Kdyby ve firmách nebyli lidé, nemuseli bychom řešit počítačovou bezpečnost. Ale lidé ve firmách pracují a poslední rok navíc rizika rostou, protože se více digitalizuje a pracuje z domova. Nejvyšší čas na bezpečnostní exkurz, který současnou situaci a naše hříchy trochu více zmapuje.
Ještě před tím, než začnu „šermovat“ různými čísly o bezpečnosti a zranitelnostech ve firmách, se podělím o vyprávění vysoce postaveného člověka působícího v důležité firmě, jejíž činnost spadá i do oblasti kritické infrastruktury.
Nedávno její IT experti rozeslali testovací phishingové e-maily, aby si ověřili, jak jsou na tom pracovníci s důvěřivostí a ochotou kliknout na podezřelé odkazy vedoucí do neznáma. Jde o běžnou preventivní techniku, která by měla relativně snadno a docela přesně vyhodnotit firemní zranitelnosti.
A posuďte sami, co mi řekl: „Vtipné je, že jsem nedávno prošel online školením o phishingu, které jsem absolvoval bez problémů. O pár dnů později mi dorazil e-mail, ve kterém stálo, že mi byla doručena faxová zásilka a že mi ji IT oddělení uložilo na firemní server. Stačí kliknout a můžu si ji stáhnout. Nenapadlo mě o tom přemýšlet, protože faxy ze zahraničí nám občas chodí. Byl to testovací e-mail, takže na mě vyskočilo upozornění, že jsem se nachytal a že je to e-mail právě z IT. Takže já to sice zvoral, ale mezi kolegy už jsme si to samozřejmě okamžitě řekli a varovali se, takže v našem oddělení na to už nikdo další neklikl.“
Přirozená snaha si věci zjednodušit
Nemusíme si dělat iluze, že to podobně funguje v mnoha firmách. Bezpečnostní školení a prevence v IT jsou sice užitečné věci, ale faktem je, že drtivá většina běžných pracovníků v reálném fungování reaguje jinak a snaží se zjednodušovat práci. Je to podobné, jako když například systém datových schránek vyžaduje docela silné heslo a jeho pravidelnou změnu, ale vy si jeho znění napíšete do diáře. (Teď jsem se prozradil a slibuji, že to napravím.)
„My, lidé-uživatelé, obecně nejsme vždy důslední v tom, abychom do každé aplikace měli jiné silné heslo, abychom ho každé tři měsíce měnili a aby ho lidé kolem nás neznali,“ vysvětlil už dříve pro Newsroom StartupJobs ředitel technologické společnosti Algotechu František Zeman. A uvedl příklad: „Můžete mít třeba superheslo na admin účet rozdělené na několik částí a každému dát jeho část. Ale je iluze předpokládat, že si kolegové ty části hesla nesdělí, aby byli flexibilnější.“
Častým problémem, který obecně zhoršuje schopnost firem čelit bezpečnostním hrozbám, je iluze toho, že zabezpečení je dostatečné. Luis Corron, bezpečnostní expert Avastu, říká, že situaci podceňují hlavně malé firmy a také startupy, které na začátku věnují pozornost jiným (a jejich pohledu důležitějším) záležitostem. „Bezpečnost tam bývá vnímána jako dobrá, ale jinak podružná věc. Opak je však pravdou. Tím, že bezpečnost nedostává dostatečnou prioritu, je ohrožena celá firma,“ uvedl Corron pro Newsroom StartupJobs.
„Kybernetický útok může v dnešní době firmu v podstatě zlikvidovat a přinutit ji doslova zavřít krám. Představte si třeba firmičku, která byla zasažena ransomwarem a nemá žádné zálohy dat. Kromě toho jsou tyto útoky spojeny také s krádežemi dat, které dále poškozují jméno firmy. Ta může navíc posléze i čelit velkým postihům ze strany úřadů kvůli porušení GDPR či podobných právních předpisů,“ popisuje Luis Corron.
Phishing zažívá velkou renesanci
Podle něj sice většina firem během uplynulých měsíců, tedy v době pandemie a plošných opatřeních v podobě home office, pracovala na zabezpečení a z technické stránky je jejich IT dostatečně kvalitní. O to více se ale útočníci soustředí právě na ty nejzranitelnější články, tedy lidi. „Útočníci nezaháleli, protože kupříkladu phishingové útoky se v letošním roce zdvojnásobily. V době, kdy se všichni připojujeme přes internet, dává krádež přihlašovacích údajů z pohledu kyberzločinu velký smysl,“ dodává expert Corron.
