Hacker už není mladík v kapuci, ale velký byznys. Firmy obranu před útoky často zvládají hůř než státní úřady

Riziko kybernetického útoku roste spolu s naší závislostí na datech, digitálních systémech a internetu. S tím, jak jsou systémy stále složitější, může být dopad kyberútoku drtivější. To vše stupňuje tlak na odborníky zodpovídající za bezpečnost digitálního prostředí jak v soukromém, tak ve státním sektoru. O tom, jaký je současný stav kyberbezpečnosti v Česku, diskutovali experti v květnové debatě Hospodářských novin.

Aktuální geopolitická situace ke snížení napětí navíc nijak nepřispívá. Firmy zabývající se ochranou před kybernetickými útoky uvádějí jejich nárůst oproti loňsku o deset až dvacet procent. Souvislost s válkou na Ukrajině se sice nabízí, není však přímo doložitelná.

Loni bylo podle Národního úřadu pro kybernetickou bezpečnost nahlášeno 468 kybernetických bezpečnostních incidentů, což je více než dvojnásobek oproti předchozímu roku. „Náklady na ošetření kyberútoků budou narůstat, odhadem o 15 procent ročně. Zatímco v roce 2015 činily výdaje na odstraňování následků útoků zhruba tři miliardy amerických dolarů, odhad pro rok 2025 činí už 10,5 bilionu dolarů. To jsou peníze, o které společnost přichází a mohla by je investovat jinam,“ říká Ondrej Kováč, Solution Engineer ve společnosti Exclusive Networks Czechia.

Začátek invaze na Ukrajinu pocítily i některé německé větrníky. Ruský hackerský útok se vymkl kontrole

12. 5. 2022 ▪ 3 min. čtení

Útoky podle jeho slov často cílí na malé a střední firmy, které nemají dostatečné prostředky na obranu. Podíl útoků, při kterých se podaří odhalit pachatele, je přitom méně než jedno procento.

„Hacker už dávno není mladík v kapuci, jak si ho možná mnozí představí. Dnes jde o velký byznys. Hacker je firma, která pracuje na zakázku, v jejím rámci vytvoří vlastní vir, koupí databázi zranitelných cílů a zaútočí. Pochopitelně si vždy vybírá slabší cíle,“ říká Stanislav Simandl, výkonný ředitel firmy MyCom Solutions, zaměřující se na IT outsourcing a kybernetickou bezpečnost.

Útok musí být levný a efektivní, aby se vrátila investice. A zároveň drtivý, aby byla oběť ochotná zaplatit výkupné. „Úspěšnost vytěžení peněz z útoku je kolem šedesáti procent. Útočník pak obvykle část příjmu znovu investuje, koupí další databázi a vyvine nový vir,“ dodává Simandl. Vše se pochopitelně děje ilegálně, útočník neodvádí žádné daně ani jiné odvody a vybrané peníze pro něj představují čistý příjem.

Nejen z tohoto důvodu se Evropská unie chystá zavést pravidla, podle kterých bude zaplacení výkupného trestný čin.

Velké versus malé podniky

Nakolik je přístup k datům klíčový, si uvědomuje rostoucí část populace a přispěla k tomu i pandemie, kdy měla řada firem kontakt se zákazníky pouze v online prostředí. Velké české firmy tak získaly mnohem realističtější pohled na kyberbezpečnost. S ohledem na výši investice však stále pečlivě zvažují, kam své zdroje vloží. „Je potřeba správně nastavit priority, aby měla investice v konkrétním prostředí dané firmy co nejlepší efekt,“ konstatuje Pavel Štros, technický ředitel IT firmy Datasys.

V případě malých a středních podniků je však zájem o prevenci spíše výjimkou a poskytovatelé těchto služeb se setkávají mnohem častěji s žádostí o pomoc až v případě útoku. Jaké jsou příčiny? „Požadavek na zavedení preventivních opatření by teoreticky mohl přijít z oddělení IT, tím by však přiznalo, že neumí vše. Navíc by muselo žádat o rozpočet na tuto investici, což je nepopulární krok,“ vysvětluje Stanislav Simandl. Jiný kanál, odkud může požadavek na prevenci přijít, je top management firmy. Ten však má k tomuto rozhodnutí podle jeho slov obvykle málo informací.

