov dlhšia. Môžu ju „natiahnuť“ rôzne nečakané zistenia, prípadné obstarávanie novej techniky alebo nedostatok špecialistov.
AUDÍTOROV JE STÁLE MÁLO
Audity môžu u prevádzkovateľov vykonať iba audítori certifikovaní Kompetenčným a certifikačným centrom kybernetickej bezpečnosti (KCCKB). Aktuálny zoznam certifikovaných audítorov kybernetickej bezpečnosti môžete nájsť na stránke KCCKB. Keďže nároky na nich sú pomerne vysoké, ich počet stúpa iba veľmi pomaly. Aj preto je dobré, ak sa firmy na blížiaci sa termín auditov začnú pripravovať s dostatočným časovým predstihom.
Dodržiavanie požiadaviek na kyberbezpečnosť kontroluje Národný bezpečnostný úrad. Ak zistí, že prevádzkovateľ zákon nedodržiava, môže mu udeliť pokutu od 300 do 300 000 eur. Oveľa väčšou hrozbou sú však škody spôsobené samotným kyberútokom. Tie sa podľa štatistík môžu vyšplhať v priemere až do výšky pol milióna eur.
Čoraz väčšia vynaliezavosť kyberútočníkov, ale aj rozširujúce sa spektrum možných rizík spôsobuje, že ani tá najväčšia firma nie je schopná brániť sa takýmto hrozbám úplne sama. Mnoho firiem sa preto pri implementácii opatrení spolieha na externých odborníkov, ktorých je ale žalostne málo.
O tom, že kyberútokov stále pribúda, sú komplexnejšie a hackeri sú vynaliezavejší, nie je pochýb. Počas pandémie boli aj menšie firmy prinútené narýchlo rozbehnúť prácu svojich zamestnancom z domu, často bez akéhokoľvek zabezpečenie. To vytvorilo obrovské príležistosti pre útočníkov preniknúť do útrob spoločností, zneužiť citlivé dáta, žiadať výkupné…
Niekoľko rád o tom, čo by mali väčšie či menšie firmy robiť v súčasných pretrvávajúcich koronačasoch prezradil náš IT špecialista David Dvořák, Manažér IT poradenstva, v rozhovore pre známy český portal Roklen24.
Zaujala vás téma kyberbezpečnosti? Ak máte otázky týkajúce sa vašej spoločnosti, nechajte nám váš kontakt a naši špecialisti vám radi pomôžu v rámci nezáväznej konzultácie.
Chceli by ste sa dostať do riadiacich priemyselných systémov tovární, elektrární či iných subjektov a stvárať tam neplechu, prípadne sa len nenápadne pozerať? Týždenník Ekonom prináša rýchlokurz pre začiatočnikov zdarma! Navštívte webovú stránku www.shodan.io, ktorej sa hovorí Google pre internet vecí (IOT), využite všemožné filtre a je to! Na diaľku uvidíte zariadenia pripojené na internet, do ktorých sa vďaka ich zraniteľnostiam dokážete dostať.
Toto nemá byť nabádanie k trestnej činnosti, ale len poukázanie na to, že verejne prístupných IOT prístrojov s možnosťou zneužitia je obrovské množstvo, a že môžu znamenať značný problém v kybernetickej bezpečnosti nielen na úrovni firiem a organizácií, ale aj štátov.
A problém to skutočne je. Ukazuje sa, že v Českej republike je minimálne 1600 vysoko zraniteľných riadiacich systémov (takzvaných PLC alebo ICS), ktoré je možné bežne nájsť na internete, čítať z nich údaje a získať k ním anonymný prístup bez znalosti mena a hesla. Ovládnutie takých jednotiek môže mať fatálne dopady na fungovanie daných súkromných aj štátnych spoločností.
Slovenská kyberbezpečnostná spoločnosť Void SOC nedávno v Česku urobila technický prieskum a zistila, že medzi spomínanými zraniteľnými systémami sú aj výrobné linky, ovládacie systémy niektorých elektrární alebo pristup ku kompletnému ovládaniu istého pivovaru. Tieto deravé systémy boli detekované v 280 českých mestách. Útoky na tuzemské nemocnice počas posledných mesiacov tak môžu potenciálne predstavovať len špičku ľadovca.
