Přesun společnosti do digitálního prostředí má kromě nesporných kladů i druhou, méně příjemnou stránku. Tou je existence rizik vyplývajících z činnosti tzv. hackerů (přesnější termín by byl crackerů), kteří pronikají neoprávněně do počítačových systémů. Cíle bývají různé, často jsou ale spojeny se získáním finančního prospěchu pro narušitele a tím naopak se vznikem škody na straně napadeného.
Rostoucí trend hackerských útoků nabral ještě více na síle v době platnosti opatření proti šíření onemocnění SARS-Cov-2 (Covid 19), kdy se do digitálního prostředí přesunula řada procesů i subjektů, které v elektronické podobě dříve neexistovaly nebo minimálně ne v takové míře.
Kyberkriminalita se samozřejmě nevyhýbá ani České republice, už v roce 2019 bylo v ČR registrováno 8 177 takových případů (objasněnost 37 %) s celkovou škodou 1,28 miliardy Kč1 a tato čísla rostla i během roku 2020. Podle Zprávy o stavu kybernetické bezpečnosti za rok 2021 řešil Národní bezpečnostní tým CSIRT.CZ v roce 2021 až 1 726 bezpečnostních incidentů (objasněnost 32 %).
Z pohledu účinků lze incidenty rozdělit do dvou skupin. Buď dochází k odcizení dat, případně k jejich zneužití neoprávněnou osobou, anebo je důsledkem úspěšného útoku nedostupnost dat, která ohrožuje či omezuje řádný chod firmy nebo instituce.
Ztráta dat nebo jejich zneužití
Jedná se o situace, kdy se zneužitelné údaje dostanou do nepovolaných rukou, a díky tomu mohou sloužit jako nástroj k obohacení anebo k vydírání, případně jsou exemplárně zveřejněny, někdy i s uvedením zdroje, ze kterého unikly. Odstrašující příklady veřejné kompromitace citlivých údajů slouží jako PR hackerské činnosti a účinně napomáhají přesvědčit případné budoucí oběti, že to útočník myslí vážně.
Častým cílem bývají údaje týkající se platebních prostředků, které lze využít k okamžitému obohacení, ale ceněny jsou i přihlašovací údaje, hesla, e-mailové adresy, telefonní čísla a další.
Prolomené zabezpečení
Pokud se k prostředkům výpočetní techniky dostane nepovolaná osoba (ať už v místě fyzického uložení, nebo vzdáleně), pokusí se přejít přes zabezpečení v podobě hesel, kódů, PINů apod. Pokud je takové zabezpečení nedostatečné, nebo zcela chybí, dojde k průniku do systémů, kam by neměl být umožněn přístup nepovolaným a následkem může být odcizení citlivých údajů nebo jejich zneužití.
Pro zabezpečení hardwaru a softwaru lze dnes využívat celou řadu metod, včetně např. biometrických, ale stále je velmi častým kombinace přihlašovacího jména (nebo e-mailové adresy) a hesla.
Žebříčku nejčastějších hrozeb, se kterými byli konfrontováni uživatelé z České republiky v únoru 2021, vévodí tzv. spyware. To jsou škodlivé kódy zaměřené na odcizení přihlašovacích údajů. Často pátrají nejprve v internetovém prohlížeči (password stealer), kde bývají přihlašovací údaje uloženy pro větší pohodlí uživatelů v podobě automatického přihlášení na oblíbených webových stránkách.
Se spywarem se často setkáme v podobě přílohy nevyžádaných e-mailů, nejsou výjimkou ani speciální české varianty. Dozvíte se například, že se vyskytly problémy se zásilkou, která k vám směřuje, že jste byli identifikováni coby pachatel porušující autorská práva, že byla proti vám zahájena exekuce, nebo že je vám zasílána informace o proběhlé platbě apod.2 Součástí takových podvodných e-mailů je pokyn, abyste klikli na odkaz, který by měl obsahovat další podrobnosti, ale ve skutečnosti po jeho spuštění dojde k pokusu infiltrovat vaše zařízení spywarem.
V podzimních měsících roku 2020 se začaly šířit e-maily v českém jazyce obsahující škodlivého trojského koně Spy.Agent.CTW v podobě přílohy s názvem „platební_faktura.exe”. Podobným způsobem se šířil i druhý nejčastější malware Spy.Agent.AES ukrytý v nevinně vypadající příloze „kopie platbyXXXX.exe“ a také Fareit, který byl obsažen v příloze nazvané „cenová poptávka 2019.pdf.exe“. Ve všech uvedených případech se jedná o škodlivé kódy zaměřené na zcizení hesel, které najde uložené v prohlížeči.
