Chraňte si svá data. Žebříček top nešvarů v online bezpečnosti(1)

Tisk
Hodnocení uživatelů: / 0
NejhoršíNejlepší 
Pátek, 23. duben 2021

woman pixabayChtělo by se říct, že chybami se člověk učí a jednou vyřešenými / řešenými / a médii omílanými bezpečnostními prohřešky se společnosti zabývají. Není tomu ale vždy tak. Je zřejmé, že skutečnost je úplně jiná.

Denně se setkáváme s bezpečnostními problémy v rámci jednotlivců i v rámci firem či organizací. Národních i těch nadnárodních. Téměř denně se dozvídáme o úniku citlivých dat, o zneužití soukromých či firemních účtů. Nejenže pak kvůli insider attackům, phishingu a kyberútokům unikají již zmíněná citlivá data klientů, zaměstnanců a jiných uživatelů, kyberútoky mohou být také příčinou zastavení provozu nemocnic, pozastavení služeb bank či například zmražení peněžního konta.

Jak se ale proti podobným útokům bránit? „Ne málo se dočítáme o zásadních chybách, kterých se dopouští běžní uživatelé internetu a řadoví pracovníci ve firmách,“ říká úvodem Marcel Poul, ředitel realizace projektů společnosti BCV solutions. Namátkou jsou například v hojném množství zastoupeny chyby související se slabými hesly či dokonce s nulovou ochranou dat, dále pak zveřejňování fotografií i zadávání dat do neověřených aplikací.

Jak už ale bylo nastíněno, podobné úniky dat se netýkají jen jednotlivců. V dnešní době se firmy a různé organizace musí potýkat s kyberútoky i útoky z vnitřního firemního prostředí.

TOP 1 Kybernetický útok a vydírání

Jednou z největších a obávaných hrozeb je kybernetický útok, během kterého hrozí únik vysoce citlivých dat ve velkém množství, a to dokonce i přes vysokou úroveň zabezpečení. „Za nejčastější hrozbu současnosti se považuje také vydírání. V takové situaci útočník pronikne do klíčových systémů organizace, zašifruje data tak, aby k nim měl přístup jako jediný, přičemž jako jediný má také klíč k dešifrování,“ říká ředitel realizace projektů společnosti BCV solutions, https://www.bcvsolutions.eu/. Následuje zaslání podmínek, ve kterých žádá výkupné (poměrně často to bývá převod určité částky v Bitcoinech či jiné kryptoměně šplhající se do řádů desítek milionů Kč). Organizace pak mívají na výběr – složit částku a doufat v dešifrování dat, nebo začít svá data obnovovat ze zálohy. V obou případech však vznikají velké škody.

Jako jeden z posledních mediálně známých případů kybernetického útoku lze uvést případ Fakultní nemocnice Brno, který se stal v březnu roku 2020. Fakultní nemocnice kvůli kybernetickému útoku přišla ke škodě v řádu desítek milionů korun. Byla jí odcizena ekonomická i některá administrativní data. Dokonce nemocnice přišla o internetový objednávkový systém dárců krve. Jak se ale proti kybernetickému útoku bránit?

hacker pixabayZpůsobů je několik.

  • Oddělit kritické systémy, jako je např. transfuzní systém v Nemocnici, nebo systém pro výplatu dávek na ministerstvu apod. do oddělené infrastruktury, aby se k nim případný útočník vůbec nedostal.
  • Aktivně vyhodnocovat hrozby – s tím může pomoci Národní úřad pro kybernetickou bezpečnost. Má experty, nabízí online školení, vydává doporučení.
  • Dodržovat pravidla minimálního přístupu – zjednodušeně – všechny dveře do sítě nebo do systému jsou ve výchozím stavu zavřené, povolen je pouze vybraný a schválený přístup.
  • Používat prvky aktivní ochrany infrastruktury – Intrusion detection system, Intrusion prevension system. Tzn. když už na organizaci někdo útočí, rychle se na něj přijde a zneškodní se v zárodku.
  • Používat kvalitní nástroje pro monitoring infrastruktury. Platí to samé, co bylo napsáno výše. Pokud je provoz podezřelý nebo se systém chová nestandardně, v co nejkratší době na to lze díky kvalitním nástrojům a monitoringu přijít.
  • V případě útoků na nemocnice – dříve neexistovaly plány, jak se bránit kybernetickému útoku. Chyběly věci v podobě seznamu systémů a aplikací a jejich stanovená priorita. Je potřeba vědět, co kde funguje, co se má v případě potřeby zachraňovat jako první a jakým způsobem.
  • Mít kvalitní zálohu dat a hlavně postup, jak data ze zálohy efektivně a rychle dostat. V tomto bodě měly nemocnice také problém. Sice občas jakousi zálohu měly, ale data, která byla na záloze obsažena, byla zastaralá. V dalším případě nemocnice nebyly schopné data ze zálohy dostatečně rychle obnovit, což pak mnohdy způsobovalo omezení provozu.
  • Nechat si pravidelně dělat bezpečností audit nebo ještě lépe – nechat si dělat nezávislé penetrační testy – v podstatě kyberútok nanečisto.

