Štítek: Kybernetická bezpečnost

Pravidla kyberbezpečnosti zpřísní, firmy ani úřady nejsou připravené

S adaptací na směrnici NIS2 pomůže nová odborná aliance NIS2READY

Odhadem 7000 českých firem a státních institucí bude muset dodržovat novou přísnější směrnici EU o kyberbezpečnosti NIS2. Mnoho podniků a úřadů ale není na změny připravených, upozornili odborníci z dnes představené aliance NIS2READY. Podle tohoto sdružení mívají dotčené subjekty nedostatky například v analýze rizik či segmentaci sítě. Nově přitom budou muset hlídat kyberbezpečnost i u svých dodavatelů. Za nesoulad s NIS2 hrozí milionové pokuty a postihy pro topmanagement.

NIS2 dopadne v různé míře na téměř všechna odvětví ekonomiky. Ukládá povinnosti až 17krát většímu počtu organizací, než které regulovala dosavadní směrnice NIS1.

Všechny dotčené subjekty budou muset vytvářet podrobné analýzy rizik a hlídat kyberbezpečnost i ve svém dodavatelském řetězci. Vyžadováno bude mimo jiné i pravidelné školení zaměstnanců, rychlé hlášení incidentů a sdílení bezpečnostního reportingu na firemní, státní i evropské úrovni. Důležitou novinkou je i nutnost použití evropského systému certifikace produktů kybernetické bezpečnosti. 

Veřejná správa bude muset zlepšit kyberbezpečnost i na komunální úrovni. Za nedodržení pravidel NIS2 budou hrozit pokuty až do výše stovek milionů Kč a zákaz výkonu funkce statutárního zástupce.  

Aliance pomůže i s dotacemi  

Aliance vznikla s cílem zvýšit povědomí o závažnosti NIS2 a pomoci s adaptací na ni. NÚKIB kvůli NIS2 dokončuje nový zákon o kybernetické bezpečnosti, jež má vstoupit v platnost během příštího roku.  

Aliance zahrnuje technické i právní experty, protože jen spolupráce obou skupin zajistí soulad s NIS2. Zároveň Aliance pomůže i s obstaráním dotačních podpor na nezbytné investice do posílení kyberbezpečnosti, které si NIS2 vyžádá.

„Z výzkumu Cybersecurity Readiness Index, který jsme uskutečnili mezi 27 000 odborníky z 21 zemí je patrné, že 82 % firem očekává, že v nejbližších dvou letech bude čelit kybernetickým útokům.  Nicméně jen 15 % z nich považuje úroveň kyberbezpečnosti ve svých podnicích za dostatečně silnou na to, aby se s těmito hrozbami vypořádali. Základní ochranu ICT infrastruktury si přitom mohou firmy zajistit za cenu, jako by každému zaměstnanci koupili měsíčně jednu kávu v globálním řetězci kaváren,“ uvedl generální ředitel české pobočky Cisco Michal Stachník.

„NIS2 bude v mnohém srovnatelná s revolučním nařízením GDPR, kterým EU plošně zpřísnila ochranu osobních údajů. Podobně jako GDPR hovoří i NIS2 o odpovědnosti nejvyššího vedení, takže budoucí kiksy už nepůjde hodit jen na bezpečnostního manažera. Proto je lepší se na NIS2 začít připravovat už nyní. Osvícené firmy už vypracovávají gap analýzy toho, co musí dohnat,“ upozornil vedoucí technologického týmu KPMG Tomáš Kudělka.

Kyberútoky jsou na vzestupu

Policie a NÚKIB loni evidovaly téměř dvojnásobný nárůst počtu kyberkriminálních aktivit oproti předloňsku. Hackeři byli úspěšní například při útocích na Ředitelství silnic a dálnic, na nemocnice a ministerstvo zahraničí. Zranitelnými se ukázala být i řada soukromých firem, ty však incidenty spíše nezveřejňují, aby si nepoškodily dobré jméno.

„Až 70 % tuzemských organizací má problém s kyberbezpečností. Zejména menší a střední podniky často nedodržují ani základní bezpečnostní opatření. Zanedbává se například řízení uživatelských identit, aktualizace softwaru i hardwaru, síťová segmentace, ochrana perimetru, zabezpečení koncových stanic a centrální logmanagement,“ shrnul specialista na kyberbezpečnost ze společnosti Soitron Petr Kocmich.

Dědictví českého předsednictví

Aliance NIS2READY je složená z expertů technologických a poradenských firem a advokátních kanceláří Cisco, KPMG, Soitron, Alef Nula, enovation a eLegal. Aliance nabízí ucelenou odbornou podporu při implementaci NIS2. Na začátek příštího roku chystá tři osvětové a diskusní semináře, také s cílem bojovat proti zavádějícím interpretacím (více na webu www.nis2ready.cz).

NIS2 (Směrnice o síťové a informační bezpečnosti) byla schválena loni v prosinci v závěru českého předsednictví v Radě EU. Nový zákon o kybernetické bezpečnosti chce NÚKIB předložit vládě na začátku příštího roku.

SOITRON NIS2

Informace naleznete i na našich webových stránkách, které se věnují NIS https://www.soitron.cz/nis2/.

Použité zdroje:  

NÚKIB. “ZPRÁVA O STAVU KYBERNETICKÉ BEZPEČNOSTI ČESKÉ REPUBLIKY ZA ROK 2022.” Národní úřad pro kybernetickou a informační bezpečnost, https://www.nukib.cz/download/publikace/zpravy_o_stavu/Zprava_o_stavu_kyberneticke_bezpecnosti_CR_za_rok_2022.pdf. Accessed 14 November 2023.

Nebezpečný vývoj: nárůst zero-click exploitů se stává hrozbou i pro běžné uživatele

Kybernetické útoky prostřednictvím zero-click exploitů nejsou ničím novým. Co však je novým trendem, je to, že cílem se stávají už i běžní uživatelé.

Zero-click exploit je zneužití bezpečnostní chyby v softwaru, které umožňuje útočníkovi vzdáleně provést útok na zařízení bez interakce uživatele. Tato technika může být použita k účelům jako je špionáž, ovládnutí zařízení, šíření malwaru, a dokonce vydírání. Celkově jde o velmi nebezpečnou techniku, která může mít značný dopad na bezpečnost a soukromí uživatelů. Špatnou zprávou je, že proti těmto útokům mají uživatelé jen velmi omezenou obranu.

„Fakt, že počty skupin specializující se na tento druh útoku narůstají, je velmi znepokojivý. Útočníci si osvojili techniky, dříve využívané pouze vysoce profilovanými složkami, jako jsou například státní či vládní organizace a tajné služby. Kyberzločinci využívají modelu, kdy je prodávají za jednorázovou platbu (Exploit as a Service), pro napadení soukromého sektoru, respektive běžných uživatelů, tedy nejen vysoko postavených nebo politicky exponovaných osob, vládních organizací a dalších cílů s cennými informacemi,“ uvádí Petr Kocmich, Global Cyber Security Delivery Manager společnosti Soitron. Proto je podle něj důležité, aby nejen podniky, ale i uživatelé dodržovali metody a postupy nejlepší praxe doporučované v oblasti kybernetické bezpečnosti a starali se o ochranu svých zařízení před případnými útoky.

Dopad zranitelností

Jedním z nejznámějších a dobře popsaným zero-click exploitem, byl spyware ENDOFDAYS, který sloužil ke kompromitaci iPhonů, konkrétně pozvánek v iCloud kalendáři.

„ENDOFDAYS je ukázkovým případem, kdy bez nutnosti jakékoliv interakce ze strany uživatele, útočník dokáže ovládnout celé zařízení. A to včetně exfiltrace nahrávek hovorů díky přístupu k mikrofonu, ovládnutí přístupu k GPS lokaci zařízení. Útočník dále získá přístup k přední i zadní kameře, možnost prohledávání souborů v zařízení a maskování samotného spyware, aby nedošlo k jeho odhalení. Samotný spyware se do zařízení dostane zcela triviální cestou – a to odesláním speciálně vytvořené pozvánky do iCloud kalendáře, se staršími časovými razítky (pozvánka, která již proběhla v minulosti,“ popisuje Petr Kocmich.

