MENU Zavřít

Kybernetický bezpečnostní incident – co to je a jaké druhy známe?

  • Mgr. Jan Kozák
  • 20. 6. 2024
  • 10 minut čtení

Dnes již obligátní moudro říká, že s rozvojem výpočetních technologií se vyspělejšími stávají i způsoby, jak tyto technologie narušit či zneužít pro škodlivé účely. Banalita tohoto prohlášení ale nic nemění na jeho pravdivosti; co víc, oblast hackerství se v současnosti rozvíjí snad ještě rychleji. I proto je slovní spojení „kybernetický incident“ strašákem mnoha firem po celém světě, neboť ztráta citlivých dat zdaleka neznamená jen velkou finanční zátěž. Abychom pak mohli takovým hrozbám čelit, je potřeba je nejprve identifikovat a rozpoznávat.

Co je to bezpečnostní incident?  

Kybernetickým bezpečnostním incidentem obvykle rozumíme narušení bezpečnosti informací v informačních systémech, bezpečnosti služeb (dostupnosti, důvěrnosti) nebo integrity sítí elektronických komunikací. Samotné narušení pak může zahrnovat různé druhy kybernetických útoků a pokusů o narušení zabezpečení počítačových systémů. Jak si ukážeme níže, takových událostí je celá řada.

Zde se sluší zmínit, že ne každá bezpečnostní událost je automaticky bezpečnostním incidentem. Pokud například zaměstnanec ztratí vstupní kartu od budovy, okamžitě po zjištění to nahlásí správci a ten zjistí použití karty bez vědomí zaměstnance, pak se jedná o bezpečnostní incident. Pokud ale karta v daném období využita nebyla, pak se jedná “pouze” o bezpečnostní událost. V obou případech zaměstnanec neměl v úmyslu kartičku ztratit a jedná se o potenciální riziko, kterému lze zabránit přijetím odpovídajících preventivních opatření.

Naopak pokud se setkáme s úmyslným škodlivým jednáním a útočníkovi se podaří narušit dostupnost či integritu kybernetického prostoru dané společnosti, jedná se o bezpečnostní incident v každém případě.

Doporučení: pokud problematiku kybernetických bezpečnostních incindetů znáte a hledáte pouze účinné řešení kybernetické bezpečnosti pro vaši společnost, je tu pro vás Seyfor:

ZJISTIT VÍCE

Klasifikace bezpečnostních incidentů 

V legislativně i odborných kruzích se lze setkat s několika druhy klasifikace. Nejčastější kategorizace bezpečnostních incidentů je založena na hrozbách. Tento přístup využívá například norma ČSN ISO/EIC 27035-2 či taxonomie podle NIST (National Institute of Standards and Technology). Konkrétními hrozbami tu jsou např. živelné pohromy, technický útok, vyzrazení citlivých informací atd.  

Naopak ENISA (Agentura Evropské unie pro kybernetickou bezpečnost) bezpečnostní incidenty kategorizuje podle jejich formy. Incidenty tak lze třídit například na obtěžující obsah (spam), škodlivý kód (typicky viry), nežádoucí shromažďování informací (viz sociální inženýrství) atd.

3 kategorie kybernetických incidentů 

Pro účely hlášení a zvládání kybernetických bezpečnostních incidentů pak česká legislativa rozeznává jejich tři kategorie

  • Kategorie 1: velmi závažné narušení bezpečnosti, které významně a přímo ohrožuje bezpečnost dat nebo poskytovaných služeb a vyžaduje neprodlený zásah odpovědných osob daného systému, pro rozšíření a minimalizaci škod. 
  • Kategorie 2: závažné narušení bezpečnosti poskytovaných služeb nebo dat a vyžadující neprodlený zásah odpovědných osob. 
  • Kategorie 3: méně závažné narušení bezpečnosti poskytovaných služeb nebo dat, které nevyžaduje okamžitý zásah odpovědných osob. 

U jednotlivých kybernetických bezpečnostních incidentů je rovněž z pohledu vyhlášky č. 82/2018 Sb., nezbytné přihlédnout k významnosti počtu dotčených uživatelů, způsobené nebo předpokládané škody, dopadů na poskytované služby, délky trvání incidentu a dalším faktorům. Dopady incidentu je pak třeba hodnotit z pohledu narušení důvěrnosti, dostupnosti a integrity dat.  