Jedná sa aj o priemyselné systémy označované ako SCADA, ktoré sú hojne rozšírené a bezpečnostne podcenené. Riadiacich systémov každého druhu bude navyše pribúdať. Koncept vládou vyzdvihovaného Priemyslu 4.0 je totiž postavený na chytrých strojoch, ktoré sú pripojené do siete a na internet. Sú teda zraniteľné podobne ako bežné počítače alebo chytré telefóny. Vo všeobecnosti sa očakáva, že trend ešte viac rozvinú prichádzajúce 5G siete.
Národný úrad pre kybernetickú a informačnú bezpečnosť (NÚKIB) už začal tieto skutočnosti zohľadňovať.
Úroveň ako z roku 1991
Medzi zraniteľnými IT systémami sú výrobné linky, ovládacie systémy elektrární alebo prístup k ovládaniu istého pivovaru.
V novo pripravenom Národním plánu Výzkumu a vývoje v Oblasti kybernetické a informační bezpečnosti úrad označil za jednu z priorít bezpečnosť priemyselných sietí a systémov v súvislosti s rozvojom internetu veci. „S narastajúcou digitalizáciou priemyselných sietí a SCADA systémov sa dá očakávať zvyšujúci sa tlak na výskum a vývoj ochranných nástrojov, ktoré budú schopné lepšie chrániť komunikačné a informačné siete,” uvádza úrad.
Aktuálnu situáciu však môžeme označiť za tristnú. „Povedomie o kyberbezpečnosti v priemysle je na úrovni povedomia o kyberbezpečnosti v bežnom IT v roku 1991,“ uvádza Martin Lohnert zo spoločnosti Void SOC. Príkladom môže byť jedna z fotovoltaických elektrární. K jej ovládaciemu systému sa dá dostať jednoducho cez web bez zadania mena a hesla. Ovládacie rozhranie používateľa dokonca vždy informuje, že žiadne heslo nie je nastavené a či si skutočne praje pokračovať bez neho. Takýchto prípadov je v rámci spomínaných 1600 systémov viac, čím sa ignorujú úplne elementárne bezpečnostné pravidlá.
V rámci nezabezpečených systémov je možné nájsť kontrolné prvky od popredných svetových spoločností ako sú Schneider Electric, ABB, Siemens, Honeywell, Rockwell Automation a ďalšie. Slabá úroveň zabezpečenia však väčšinou nie je spôsobená chybami na ich strane. Inštaláciu takýchto zaradení totiž riešia partneri, ktorí ignorujú bezpečnostné opatrenia. Útoky môžu prichádzať aj priamo cez týchto partnerov, kedy hackeri postupujú tak, že napadnú jednu súčasť dodávateľského reťazca a potom postupujú ďalej.
Problematických miest je viac. Subjekty často k bezpečnosti pristupujú formou „čo by kto u nás len hľadal” a zároveň v jednotlivých systémoch nevykonávajú aktualizácie softvéru. Zariadenia v priemyselných systémoch tak bývajú zastaralé a zraniteľné.
„SCADA systémy sú dramaticky nezabezpečené,” popisuje Martin Uher zo spoločnosti CyberG, ktorá v Řitce pri Prahe prevádzkuje „kybernetickú telocvičňu”, kam firmy chodia trénovať obranu proti hackerským útokom. „Spoločnosti niekedy používajú tak staré verzie systémov, že ich máme problém zohnať do testovacieho prostredia,” konštatuje Uher. Upozorňuje aj na prístup organizácií v štýle „nechytať sa toho, hlavne že to funguje” a ignorovanie skutočnosti. „Ľudia, ktorí so SCADA technológiami pracujú, boli dlho presvedčení, že sa ich bezpečnostné hrozby príliš netýkajú, pretože šlo o takzvané ostrovné inštalácie predtým nepripojené na internet,” dopĺňa Uher.
Hacknutá žiarovka…
Priemyselné systémy môžu pre útočníkov predstavovať vstupný bod, skrz ktorý sa potom dostanú do ďalších častí siete. Priemerná doba odhalenia takého útoku je 214 dní, kedy je možné v sieti vyčkávať, pozorovať dianie a postupovať hlbšie. Riadiacie jednotky sú zároveň súčasťou aj úplne bežného vybavenia ako sú klimatizácie, odkiaľ je možné „preskočiť” ďalej.
To, ako sa riadiace a IOT zariadenia využívajú na komplexné útoky, ukazuje Unicorn RedTeam. Ide o malú organizáciu vo vnútri českej softvérovej spoločnosti Unicorn, ktorú si najímajú banky a ďalšie inštitúcie, aby viedla útoky na ich infraštruktúru. Následne im experti z „červeného tímu” predložia, čo je zle a čo treba vylepšiť.
