Každodenní počítačové útoky proti firmám s cílem získat miliony na výkupném, ovlivňování voleb pomocí dezinformací či fake news nebo propagace extrémistických ideologií na sociálních sítích. Demokratické země se musí bránit.
Přesun našich aktivit a vlastně i velké části životů do virtuální reality interaktivního počítačového světa nabírá v poslední době doslova závratné tempo. Jenže stejně rychle, možná dokonce o něco rychleji, se rozvíjí také kybernetická kriminalita. Počítačoví zlosyni už dávno nejsou mladíci v kapucích. Kolem tzv. hackerů se dnes točí obrovský byznys a tito lumpové jsou podle odborníků stále vynalézavější. Například v nedávné debatě Hospodářských novin zaznělo, že kyberútoky zaměřené proti firmám v České republice jsou doslova na denním pořádku, podniky prý o nich neinformují a na výkupném platí miliony.
Export Journal komentuje
„Většinu útoků, jež letos v lednu zaznamenal NÚKIB, měla na svědomí hackerská skupina NoName057, která se hlásí k Rusku.“
Hackerství jako byznys
Situaci významně ovlivňuje geopolitické dění, což se samozřejmě dotýká i kybernetické kriminality. Zejména tak, že útočníci jsou stále častěji za provedení útoků placeni hackerskými skupinami, které v určitých případech podporují i některé státy. Například převážnou většinu útoků, jež letos v lednu zaznamenal český Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB), měla na svědomí hackerská skupina NoName057. Skupina se hlásí k Rusku a nabízí platby dalším hackerům, útočícím pod jejich vlajkou.
Zatím poslední Zpráva o stavu kybernetické bezpečnosti, již vydal NÚKIB a která se týká roku 2021, mimo jiné ukazuje na výrazný meziroční růst počtu tzv. incidentů. Konkrétně jich úřad zaznamenal 157, zatímco v roce 2020 to bylo „jen“ 99. Mezi nejčastější typy kyberútoků patřily phishing, podvodné e-maily a také skenování vnější sítě. Respondenti, kteří byli součástí analýzy, považovali za nejzávažnější typy útoků v roce 2021 phishing, pokusy o zneužití zranitelností a ransomware. Pro úplnější obrázek dodejme, že trend potvrzují i statistiky Policie České republiky. Ta v roce 2021 vyšetřovala necelých deset tisíc kybernetických kriminálních případů, zatímco v roce 2022 už jich byl téměř dvojnásobek, necelých devatenáct tisíc.
Méně než procento odhalených
Stanislav Simandl, výkonný ředitel firmy MyCom Solutions, pro Hospodářské noviny vysvětlil, že hackeři jsou firmy, které pracují na zakázku. A to tak, že vytvoří vlastní viry, koupí databázi zranitelných cílů a na ty pak zaútočí. Jejich snahou je donutit oběti, aby zaplatily výkupné. Úspěšnost vytěžení peněz je podle Simandla kolem šedesáti procent, ovšem podíl útoků, jejichž pachatele se podaří odhalit, přitom nedosahuje ani jednoho procenta.
Kyberzločinci se intenzivně zaměřují obzvlášť na malé a střední firmy. Jejich snahou je totiž zasáhnout co největší počet cílů jedním úderem. A tak vzhledem k tomu, že malé a střední podniky tvoří celosvětově více než devadesát procent všech firem, zaměřují se především na ně. Navíc tyto společnosti mnohdy nemají dostatečné prostředky na obranu.
Trestuhodné podceňování
Zranitelnost tuzemských firem je podle odborníků mnohdy důsledkem toho, že nemají ani základní strategii pro kybernetickou bezpečnost a také, což s tím samozřejmě úzce souvisí, podceňují přípravu na útok. Tedy hlavně to, aby i po něm dokázaly rychle obnovit dodávky svých produktů a služeb a obecně věděly, co dělat a jak se chovat. Nejjednodušší cestou dovnitř firmy bývá selhání zaměstnanců. Nemusí to přitom být jejich chyba. Jak poznamenávají analytici slovenské společnosti Eset ve svém e-booku, každý pracovník nemůže být zároveň bezpečnostním expertem.
„Útočníci to vědí a používají techniky sociálního inženýrství, které ‚donutí‘ uživatele kliknout na zákeřný odkaz ve spamu nebo phishingovém e-mailu a navštívit škodlivé webové stránky,“ lze se dočíst v brožuře. Je tedy zřejmé, že jednou z nejdůležitějších věcí, pokud jde o prevenci, je vzdělávání zaměstnanců, mj. pořádání pravidelných školení o bezpečnostní problematice apod. (Podrobnější informace o tom, jak odborníci doporučují kyberútokům předcházet, si můžete přečíst v boxu.)
Problém je ale pochopitelně komplexnější, nelze jen vinit představitele firem z toho, že nebezpečí podceňují. Jak ukazuje průzkum společnosti Sophos z letošního ledna, mezi největší problémy při zajišťování digitální ochrany v českých firmách patří vysoké náklady na pořízení bezpečnostního řešení (myslí si to víc než polovina respondentů), dále je to nedostatek času na implementaci (34 %) a nedostatek kvalifikovaných zaměstnanců (28 %). Analytici Sophosu ovšem také upozorňují na to, že pokud jde o výši nákladů, třeba vedoucí pracovníci v polských nebo maďarských firmách to jako problém tak často nezmiňují.
Průzkum Sophosu rovněž ukazuje, že víc než polovina, téměř 60 procent českých manažerů, neabsolvovala žádné školení v oblasti kybernetické bezpečnosti.