4 základní příklady bezpečnostních incidentů

Kybernetické bezpečnostní incidenty se mohou vyskytovat v mnoha formách a využívají různé techniky útoku. Zde jsou některé z nejběžnějších typů, detailněji rozvedené: 

Malware (viry, trojské koně, ransomware) 

Slovo malware je spojením anglických slov malicious software (doslova „škodlivý software“) a označuje počítačové programy vytvořené specificky za účelem narušení kybernetických systémů. Obvykle do této kategorie řadíme následující typy softwaru: 

  • Počítačové viry: zřejmě nejznámější typ malware. Jedná se o program, který se po průniku do cílového systému začne replikovat a postupně napadá další a další soubory a systémy. Cíle útočníka zde mohou být různé – od relativně neškodných (např. zobrazení vtipné zprávy na obrazovce) až po zcela destruktivní (smazání důležitých dat, havárie celého systému aj.).  
  • Trojští koně: zdánlivě neškodné a legitimní programy, které v sobě mají ukrytý škodlivý kód a slouží útočníkovi k získání přístupu do napadeného systému či krádeži dat. Tyto programy mohou nabývat různých forem – již byly zaznamenáni trojští koně ukrytí do her, spořičů obrazovky, jednoduchých nástrojů či dokonce i falešných antivirových programů.  
  • Ransomware: velmi specifický druh malwaru, jehož cílem není data v napadeném systému smazat, nýbrž znepřístupnit uživateli. Útočník následně oběť kontaktuje a požaduje (nejčastěji peněžní) výkupné výměnou za obnovení přístupu k datům. Zde můžeme uvést program WannaCry, který v květnu 2017 nakazil přes 300 000 počítačů po celém světě a způsobil škody v řádu milionů až miliard dolarů.  

Tip: Přečtěte si rozhovor s naším odborníkem: Nejlepší ochrana před ransomware útokem? Počítat s tím, že k němu dojde, radí odborník 

Phishing a sociální inženýrství

Tento druh útoku zneužívá tradičně nejslabší článek jakéhokoliv kybernetického prostředí – uživatele. Útočníci zde využívají psychologie a klamu k tomu, aby od uživatelů získali přístupové údaje, osobní data, čísla kreditních karet a další choulostivé informace.

Známým druhem útoku je v tomto ohledu phishing, při němž útočníci zasílají falešné e-maily či jiné zprávy lákající uživatele k vyplnění citlivých údajů. Nejznámější formou phishingu je e-mail napodobující oficiální komunikaci zaměstnavatele, banky, pošty či jiné instituce. Rafinovanější útočníci dokonce vytváří i celé falešné stránky, které jsou na první pohled k nerozeznání od těch pravých.

Ještě přímočařejší metodu představuje tzv. sociální inženýrství. Tento druh útoku mezi ostatními vyniká tím, že není kybernetický, resp. přímo nevyužívá počítačových programů. Útočník se místo toho spojí se zaměstnancem jím vyhlédnuté organizace a pokusí se z něj vymámit citlivé údaje, případně jej přimět k provedení určité akce (např. k návštěvě falešné stránky s malwarem). Důvěru se pak snaží vzbudit předstíráním, že jde o administrátora, kolegu či jinou důvěryhodnou osobu.

Tip: Přečtěte si článek Co je to sociální inženýrství: základy, které byste měli znát.

Speciální druh útoku pak v této oblasti představuje tzv. malicious insider, neboli hrozba zevnitř podniku. Již byly zaznamenány případy, kdy odcházející či nespokojený zaměstnanec úmyslně sabotoval počítačové systémy či odcizil citlivá data. Motivací může být jak pomsta zaměstnavateli za domnělá či skutečná příkoří, tak i peněžní odměna od externích útočníků, kteří si daného zaměstnance vytipují.

DoS a DDoS útoky 

Pod těmito zkratkami se skrývají anglická spojení Denial of Service (doslova „odepření služby“) a Distributed Denial of Service (rozptýlené odepření služby). Jak název napovídá, cíl obou metod je stejný – učinit cílový počítačový systém nedostupný. DoS a DDoS útočníci tohoto cíle dosahují úmyslným zahlcením cílového systému požadavky, případně zneužití bezpečnostní mezery. Rozdíl mezi DoS a DDoS pak spočívá v tom, zda požadavky přicházejí z jednoho zdroje (DoS), případně na útoku spolupracuje více propojených systémů (DDoS).  

Z uvedených dvou typů útoku je známější právě DDoS, kde útočníci často využívají tzv. botnetů – počítačových sítí tvořených zařízeními, které byly již v minulosti infikovány malwarem a útočníci mohou jejich výpočetní a síťovou kapacitu využívat pro vlastní účely. Majitelé nakažených počítačů tak často ani netuší, že jejich zařízení je součástí botnetu a slouží ke škodlivým účelům. Za zmínku stojí i fakt, že útoky DDoS jsou již běžnou denní rutinou. Důkazem je například volně dostupná mapa Digital Attack Map, která vizualizuje největší DDoS útoky pro daný den.