Taková to pozvánka je automaticky přidána do kalendáře uživatele bez jakéhokoliv upozornění nebo výzvy, což umožňuje, aby exploit ENDOFDAYS běžel bez interakce uživatele a útoky byly pro cíle neodhalitelné. Zranitelnost byla v nových verzích systému opravena, ale chyba se týkala všech verzí iOS od verze 1.4 až do verze 14.4.2 a podle informací plynoucích z výzkumu, byla aktivně zneužívána především v roce 2021

Navzdory tomu se i dnes objevují pokročilé aplikace, které se umí vyhnout detekci a zaměřit se na konkrétní zranitelnost. „Tady se jasně ukazuje i to, proč je nutné zařízení pravidelně aktualizovat. Zero-click exploit totiž může být přítomen v zařízení po neomezeně dlouhou dobu, aniž by si toho uživatel byl vědom. Proto je nutné dodržovat zásady kybernetické bezpečnosti a zajistit, aby byl software vždy aktuální a aby byla použita další bezpečnostní opatření, upozorňuje Petr Kocmich.

Terčem jsou i další

Pro Apple to však není první a ani poslední objevený příklad zero-click exploitu. Například v roce 2020 byla odhalena chyba v aplikaci iMessage, kterou mohli útočníci využít k vzdálenému spuštění škodlivého kódu na zařízeních uživatelů, aniž by bylo třeba kliknout na odkaz nebo otevřít přílohu. Tyto chyby se však zdaleka nevyhýbají ani konkurenčnímu operačnímu systému Android a ani jednotlivým mobilním aplikacím.

„O některých zneužitelných zranitelnostech v aktuálních verzích operačních systémů a aplikacích ještě ani nevíme, ačkoliv mohou být již zneužívány. Dokud se na tyto zranitelnosti nepřijde, mohou být nejprve využívány pro účely špionáže a „vyšších zájmů“, posléze zpeněženy formou prodeje Exploit as a Service služby zákazníkům na Dark Webu“ dodává Petr Kocmich. Ukazuje se tedy, že i běžní uživatelé mohou být ohroženi zero-click exploitem.

Sofistikovanost útočníků se zvyšuje

Zero-click útoky jsou obvykle založeny na chybách v softwaru, a to včetně operačních systémů, aplikací a služeb. Nezodpovězenou otázkou však zůstává to, zda jde jen o chyby, nebo něčí úmysl.

„Čím rychleji se nový software vyvíjí, tím více roste snaha o řízení a zabezpečení kódu a celého softwarového vývojového cyklu. Automatizujeme testování, zařazujeme dodatečné bezpečnostní testy v raném stádiu vývoje (Shift-Left do  CI-CD pipeline), provádíme statickou a dynamickou kontrolu kódu, využíváme umělou inteligenci k dohledání chyb v kódu, výsledný celek podrobíme automatizovanému, ale i manuálnímu penetračnímu testování, avšak bylo by pošetilé se domnívat, že všechny typy zranitelností vznikají jen běžnými chybami v kódu a pak tedy vyvstává otázka, zda nejsou některé zranitelnosti spíše záměrnými zadními vrátky, sloužícími pro konkrétní účely,“ zakončuje Petr Kocmich.

Systémy pro správu FVE se mezi veřejně dostupnými řídicími systémy na internetu stávají tikající bombou

Tuzemské podniky začaly více chránit své řídicí systémy. Jak vyplývá z dat společnosti Soitron a jejího bezpečnostního oddělení Void SOC (Security Operations Center), jen od začátku roku 2022 do dnešních dnů počet vystavených a viditelných různých zařízení na internetu klesl o 21 %. Současná situace však stále není chvályhodná. Alarmujícím nebezpečím se navíc pomalu stávají řídicí systémy fotovoltaických elektráren (FVE), a to jak průmyslových, tak těch domácích.

V meziročním srovnání (01/2022 vs. 01/2023) došlo ke snížení celkového počtu veřejně dostupných ICS (průmyslových řídicích systémů) alespoň v jednom z osmi sledovaných protokolů jako jsou Moxa, Modbus, Tridium apod. Zjistil to tým analytiků Void SOC společnosti Soitron. „Jde o mírné zlepšení, které ale v absolutních číslech znamená stále více než 1 500 zranitelných systémů v organizacích, což je stále značně velké riziko. A to hovoříme pouze o osmi nejčastěji používaných typech protokolů. Pokud si množinu rozšíříme na několik desítek druhů protokolů, najdeme jich více než 2 300,“ komentuje výsledky Martin Lohnert, ředitel dohledového centra kybernetické bezpečnosti Void SOC a dodává, že by bylo skvělé, kdyby klesající trend byl způsoben zvyšujícím se zabezpečením těchto průmyslových systémů, čímž by přestaly být „viditelné“ v tomto reportu.

Smutnou realitou je ale často opačná situace, kdy ICS z internetu „zmizí“ teprve potom, co bylo zneužito útočníky, a tak přestalo fungovat. Při jejich obnově si už provozovatelé dají větší pozor a neopakují původní chyby. Bohužel je to však často jen reakce na spáchané škody.

Díky fenoménu FVE je tu nový problém

Navzdory celkovému úbytku a mírnému zlepšení situace, prakticky stále přibývají nové zranitelné systémy. „Mezi takovými se v minulém roce nejčastěji objevovaly řídicí systémy fotovoltaických elektráren. A to nejen těch průmyslových se stovkami instalovaných solárních panelů, ale i domácích,“ vyzdvihuje Martin Lohnert. Proto by podle něj mělo být v zájmu provozovatelů zajištění zabezpečení, aby zařízení bylo chráněno před internetovými bezpečnostními hrozbami. Mezi základní kroky patří změna výchozích přihlašovacích údajů, omezení přístupů, pravidelná aktualizace firmwaru či sledování pokusů o zneužití či přihlášení.

Potenciální problém spočívá nejen v deaktivování daného systému, a tím pádem škodám například ve výpadku výroby sluneční energie, ale také v nákladech na nezbytnou opravu. Zároveň je nutné si uvědomit, že při úspěšném průniku do slabě zabezpečeného průmyslového systému podniku může útočník dále nepozorovaně napadnout často i důležitější systémy, které jsou nezbytné k jeho chodu. Potom může dojít k tomu, že organizace přestane fungovat zcela a škody jdou do milionů korun.

Česko zaostává, ale řešení existuje

Přestože dohledové centrum Void SOC společnosti Soitron zaznamenalo pozitivní trend, je velmi pravděpodobné, že počet potenciálních rizik bude v budoucnu naopak stoupat. Jak Česko, tak Slovensko totiž ještě zásadnější digitalizace průmyslu čeká. Obě země stále výrazně zaostávají za ostatními zeměmi Evropské unie, a to v mnoha dimenzích digitální transformace. Například Slovensko je až na 24. místě a Česko na 20. místě z 27 zemí EU v indexu digitální ekonomiky a společnosti (DESI), který sleduje Evropská komise od roku 2014. S postupující digitalizací je spojeno postupné zavádění nových technologií – např. řídicích systémů ve výrobě, implementace různých senzorů, programovatelných logických prvků, rozhraní mezi člověkem a strojem apod. – nebude-li se dbát na jejich zabezpečení, budou stoupat i čísla v tomto průzkumu.

Je také zřejmé, že aby v digitalizaci došlo k výraznému posunu současného stavu kybernetické bezpečnosti, mnohé průmyslové podniky budou potřebovat investovat do nástrojů, technologií a specialistů na jejich obsluhu. Ve většině organizací (zejména malých a středních podniků) to ale není možné. „Nejčastějšími důvody jsou nedostatečné finance a obecný nedostatek kvalifikovaných odborníků v oblasti kybernetické bezpečnosti. Proto očekáváme, že než nastane uvědomění a posun k lepšímu, situace se nejspíše bude zhoršovat. Jistým řešením je tak svěřit se do péče odborníků, kteří se postarají nejen o kompletní zabezpečení podnikových systémů a infrastruktury, ale díky dohledovému centru budou mít vše pod kontrolou 24 hodin denně, 365 dní v roce,“ dodává Martin Lohnert.

Aby se OT síť nestala zranitelnou

Zabezpečení průmyslových sítí je v současné době pro firmy zásadním tématem, a proto mu věnují více pozornosti. Dobře vědí, že kybernetické útoky na průmyslové technologie (OT, někdy též ICS) jsou stále častější a sofistikovanější, což zvyšuje nejen riziko napadnutí a ztráty dat, ale především výpadek ve výrobě, který může společnosti stát i desítky milionů korun.