Hackerským útokom sa dá napríklad prehriať kávovar a vo firme tak spôsobiť požiar. Alebo sa cez chytrú žiarovku nabúrať do počítačovej siete. RedTeam často postupuje ako v špionážnom filme (fotenie monitorov zamestnancov z hotelovej izby oproti kanceláriám banky a pod.). Zároveň však do svojej prípravy zahŕňa aj monitoring IOT cez spomínaný Shodan a ďalšie nástroje. IOT je dôležitou časťou vybavenia útočníka. „Typicky máme zakázané unášať deti zamestnancov, rozbíjať okná a zámky či cielene útočiť na členov predstavenstva. Inak je to ale na nás,” prezradili členovia RedTeamu, ktorí nechcú byť menovaní.
S postupným rozvojom internetu vecí sa tento princíp bude stávať čoraz väčším problémom. Izraelská kyberbezpečnostná spoločnosť Check Point napríklad dokázala využiť zraniteľnosti v chytrých žiarovkách Philips Hue (chytré sú v tom, že si môžete cez mobil zmeniť farby a podobne) pripojených na internet. V žiarovkách bolo možné prevziať kontrolnú jednotku a z tej sa dostať do ďalších častí počítačovej siete.
„Philips sme si pre testy vybrali z toho dôvodu, že ide o obrovskú firmu, ktorá veľa investuje do kyberbezpečnosti. Nemali sme čas ani kapacity skúšať ďalšie IOT žiarovky, ktorých je na trhu dosť, ale zraniteľnosti by sme stopercentne našli všade,” popisuje pre Ekonom Itzik Feiglevitch z Check Pointu, ktorý sa na pokuse podieľal.
… alebo kávovar
Podobný kúsok sa podaril českému Avastu, kde jeho výskumníci hackli bežný kávovar. „Boli sme schopní z neho urobiť stroj, ktorý rozposiela ransomware s žiadosťou o platbu. Tiež sme vedeli kávovar použiť ako bránu na sledovanie všetkých zariadení pripojených v domácej sieti,” popisuje Martin Hron z Avastu s tým, že útokom kávovar dokázali prehriať a mohli potenciálne spôsobiť požiar.
Avast vo svojom prieskume zistil aj to, že viac ako 42 % českých domácností má aspoň jedno chytré zariadenie zraniteľné voči útokom. Spoločnosť si preto vo svojom sídle v Prahe na Pankráci koncom minulého roka postavila vlastné IOT laboratórium a internet vecí sa stal jednou z dôležitých častí ich podnikania.
Podobne sa na Slovensku internetu veci venuje spoločnost ESET. Tej sa napríklad v rámci výskumu podarilo odhaliť zraniteľnosti centrálnych riadiacich jednotiek, pomocou ktorých bolo možné ovládnuť zariadenia v sieti, podstrčiť vírusy alebo odpočúvať sieť. ESET si od agentúry Median nechal urobiť aj prieskum medzi českými používateľmi. Ten ukázal, že 71 % z nich má zariadenia internetu vecí pripojené do rovnakej siete ako bežné počítače a telefóny. Tým sa zvyšuje riziko útoku a odborníci na IOT odporúčajú oddelenú sieť.
V situácii, ktorej dnes čelíme všetci bez výnimky, považujeme za najdôležitejšie zabezpečiť nepretržité fungovanie zdravotnej starostlivosti. Tá je skúšaná nielen náporom pacientov v dôsledku pandémie, ale aj kybernetickými hrozbami.
13. marca 2020 ohrozil kybernetický útok vo Fakultnej nemocnici v Brne nielen jej IT systémy, ale ich znefunkčnením aj verejné zdravie všetkých občanov. A to práve v čase, kedy sme na zdravotnú starostlivosť odkázaní viac, ako kedykoľvek predtým. Vysporiadať sa vo vlastnej réžii s rozsiahlym útokom na IT nie je vôbec jednoduché ani za bežnej prevádzky, a výrazne zložitejšie počas mimoriadnej situácie, ktorej sme všetci svedkami.
Prečo chceme pomôcť?
Disponujeme odbornými znalosťami, skúsenosťami a odhodlaním pomôcť v krízových situáciách spôsobených kybernetickými hrozbami a útokmi. Počas mimoriadnej situácie, v akej sa poskytovatelia zdravotnej starostlivosti dnes nachádzajú, vnímame ako našu občiansku povinnosť im poskytnúť takúto pomoc bezplatne.
