Zpravidla cestu nejmenšího odporu volí hackeři, pokud se rozhodnou pro útok na konkrétní vyhlídnutý cíl. Svou oběť se často pokoušejí porazit kombinací sociálního inženýringu a zneužití zranitelností. Závisí však na více faktorech, jaký vektor útoku nakonec zvolí. Roli v tom hraje motivace daného hackera, atraktivita oběti a její kybernetická vyzrálost nebo objem finančních prostředků, které hacker má k dispozici.
Paletu možností má pestrobarevnou. Od zneužití známých či méně známých zranitelností, phishing, odcizení veřejně dostupného a nezabezpečeného koncového bodu oběti, nebo přímý fyzický průnik do budovy cíle a připojení zařízení do sítě.
Zranitelnosti a naivita lidí hackery přitahují
Všechny tyto typy útoků však mají společného jmenovatele a tím je lidský faktor. „Ten je nejzranitelnějším článkem kybernetické obrany společnosti, a to jak na straně procesů, tak technologií,“ říká Tomáš Zaťko ze společnosti Citadelo, která se kybernetickou bezpečností zabývá.
Podle něj zneužití lidského faktoru a chyb představují nízko visící ovoce. „Lidský faktor je nejzranitelnější v celém procesu a je to také důvod, proč hackeři na denní bázi provádějí phishingové kobercové nálety na firmy. Vědí, že se vždycky někdo chytne,“ dodává s tím, že jakmile se prostřednictvím oběti dostanou do cílové sítě, zneužívají jakýchkoliv zranitelností, které najdou.
Proto je třeba udržovat systémy v aktualizovaném stavu. Instalace bezpečnostních záplat je mantrou základní bezpečnostní hygieny. „Systémy s nenainstalovanými aktualizacemi představují pozvánku pro hackery, a to i pro ty méně zdatné,“ zdůrazňuje Zaťko.
V portfoliu nástrojů hackerů má své přední místo i sociální inženýring jako velmi úspěšná praktika. Podle interních statistik Citadela dosahují u nově testovaných společností kombinované kampaně phishingu a vishingu až čtyřicetiprocentní úspěšnosti proti zasaženým obětem. Toto vysoké číslo se však dá pravidelným tréningem zaměstnanců na kybernetickou odolnost srazit na nižší jednotky procent.
NIS2 vyžaduje školení jen pro management
Na tuto část prevence přitom pamatuje směrnice NIS2 v článku 20 věnovaném problematice řízení kybernetických bezpečnostních rizik. Co se týče edukace, z Bruselu přichází požadavek ve dvou rovinách. Pro management regulovaných subjektů bez rozdílu stupně regulace je povinné školení. U ostatních zaměstnanců směrnice vybízí k tomu, aby jim bylo podobné školení „pravidelně nabízeno“.
Připravovaný zákon o kybernetické bezpečnosti, který stále čeká na 2. čtení v Poslanecké sněmovně, přesouvá v § 12 úpravu školení jakožto bezpečnostních opatření do vyhlášek (samostatně pro subjekt v režimu nižších a v režimu vyšších povinností). Nahlédneme-li do nich, zjistíme, že pokud jde o požadavek na proškolení řídicích orgánů, česká cesta se od doporučované evropské nijak neodchyluje. Pro manažery odpovědné za dodržování kybernetické bezpečnosti regulovaného subjektu je školení, resp. poučení povinné.
Odlišnosti nalézáme až u přístupu k řadovým zaměstnancům. Tam má vše ve svých rukou „povinná osoba v rámci bezpečnosti lidských zdrojů“, tedy nejčastěji personální oddělení. U mírněji regulovaných subjektů samo stanoví pravidla rozvoje bezpečnostního povědomí uživatelů a podle něj pak případně provádí vstupní nebo pravidelná proškolení zaměstnanců. Naproti tomu u subjektů zařazených pod přísnější regulaci (režim vyšších povinností) bude personální oddělení rovnou sestavovat plán rozvoje bezpečnostního povědomí, jehož povinnou součástí je „zajištění pravidelných školení a ověřování bezpečnostního povědomí zaměstnanců, v souladu s jejich pracovních náplní“.