V minulosti byly OT primárně zaměřeny na řízení a automatizaci průmyslových technologií a procesů. Systémy byly navrženy pro zpracování velkého množství dat v reálném čase a důraz se kladl především na to, aby byly spolehlivé a odolné vůči poruchám. Proto je stále důležitější integrovat OT s IT a vytvořit tak bezpečné propojení mezi oběma systémy. To průmyslovým firmám umožňuje lépe řídit své procesy a zlepšit produktivitu.

Moderní OT musí být schopny řídit a chránit průmyslové systémy v reálném čase a zároveň být odolné proti kybernetickým hrozbám. Proto je stále důležitější integrovat OT s IT a vytvořit tak bezpečné propojení mezi oběma systémy. To průmyslovým firmám umožňuje lépe řídit své procesy a zlepšit produktivitu. Ačkoliv to zní jako pohádka a fúze těchto dvou světů nám přináší jen samá pozitiva, tak je třeba dodat, že fúzí „IT světa“ do „OT světa“ poodkrýváme problematiku bezpečnosti z pohledu standardizace a možných plošných útoků. Běžné zranitelnosti OT světa, které jsou tu s námi od věku věků, se ve velkém tak často nezneužívaly, jako dnes. Propojením obou světů vzniká nový vektor útoku, kdy přes nezabezpečenou IT infrastrukturu můžeme napadnout zranitelnosti již zmiňovaného OT světa a proto je natolik nutné, se průmyslovou kybernetickou bezpečností o to více zabývat.

Aktuálnost Purdue modelu

Už v roce 1990 byl v USA vyvinut tzv. Purdue model (známý jako PERA). Dodnes je považován za jeden z nejrozšířenějších architektonických modelů v oblasti provozní technologie.

Purdue model poskytuje ucelený rámec pro řízení a automatizaci průmyslových procesů a umožňuje oddělit (segmentovat) funkce a odpovědnosti mezi různými úrovněmi řízení a automatizací. Kybernetické hrozby se neustále vyvíjejí a propojení továrních IT a OT systémů útočníkům nahrává do karet – mnoho výrobních a průmyslových firem se stalo terčem např. plošných ransomwarových útoků právě z důvodu nedodržení řádné segmentace. Proto je nutné průmyslové sítě segmentovat, neustále monitorovat a aktualizovat bezpečnostní opatření v souladu s nejnovějšími hrozbami a trendy v oblasti kybernetické bezpečnosti.

Mezi nejčastější hrozby v průmyslu patří:

  • ovládnutí koncové stanice v průmyslové síti a následný pivoting
  • podvržení/zneužití autorizovaného vzdáleného přístupu
  • útok na bezdrátová spojení
  • získání fyzického přístupu k výrobní síti a zařízením
  • instalace cizí fyzické komponenty za účelem získání či úpravy přenášených dat.

Pět základních bezpečnostních principů a pilířů

Existuje několik základních bezpečnostních principů a pilířů, které jsou účinné a důležité pro zajištění kybernetické bezpečnosti v průmyslu. Není novinkou, že díky fúzi IT světa do světa OT, jsou tyto pilíře převzaty právě z IT světa (avšak doplněny o specifika OT – např. proprietární ICS protokoly atp.) Mezi hlavní principy a pilíře patří:

Viditelnost – nelze chránit to, o čem se neví. Proto je vhodné udržovat aktuální seznam všech zařízení připojených k síti a provádět behaviorální analýzu jejich komunikace. Dalším předpokladem je pravidelné skenování stavu a verzí (OT/IT) zařízení. Objevené zranitelnosti je nutné záplatovat.

Segmentace – dalším pilířem je izolace, filtrování a inspekce síťového provozu. Předpokladem je nasazení NGFW (OT) pro řádnou (micro)segmentaci a filtraci sítového provozu. Využívat by se měly funkce IPS/IDS (OT) a virtuální záplatování. Zapomenout se nesmí ani na zabezpečení e-mailového a internetového provozu a kontrolu neznámých souborů.

Endpointy – EDR/XDR řešení umožní sbírat informace o tom, co se na zařízeních děje (včetně správy USB zařízení).

Access Management – vhodná je rovněž centralizovaná správa uživatelských/strojových identit, avšak za předpokladu striktně oddělené průmyslové a korporátní identity. S tím souvisí, že vzdálené přístupy by měly být zabezpečené pomocí MFA. Ke správě sítě a řízení zařízení by měly být využity Jump Servery a implementovány systémy určené k řízení přístupu k síti (NAC, 802.1x).

Auditing, Backup, Compliance, Response, Risk, SIEM/SOC – po zapojení sběru dat je vhodné centralizovat a vyhodnocovat bezpečnostní logy. Robustní backup strategií lze připravit na neočekávané situace. Zapomínat by se nemělo ani na pravidelné školení administrátorů a zaměstnanců. Stejně tak nepodceňovat analýzu rizik, což lze vyřešit zavedením nebo alespoň inspirováním se normou IEC 62443. A samozřejmostí je vyžadovat dodržování bezpečnostních zásad po dodavatelích.

Odborný přístup

Průmyslové řídicí systémy kombinují mnoho složitého hardwaru a softwaru (mnohdy bohužel i velice zastaralého). Aby si výrobní společnosti udržely nejvyšší úroveň připravenosti na kybernetickou bezpečnost v OT, musí být při implementaci ochrany proaktivní. S tím mohou pomoci specializované týmy. Proto nečekejte, domluvte si konzultaci a zjistěte, jak je na tom vaše firma.

Moderní bezpečnost SASE

Tradiční představa o bezpečnosti zajištěné „uvnitř firmy“ pomocí ochrany perimetru vs. moderní bezpečnost na bázi „zero-trust“, práce odkudkoliv a s prostředky ve firmě i mimo firmu.

IT prostředí ve firmách se v posledních letech proměnilo. Pandemie COVID-19 přinesla změnu způsobu práce, kdy data a aplikace musí být k dispozici i zaměstnancům, kteří nesedí v kancelářích uvnitř firmy. To dramaticky ovlivňuje chápání kyberbezpečnosti. Jak se tomuto trendu přizpůsobit, o tom si náš kolega Petr Kocmich povídal se svým hostem Milanem Habrcetlem ze společnosti Cisco.

Pokud se bavíme o lepší bezpečnosti ve firmách, tak nestačí jen někde něco doplnit k tomu, co jsme měli dříve. Je potřeba nový koncept bezpečnosti, který se označuje jako SASE (Secure Access Service Edge). 78 % firem je teprve někde na své cestě k SASE. Pokud se chcete dozvědět více o tomto konceptu, podívejte se na naše video níže.


SASE

Odborníky na bezpečnost frustrují aktualizace systémů

Neúnavné a stále zrychlující se tempo kyberzločinců uvaluje profesionály v oblasti kybernetické bezpečnosti do cyklického a nekončícího procesu oprav. Trvale pracují na tom, aby systémy v jejich správě byly, co možné nejméně zranitelné, nicméně pro většinu organizací se zvyšující míra rizik stává neudržitelným. Výsledkem je, že IT odborníkům chránící podnikové systémy způsobují frustraci, která může vést až k jejich vyhoření.

Stejně jako smartphony či počítače upozorňují na vhodnost instalace právě vydané aktualizace, tak i samotný hardware počítačových sítí musí procházet pravidelným upgradem svého softwaru a firmwaru. Tím dochází k řešení oprav zranitelných míst, která by mohla vést k potenciálním bezpečnostním incidentům. Jenže, odborníci na kybernetickou bezpečnost aktuálně čelí chronickému vydávání oprav různých zranitelností a stav se přitom nadále zhoršuje.

Situace se mění od špatné k horší


Organizace všeho druhu po celém světě se ocitly v nekonečné smyčce masivního záplatování zranitelností. Ty se dokonce objevují tak rychle, že než je vydána záplata na dříve objevenou chybu, už hrozí nové potenciální riziko. „Tento nekonečný až chronický cyklus zranitelností, respektive záplat, přispívá k apatii mezi mnoha podniky a odborníky v oblasti kybernetické bezpečnosti,“ uvádí Petr Kocmich, Global Cyber Security Delivery Manager společnosti Soitron. Důvody k jejich případné rezignaci mohou být různé. Nejčastěji se tak však děje z důvodu nedostatečného počtu lidských zdrojů (odborníků na kyberbezpečnost) pracujících v organizacích.