Man-in-the-middle (MITM)

Tento druh útoku využívá k získání citlivých dat „odposlouchávání“ komunikace mezi uživateli či počítačovými systémy. Útočník zde využije nezabezpečeného kanálu a „zapojí“ se do komunikace jako skrytý prostředník, který může sledovat předávaná data. Pomocí specializovaného nástroje pak může odesílané datové pakety analyzovat a „vytěžit“ z nich citlivé informace.

Jaké mohou mít bezpečnostní incidenty dopady?

Ať už se organizace stanou obětí jakéhokoliv z výše zmíněných útoků, budou muset čelit následkům i nutnosti nápravy. Nejzřejmějším důsledkem kybernetického útoku je ztráta důležitých dat či narušení jejich integrity, kdy mohou firmy přijít o obchodní záznamy, finanční data, osobní údaje zákazníků či jiné choulostivé informace (např. výrobní tajemství, neveřejné projekty apod.). Zde můžeme zmínit mediálně známý únik dat ze sociální sítě Google Plus, kdy se neznámým pachatelům podařilo s využitím bezpečnostní chyby získat osobní údaje několika milionů uživatelů.  

Se ztrátou či poškozením dat se pak samozřejmě pojí i další následky: 

  • Finanční dopady: v závislosti na velikosti cílové firmy a rozsahu útoku se mohou peněžní ztráty pohybovat v řádu až miliard dolarů. V této částce jsou nejen náklady na okamžité řešení následků, ale také peníze nutné pro obnovení normálního provozu firmy. To může zahrnovat nejen obnovení dat, ale také nákup nového hardware či implementace bezpečnostního řešení. Do budoucna je potřeba o počítat z případnými sankcemi od dozorových úřadů. 
  • Výpadek služeb: stejně závažným je i přerušení dostupnosti napadených služeb, což může mít dalekosáhlé následky pro firmu samotnou i její klienty, a to nejen z finančního hlediska. V případě strategických organizací může dokonce dojít i k narušení kritické infrastruktury celých států. Jako příklad můžeme uvést ransomware útok na americký ropovod Colonial Pipeline v roce 2021, který způsobil vážné problémy s dodávkou paliv v 17 amerických státech a s tím související prudký vzrůst cen benzinu.  
  • Právní následky: v řadě států světa existují přísné zákony na ochranu osobních dat. Organizace, u nichž dojde k úniku osobních nebo obchodních údajů, tak kromě finančních a provozních ztrát riskují i vážné problémy se zákonem. 
  • Poškození pověsti firmy: z dlouhodobého hlediska nejzávažnějším dopadem kybernetických incidentů ale bývá ztráta dobré reputace u zákazníků. Nic totiž nedokáže tak podrýt důvěru klientů ve firmu, jako úniky osobních údajů či přerušení dostupnosti služeb. Následný výpadek příjmů pak může být v kombinaci s náklady způsobenými samotným útokem pro mnohé firmy likvidační.

Poznejte svého nepřítele

Vyzbrojeni výše uvedenými informacemi již víte, jaké hrozby na vás a vaše data v kybernetickém prostoru čekají. Nyní logicky následují dvě otázky – jak kybernetické bezpečnostní incidenty řešit a jak jim předcházet? Přesně o tomto bude pojednávat náš další článek Řízení bezpečnostních incidentů, který již brzy naleznete na blogu Seyforu. 

Pokud ale potřebujete se zabezpečením svých dat pomoci již nyní, máme pro vás kromě dobré rady i konkrétní řešení. Součástí služeb Seyforu totiž je i ochrana před kybernetickými útoky, kdy vám naši experti pomohou zabezpečit celý řetězec elektronické komunikace. V rámci jednoho řešení tak získáte: 

  • ochranu identit, 
  • zabezpečení koncových zařízení, 
  • síťové zabezpečení, 
  • zabezpečení dat i aplikací, 
  • a širokou nabídku podpůrných služeb včetně analýzy rizik, školení uživatelů a dalších.

CHCI NEZÁVAZNOU KONZULTACI

Přihlaste se k odběru newsletteru

Doporučené produkty

Ochrana před útoky

Zabezpečíme všechny články vašeho systému, od identit a koncových zařízení přes sítě, až po data a aplikace.

Podobné články