Počty kybernetických útoků na firmy během pandemie několikanásobně vzrostly a jen málokterá je na ně opravdu připravená. „Slabým článkem jsou většinou zaměstnanci,“ říká Jaroslav Otcovský, vedoucí IT oddělení ve společnosti Asseco Solutions.
Jak často dnes ve firmách dochází ke kybernetickým útokům?
Cílené útoky, kdy si hackerská skupina vytipuje firmu, zas tak časté nejsou. Na denním pořádku jsou ovšem robotické útoky, kdy je napsaný software, který se snaží ve firmách najít nějaké zranitelné místo, ať už v rámci technického vybavení, nebo zejména skrze e-maily na zaměstnance.
Existují nějaké statistiky?
Přesné statistiky bohužel neexistují, ne každá firma tohle nahlásí nebo se tím „chlubí“. Když se to stane, tak to firmy většinou vyřeší na úrovni svého IT, které obnoví data, a pokračují v činnosti. Většinou se pak dozvídáme o útocích, kdy dochází k velkému úniku dat či třeba ochromení fungování dané společnosti. Třeba když byla napadená benešovská nemocnice.
Jakým formám kyberútoků firmy v této době nejčastěji čelí?
Nejčastější formou jsou dnes určitě cílené mailové útoky, tedy phishing. Snahou je obelstít uživatele s cílem získat citlivé údaje nebo u něj v počítači nainstalovat škodlivý kód, díky němuž útočník získá nějaký profit nebo poškodí oběť či systém. Dalším častým typem jsou randsomewary, kdy uživatel klikne na odkaz v mailu a v důsledku toho se zašifrují disky i celá firma. Používají se taky útoky z různých webových stránek, které mohou být hacknuté, a když si je uživatel prohlíží, dovede ho to ke stažení škodlivého softwaru. U firem, které mají někam do světa vystavený remote desktop (software pro vzdálenou plochu), pak často dochází k brute force útokům, jejichž cílem je získat přístupové jméno a heslo. Jde o software, který hledá port, na němž typicky běží protokol RDP. Pokud mu odpoví, zkouší tam typická jména a hesla, jako je třeba administrátor a heslo 1234. Na internetu lze najít seznam top 10 hesel, která by neměla být používána, a přesto je ale firmy používají. Na jedné takové vystavené vzdálené ploše jsme odladili 30 tisíc útoků za den. Časté jsou i DDoS útoky, které cílí na známé instituce, typicky před volbami. Princip je takový, že mnoho zařízení z celého světa dává požadavky na jeden konkrétní server, který je tím zahlcen a pak spadne.
Dějí se i nějaké sofistikovanější útoky než ty automatizované?
Ano, docela zajímavé a řekl bych takové, kdy na druhé straně skutečně sedí člověk, jsou útoky, v rámci nichž si útočník najde firemní hierarchii a osloví třeba někoho z fakturačního nebo účetního oddělení. Pošle třeba e-mail, který se tváří, že je od ředitele, s dotazem, kolik financí je na účtu, a že potřebuje okamžitě odeslat platbu na nějaký účet. Stává se, že účetní ty peníze opravdu odešle.
Vystudoval Vysokou školu finanční a správní v Praze. Než nastoupil do společnosti Asseco Solutions, pracoval jako výkonný ředitel firmy NZ Servis. V Asseco Solutions zastává pozici vedoucího IT. Ve volném čase rád cestuje, sportuje a zajímá se o IT technologie.
Kteří zaměstnanci jsou v tomhle směru nejslabším článkem?
Paradoxně si myslím, že nejvíc chyb dělají ti, kteří působí v obchodní sféře, protože těm chodí velké množství mailů, na něž často nevědomky reagují. Jsou to i asistenti nebo prostě ti, kteří dostávají spoustu e-mailové korespondence. Velmi častým terčem jsou i majitelé nebo management, protože jejich e-mailové adresy nebo jména jsou někde uvedená. Nejvíc jsou „bombardované“ univerzální e-mailové adresy jako info@, fakturace@, obchod@ a podobně.
Zmiňoval jste, že škodlivý software nebo hacker hledá slabé místo v rámci technického vybavení nebo skrze lidi. Co je častější?
V 80 až 90 procentech případů dojde k útokům přes lidi, kteří z neopatrnosti kliknou na škodlivý odkaz ve phishingovém e-mailu.
Jsou nějaké indicie, podle nichž lze poznat phishingový e-mail?