Ako chceme pomôcť?
Poskytovateľom zdravotnej starostlivosti, nemocniciam, testovacím laboratóriám a ďalším zdravotníckym zariadeniam sme pripravení poskytnúť bezplatne odborné poradenstvo a realizáciu opatrení vedúcich k odstráneniu situácie spôsobenej kybernetickým incidentom, 24-hodín denne, počas celej doby trvania mimoriadnej situácie spôsobenej pandémiou COVID-19.
ČO ROBIŤ, AK STE ZDRAVOTNÍCKE ZARIADENIE A STALI STE SA OBEŤOU KYBER ÚTOKU?
Kontaktujte Národné centrum kybernetickej bezpečnosti SK-CERT
+421 2 6869 2915, incident@nbu.gov.sk
Využite 24/7 bezplatné poradenstvo a pomoc odVoid SOC
V poslednej dobe pribúda počet kybernetických útokov na zdravotnícke zariadenia. Väčšinou nevedia, ako im čeliť, ale budú sa to musieť naučiť. Nulové riziko útoku neexistuje a nikdy existovať nebude. Rizikám sa dá účinne predchádzať, musí sa ale od základov zmeniť prístup manažmentu nemocníc.
Vo večnom boji s počítačovou kriminalitou môže zdravot-níckym zariadeniam pomôcť aj štát. V decembri 2019 počítačový vírus paralyzoval benešovskú nemocnicu.
Po napadnutí fungovala týždne v obmedzenej prevádzke. Zrušené boli plánované operácie, zatvorili väčšinu oddelení.
V Čechách nejde o prvý prípad. Cieľom útoku boli v oblasti zdravotníctva aj ďalšie zariadenia (napríklad liečebňa v Janove na Rokycansku). Niektorí už zaplatili útočníkom aj výkupné za sprístupnenie dát.
Podobnú skúsenosť majú aj na Slovensku. Pred dvomi rokmi zasiahol vírus WannaCry viac ako 200 000 cieľov približne v 150 krajinách. Nevyhla sa mu ani nemocnica v Nitre, ktorá mala niekoľko dní vypnuté počítače a fungovala vo veľmi obmedzenom režime. Minulý rok v novembri napadli hackeri niekoľko nemocníc v americkej Alabame a Austrálii. Lekári prestali prijímať neakútnych pacientov, zrušili niektoré výkony.
Lákavý cieľ
Posledný útok v Čechách znovu rozvíril debatu o kybernetickej bezpečnosti a ukázal, že ochrana zdravotníckych zariadení je nedostatočná.
„Pre nemocnice nikdy nebola oblasť IT prioritou. Aj keď mali vždy nejaké podporné oddelenie, ktoré dohliadalo na to, aby fungovala konektivita a systémy dôležité pre chod zariadenia, nikto koncepčne neriešil kybernetickú bezpečnosť.“
Nemocnice sú pritom pre vydieračov lákavým cieľom. Už v minulosti si overili, že sú nedostatočne chránené, navyše spravujú citlivé osobné dáta a útoky môžu ohroziť zdravie či životy ľudí. Útočníci môžu žiadať vysoké výkupné.
„Ransomware útoky pribúdajú rýchlym tempom. A všetci odborníci bez výnimky sa zhodujú na tom, že bezpečnostné riziká budú pribúdať,“ dopĺňa Stanislav Smolár.
Nemocnice cyber security neriešia
Podľa odborníkov je problémom nízke povedomie o kybebezpečnosti, ktorá sa týka celého personálu nemocnice. Navyše v zdravotníctve zúfalo chýbajú IT experti. Vedenie nemocníc si neuvedomuje všadeprítomné nebezpečenstvo, preto sa (zatiaľ) ochranou pred kyberútokmi nezaoberá.
Jeden z najrozšírenejších mýtov znie: nás sa to netýka. Svojmu IT oddeleniu veríme, čiže se nemôže nič stať. Pokiaľ manažment nevyburcuje ani legislatíva, ktorá existuje aj v ČR a nariaďuje nemocniciam riešiť kybernetickú bezpečnosť, musí, bohužiaľ, prísť kritická masa udalostí, ktorá ukáže, že ohrozuje každého. V tom momente sa z toho stane zásadná téma.
V rozpočtoch nemocníc však väčšinou nie je dostatok peňazí na IT bezpečnosť. Jedine, ak ju manažment určí ako zásadnú prioritu, dajú sa hľadať účinné riešenia.