Obrana je zřejmá, přílohy e-mailů, především od neznámých odesílatelů, je nutno vnímat jako rizikové a pokud si nejste jisti, o co se jedná, určitě se vyplatí na ně neklikat a nesnažit se je otevřít. I běžná praxe uložení hesel do prohlížeče sice zrychluje proces přihlašování, ale současně vytváří zdroj cenných údajů pro podobné útočníky. Lepším nástrojem jsou určitě softwaroví správci hesel, kteří používají vysoce bezpečné způsoby šifrování a ukládání dat. Jsou dostupní v různých cenových relacích, někteří dokonce bezplatně, buď pro omezené použití (limitován je počet zařízení a/nebo hesel), či zcela zdarma jako freeware3. Navíc hesla, která tito softwaroví pomocníci generují, jsou opravdu vysoce bezpečná a obtížně prolomitelná, na rozdíl od těch, které si často ukládají samotní uživatelé (z pohledu četnosti stále vedou zcela neuspokojivá hesla typu 123456 nebo password).
Ztráta zařízení
Prostředek výpočetní techniky (notebook, mobilní telefon, tablet, ale také třeba zálohovací flashdisk) může být ztracen, zapomenut anebo ukraden. Díky tomu se k němu dostanou nepovolané osoby a hrozí zneužití dat, která se na zařízení nacházela. Výši rizika, tedy zda k tomu opravdu dojde, významně ovlivňuje úroveň zabezpečení hardwaru včetně např. toho, jestli je využita možnost šifrování veškerých uložených dat, což je dnes již standardní funkcí systému Windows nebo lze použít některý z dostupných nástrojů (BitLocker apod.).
Za ztrátu osobních údajů vojenských veteránů Spojených států, včetně data narození a čísla sociálního pojištění, musela být vyplacena náhrada v řádu stovek milionů dolarů. Příčinou byla krádež laptopu, na němž byla data uložena, a který měl u sebe doma jeden ze zaměstnanců vojenské správy4.
Rizika komunikace
Pokud se útočníkovi podaří odcizit přihlašovací údaje v podobě e-mailové adresy a hesla, které byly uloženy např. v diskusním fóru, e-shopu anebo na některé sociální síti, často je jeho první další aktivitou pokus vlomit se do e-mailové schránky s využitím stejného hesla. Úroveň zabezpečení přihlašovacích údajů uživatelů je přitom u různých poskytovatelů značně rozdílná a mít na internetu jedno univerzální heslo pro všechny příležitosti patří k vysoce rizikovému chování.
Úspěšné proniknutí do schránky elektronické pošty vede nejen k získání informací uložených ve zprávách, ale také všech kontaktů z adresáře a možnosti rozesílat e-maily vaším jménem. Snaha zneužít elektronickou poštu ale může probíhat i jiným způsobem, založeným na simulaci firemní komunikace s využitím dostupných informací z webových stránek a sociálních sítí.
V jedné české společnosti zabývající se ochranou elektronické komunikace před spamy a škodlivými kódy se v dubnu 2020 objevil e-mail obsahující reálně vypadající vnitrofiremní komunikaci mezi reklamačním oddělením, účtárnou a jedním z dodavatelů. K e-mailu byla přiložena faktura s výzvou k proplacení. Že se jedná o padělek založený na úspěšném prolomení poštovního serveru, bylo zjištěno jen díky zkušenosti a obezřetnosti uživatelů a také varovnému upozornění systému, že předmětný e-mail byl odeslán z velmi nezvyklé destinace, konkrétně z Brazílie.
Pokud jste přesvědčeni, že se vás kompromitace přihlašovacích údajů netýká, zkuste si to ověřit na stránce haveibeenpwned.com, kde po zadání e-mailové adresy zjistíte, zda a kolikrát došlo k úspěšnému útoku na webové úložiště některého z poskytovatelů a jestli mezi odcizenými údaji figuruje i vaše e-mailová adresa a heslo. Možná budete nemile překvapeni, kolikrát již k tomu došlo, a to se přitom jedná o výpis z evidence pouze těch incidentů, které byly řádně nahlášeny.
Prolomení ochrany datového úložiště
Zálohování je pro oblast IT nezbytnou rutinou, prováděnou pokud možno pravidelně a dostatečně často. Taková úložiště obsahující cenná data se pak mohou stát cílem útoku, a to jak v případě, kdy se jedná o systémy pod vlastní správou (zálohovací server nebo zařízení v síti, data storage), tak i pod správou externího subjektu (cloudové služby, externí archivace na zakázku).
S tím, jak do praxe pronikají stále častěji cloudová řešení využívaná i malými a středními subjekty, rostou trendy nežádoucích aktivit narušitelů, kteří se zaměřují nejen na samotná úložiště, ale i na nástroje pro jejich správu a udržování. Motivace je převážně finanční (80 % případů), vyloučit ale nelze i průmyslovou špionáž (v 8 % případů)5.
Ztrátu osobních údajů více než 46 000 klientů musela přiznat i nadnárodní společnost Zürich Insurance. Došlo k tomu během přenosu dat ze zálohovacího zařízení do vzdáleného úložiště umístěného v Jihoafrické republice.
