Mnoho firem muselo narychlo řešit přesun svých pracovníků na home office, tedy mimo zabezpečený perimetr podnikové sítě, do domácího prostředí, kde jsou zařízení zaměstnanců podstatně méně chráněná.

Nejnovější studie společnosti Kaspersky, z července tohoto roku, provedená v Česku a dalších třiceti zemích po celém světě, ukázala, že mezi současná největší rizika v IT bezpečnosti patří phishingové útoky na firmy a jejich pobočky. V souvislosti s pandemií čínského koronaviru navíc musela řada organizací urychlit svoji digitální transformaci, čímž u nich stoupla závislost na IT systémech. Kyberzločinci po celém světě nezahálí a každým dnem vylepšují, inovují a vyvíjí nástroje a systémy tak, aby se vyhnuli detekci, a mohli tak útočit na internetové uživatele a těžit z globální pandemie.

Mění se také taktika útoků kyberzločinců, především těch, kteří využívají ransomware, tedy vyděračský malware. V minulosti platilo, že útočníci použili ransomware k zašifrování dat, aby pak mohli napadenou firmu vydírat a dostat zaplaceno za poskytnutí klíče, kterým by bylo možné zašifrovaná data odemknout a znovu zpřístupnit. To se nyní změnilo, jak popisuje Maroš Barabas, head of product mana-

gement společnosti AEC: "Firmy se přizpůsobily, s touto hrozbou počítají a začaly více zálohovat. Zareagovali ale také útočníci a jejich nová taktika spočívá v tom, že dnes data skutečně kradou. Zejména klientská data, ale samozřejmě také smlouvy, interní ceníky, know-how, zkrátka všechno, co je nějak citlivé, či dokonce kompromitující."

Ukradená data se následně prodávají na černém trhu, kde si je pořizují další kyberzločinci, kteří vědí, jak je zneužít, například k vydírání anebo k dalším útokům. O svá data se může přihlásit i okradená firma a za bitcoiny si je odkoupit zpět. "Bizarní na tom je, že si útočníci pronajímají call centra s operátory, kteří vás provedou celým procesem včetně důkazu, že daty disponují, a po zaplacení je i někdy vrátí," dodává Maroš Barabas.

Home office jako nové riziko

Hromadný přechod kancelářských pracovníků do režimu práce z domu s sebou přináší i větší rizika. Pro firmy je mnohem náročnější ochránit zařízení svých zaměstnanců pracujících mimo firemní síť, a navíc do hry vstupují i další členové rodiny, typicky děti, které si na pracovním počítači rodičů pustí nějakou hru nebo sledují videa. A právě tito další lidé, kteří nebývají v informační bezpečnosti zběhlí, mohou zařízení velice snadno infikovat. Zaměstnavatel se přitom ani nemusí dozvědět, že je zařízení kompromitované, a útočníci se takové situaci velmi rychle přizpůsobili.

30%

Skoro o třetinu více útoků na vzdálený přístup k firemním sítím pomocí technologie Remote Desktop Protocol zaznamenala ve druhém čtvrtletí společnost Eset. Důvodem zájmu útočníků je masivní přesun pracovníků do domácího prostředí.

"Aktuálně vidíme velký problém v různých pokusech o prolomení RDP (Remote Desktop Protocol), což je technologie, kterou firmy využívají pro vzdálený přístup k firemním sítím. Ve druhém čtvrtletí tohoto roku jsme zaznamenali nárůst o 30 procent. Na vině je masivní přesun pracovníků do domácího prostředí. Například v červnu jsme detekovali po celém světě průměrně 104 tisíc pokusů o prolomení unikátních zařízení denně, přičemž v Česku šlo o stovky takových útoků denně. Jakmile se útočníci do sítě dostanou, velmi často využijí ransomware k zašifrování dat," vysvětluje Václav Zubr, bezpečnostní expert společnosti Eset.