Medicínske vybavenie a súbory s dátami pacientov sú pre zdravotnícke zariadenia najdôležitejšie. Strate dát a paralýze nemocnice sa dá čeliť oddelením životne dôležitých systémov od používateľských sietí. Ransomware totiž väčšinou útočí cez koncové počítače, z ktorých sa nákaza šíri.
Dobrým riešením je najať si externého experta na cyber security. „Kontrola dokáže odhalit, či nemáte nejaký zraniteľný softvér. To sú veci, ktoré si môžu nemocnice obstarať pomerne rýchlo a lacno. Je možné skontrolovať aj celú internú infraštruktúru nemocnice a analyzovať ju z hľadiska bezpečnosti,“ uvádza Stanislav Smolár.
Ako môže pomôcť štát?
„Nemocnice spravujú vzácne osobné dáta a za ich únik môžu čeliť žalobám, náhrade škôd dotknutých osôb, a predovšetkým zlej reputácii, ktorá môže byť až likvidačná. Po útoku často trvá niekoľko týždňov, než sa podarí obnoviť kritické systémy. V takom prípade potrebujete IT špecialistu, aby vám ukázal, ako takej katastrofe čeliť.“
MARTIN LOHNERT riaditeľ dohľadového centra kybernetickej bezpečnosti Void SOC
Subjektom v zdravotníctve by mohol pomôcť aj štát. Rada pre kybernetickú bezpečnosť, ktorá je poradným orgánom predsedu vlády pre túto oblasť, ale zatiaľ nie je príliš aktívna. Za svoje záujmy nelobujú ani Asociácie nemocníc ČR, Združenie súkromných nemocníc ČR ani ďalšie organizácie združujúce zdravotnícke zariadenia.
Ministerstvo zdravotníctva by podľa expertov mohlo vytvoriť akýsi manuál pre nemocnice, ako jednotne postupovať pri zaistení kyberbezpečnosti.
„Nemocnice fungujú do značnej miery na podobnom princípe. Pokiaľ by existoval manuál, ako má ideálne vyzerať bezpečnostná architektúra nemocníc, aké odporúčania by mala dodržiavať, bol by to krok pozitívnym smerom. Máloktorá zdravotnícka organizácia má skúsného IT architekta, ktorý by dokázal takú infraštruktúru navrhnúť,“ upozorňuje Martin Lohnert.
Nemocnica by tak nemusela vytvárať bezpečnostnú architektúru sama, prípadne so súkromnými externými dodávateľmi. „V konečnom dôsledku riešenie aj tak zostane na organizácii. Musia tam byť uvedomelí ľudia, ktorí vnímajú, že to riziko je dnes reálne a obrovské,“ dodáva Lohnert.
Skokový nárast
Polícia monitoruje trestné činy v kyberpriestore od roku 2011, kedy bolo evidovaných asi 1500 útokov. Od tej doby narástol ich počet takmer päťnásobne, v roku 2018 zaznamenala polícia viac ako 7000 útokov. Štatistika pritom neukazuje skutočný počet prípadov, ale len trestných činov, ktoré boli kvalifikované.
Páchatelia nepoužívajú len ransomware (vydieračské) útoky. „Niektorí kradnú dáta o konkrétnych pacientoch, čo už je veľmi cielený útok. Je tu snaha predávať informácie, ktoré sa dajú speňažiť,“ prezrádza Stanislav Smolár.
Ďalej ide o takzvané kryptoútoky. „Infikované zariadenia obetí ťažia kryptomeny pre útočníkov, botnety kradnú výpočtový výkon, čo si zákazník často nevšimne, alebo si to všimne neskoro,“ dopĺňa.
Za posledných osem rokov sa viac ako zdvojnásobil podiel hackingu na celkovej kybernetickej kriminalite.
S bežne používanými nástrojmi pre ochranu počítačových sietí organizácie do šifrovanej komunikácie buď nevidia vôbec, alebo dosahujú potrebnú viditeľnosť príliš komplikovane a s neúmernými nákladmi. Lepšia cesta je rozšíriť nevyhnutné bezpečnostné technológie o nové prvky.
Šifrovanie dát je dnes neoddeliteľnou súčasťou internetovej komunikácie, vďaka ktorej môžeme bez obáv na webe nakupovať, alebo robiť bankové transakcie. Keďže bez šifrovania by mohol ktokoľvek nazerať do prenášaných dát a dostať sa tak poľahky napríklad k heslám alebo k osobným údajom, začínajú postupne využívať bezpečnostné certifikáty takmer všetci prevádzkovatelia webov.