Další model řešení je propojení kyberbezpečnosti s funkcí šéfa IT oddělení. „V takovém případě však dochází ke spojení operativy s kontrolorem. Podle naší zkušenosti je vhodnější rozdělit funkce do bezpečnostního orgánu, který se zabývá kontrolou, a oddělení IT, které řeší operativu,“ doporučuje Pavel Štros.

Firmy navíc narážejí na dlouhodobý nedostatek odborníků v oboru informačních technologií. S ohledem na fakt, že hrozba útoku je permanentní a nebere v potaz pracovní dobu, se jako řešení nabízí kombinace interního a externího týmu. Externí odborníci tak mohou zajišťovat servis mimo běžnou pracovní dobu a kromě reakce na aktuální dění mohou také přicházet s návrhy na preventivní opatření.

Vyvolání strachu a nedůvěry

Dopad kybernetického útoku má vedle často drtivých ekonomických následků také citelný psychologický dopad. Likviduje důvěru zaměstnanců ve schopnost efektivně se bránit a snižuje ochotu uživatelů využívat online služeb včetně například elektronického bankovnictví či portálů pro občany, za kterými stojí státem zřizované instituce.

„Nutno podotknout, že celková úroveň zabezpečení ve státní správě je slušná, i když často je to zásluha spíše zaměstnanců IT oddělení než útvaru bezpečnostního. Za velmi důležitý počin považuji zákon o kybernetické bezpečnosti, který je hnacím motorem pro mnohé státní organizace,“ říká Pavel Štros. Řada z nich k otázkám bezpečnosti přistupuje velmi zodpovědně, spolupracuje s externími poradci, se kterými jsou v kontaktu na denní či týdenní bázi.

„Stát investuje nejen do technického zabezpečení, ale i do lidí. Odborníci ve státním sektoru se sice ještě nedostávají na úroveň mezd v soukromé sféře, dostávají však jiné bonusy či kompenzace. Vnímám zde velmi pozitivní trend,“ konstatuje Ondrej Kováč. Podle Stanislava Simandla je na tom státní sektor ve výsledku často dokonce lépe než soukromé firmy, neboť pro ně je řešení kybernetické bezpečnosti otázkou dobrovolnosti.

Dostupnější technologie

Internet věcí, umělá inteligence, 5G sítě a další technologické posuny nepochybně přinesou další výzvy v oblasti kyberbezpečnosti. „Sázím na automatizaci a umělou inteligenci, které mohou kompenzovat aktuální nedostatek lidí. Útočníci stále častěji zapojují umělou inteligenci a my na to musíme reagovat stejným způsobem. Jsou tu však i další otázky, ať už ekonomické, nebo legislativní,“ upozorňuje Ondrej Kováč.

Legislativa obvykle zůstává za realitou poněkud pozadu, navíc soukromá sféra se k ní v určitých případech staví velmi rezervovaně. Příkladem je třeba souhlas se zpracováním osobních údajů nebo nedávno zavedená povinnost žádat od návštěvníků webových stránek souhlas s užitím cookies, tedy malých souborů dat o uživatelích, které si vyměňují webové servery s prohlížeči. Nároky na ochranu jednotlivce a příliv nových legislativních požadavků však podle diskutujících budou rozhodně pokračovat.

Shodují se také na tom, že tlak na odborníky neklesne, útoky budou pokračovat, a navíc budou drtivější. Díky umělé inteligenci je však naděje, že budou technologie na zajištění kyberbezpečnosti dostupnější. „Velmi bych si přál, aby zafungovala připravovaná evropská směrnice kybernetické bezpečnosti NIS2, která klade větší důraz na ochranu uživatelů systémů a dalších osob dotčených kybernetickými hrozbami. Aby to, co se daří prosazovat do státní sféry, se podařilo dostat i k soukromým subjektům,“ uzavírá Pavel Štros.