Jak nebýt snadnou kořistí hackerů? Zálohovat odděleně a vzdělávat management

Jedním z největších kyberútoků z loňského roku byl ten na společnost Jaguar Land Rover v Británii. Na měsíc došlo k ochromení výroby aut a ztráta činila v přepočtu více než padesát miliard korun.

„Zajímavé je, že vůbec nevíme, co se vlastně stalo. Jaguar Land Rover nevydal žádnou oficiální zprávu, s kým bojovali a proč se to stalo. Navíc chvíli před útokem uzavřeli smlouvu s Tata Consultancy Services za 800 milionů liber, jejíž součástí bylo i cyber security – takže udělali všechno pro to, aby se jim něco takového nestalo,“ podotkl Marian Kulhavý, obchodní ředitel společnosti Gapp System, v diskusi o kyberbezpečnosti, kterou HN uspořádaly na začátku května.

Kulhavý dodal, že Tata Consultancy Services je indická společnost, kde funguje jiná korporátní kultura. Podle něj tam není běžné otevřeně říct, že něco nejde nebo že nastal problém. Člověk, který by to přiznal, může být rychle nahrazen někým jiným, kdo bude tvrdit, že je vše v pořádku. „Umím si představit, že jen než se vůbec podařilo otevřeně pojmenovat problém a začít ho řešit, zabralo to několik týdnů,“ uvedl Kulhavý.

Nevěřit ničemu a vše ověřovat

Vladimír Kaděra, senior specialista kybernetické bezpečnosti v ATS-Telcom Praha, podotkl, že v mnoha firmách přežívá starý model zajištění kybernetické bezpečnosti. „Představa, že mám dobře nastavený firewall a dál už nemusím řešit téměř nic, protože na stanicích mám antivirus, už hraničí s tím, že je to pozvánka pro útočníka,“ uvedl Kaděra. Dnes už se pojetí kybernetické bezpečnosti podle něj posouvá směrem dovnitř.

„Zajišťujeme mikrosegmentaci, oddělení kritických procesů od méně závažných, musíme vědět, jaká práva mají uživatelé uvnitř firmy, kam se smí a nesmí dostat. Nejlepší je vícefaktorová nebo zero trust architektura, to znamená, že nevěřím ničemu a všechno ověřuji,“ popsal Kaděra.

Management firem to bere jako náklad a investici, ovšem ta potřebuje neustále zlepšovat, je třeba do ní nepřetržitě investovat. Podle Kaděry by 20 až 25 procent provozních nákladů IT mělo jít pravidelně do kybernetické bezpečnosti.

Zásadním tématem je také řízení rizik a bezpečnosti dodavatelského řetězce. „Je velmi dobře, že se tím zabýváme a naši zákazníci také. Je to ale také většinou téma, ve kterém firmy selhávají. Zákazníci většinou po svých dodavatelích vyžadují konkrétní kroky, které musí splnit. Jenže to obvykle probíhá jenom jednou, na začátku, když se třeba podepisuje smlouva. Pak už se plnění technicky nevynucuje,“ poukázal Kocmich, manažer a architekt kybernetické bezpečnosti společnosti Soitron Group.

Liknavost při zajišťování následného zabezpečení je přitom v rozporu s legislativou. „I kyberzákon tlačí na to, abychom technologicky vynucovali požadavky na kyberbezpečnost a zároveň kontinuálně, ne jenom na začátku při podpisu smlouvy,“ doporučil Kocmich.

Vzdělávání managementu jako základ

Jak se tedy kyberútoku bránit a jak mu předcházet? Podle Kocmicha je třeba stavět dostatečně vysokou zeď, používat technologie zero trust a snažit se, aby nedošlo případně k monetizaci ukradených dat, tedy data šifrovat. „Třetí obranou je včasná detekce a reakce a možnost obnovy do původního funkčního stavu celého prostředí. Tohle by měla každá společnost budovat,“ zmínil Kocmich.

Marian Kulhavý upozornil, že management malých a středních firem bývá často nevzdělaný v tom, jaký útok může přijít, a že místo investice do kyberbezpečnosti v řádu statisíců korun raději zaplatí za výkupné.

„Důležité je vzdělávání non-IT managementu v tom, co doopravdy hrozí. Experti ve firmách vědí, co mají dělat, ale pak přijdou za managementem a ten řekne, že to je moc peněz a že tolik investovat nechtějí. A pak se čeká, až se něco stane, a buď se platí dvojité výkupné, nebo do bezpečnosti na poslední chvíli zainvestují,“ popsal Kulhavý.

Zálohovat vždy odděleně

Podniky často dělají chyby také v zálohování dat. Každá firma to řeší jinak, ale pokud zálohují na diskové pole, které je ve stejném segmentu jako provozní, pak záloha nemá podle slov Kaděry smysl. „Když se útočník dostane dovnitř a vidí, že je doména nesegmentovaná, nic mu nebrání ve volném pohybu a zašifruje všechno, kam se dostane,“ varoval Kaděra.

Základem by mělo být pravidlo tři, dva, jedna, jedna. „Tři zálohy různého typu na dvou místech – tedy minimálně jedno diskové pole v provozním prostředí a jedno v absolutně odděleném segmentu. Pak z toho udělat jeden archiv a ten rozdělit na alespoň dvě lokality,“ doporučil Kaděra. Pokud útočník k zálohám nepronikne, je téměř jisté, že se podaří data obnovit.

Diskutující se shodli, že kyberútoky jsou stále rychlejší a sofistikovanější. Ovšem hackeři útočí pořád stejným principem. „Tedy čím větší máte pořádek uvnitř firmy – a dnes se dá i AI vnitřně použít na to, že si sami hledáte zranitelná místa a automatizovaně je opravujete – tím se stáváte méně atraktivním cílem,“ upozornil Kulhavý s tím, že součástí governance je i nastavení pravidel na využívání kódů tak, aby se IT specialisté zbytečně nevystavovali bezpečnostním rizikům.

„V současném světě překotného vývoje je důležité vrátit se k fundamentu, že někdo ve firmě nastavuje pravidla, vynucuje je a zároveň do nich investuje,“ shrnul Kulhavý.

 V diskusi zazněla také informace, že například ransomwarové útoky jsou na darknetových tržištích nabízeny formou služby, podobně jako jiné nelegální aktivity.

Lze si představit i situace, kdy by se některé společnosti mohly pokoušet poškodit konkurenci nelegálními prostředky, rozhodně však nejde o běžnou nebo často se opakující praxi. Petr Kocmich současně upozornil, že většina kybernetických útoků dnes není cílená na konkrétní firmu, ale probíhá plošně a automatizovaně. „Útočníci často vyhledávají zranitelné systémy napříč internetem a napadají organizace, které nemají dostatečně aktualizované technologie, vícefaktorové ověřování nebo správně nastavené bezpečnostní procesy.“ Právě proto je podle něj klíčové nepodceňovat prevenci, pravidelně aktualizovat systémy, školit zaměstnance a být připraven na situaci, kdy k incidentu skutečně dojde.

Partnery debaty jsou Soitron Group, Gapp System a ATS-Telcom Praha.