Veškerá slabá místa náchylná ke kyberútokům proto musí být pokryta. Pokud se zaměstnanci připojují ke korporátním zdrojům na dálku, je nezbytné, aby k tomu používali pouze spolehlivou VPN, která zajistí bezpečné spojení s firemní infrastrukturou. Tím ochrání korporátní data před vnějšími vlivy. Zaměstnanci by také měli používat výhradně pracovní e-mail, což například usnadní zjištění pokusů o vydávání se za zaměstnance, pokud k tomu kyberzločinci použijí účet na jiné doméně. E-mailové servery musí být chráněny technologiemi, které jsou schopny detekovat pokusy o změnu odesílatele zprávy. Kromě zabezpečení před škodlivým softwarem by měly být pracovní notebooky a telefony vybaveny programem schopným na dálku vymazat veškeré korporátní informace. Dále by měl zaměstnavatel zajistit oddělené ukládání osobních a korporátních dat, zavést omezení na instalace aplikací a zároveň automaticky aktualizovat software a operační systém. Mezi další IT firemní pravidla by mělo patřit používání silných hesel, vícefaktorové autentikace a automatického zamykání obrazovky.

"Nejdůležitější však je, aby firmy své zaměstnance předem poučily o základních pravidlech práce na dálku, on-line bezpečnosti a ujistily se, že jsou zaměstnanci srozuměni s jejich zodpovědností za udržování korporátních dat v bezpečí," dodává Miroslav Kořen, generální ředitel společnosti Kaspersky pro východní Evropu. Důležitější než kdy dříve je také nasazení kvalitního EDR systému (Endpoint Detection and Response), který zaznamenává a vyhodnocuje veškeré změny na koncových zařízeních s cílem detekovat podezřelé aktivity, které nemusí přímo souviset jen s malwarem.

Děti si někdy na pracovním počítači rodičů pustí nějakou hru nebo sledují videa. A protože nebývají v informační bezpečnosti zběhlé, mohou zařízení velice snadno infikovat.
Děti si někdy na pracovním počítači rodičů pustí nějakou hru nebo sledují videa. A protože nebývají v informační bezpečnosti zběhlé, mohou zařízení velice snadno infikovat.
Foto: Shutterstock

Investice do zabezpečení jsou nezbytné

S počátkem koronavirové pandemie začalo v prostředí českých firem vznikat více pootevřených dveří pro útočníky. Jde zejména o zmíněné vytváření přístupů k prostředkům firmy pro zaměstnance pracující z domova. Kombinace nedostatku potřebného času, připravenosti, financí a znalostí byla pravděpodobně důvodem, proč se při nastavování přístupů často dostatečně nemyslí na bezpečnost. Této situace si všimli útočníci a začali toho ve velkém využívat. "Problém firem v Česku je, že ve srovnání s přístupem společností na západ od nás reagují až ex post. Ať už se to týká přímo hrozeb nebo třeba nových aktuálních způsobů ochrany, je adaptace nových přístupů, technologií a principů ze strany firem velmi opožděná. To zpoždění je u nás zhruba tři až pět let oproti západní Evropě, o Spojených státech nemluvě," konstatuje Maroš Barabas z AEC.

Přístup firem často souvisí s tím, zdali již mají zkušenost s vážnějším bezpečnostním incidentem. "Většinou jim chybí nástroje pro vyšetřování incidentů, jakými jsou EDR, XDR (Extended Detection and Response) a síťové BDS (Breach Detection System). Podezřelá aktivita zachycená na koncové stanici končí často jen reinstalací a nikdo příliš nezkoumá, jak se útočník do sítě dostal, kam všude získal přístup, jaké aktivity provedl nebo zda se v síti stále nachází," popisuje typický přístup firem Filip Marvan, Security Engineer společnosti Trend Micro, a dodává: "Velký problém je také v nedostatku kvalifikovaných lidí, kteří mají dostatečné znalosti pro vyšetřování pokročilých útoků. Přesto je většina firem přesvědčena, že bezpečnost zvládnou samy, a jen velmi málo využívají služeb vyškolených specialistů dodavatelů bezpečnostních řešení."