Odhalené zranitelnosti jsou přitom pouze špičkou ledovce, protože představují pouze přibližně 10 % objevených potenciálních rizik, o kterých se ví a pracuje na jejich řešení. Mezitím vývojáři softwaru, hardwaru a IT systémů při pracích vedoucích k nápravám mohou na svět, díky dalším vneseným chybám v kódu, vnést nová potenciální zranění.

frustrovana pouzivatelka PC ukazujuca na monitor

„V praxi se tak paradoxně může stát, že aktualizací odborníci na kybernetickou bezpečnost ve firmách ‚nasadí‘ více problémů, než kolik se jich dostupným updatem snaží vyřešit. Ačkoliv se dá drtivá většina instalací bezpečnostních záplat poměrně dobře automatizovat, stále zde zůstávají nutné procesy v rámci aktualizací a povyšování verzí jednotlivých systémů a firmwarů. Příkladem mohou být právě síťové prvky, kdy upgrade mnohdy vyžaduje dodatečné dlouhé testování a samotné odstávky systémů včetně specifických procesů při přepnutí na právě zaktualizovaný systém při režimu vysoké dostupnosti. Tyto aktivity mnohdy provází frustrace a strach z upgradu na rádoby stabilní a testované verze systémů, jež ruku na srdce, nejsou zrovna vždy stabilní a 100% funkční, jak výrobce tvrdí. Tímto nešvarem bohužel trpí prakticky všechny produkty dnešní doby. Technologie se stává čím dál více komplexnější a z důvodu snahy výrobců dohánět konkurenci implementují nové a nové funkce a integrační prvky (které mnohdy ani zákazník nepotřebuje) a tím zvyšují komplexitu potřebného kódu a riziko zanesení chyb do kódu. Výrobcem prováděné (automatizované) testování technologie v simulovaném prostředí pak v rámci možných konfigurací a komplexních integrací v reálném světě nemůže nikdy odhalit všechny možné chyby. A toto pro administrátory a inženýry představuje obrovské riziko, vedoucí až k jejich vyhoření,” dodává Petr Kocmich. Odhodlání odborníků totiž výrazně klesá, protože si uvědomují, že organizace jsou více zranitelnější.

Věčný stav obrany není udržitelný


Pro toho, kdo se věnuje bezpečnostním rizikům, nejde o žádné nové zjištění, protože tempo a sofistikovanost hrozeb se neúnavně zvyšuje a čelí mu nejen soukromé organizace, ale prakticky každý jednotlivec včetně vládních subjektů. Kyber útočníci jsou tak nejen stále efektivnější, chytřejší, kreativnější ale také čím dál tím hlouběji pronikají do počítačových systémů, a to takovou rychlostí, než jaké jsou možnosti kybernetické bezpečnosti.

„Nadále bude platit pravidlo, že bezpečnost reaguje na aktuální typy útoků, učí se z nich a prakticky stále dobíhá pomyslný ujíždějící vlak s útočníky. Dobrou zprávou však je, že odborníci na bezpečnost za tím vlakem neběží tak daleko, ale že se tak tak chytají nástupního madla,“ sděluje Petr Kocmich.

Vzhledem k tomuto novému faktu musí podniky vytvořit takovou správu oprav, aby byla účinná a uvědomit si, že ne všechny záplaty mohou být prospěšné. Nasazení těch špatných může způsobit výpadky systému nebo problémy s jinými aplikacemi a systémy.

„Proto je v mnoha ohledech zapotřebí mít kvalitně připravené testovací prostředí, které by v ideálním případě kopírovalo prostředí produkční (ano, toto není ani jednoduché, ani levné) a na kterém by bylo možné záplaty a hlavně přechody na vyšší verze pravidelně a dostatečně testovat,“ dodává Petr Kocmich. Velkou měrou k vyšší chybovosti přispívá zrychlené vydávání množství oprav, a to nejen těch důležitých z pohledu bezpečnosti, ale také těch, které se v dobré víře snaží dohnat, tedy implementovat vlastnosti, které konkurence již nabízí.

I přestože se před vydáním oprav i updatů provádí rozsáhlé testování, včetně penetračních testů, nikdy nemůže být zaručeno, že dostupné změny jsou dokonalé. Avšak adekvátní metodika testování ve vlastním firemním prostředí snižuje riziko toho, že bezpečnostní tým organizace nasadí špatnou opravu.

Udržování pozitivního myšlení


Dalo by se říci, že nahnutou válku – z důvodu oslabené pozice, jako je ta, ve které operují odborníci na kybernetickou bezpečnost – ještě více ztěžuje klesající míra optimismu. Proto nejdůležitější je nepřestat a pokračovat v boji.

Jak ale vyrovnat tuto nepopiratelnou nerovnováhu mezi nadějí a realitou? Slavit každý dílčí úspěch, školit, školit a školit, a to nejen v oblasti kybernetické bezpečnosti a důsledně kontrolovat dodržování zavedených adekvátních procesů. „Odborníci v oblasti kybernetické bezpečnosti by se měli posilovat tím, že budou pravidelně a metodicky rozvíjet své dovednosti a aktivně přispívat do bezpečnostní komunity svými zkušenostmi a poznatky a šířit tak bezpečnostní osvětu,“ říká závěrem Petr Kocmich.

Hackerské skupiny do fiktivních kyberbezpečnostních firem verbují odborníky

Drzost hackerských skupin nezná meze. V honbě za financemi již neváhají rekrutovat softwarové inženýry, kteří by jim pod rouškou penetračního testování pomohli provést ransomwarové útoky. Za tímto účelem zakládají „legitimní“ společnosti jejichž předmětem podnikání má být kybernetická bezpečnost. Ale pozor, opak je pravdou! Schopnosti IT odborníků jsou zde nevědomky zneužívány k tomu, aby objevili bezpečnostní slabiny, které by se daly kyberzločinci následně využít.

Toto počínání dokazuje případ zavedené ruské hackerské skupiny FIN7, která funguje od roku 2015 a jejíž celková „tržní kapitalizace“ se odhaduje už na miliardu dolarů. Podle výzkumníků z poradenské jednotky Gemini Advisory společnosti Recorded Future skupina založila a provozovala firmu Bastion Secure – se sídlem na skutečné adrese, několika pobočkami po celém světě, telefonními čísly, vlastními firemní webovými stránkami, a vše bylo podpořeno výsledky v Google vyhledávači a pozitivními referencemi zastřešenými renomovanými světovými firmami. „Firma Bastion Secure pro soukromé společnosti a organizace z veřejného sektoru měla poskytovat služby v oblasti penetračních testů, což je metoda ověření zabezpečení počítačových zařízení, systémů nebo aplikací,“ vysvětluje Martin Lohnert, specialista pro oblast kyberbezpečnosti v technologické společnosti Soitron.

Třetím krokem ve výběrovém řízení je útok

Fiktivní společnost přitom byla pouze zástěrku pro zveřejňování inzerátů na pracovních portálech s cílem najmout na různé pozice experty na kybernetickou bezpečnost. Pracovní nabídky lákaly softvérové inženýry, systémové administrátory, či C++, Python a PHP programátory. Na ty, kteří se přihlásili, čekal třífázový pohovor:

  • První kolo: žadatelé o zaměstnání absolvovali videopohovor s HR zástupcem Bastion Secure. Po úspěšném absolvování došlo k podepsání dohody
    o mlčenlivosti.
  • Druhé kolo: již zaměstnanci obdrželi od společnosti legitimní nástroje potřebné k penetračnímu testování, aby mohli plnit úkoly.
  • Třetí kolo: zaměstnanci obdrželi zadání, ve kterém byli vyzváni, aby provedli penetrační test pro jedno ze zákazníků Bastion Secure.

Odpovědnost v tomto případě nese tester

Je potřeba zdůraznit, že v tomto procesu se nikde neobjevily žádné právní dokumenty opravňující testera penetrační test provést, jak je v takovýchto případech zvykem. „Tím existuje riziko, že pokud by byl tester odhalen, mohl by být podle platné legislativy státu, ve které společnost, kterou testuje, stíhán. On jako jednotlivec, nikoliv hackerský gang, pro který pracoval. Byl by to totiž on, kdo pokusy o útok provádí,“ zdůrazňuje Martin Lohnert.