Pentest jako nutné zlo, nebo vítaná pomoc?
Ověřit, že procesy jsou nastaveny správně, vše do sebe zapadá a firma se dokáže kybernetickým incidentům bránit, pomáhají penetrační testy. Také s těmi NIS2 a transponované právní předpisy počítají. Citadelo, které se na penetrační testy specializuje, ale upozorňuje, že přístup regulovaných subjektů k těmto zkouškám se liší podle motivace k provedení testů.
U korporací, kde důvodem poptávat penetrační test je pouze regulace ze zákona nebo požadavek jejich zákazníka na provedení testu, je stěžejním pouze certifikát nebo report o provedení testu a nastavení bezpečnostních procesů na nejnutnější úrovni. Tyto firmy se tak příliš edukovat nechtějí. „To je ale krátkozraký přístup, který nemusí dopadnout dobře. Je to spjaté s tím, že kyberbezpečnost je pro firmu velmi nákladná a nikdy nekončící investice,“ vysvětluje Tomáš Zaťko.
Mnohem větší ochotu naslouchat doporučením vykazují firmy, kterým se buď už stal kybernetický incident, nebo jsou motivovány posílit bezpečnostní opatření, či dokonce si osvojily koncept security by design. „Tyto společnosti do budoucna získají velkou konkurenční výhodu na trhu, protože nebude trvat dlouho a firmy budou chtít obchodovat pouze s bezpečnostně odpovědnými partnery,“ zdůrazňuje.
U těchto firem povědomí o kyberbezpečnosti velmi rychle roste, nebo už je na vysoké úrovni, a korporace se nyní spíše zaobírají tím, co ještě dalšího mohou pro větší zabezpečení udělat. Techniky etického hackingu jim v tom mohou pomoci. A to i v případech, kdy v minulosti podobným testováním už prošly. Často totiž tyto zkoušky nebyly dostatečně komplexní. „Někdy firmy otestují zákazníkovi pouze frontend webové aplikace, a ne už její backend a další napojení. Jenže to jsou právě ta slabá místa, na která se reální útočníci soustředí,“ upozorňuje Zaťko.
Po provedení penetračního testu odpovědné společnosti často požadují opakovaný test, aby si ověřily, že implementace navržených opatření je dostatečná. „Je cítit, že kdo se o bezpečnost zajímá, ví, že dnes je nutné dělat víc než včera. Tento fakt, pocit, už nikdy neodejde a jen bude tlak sílit,“ dodává ředitel Citadelo.
Ryby mlčí, termostat v jejich akváriu však ne
Podceňovat se podle něj nevyplácí ani všudypřítomný fenomén Internetu věcí. Ne u každého zařízení v této kategorii je na kvalitní zabezpečení pamatováno. Hlavně méně zavedené značky často nemají podporu, nevycházejí pro ně bezpečnostní záplaty a chybí jim základní bezpečnostní mechanismy. Z uživatelského hlediska jedno takové podceněné IoT zařízení představuje snadný cíl pro útočníky.
Známý je v tomto smyslu hack severoamerického kasina z roku 2018. Jeho provozovatel měl v lobby hazardního podniku akvárium s IoT termostatem. Útočníci se vzdáleně připojili na termostat, z něj se dostali až k databázi klientů kasina, a citlivá data o tom, kolik tito návštěvníci v podniku utráceli, si přes samotné IoT zařízení stáhli. „Jedno zanedbané zařízení může ohrozit celou infrastrukturu. Proto je nezbytné pečlivě zvažovat, jaká zařízení vlastně do své sítě připojím,“ uzavírá svá doporučení Zaťko.
- Chcete mít Lupu bez bannerů?
- Chcete dostávat speciální týdenní newsletter o zákulisí českého internetu?
- Chcete mít k dispozici strojové přepisy podcastů?
- Chcete získat slevu 1 000 Kč na jednu z našich konferencí?
Staňte se naším podporovatelem
ČLÁNKY DO MAILU