Rozsáhlý prestižní výzkum Cisco Umbrella (společnost Cisco denně na svých síťových zařízeních zpracovává 620 miliard globálních DNS požadavků) ukázal, že během loňského roku se téměř v 90 procentech organizací a firem vyskytl alespoň jeden uživatel, který se pokusil připojit k phishingové stránce kliknutím na odkaz v e-mailu. A počet lidí, kteří se připojovali na phishingové stránky, plošně vzrostl o 100 procent.
Výzkum také dodává, že zhruba polovina firem narazila na aktivitu související se škodlivým ransomwarem. Takže firmy sice investují do IT zabezpečení, ale velmi podceňují chování svých pracovníků. A výsledkem je bohužel mnohem více úspěšných útoků na firemní sítě než v minulosti.
„Útočníci do firemních systémů obvykle pronikají skrze slabiny v nastavení služeb vzdálené plochy či pomocí phishingových útoků mířených na uživatele. Na vzestupu je také metoda exploitace odhalených chyb v softwaru, které firmy nezvládají pravidelně aktualizovat,“ uvedl v nedávném rozhovoru pro Newsroom StartupJobs Martin Haller z Patron-IT, která se věnuje poradenství v IT bezpečnosti a zaměřuje se také na vyjednání s útočníky, kterým se podařilo ransomware do firmy nasadit.
PŘEČTETE SI: Ransomware představuje pro hackery lukrativní byznys. Jak se bránit a kdy začít vyjednávat?
Mnoho firem „dojíždí“ na aktualizace
Právě nedostatečná a nepravidelná aktualizace operačního systému a aplikací, která může souviset právě i s častějším home office, je velkým problémem posledních měsíců a bude přetrvávat i v druhé polovině tohoto roku. „V roce 2020 28 procent firem používalo neaktuální verzi operační systému se zneužitelnou chybou v zabezpečení,“ konstatuje ve své zprávě Cloud Security Report společnost Wandera. A potvrzuje také čísla z výzkumu Cisco – i ona zaznamenala výrazný nárůst výskytu škodlivého softwaru ve firmách i phishingu.
Zajímavosti z průzkumu Cloud Security Report:
- Zařízení se systémem Android bývají až pětkrát častěji zneužity škodlivým softwarem než zařízení Apple. Uživatelé Androidu navíc mají tendenci mnohem déle odkládat aktualizace. Například u rozsáhlé zranitelnosti aplikace WhatsApp, která byla opravena v květnu 2019, měla ještě v červenci více než polovina uživatelů Androidu neaktualizovanou zranitelnou verzi. (Jde o docela zajímavou informaci, se kterou by měli firemní IT experti pracovat, zvláště pokud se zaměstnanci připojují vzdáleně do firemní sítě.)
- Pokles zneužití dat a útoků přes veřejné Wi-Fi sítě v roce 2020 poklesl o bezmála 80 procent, což pochopitelně souvisí s omezením cestování a zavedením home office.
- Pokud jde o phishing, jsou lidé nejzranitelnější v sobotu, kdy jim při práci klesá pozornost a ostražitost.
- Během lockdownu a zavedení hoďme office vzrostlo během pracovní doby o 100 procent množství navštívených webů, které nesouvisejí s prací, a to na soukromých i pracovních počítačích a mobilech. A to je úrodná půda pro zneužití zranitelnosti.
- Až 15 procent firem mělo ve své síti alespoň jedno zařízení používající aplikaci s nedokonalou ochranou uložených hesel, ke kterým se útočníci dostanou velmi snadno (například webové prohlížeče). Na první pohled to není mnoho, ale při dnešních plošných malwarových útocích, které se zaměřují cíleně na zranitelnosti, je to poněkud alarmující číslo.
Návrat do kanceláří jako výzva
S ohledem na všechny zmíněné zranitelnosti, tendenci lidí obcházet bezpečnostní opatření, patří nyní k obavám expertů hromadný návrat lidí z domova do kanceláří.
Útočníci si dobře uvědomují potenciál tohoto přesunu pracovníků a během lockdownu se tiše snažili infiltrovat počítače utajeným škodlivým softwarem, například pomocí takzvaných rootkitů, tedy programů maskujících přítomnost svou nebo jiných nebezpečných programů. A jakmile se zaměstnanci interně a fyzicky připojí do podnikové sítě, mohou tyto ukryté aplikace napáchat další škody.
Správci IT by proto měli tato rizika reflektovat a měli by mít dostatečnou podporu z vedení firem, aby na to měli čas a prostředky. Jinak hrozí, že investice do zabezpečení během pandemického lockdownu a práce na dálku půjdou do ztracena.
Zdroje: Cloud Security Report 2021, Cisco Umbrella
Foto: Pixabay