Zástupci Bastion Secure po těchto svých zaměstnancích dále požadovali, aby v případě úspěšného proniknutí do podnikového systému hledali především firemní data, včetně záloh. Vše vlastně odpovídalo krokům, které se provádí při pokusu
o ransomwarový útok.

Zaměstnat testery je levnější a snazší

Pokud jde o důvody, proč zločinecká skupina jako FIN7 zašla tak daleko, aby provozovala falešnou bezpečnostní společnost, odpověď je nasnadě. „Najmout člověka pro nelegální aktivity není vůbec snadné. Šikovných pen-testerů je nedostatek a na trhu jsou atraktivní nabídky od renomovaných firem, kde jim rozhodně nehrozí trestní stíhaní. Pro FIN7 bude proto snazší i levnější získat takto nic netušící zaměstnance než spolupracovat s jinými hackerskými skupinami nebo hackery rekrutovanými z darknetu, kteří by třeba požadovali určité procento ze zisku,“ prozrazuje Martin Lohnert. Výkupné požadované po napadených firmách může v některých případech dosáhnout milionů amerických dolarů.

Taktika provozování falešné bezpečnostní firmy není nijak zvlášť nová. Sama skupina FIN7 ji už využila v roce 2010, kdy používala další falešnou bezpečnostní firmu s názvem Combi Security. „Alarmující na tomto příkladu je však to, že v dnešní době práce z domova, lidi hledající práci, či přivýdělek mnohdy nenapadne verifikovat zakázky zaměstnavatele. A už vůbec je nemusí napadnout, k čemu všemu mohou být zneužití. Automaticky předpokládají, že společnost, která o ně má zájem je legitimní, a tudíž ji důvěřují ve všem. Včetně toho, že od svého zákazníka má povolení provádět penetrační testy,“ uzavírá Martin Lohnert.

Nejbohatšího Ježíška budou mít letos hackeři

Letošními vítězi Vánoc budou hackeři. A to bez nadsázky. Kybernetická bezpečnost je v současné době jedním z hlavních témat, která se řeší po celém světě. V době covidové, kdy nemalá část lidí je nucena žít více doma, rostou i nákupy on-line. Růst e-commerce scény je hlavním impulsem pro hackery, kteří vymýšlejí nové a ještě více promyšlené útočné strategie. I proto jsou vánoční podvody v plném proudu a jejich akceleraci umocňuje další nová prosazující se finta, která se jistě naplno projeví počínaje pátkem 26. listopadu, tedy na Black Friday.

Zatímco internetové obchody se připravují na očekávaný nárůst denních tržeb, paralelně je zapotřebí počítat s tím, že v tomto období – a letos, díky přetrvávající pandemii, ještě více než kdykoliv jindy – vzroste počet kybernetických útoků. Vánoce jsou pro počítačové piráty velmi výnosným obdobím. S blížícími se svátky a koncem roku jde dost často obezřetnost stranou a lidé jsou schopni se nachytat na nejrůznější kybernetické podvody.

Společnost je pod velkým manipulačním tlakem


Toho už léta využívají útočníci a jejich techniky se aktuálně čím dál tím více zaměřují na zneužití automatizovaných systémů za účelem provedení určité akce nebo získání určité informace – principy sociálního inženýrství. Nejenže podvodníci v automaticky rozesílaných phishingových e-mailech lákají na předvánoční půjčky, na slevy elektroniky, hraček a dalších vánočních dárků, s cílem od lidí vylákat hotovost a jejich citlivé údaje, ale k podvodům ještě více využívají i mobilní telefony.

Poplatek za opakované dodání, může skýtat problém

„Všem nám chodí balíčky s objednanými vánočními dárky. Díky vzrůstajícímu množství již ztrácíme ale přehled, kde jsme si co objednali, a kdy má co vlastně přijít. Toho využili hackeři a objevili nový typ útoků, kdy na mobilní telefon kupujícího přijde nevinná informační SMS zpráva,“ prozrazuje Martin Lohnert, ředitel centra kybernetické bezpečnosti Void SOC a IT odborník společnosti Soitron.

V ní je uvedeno, něco ve smyslu, váš balíček se nám nepodařilo doručit, pro rezervaci nového termínu doručení nebo vyzvednutí následujte tento odkaz. Pokud tak příjemce učiní, otevře se stránka přepravní společnosti. A protože nikdo z nás se neorientuje, jak vypadají weby spedičních společností, a vlastně si ani nepamatujeme, kdo nám má který balíček přivézt, nikoho nenapadne, že může jít o podvodnou stránku.

Pikantní na tom je, že pokud je odkaz otevřen z počítače, tak se zobrazí seriózně vypadající stránka. Pokud z mobilu, potom se nezobrazí celá adresa webu, ale toho si většina lidí nevšimne, a tak dochází k využití triku, kdy podvržená část je skryta.

„Jestliže příjemce balíčku smsce uvěří a klikne na odkaz, objeví se na phishingové stránce, na které se píše, ano, váš balíček nebyl dodán, zadejte, kam se má doručit,“ dodává Martin Lohnert.

Po odeslání těchto informací čili adresy, jména, atd., se zobrazí opět zpráva s omluvou a textem, že pro opakované doručení je nutné uhradit manipulační poplatek v řádech několika korun.

Hacker získá kompletní balíček


Asi nikdo nebude mít moc velký problém v předvánočním shonu takovouto malou částku uhradit – jen aby mu kýžený balíček s dárkem dorazil. Jenže, úhrada se odehrává prostřednictvím platební karty. A tak pointa je v tom, že po zadání údajů z platební karty nedojde ke stržení uvedeného finančního obnosu, ale kompletnímu odcizení její identity.

V tuto chvíli hackerům již nechybí vůbec nic. Mají mobilní číslo, kontaktní adresu,
a dokonce i platební kartu – známá je identita člověka a jeho platební údaje.
A takovýto kompletní balíček informací na černém trhu má svoji hodnotu. „Logicky lze očekávat, že těchto podvodů se objeví nejvíce na Black Friday a v následujících dvou týdnech po něm,“ dodává závěrem Martin Lohnert.

Zaujal vás článek? Čtete dál!

Watering hole. Oáza plná hackerů děsí firmy i správce sítí

Jak napadnout systémy, vyřadit z chodu důležitou infrastrukturu a „vyzobávat“ data firem? Hackeři jsou stále sofistikovanější. Aktuálně se zaměřují na útoky označované jako watering hole. Pojďme se podívat na to, jak kyberzločinci tuto taktiku použili při pokusu otrávit zdroj pitné vody pro 15 tisíc obyvatel.

K tomuto případu došlo ve vodárně – místním hlavním zdroji pitné vody – v americkém městě Oldsmar na Floridě. Podle zjištění byla bezpečnost vodárny opravdu „děravá“. Používali počítače s neaktualizovaným operačním systémem Windows 7 s vypnutým firewallem, pro vzdálený přístup přímo ke kritickým komponentům používali program TeamViewer zabezpečený jenom jedním heslem, které si sdíleli různí pracovníci. Hackeři získali přístup k interním systémům vodárny právě přes TeamViewer. Útoku ale předcházela „průzkumná“ fáze, kdy se útočníci snažili svou oběť poznat a shromáždit o ní co nejvíce informací.

Se získanými znalostmi se připojili k řídicímu systému vodárny a pokusili se stonásobně zvýšit dávkování hydroxidu sodného do vody. Pokud by se jim to podařilo, došlo by k otravě tisíců lidí. Neštěstí  zabránil operátor, který se po příchodu do práce přihlásil k počítači a všiml si na něm podezřelé aktivity. Zaměstnanec sledoval na monitoru volně se pohybující myš počítače. Hackeři tímto způsobem během chvíle navýšili koncentraci hydroxidu sodného a zmizeli.

„Pokud by si toho pracovník nevšimnul, mohlo dojít ke katastrofě. Faktem je, že podobných případů je ve světě mnoho. Akorát se jimi nikdo moc nechlubí, takže se o nich  nedozvíme,“

podotýká Martin Lohnert, ředitel centra kybernetické bezpečnosti Void SOC a IT specialista společnosti Soitron.

Zaměstnanci nevědomky posílali hackerům data

Jak je ale možné, že se útočníkům něco takového povedlo? Důležitá infrastruktura je přece důkladně hlídaná?