TOP 2 Útoky uvnitř organizace a záměrná zcizení dat

Často se zapomíná na útok uvnitř organizace tzv. insider attack. „Pochopitelně, firmy se tím nechlubí, protože insidery jsou často zaměstnanci, ale nesmíme zapomenout na zajímavou skupinu – bývalí zaměstnanci,“ míní Marcel Poul. Nezřídka se potkáváme s tím, že po ukončení kontraktu zaměstnance, který se nemusí nést nutně v dobrém duchu, zůstanou odchozímu i jeho přístupy jako třeba VPN (vzdálený přístup) včetně dalších přístupů. A právě to by mohl být výrazný problém. Takový člověk se pro svého bývalého zaměstnavatele stává nemalou hrozbou. Může být otázkou času, kdy se v organizaci zjistí únik citlivých dat. „V takové situaci pak není úplně těžké onoho konkrétního jedince dohledat, ale to není pointa. Pointa je, že už mohl napáchat škody, které už z něj nikdy nikdo nedostane. A to nejen přímé škody, kdy několik lidí musí po určitou dobu řešit jejich nápravu, která se mnohdy prodlouží, protože se musí pracovat na obnovách a aktualizaci dat. Pokuta v řádech milionů může být pro firmu to nejmenší. Představte si situaci ohledně zcizených údajů ze zdravotní pojišťovny,“ poukazuje odborník z BCV solutions, https://www.bcvsolutions.eu/.

Vhodným příkladem je zajisté situace ze zahraničí, a to ze Spojených států amerických, kdy nyní již bývalý zaměstnanec Jason Needham odešel v roce 2013 ze strojírenské firmy Allen & Hoshall se sídlem ve městě Memphis ve státu Tennessee a sám založil firmu HNA Engineering. Po ukončení pracovního poměru mu však zůstaly veškeré přístupy k citlivým datům. Marcel PoulNeedham tak i nadále přistupoval k e-mailovým účtům společnosti. Měl přístup k interním souborům, kde si stáhl návrhy projektů, finanční dokumenty, technická schémata a další soubory. Ve firmě Allen & Hoshall o jeho chování nevěděli až do roku 2016, kdy potenciální zákazník obdržel od nově vzniklé firmy návrh, který byl výrazným způsobem podobný tomu z firmy Allen & Hoshall. Ta kontaktovala FBI a v roce 2017 byl Jason Needham obviněn z trestného činu.

Další insider attack může nastat ve chvíli, kdy současný zaměstnanec cíleně zcizí data. Ty pak může prodávat konkurenci (například v případě technických návrhů), dále je pak může používat pro nastartování vlastního byznysu (dostane se ke kontaktům) apod. Částečně tomu může zamezit IdM (Identity Management) – kdy má zaměstnanec přístup ke správným (rozumějte schváleným) datům ve správný čas a na konkrétním místě. Dalším řešením by mohl být kvalitní log management, monitoring, DLP (Data Loss Prevention – systémy na ochranu dat), a zejména dobrý návrh samotné aplikace. Dále pak řízení přístupů pomocí rolí a různé trasholdy (prahové hodnoty) pro "podezřelé" operace v systému – například když si někdo exportuje mnoho dat ze CRM.

Jako další příklad lze uvést americká společnost Tesla, která se kvůli málo důslednému omezení úrovně privilegovaných přístupů svých zaměstnanců musela potýkat se sabotérem. Ten využil svého přístupu k provedení změn kódu v operačním systému Tesla Manufacturing pod falešnými uživatelskými jmény a způsobil tak únik velkého množství vysoce citlivých dat třetím stranám. Na podobnou situaci upozorňovala i agentura Reuters, kdy se americké bankovní společnosti SunTrust Bank pokusil nyní již bývalý zaměstnanec stáhnout údaje o klientech s úmyslem je poskytnou třetí straně,“ konstatuje odborník Marcel Poul, ředitel realizace projektů společnosti BCV solutions.