Investice do zabezpečení by měla vycházet z míry rizik, kterou je vedení společnosti ochotné podstoupit. Je třeba identifikovat a kvantifikovat aktiva a následně analyzovat hrozby, jež mohou mít na tato aktiva dopad. Výsledkem by mělo být stanovení odpovídající míry ochrany aktiv informovaným vedením společnosti. Ideálně s výhledem na další roky. Koncová částka nejde jednoduše určit a může být zásadně odlišná i u podobných společností z jednoho oboru. "Neexistuje jednoduché pravidlo, které by určovalo, kolik by měla firma investovat do bezpečnosti. Je třeba vzít v úvahu odvětví, velikost podniku, spoléhání se na technologie i toleranci vůči riziku. Pokud je firma stoprocentně digitální, musí více investovat do ochrany před výpadky. Některé podniky se rozhodnou přijmout větší riziko než jiné, a proto mohou za zabezpečení utratit méně. Určitá úroveň zabezpečení může být stanovena i legislativou," říká Patrick Müller, senior channel account executive společnosti Sophos pro Česko a Slovensko.

Při vyčíslení nákladů spojených s bezpečnostním incidentem je navíc potřeba počítat nejen se ztrátou dat nebo například "výpalným" za jejich rozšifrování, ale i s časem vlastních nebo externích lidí, náklady na obnovení záloh, přerušením provozu, možnými pokutami a v neposlední řadě se ztrátou důvěry. "Z mezinárodních průzkumů vyplývá, že například finanční instituce investují do bezpečnosti zhruba desetinu svého IT rozpočtu. Nicméně podle dalších průzkumů se zdá, že tyto investice nejsou dostatečné. Navíc se situace v IT i kvůli globální pandemii výrazně změnila a musí se změnit i přístup k zabezpečení," uvádí Filip Marvan z Trend Micro.

Klíčová role zaměstnanců

Výzkumy ukazují, že neinformovaní či bezohlední zaměstnanci jsou náchylnější k chybování, což otevírá cestu phishingu a sociálnímu inženýrství. Tito lidé zároveň mívají větší problém s rozpoznáním legitimních aktivit od těch škodlivých. Pokud zaměstnanci skutečně způsobí kyberbezpečnostní ohrožení nebo svým chováním k němu přispějí, často se to navíc pokusí zamaskovat, což následně vede k dalším problémům.

"Základním krokem zabezpečení firemních dat je proškolení zaměstnanců o bezpečném chování v on-line světě. Už jen to, že pracovníci budou věnovat více pozornosti e-mailům, které jim přicházejí, nebudou klikat na podezřelé odkazy a stahovat přílohy, může být v prevenci proti útokům zásadní. Mnoho firem se však na tato školení nezaměřuje nebo je nepovažuje za důležitá. Zejména firmy, které působí mimo technické obory, kde je tato znalost přirozenou, s tím mohou mít problém," uvádí Vítězslav Šantrůček, produktový ředitel společnosti Avast.

Z pohledu útočníka je zaměstnanec samozřejmě jedním z nejjednodušších prostředků, jak se do firmy dostat. Lidé o sobě zveřejňují mnoho informací, které pomáhají zvýšit šanci na úspěch v případě sociálního inženýrství. "Koncoví uživatelé představují riziko, ale jsou také jedním z vašich největších aktiv, pokud jde o včasné odhalení a prevenci útoků proti vaší organizaci. Důležité je vytvořit a podporovat silnou kulturu zabezpečení v rámci firmy. Neexistuje jedno řešení pro všechny, ale dobrým začátkem je zajištění správných lidí, procesů a nástrojů, které zvyšují šance při boji s kyberútočníky," dodává Patrick Müller ze společnosti Sophos.

Článek byl publikován v komerční příloze Hospodářských novin ICT revue.

Související