„Ukázalo se, že v tomto případě získali útočníci citlivé informace i díky taktice, tzv. watering hole. Představte si oázu v poušti, kterou útočník obrazně řečeno otráví a pak jen čeká, až se oběť přijde osvěžit a nevědomky se nakazí sama.

V kyberprostoru takovou „oázou“ může být často navštěvovaná webstránka či online diskusní fórum. To byl i případ ve zmiňované americké vodárně,“ vysvětluje Martin Lohnert. 

Útočnici před útokem na Oldsmar infikovali web jiné společnosti – a nahráli do něj škodlivý software. Kód se objevoval v zápatí webu, který často navštěvovali zaměstnanci vodáren (i té v Odsmaru.) Byl provozovaný na systému WordPress. Útočníci prolomili ochranu webstránky díky jednomu z mnoha zranitelných pluginů. Na ní umístili škodlivý kód, který z PC návštěvníků bez jejich vědomí sbíral data.  Tyto informace pak zřejmě využili k  namyšlení a provedení samotného útoku na Oldsmar.

Zranitelnost nultého dne

Výhodou pro hackery je, že watering hole je technika, která nevyžaduje osobní účast útočníka. Hacker naruší bezpečnost obětí často navštěvovaných webových stránek. Na web umístí škodlivý kód nebo obsah ke stažení. „Útočník následně vyčkává, dokud jeho oběť stránky nenavštíví a pak provede injektáž kódu do počítače návštěvníka skrze web,“ říká Martin Lohnert.

Watering hole provádějí elitní hackeři a státy sponzorované skupiny. Často využívají takzvanou zranitelnost nultého dne. V informatice se tak označuje útok, který se v počítači snaží využít zranitelnosti používaného softwaru, která není ještě obecně známá a neexistuje proti ní obrana prostřednictvím konkrétního softwaru či počítačového systému. Díky tomu je schopen některé ochranné řešení obejít.

„Hackeři pokračují v osvědčených tricích, šíří vyděračské a jinak škodlivé viry. Je důležité tyto, v uvozovkách populární nástroje, aby uživatelé věděli, jak se chránit,“

doporučuje závěrem Martin Lohnert.

Jak se tak sofistikovaným útokům bránit?

Firmy musí být v rámci ochrany svých systémů velmi aktivní. Důležité je nastavení a pravidelné kontrolování procesů zaměřených na zjištění kybernetické bezpečností v dané firmě. Podstatný je i reakční čas, pokud monitoring kybernetické bezpečnosti zachytí průnik do systémů firmy. „Ne každý incident musí mít špatný konec, když se začne situace řešit okamžitě minimalizujete škody, např.  odpojením napadeného zařízení v provozu,“ říká závěrem Martin Lohnert. Odpovědi na otázky, co dělat před útokem a po útoku, jsou podrobně popsány ve článku: Víte, na co se ptát, pokud jste obětí kyberútoku?

Vítejte v době, kdy kyberútok může zahájit už i jednotlivec, a to bez potřebných dovedností a softwaru

Kyberútočníkem se dnes během chvilky může stát každý a nepotřebuje k tomu z tohoto oboru umět zhola nic. Stačí projít formálním přijímacím řízením na „darknetu“, vlastnit mobil, nebo USB flash disk a mít on-line či off-line přístup do firmy. Během chvilky naštvaný zaměstnanec, návštěva ve firmě, konkurence nebo jen potenciální uchazeč o práci může vytipované organizaci přivodit mnohamilionové škody, odstavit její výrobu a sám si přijít na nesmírný balík peněz.

Odvětví kyberkriminality se obrovským způsobem vyvíjí a přizpůsobuje novým digitálním návykům. Pandemie navíc tento přirozený jev akcelerovala nečekaným způsobem, a tak se počítačová kriminalita stala vysoce lukrativní a organizovanou výnosnou činností.

„Vývoj v tomto oboru došel dokonce tak daleko, že kybernetičtí zločinci prostřednictvím stále se vylepšujícího obchodního modelu poskytují své služby a hackerské nástroje komukoliv, kdo je ochoten za ně zaplatit nebo se rozdělit o zisk,“ vysvětluje Martin Lohnert, bezpečnostní odborník společnosti Soitron. „Můžeme to přirovnat k partnerským modelům prodeje známým z odvětví IT.“

Hackerské skupiny tak rekrutují a k provedení sofistikovaných útoků používají běžné lidi nebo skupiny, které nazývají partnery. Tento nový scénář je v současné době velmi v kurzu. Útoky se díky němu posunuly od útočení „na slepo“ k provádění vysoce zaměřených kampaní prosazovaných prostřednictvím metody cybercrime-as-a-service.

Co je to počítačová kriminalita jako služba

Cybercrime-as-a-Service (CaaS) je termín, který se používá k popisu organizovaného obchodního modelu. Sdružuje vývojáře malwaru a hackery, za účelem prodat nebo pronajmout své nástroje a služby partnerům na „darknetu“. Díky tomu jsou tyto prostředky používané v počítačové kriminalitě přístupné každému, kdo chce zahájit kybernetický útok – i těm, kteří nemají technické znalosti ani software.

Jak je CaaS organizovaná

Kyberzločinci využívající výhod tohoto obchodního modelu jsou dobře organizovaní.

„Mohli bychom je doslova přirovnat k legitimním podnikům s korporátní kulturou, tedy s jasnou hierarchií personálu – inženýři, vedoucí pracovníci, vývojáři, finanční oddělení a zástupci technické podpory. Posledně jmenovaná skupina pomáhá ‚zákazníkům‘ tedy hekerům, kteří mají zájem provést útok na vybraný cíl, aby správně prošli technickou stránkou útoků,“ zdůrazňuje Martin Lohnert. Zjednodušeně by se dalo říci, že jim poskytnou informace o používání hackerského „produktu“.

Pokud se útočníkům z řad partnerů podaří nakazit malwarem organizaci, je o tom speciálním týmem v hierarchii hackerského gangu uvědomena a ten požaduje „výkupné“. Může se tak stát ještě před aktivací malwaru, nebo případně i po jeho spuštění. Jestliže dojde k zaplacení požadované – většinou několikamilionové částce – nastupují najmutí „mezci peněz“. Ty přesouvají získané finanční prostředky přes různé bitcoinové „mixéry“ a jiné služby, aby bylo obtížné je dohledat. Jakmile jsou peníze „vyprány“, jsou poté uloženy na účet organizované skupiny.

Pro útoky jsou tvořeny speciální kybernetické balíčky

Kybernetické „zbraně“ si lze pronajmout na hodinu, den nebo měsíc. A lze si je pronajmout za pár dolarů. Například k zapůjčení nástroje pro vykonání DDoS (útoku, který způsobí nedostupnost stránky či služby jejím zahlcením)  na jeden den stačí zaplatit kolem 60 USD. Za přibližně 400 USD si jej například naštvaný zaměstnanec může pronajmout na týden.

Ceny se liší i v závislosti na propracovanosti škodlivého softvéru. Ti, kteří chtějí provést jen drobný jednorázový útok, si mohou zakoupit jen low-endové sady malwaru, které stojí méně než 100 USD. Ty je ale samozřejmě také snadněji ohdalit a zneškodnit. Ten, kdo plánuje způsobit velké škody, bude muset za komplexnější malware zaplatit mnohem víc. Na druhou stranu, pokud uspěje, tak se mu vrátí několikanásobně vyšší částka. Některé tyto ransomwarové „řešení“ si lze pronajmout za 1 000 USD na měsíc. Jedním z těch dražších je třeba Maze Ransomware Kit, který stojí kolem 84 000 USD.

Hackerské gangy mají zisk nejen z pronájmu, nebo prodeje svých produktů a služeb, ale také z provizí z útoků. Provozovatelé nebo vývojáři mohou hekerským „partnerům“ pomoci na míru naprogramovat například svůj ransomware a na základě obchodního modelu na útoku participovat tím, že z výkupného získají provizi.

„Obě strany si většinou zisk dělí v poměru 60:40 nebo 70:30. To znamená, že hekující útočník získá 60 nebo 70 % ze zisku a vývojářské skupině odvede provizi 30 nebo 40 %,“ uvádí Martin Lohnert.

V některých případech „mateřské“ společnosti výkupné rovnou vyzvednou, nechají si dohodnutou provizi a zbytek pošlou útočníkovi.