Merania systémom Soitron Security Sensor ukazujú, že minimálny podiel komunikácie chránenej šifrovaním dnes býva v organizáciách 60 %. Typicky sa však pohybuje okolo hranice 80 %, čo zodpovedá celosvetovým odhadom o podiele šifrovanej komunikácie na celkovej internetovej premávke pre rok 2019. Pre porovnanie, ešte pred dvomi rokmi bola zašifrovaná menej ako polovica internetu.
Oslepení administrátori
Okrem toho, že čoraz viac webových stránok a služieb je zašifrovaných, menia sa aj samotné šifry a pribúdajú nové, vylepšené protokoly na ochranu sieťovej komunikácie (CAA, DANE, TLS 1.3, eSNI, DoT…).
Tie novšie a modernejšie sú navrhnuté tak, aby chránili dáta pred akoukoľvek kontrolou, čiže aj vtedy, ak sú za ňou dobré úmysly. Ak k tomu prirátame výrazný nárast kapacity sietí, a tým aj objemu prenášaných dát, zistíme, že firmy aj verejné organizácie dnes čelia tsunami silne kryptovanej komunikácie.
Často je tiež dôsledkom inšpekcie výrazný pokles kvality šifrovania, napr. v rámci štúdie „The Security Impact of HTTPS Interception“ iba jedno zariadenie z 12tich dostalo uspokojivé hodnotenie.
Čo to znamená pre IT oddelenia?
Stručne povedané – nové problémy pri administrácii a zabezpečovaní IT pred kybernetickými rizikami. Staršie bezpečnostné nástroje, ktoré nerátali s inšpekciou šifrovanej komunikácie, neposkytujú administrátorom potrebnú viditeľnosť do prevádzky a hackerom tým pádom otvárajú nové možnosti pre rozširovanie škodlivých kódov či posielanie inštrukcií pre už infiltrovaný malvér.
Niektoré aplikácie, obzvlášť mobilné, navyše legitímnu inšpekciu bezpečnostných certifikátov v organizáciách odmietajú.Útočníci už dnes úspešne využívajú oslabenú schopnosť nevyspelých bezpečnostných riešení vidieť do šifrovanej komunikácie.
Podľa poskytovateľa cloudových služieb Zscaler vlani narástol počet phishingových útokov ukrytých v zašifrovanej komunikácii medziročne o 400 % a celkovo býva kryptovaná premávka zneužívaná pre rozširovanie malvéru zhruba v polovici kybernetických útokov. Nie je najmenší dôvod očakávať, že by sa tento podiel v budúcnosti zmenšoval.
Inšpekcia bez prečítania
Dobrá správa je, že existujú spôsoby, ako aspoň sčasti spriehľadniť aj zdanlivo neviditeľnú, dobre zašifrovanú komunikáciu. Viacerí dodávatelia bezpečnostných technológií už prišli s riešeniami postavenými na takzvanej ETA (Encrypted Traffic Analytics), ktoré s veľkou presnosťou a bez vplyvu na komfort používateľov dokážu identifikovať prípadné nebezpečenstvá ukryté v šifrovaných dátach.
Nesnažia sa rozlúsknuť šifry a „čítať“ kompletný obsah komunikácie – také niečo sa dá technicky iba ťažko urobiť a nie je to prijateľné ani z hľadiska ochrany súkromia. Cieľom technológií pre získanie viditeľnosti v zašifrovanom prostredí je rozpoznať neštandardné správanie napríklad na základe tzv. behaviorálnych analýz, teda analýzy správania, napr. sieťovej komunikácie a upozorniť tak na akúkoľvek podozrivú komunikáciu. Výhodou je, že tento prístup pomáha identifikovať aj nepoznané hrozby, ktoré zatiaľ nie sú popísané, neexistujú na ne žiadne signatúry a nič o nich nevieme.
Popri tom, ako sa bude podiel zašifrovanej internetovej premávky najbližšie roky nezadržateľne blížiť k hranici 100 %, trhliny v doterajších bezpečnostných architektúrach iba porastú. Pre IT oddelenia to neznamená, že musia súčasné prostriedky vyhodiť a nahradiť, ale skôr či neskôr ich potrebujú doplniť o nové nástroje schopné identifikovať riziká v prenosoch dát, do ktorým tak povediac voľným okom nevidno. Čím skôr tak urobia, o to menším rizikám sa vystavia.
Využite 24/7 bezplatné poradenstvo a pomoc od