Export Journal komentuje
„Jednou z nejdůležitějších věcí, pokud jde o prevenci, je vzdělávání zaměstnanců, mj. pořádání pravidelných školení o bezpečnostní problematice. “
Povinné osoby se nově budou hlásit samy
Dohánět překotný vývoj v kybernetickém světě a co nejvíc zločincům jejich aktivity ztěžovat, o to se pokoušejí také zákonodárci. Před časem byla schválena evropská směrnice NIS2, která stanovuje řadu pravidel pro tuto oblast a přináší mnohé změny. Ty v České republice nastanou současně s účinností nového zákona o kybernetické bezpečnosti, což by podle plánu mělo být ve druhé polovině příštího roku. (Otázkou ovšem je, jestli je to zvládnutelné. Návrh zákona totiž v připomínkovém řízení údajně „nasbíral“ zhruba tisíc připomínek, takže jejich zapracování nejspíš nebude zrovna rychlé.)
Směrnice NIS2 zjednodušeně řečeno označuje kritické sektory a stanoví minimální úroveň kybernetického zabezpečení proti útokům. Přičemž její znění významně rozšiřuje okruh organizací, na které se vztahuje, a navíc, jak upozorňuje advokát Tomáš Ščerba, přináší úplně nový princip tzv. sebeidentifikace. Co to znamená? Tomáš Ščerba vysvětluje, že pokud vaše organizace splňuje kritéria tzv. povinných osob uvedená ve směrnici, automaticky vám vzniká řada povinností, včetně například registrace na portálu NÚKIB. Nemůžete proto ve většině případů čekat na to, až a popřípadě jestli příslušné kroky zahájí úřad.
Fake news, řetězové e-maily a další radosti
Problematiku kybernetické bezpečnosti je nepochybně potřeba vnímat šířeji a zahrnout do ní například i odolnost proti působení dezinformací, fake news, řetězových e-mailů apod., jejichž původci se snaží o narušení sociální soudržnosti a demokratického systému v České republice a dalších zemích. Stačí si vybavit pár situací z poslední doby. Třeba výrazný nárůst dezinformační aktivity na sociálních sítích, digitálních platformách či v řetězových e-mailech po prvním kole letošních prezidentských voleb v Česku. Byla zaměřena proti současné hlavě státu Petru Pavlovi. Nebo tisíce Čechů, kteří na sociální síti Telegram sledují účty propagující krajně pravicové a konspirační ideologie, například o nadřazenosti Slovanů apod. Popřípadě fakt, že v České republice klesá počet středoškoláků, kteří považují nezávislá média za důležitá pro fungující demokracii.
Že situaci v žádném případě nelze brát na lehkou váhu dokazuje také působení mezinárodní skupiny nazvané „Team Jorge“, která stojí za dezinformačními kampaněmi po celém světě. Skupina, které byla před třemi měsíci odhalena v rámci tajného vyšetřování, prodávala hackerské služby a přístup k obrovské armádě falešných profilů na sociálních sítích. Jak uvedl deník The Guardian, její mozek – Tal Hanan, padesátiletý bývalý příslušník izraelských speciálních jednotek, který pracuje pod pseudonymem „Jorge“ – podle všeho už víc než dvě desetiletí působí v utajení v rámci voleb v různých zemích. On sám tvrdí, že byl zapojený do víc než třiceti prezidentských voleb. Z těchto a dalších signálů je zřejmé, že se demokratické společnosti musejí tvrdě bránit. Jenže česká vláda zatím pouze po krátké době ve funkci propustila zmocněnce pro oblast médií a dezinformací, Michala Klímu, aniž by cokoli mohl předložit. A poté jmenovala svým poradcem pro národní bezpečnost Tomáše Pojara, náměstka ministra zahraničí pro evropské záležitosti, který prohlásil, že neumí definovat, co je dezinformace. Tato blamáž zatím příliš nadějí do budoucnosti, kterou může dezinformační svět nenávratně poškodit, nevzbuzuje.
Jak ve firmách předcházet kybernebezpečí
Analyzujte možná rizika a vytvořte bezpečnostní strategii
Je třeba si ujasnit, co chcete nebo musíte chránit. Primárně je důležité zabývat se aktivy, jež jsou připojená na internet. Dále zabezpečit síť a přístup k systémům, klasifikovat veškerá data, ta citlivá pak šifrovat, zajistit zálohu důležitých údajů atp. V první řadě ale přiřaďte odpovědnost za tuto agendu konkrétní osobě.
Vytvořte plány, co dělat v případě útoku
Vaše organizace by měla být schopná pokračovat v dodávkách produktů a služeb i po bezpečnostním incidentu. Budete-li mít plán, jak po útoku co nejrychleji obnovit provoz, nebudete také donuceni platit výkupné.
Útok nahlaste Národnímu úřadu pro kybernetickou a informační bezpečnost (NÚKIB)
Ten vám v případě potřeby může účinně pomoci, případně i vyslat na místo tzv. tým rychlé reakce.
Zásadně neplaťte výkupné
Pokud vyděrači zjistí, že jste ochotni platit, můžete se snadno stát obětí dalšího vydírání. Navíc neexistuje žádný postup, jak takové výdaje vykázat v účetnictví.
Vzdělávejte své zaměstnance
Je třeba členy vašich týmů pravidelně školit, protože se jasně ukazuje, že pro kyberzločince vede nejjednodušší cesta dovnitř firmy právě přes zaměstnance, kteří mohou snadno podlehnout nějaké formě manipulace. Navíc často na sebe i na firmu nevědomky upozorní, třeba na sociálních sítích.
0 komentářů