Proč se CaaS obávat

Undergroundová fóra jsou plná reklam na různé malwarové sady, což je jistou známkou prosperující temné webové ekonomiky. Nabízejí slevy na nákupy nad určitou částku, balíčky, které mohou útočníci kombinovat, 24hodinovou podporu, a nechybí možnost začíst se do recenzí či hodnocení zákazníků. Jejich pořízení je jako nákup jakéhokoli jiného produktu poskytujícího software jako službu.

Toto je extrémně nebezpečné a problematické. Tento trend jde napřed každému, kdo hledá rychlé nelegální peníze, aby snadno zahájil útok. Zkušeným aktérům hrozeb to potom dává možnost rozvíjet další nástroje a služby tak, aby ještě více posílili svůj „arzenál“. I z tohoto důvodu je v posledních letech kybernetická kriminalita na vzestupu a CaaS přináší další možnost pro její akceleraci.

Že opravdu jde o výnosný byznys, dokazuje nedávno medializovaný případ skupiny DarkSide, kterých malware vyřadil na 6 dní potrubní systém pro rafinované ropné produkty na východním pobřeží USA: Společnost Colonial Pipeline zaplatila výkupné 5milionú dolarů a další šetření ukázalo že DarkSide jen za posledních 9 měsíců zinkasovalo víc než 90miliónú.

Musí přijít změny

Pokud se nezmění přístup organizací k zabezpečení, škody budou přibývat a budou větší i častější, jak dokládá i tento příklad. Gangy činné v počítačové kriminalitě nyní fungují prostřednictvím obchodního modelu poskytovaného jako služba s organizovanou hierarchií „odborníků“, kteří nabízejí profesionální služby. Pro udržení ransomwaru na uzdě hraje roli každý.

„Nezbytně nutné je začít brát kybernetickou bezpečnost vážně. Zmapovat a snížit potencionální rizika. Stanovit a dodržovat podnikové standardy a vzdělávat v tomto směru i zaměstnance. Jen tak lze v tomto boji uspět,“ konkretizuje Martin Lohnert.

Co je a co není za hranou? Státní orgány zasahují v serverech organizací

Státní bezpečností orgány některých zemí vstupují do interních softwarových systémů soukromých firem a organizací. Snaží se tak z hackery napadnutých informačních systémů odstranit potenciálně škodlivé programové kódy. To vše provádí nejen ze svých serverů, ale i navzdory tomu, že to organizace neí, nebo si to možná nepřejí. Tímto chováním otevírají Pandořinu skříňku. Je to v pořádku? Kam až může státní orgán zajít vůči soukromému subjektu? Neposouvají se hranice až příliš daleko?

Rozsáhlé kampaně závažných kybernetických útoků v uplynulých dnech jen potvrdily, že je zapotřebí jednat. Hlavně rychle. Proto v dobré víře vlády zemí přistupují k poměrně zajímavému způsobu řešení již odhalených infikovaných systémů, kdy jejich odborníci odstraňují backdoory a další škodlivé kódy. Z poslední doby jsou známé příklady, kdy se tak stalo i bez souhlasu od správce systému.

„Není to tak dlouho, co malware Emotet napáchal v Německu v různých subjektech a firmách obrovské škody. Díky zásahu Spolkové policie bylo toto nebezpečí zničeno. Odborníci policie ovládli řídící servery a připravili pro ně program, který infikovaným systémům poslal instrukce, aby škodlivý software deaktivoval a odstranil. Efektivně se tak zbavili celého problému,“ podotýká Martin Lohnert, bezpečnostní odborník společnosti Soitron.

Druhý případ souvisí s tématem žhavým v posledním době, a to sice napadáním Microsoft Exchange serverů. Jejich zranitelnosti (na které správce neaplikoval záplaty) jsou hackery zneužívány po celém světě. Připomeňme, že Microsoft zabezpečení k dispozici má. Celá věc měla zajímavou dohru v USA. „Instituce sice vyzvaly firmy ať problém vyřeší samy, avšak i po měsíci od tohoto oznámení stále existovaly desetitisíce serverů bez aktualizace,“ popisuje Martin Lohnert a dodává: „Na základě toho vydal okresní soud jižního obvodu Texasu svolení k možnosti zasáhnout v soukromých serverech bez souhlasu jejich vlastníků. FBI se tak postarala o to, aby učinila přítrž dalším útokům“. Soud americkému Federálnímu úřadu pro vyšetřování dovolil vyhledat a analyzovat servery. Zajímalo jej zda obsahují uvedenou zranitelnost.  Umožnil archivovat a analyzovat veškerý kód související s napadením serverů a dále aktualizaci serverů, opravující chyby, které souvisís popsanou zranitelností.

Také v České republice bylo stejnou zranitelností napadeno mnoho serverů, ale jak už je u nás zvykem, nikdo se tím moc nechlubí. Což není úplně dobře, protože to nejhorší, co může kyberbezpečnost oslabovat, je tutlání,“ podotýká prezident Českého institutu manažerů informační bezpečnosti (ČIMIB) Aleš Špidla.

Mají orgány právo zasahovat do soukromých serverů?

Martin Lohnert podotýká, že se nedá upřít, že v obou případech se orgány snaží provést dobrou věc. „Státní bezpečnostní instituce chtěly firmám odstranit škodlivý software. Roli zde ale hraje i otázka morálnosti takového kroku,“ uvádí. Svět se změnil. Celá řada věcí, které se na první pohled jeví jako nemožné a v rozporu s právem, je naprosto v pořádku. Pohyb v kyberprostoru, který není světem absolutní svobody a už vůbec ne světem absolutního dobra, je tak dynamický, že jakákoliv časová prodleva reakce může vést k fatálním následkům.

„Když už to přirovnám k policejní akci ve fyzickém světě, tak je to obdoba zásahu na základě soudního povolení. Je tady ale obrovský rozdíl v rozsahu akce a v optimální rychlosti reakce,“ popisuje Aleš Špidla a dodává, že podle Tallinského manuálu (analýza použitelnosti mezinárodního válečného práva v kyberprostoru ) je kyberútočník povoleným cílem kinetického útoku.

Otázka morálnosti je určitě na místě, ale je tu jedno velké „ale“ stejně jako u práva na přiměřenou obranu. Množství napadených serverů generuje oprávněnou obavu z jejich možného zneužití k útoku na jakýkoliv cíl, a to takového, který by nešel zastavit. A co obránci zbývá? ČIMIB popisuje, že je to jako když se k mostu přes řeku valí nepřátelské tanky a obráncům nezbude než ten most vyhodit do povětří a tanky zastavit. Škody se počítají až potom a před stisknutím tlačítka není čas se ptát, komu ten most patří.

„Při kyberútocích se to zásadní odehraje v prvních 20 až 100 milisekundách. Tam čas na diskuse s právníky opravdu není,“ popisuje Aleš Špidla.

Podobné zásahy cizího státu na našem území jsou reálné

Otázkou také je, zda je v pořádku, že orgány takové zásahy na území svého státu povolí provést. Nebo dokonce mohla by něco podobného udělat německá policie i na územní České republiky? Prezident ČIMIB uvádí, že je to reálné, protože mezi státy probíhá velmi intenzivní spolupráce v rámci Europolu, pokud se týká škodlivých aktivit v oblasti kyberkriminality v Evropě. Stejně tak existuje intenzivní spolupráce institucí zodpovídajících za kybernetickou bezpečnost – u nás Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB), v rámci EUROCERTu (orgán pro certifikaci systémů managementu), a těch, kteří zodpovídají za kybernetickou obranu – u nás Vojenské zpravodajství (VZ) a ostatními zpravodajskými službami.

Ilustrační obrázek – desktop počítače

„Spolupráce a synchronizace zásahů probíhá na mezinárodní úrovni nejen v rámci EU ale i se spojenci v rámci NATO. Takže takovýto zásah by byl určitě výsledkem kooperace všech relevantních institucí napříč,“ vysvětluje Aleš Špidla. Je na místě zdůraznit rozdíl mezi NÚKIB a VZ. Zjednodušeně NÚKIB má ve své gesci prevenci a VZ má kompetenci obrany a mimo jiné i oprávnění kybernetického protiútoku proti identifikovanému útočníkovi.