Je také nutno si uvědomit, že i když svěříte péči o zálohování a uložení dat externímu subjektu, nijak to z vás nesnímá odpovědnost za jejich ochranu, resp. za případné následky při neoprávněném přístupu k datům povahy osobních údajů (GDPR) nebo obchodního tajemství apod.
Nedostupnost dat
Cílem útoku nemusí být nutně odcizení nebo zneužití údajů, může se jednat i o snahu způsobit jejich nedostupnost. Právě tato nepříjemná rizika se stala vysoce aktuálními díky stoupající četnosti ransomware a DDoS útoků.
Ransomware je škodlivý program (trojský kůň nebo červ), který zamezí přístupu k datům nebo k počítačovému systému. Někdy přitom použije kryptografické metody a data zašifruje. Opětovné zpřístupnění je vázáno na zaplacení výkupného, oblíbenou měnou bývá bitcoin nebo jiná podobná kryptoměna. S tímto typem útoků se lze setkat i v České republice (nemocnice, OKD, advokátní kanceláře a další) a je nutno říct, že bývají v naprosté většině úspěšné, v loňském roce to bylo v 73 % případů. Polovina z nich se přitom odehrála v malých a středních firmách do 1 000 zaměstnanců6.
Počátkem května 2021 byla nadnárodní společnost Brenntag donucena zaplatit v bitcoinech částku, která byla ekvivalentem 4,4 milionu USD. Teprve poté došlo k odblokování zařízení zajišťujících provoz tohoto velkého chemického distributora na území Spojených států7.
Útok typu DDoS (distributed denial of service) je postaven na zahlcení a tím zablokování serveru zasíláním obrovského množství dotazů nebo jejich záměrnou chybovostí, díky čemuž se server stane nedostupným.
Mezi největší oznámené útoky typu DDoS patří napadení infrastruktury společnosti Google v roce 2017, při kterém byly servery bombardovány obrovským množstvím dotazů (packetů) dosahujícím intenzity 167 milionů za vteřinu. Podobně masivní byl útok na servery Amazonu počátkem roku 20208. V České republice jsou často cílem vzdělávací instituce nebo místní samosprávy, počet případů se meziročně opět zvýšil.
I u nás se objevilo spojení DDoS útoků s vymáháním výpalného, které je požadováno jako podmínka, že se útok nebude v budoucnu opakovat s vyšší intenzitou.
Formu nátlaku představuje i nevratné smazání nebo zničení dat, které může být provedeno na důkaz toho, že útočníci jsou schopni prolomit obranu napadených systémů, a že neváhají takové útoky provést.
Bezpečnostní standardy
Rychlost přechodu do digitálního světa byla umocněna opatřeními, které nutily řadu subjektů k omezení kontaktů a k využívání elektronických prostředků práce a komunikace. Současně s tím se ale také zintenzivnily nežádoucí doprovodné aktivity popsané výše. Nelze očekávat, že by mělo dojít k nějakému razantnímu zlepšení, a je proto nezbytné dodržovat pravidla, která snižují riziko, že se staneme obětí úspěšného útoku na naše zařízení, systémy nebo data.
Bezpečnostní standardy existují, zahrnují např. pravidla pro tvorbu a nakládání s hesly a přístupovými údaji, zacházení s hardwarem, pravidla komunikace, způsoby instalace programů a řadu dalších. Je doporučitelné se s nimi seznámit, a hlavně je následně uvést do praxe.
Některé užitečné odkazy
- Jak poznat podvodné e-maily
http://www.internetprovsechny.cz/bezpecne-na-internetu-10-tipu-jak-poznat-skodlivy-email/ - Desatero pro tvorbu hesel
https://www.blueghost.cz/clanek/10-pravidel-bezpecnost-hesel/ - Měřič síly hesla
https://hodza.net/password-meter/ - Jak se bránit před phishingem
https://www.avast.com/cs-cz/c-phishing
1 Zdroj: Statistika kyberkriminality Policie ČR, dostupné online na https://www.policie.cz/clanek/zverejnene-informace-2020-statistika-kyberkriminality.aspx
2 Zdroj: Tisková zpráva ESET software s.r.o., https://www.eset.com/cz/o-nas/pro-novinare/tiskove-zpravy/eset-tretina-unorovych-utoku-mirila-na-hesla
3 Přehled nejlepších správců hesel pro rok 2021 najdete na https://www.pcworld.cz/clanky/prehled-tech-nejlepsich-spravcu-hesel
4 Zdroj: Lloyd´s 360° Risk Insight, dostupné na http://www.lloyds.com/news-and-insight/risk-insight
5 Zdroj: Verizon, Data Breach Investigations Report 2020, dostupné online na https://enterprise.verizon.com/resources/executivebriefs/2020-dbir-executive-brief.pdf
6 Zdroj: Pujič Branko, The State of Ransomware 2020, prezentace Sophos Group plc, 2020
8 Zdroj: AWS Shield, Threat Landscape Report Q1/2020, dostupné online na https://aws-shield-tlr.s3.amazonaws.com/2020-Q1_AWS_Shield_TLR.pdf