Určitě je to obrovská naléhavost. Třeba „musíte si okamžitě změnit…, nebo vám zablokujeme váš bankovní nebo e-mailový účet“. Bývají to i e-maily jakoby od doručovacích firem. Typicky věci, na které uživatelé reagují, protože je běžně používají. A když pak kliknete a zadáte přihlašovací údaje, nastane problém.
Podle statistik počty phishingových útoků razantně vzrostly během covidu. Proč?
Lidé v té době byli lační po informacích a rádi se proklikli na zajímavý odkaz. Stejná situace byla po útoku na Ukrajinu.
Od covidu lidé taky častěji pracují z domova. Jak moc to může být pro firmy nebezpečné?
Pokud lidé pracují z domova na firemním notebooku, který je zabezpečený a zkontrolovaný, je to relativně bezpečné. Horší je varianta, kdy pracují na svém zařízení, se kterým se připojují do firemního prostředí. Nikdo neví, nakolik je ten domácí počítač zabezpečený a zda v něm není něco škodlivého.
Kolik firmy takové útoky stojí?
Bavíme se zhruba o vyšších statisících. Záleží ale na velikosti firmy a oboru. Tam jde hlavně o to si spočítat, kolik firmu vyjde čas, kdy kvůli zašifrování stojí. Třeba u zmiňované benešovské nemocnice šlo o desítky milionů korun. Na druhé straně, když si představíme malou pekárnu, tak ta je třeba schopna péct chleba pořád. To, že jim týden nejede fakturace, je sice bolestivé, ale tolik je to nezasáhne.
Co můžou firmy udělat pro to, aby se nestaly obětí kyberútoku?
Když už se to stane, je pozdě. Spousta firem se dnes soustředí na zabezpečení hardwaru, používá antivirové programy, ale na zaměstnance zapomíná. Ty je potřeba pravidelně testovat a edukovat. Jednou z možností jsou testovací phishingové kampaně, které je dobré dělat zhruba jednou za kvartál. Ve chvíli, kdy se procento zaměstnanců, kteří se chytli, sníží, to stačí i jednou za půl roku až rok.
Co si pod phishingovou kampaní máme představit?
Jsou to určité šablony, které rozešleme pomocí softwaru na dané mailové adresy. Následně existuje několik variant, co se s daným e-mailem stane. Jedna, že to nahlásí jako phishing, což je to nejlepší, co se může stát, protože v tu chvíli víme, že to poznal a je schopný to nahlásit. Druhá, taky dobrá varianta, že člověk neklikne, smaže to a dál to neřeší. Třetí, ta nejhorší varianta je, že klikne, a ještě další varianta z těch nejhorších, že to rozešle kolegům stylem „podívejte se, co mi přišlo“. Když zaměstnanec chybně klikne, dostane poučení. Přesměruje ho to na naši tréninkovou stránku, kde se dozví, že je to phishing. Teď třeba ještě pracujeme na tom, že u konkrétní šablony budou mít informaci, podle čeho měli poznat, že jde o provedený phishing.
Edukují firmy své zaměstnance?
My ty phishingové kampaně sami nabízíme a většinou je realizuje jen 10 až 20 procent firem. Zbytek to zatím moc neřeší. Nebo o tom uvažují, ale víc se zaměřují na hardwarově-softwarovou obranu, tedy antiviry či firewally.
Je nějaká zásadní chyba, kterou dnes firmy ve své ochraně ještě dělají?
Spousta firem dnes nemá dvoufaktorové (vícefaktorové) ověřování přístupu do firmy, třeba na VPN nebo Office 365.
Jakou roli v otázce bezpečnosti hraje cloudové řešení?
Výhodou ukládání dat v cloudu je právě důraz kladený na bezpečnost. Když si vyberete kvalitního providera, má za sebou i tým lidí, kteří se bezpečností zabývají. Dojde-li k útoku, data pravděpodobně dostanete zpět rychleji, než když je máte v lokální infrastruktuře.
Není bezpečnější mít data na serveru, který mám u sebe, a vím, kdo k němu má přístup?
Myslím, že není třeba se obávat. Pokud má firma přece jen nějaká super citlivá data, může zvolit hybridní řešení a na cloud dát jen ta data, o která se „nebojí“.
Kdy by měly firmy začít uvažovat o cloudovém řešení?
Vždycky. Zajímavé je, že na cloudech funguje velká většina startupů. Z důvodu velkých počátečních nákladů je pro ně praktičtější i levnější pronajímat si jen tolik místa, kolik potřebují, a platit za to měsíčně menší částku. Zajeté firmy o cloudu uvažují v momentě, kdy jim dosluhují servery a přemýšlejí, co dál.