Prezident ČIMIB připomíná, že jsme demokratická země, která se řídí právem a takovýto zákrok podléhá regulaci jako každý jiný. „V tom se lišíme od zemí, které demokratickým zřízením nedisponují. Případný zákrok se odvíjí od analýzy rizik, což znamená zjednodušeně odpovědi na otázky, co hrozí, když nezasáhneme a co hrozí, když zasáhneme,“ uvádí Aleš Špidla. Ta musí proběhnout rychle a je k ní zapotřebí mít množství spolehlivých a včasných informací, což se v podobném případě bez intenzivní vnitrostátní a mezinárodní spolupráce nedá zajistit. A nejenom té. Identifikace útočníka je vždy výsledkem práce kyberbezpečnostních expertů a analytiků ze všech zpravodajských služeb, ať už své informace získávají jakýmkoli způsobem.

Prevence je nejlepší ochrana

Legislativa těchto zdokumentovaných událostí je jedna věc. Morálnost druhá. Asi žádná organizace by si nepřála, aby bez jejího vědomí mohla do informačních systému vstoupit policie. A to i přes to, že by tak učinila v dobré víře a po předchozí výzvě, aby si organizace zranitelnost sama zabezpečila. Nikdy totiž není možné zaručit, že v systému nenapáchají více škod než užitku a třeba ho neadekvátním chováním zcela nevyřadí z provozu.

Je třeba mít stále na paměti, že data jsou tím nejcennějším aktivem firmy, a proto se stávají cílem útoků různých hackerů nebo crackerů. Neustálý technologický pokrok přitom jen zvyšuje závislost firem na informačních technologiích.

V Soitronu zastáváme názor, že nejlepší ochranou je prevence. Nabízíme komplexní bezpečnostní řešení od konzultacítechnologické ochrany síťové infrastruktury až po nepřetržitý dohled nad kyberbezpečností v centru Void SOC“, dodává závěrem Martin Lohnert.

Velké škody způsobené kybernetickými útoky Česko teprve čekají

Hybridní hrozby a kybernetické útoky jsou ožahavým tématem. Útočníky je složité vypátrat a terčem se může stát jedinec, instituce i celé státy. Pomoci může útočníkům i nevinné sdílení fotografie z kanceláře firmy na sociálních sítích. Proč bychom měli začít brát kybernetickou bezpečnost vážně a jak se lze bránit? Zeptali jsme se Martina Lohnerta, experta na kybernetickou bezpečnost společnosti Soitron a ředitele centra kybernetické bezpečnosti Void SOC.

V roce 2010 počítačový červ Stuxnet napadl a ochromil díky své sofistikovanosti a přesnému cílení oblast íránských průmyslových řídících systémů pro obohacování uranu. Bylo to o to zajímavější, že závod v íránském Natanzu byl napaden off-line – jeho systémy jsou izolované od internetové sítě. Útočníci k napadení využili běžné USB flash disky.

Červ v halách napadal systémy pro ovládání kaskádových centrifug (poškodil jich 1/5). Ty nechal laicky řečeno točit rychleji, a tak docházelo k jejich rychlejšímu opotřebení. Nyní, více než 11 let od tohoto incidentu, došlo k dalšímu. Začátkem dubna 2021 v Natanzu došlo k velkým škodám, které byly způsobeny obří explozí, která zcela zničila nezávislou – a silně chráněnou – vnitřní energetickou soustavu pohánějící centrifugy pro obohacování uranu. Nejde jen o jednu z mála výjimek, ale o demonstraci postupujících sofistikovanějších kybernetických útoků, protože dokazuje, že není nutné útočit na primární zdroje, ale stačí napadnou sekundární zařízení.

Tento a v dnešní době stále více používaný způsob kybernetických útoků dokazuje, že na rozdíl od běžnějších útoků s cílem zašifrovat nebo ukrást data – jsou zaměřeny na fyzický dopad, ať už jde o výpadek proudu, znečištění vody nebo poškození systémů, či dokonce výbuch. Exploze závodu Natanz zasadila ohromnou ránu a bude trvat až devět měsíců, než se podaří obnovit jeho produkci.

Na jaké kybernetické hrozby by se měla připravit Česká republika? 

V rozhovoru se Insmart.cz ptal Martina Lohnerta, experta na kybernetickou bezpečnost společnosti Soitron a ředitele centra kybernetické bezpečnosti Void SOC. Vedle pohledu na současné kybernetické hrozby se také podívali na to, jak mohou organizace úroveň své bezpečnosti zlepšit a proč je největším rizikem i nadále lidský faktor.

Od nejvyšší aktivity Stuxnetu uplynula řada let. Obecně se za autory červa považují USA a Izrael. V případě podobných útoků, můžeme mluvit i o tzv. hybridní válce. Jaké události podobného rázu hrozí podle Vás České republice?

Hybridní hrozby jsou velmi často diskutovaným tématem. Rizika z nich vyplývající se týkají v podstatě každé země. Vždy se najdou nepřátelsky naladění jednotlivci, organizace či dokonce jiné státy. Málokdy se ale podaří skutečné útočníky vypátrat. Tak se můžeme jen domnívat, zda například útoky ransomware v českých nemocnicích v roce 2020 byly součástí cílené kampaně nebo jen náhodnými incidenty. Vzhledem k relativně nízké úrovni povědomí a zabezpečení je velmi pravděpodobné, že skutečně velké škody způsobené kybernetickými útoky, nás teprve čekají.

Jestli kybernetický útok na Natanz nebyl výjimkou, což pravděpodobně nebyl, jak se mohou instituce efektivněji bránit? Vzhledem k faktu, že šlo o off-line útok, bude postup pravděpodobně odlišný.

Samozřejmě, obrana před tak sofistikovaných případem jako byl Stuxnet (kde se odhaduje že vývoj trval špičkovému týmu vývojářů několik let) je extrémně náročná. Zároveň to i od útočníků vyžaduje extrémní motivaci a lidské, technologické i finanční zdroje. Cílů, na které je potřeba vynaložit takové množství energie a motivace, je proto velmi málo. Mnoho firem a institucí má ale tak slabé zabezpečení, že potencionální útočník nepotřebuje ani zlomek těchto zdrojů, a přesto slaví úspěch.

Dříve jste zmínil, že kupříkladu fotografie pracoviště mohou sloužit jako podklady pro přípravu útoku. Můžete uvést konkrétní příklady?

Například kód Stuxnet byl vyvinut tak, aby útočil pouze na konkrétní typ a model technologií, které byly nasazeny v továrně Natanz. Takové informace jsou pochopitelně tajné a dobře hlídané. Neoficiální zdroje uvádí, že útočníkům se k nim podařilo dostat z oficiálních fotografií, které byly zveřejněny při slavnostním otevření pracoviště a v pozadí zachycovaly i klíčové technologické komponenty. Lehko si tak představíme např. pracovníka marketingu při publikování propagačních fotek, jehož nenapadne že kdesi v rohu je na snímku vidět zařízení, které mohou útočníci přesně identifikovat.

Máte zkušenosti s tím, že jsou podobné útoky používány i v rámci konkurenčního boje firem?

Útočníci i jejich motivace jsou velmi různé, ale obecně nejčastěji se jedná o finanční motiv = čím větší škody mohou vzniknout, tím větší výkupné útočníci vyžadují. Aktuální často zmiňovaná hackerská skupina Darkside si prý oběti pečlivě vybírá i na základě zveřejňování finančních ukazatelů, a podle nich stanovuje požadované výkupné (nejvyšší možné, jaké si můžete daná organizace dovolit zaplatit). Není ale nemyslitelné, že takový „tip“ mohou dostat i od nějakého konkurenta či rozzlobeného zaměstnance. Nepřekvapilo by mě to.

Role lidského faktoru bude v případě podobných hrozeb vysoká, což se potvrdilo i při útocích na české nemocnice. Co mohou instituce pro ochranu své infrastruktury v tomto směru udělat?

Technických opatření, varování, informací o hrozbách či „best-practices“ s kterými se dnes dá pracovat, je téměř neomezeně množství. Stejně tak na trhu existuje celá řada firem poskytujících profesionální služby, které umí poskytnout pomoc i při aktuálním nedostatku kvalifikovaných specialistů. Z našeho pohledu je proto nejdůležitější začít kybernetickou bezpečnost brát vážně. Přijmout ji v každé organizaci jako důležité téma a začít se jí na nejvyšší úrovni zabývat. Jinak se nikam nepohneme.

Zdroj: insmart.cz

Autor: Lukáš Voříšek