Rebríček top nešvárov v online bezpečnosti

18.05.2021

Chcelo by sa povedať, že chybami sa človek učí a raz vyriešenými / riešenými / a médiami omieľanými bezpečnostnými prehreškami sa spoločnosti zaoberajú. Nie je tomu ale vždy tak. Denne sa stretávame s bezpečnostnými problémami v rámci jednotlivcov i v rámci firiem či organizácií. Národných i tých nadnárodných. Takmer denne sa dozvedáme o úniku citlivých dát, o zneužití súkromných či firemných účtov. Nielenže potom kvôli insider attackům, phishingu a kybernetickej kriminalite unikajú už spomínaná citlivé dáta klientov, zamestnancov a iných užívateľov, kyberútoků môžu byť tiež príčinou zastavenie prevádzky nemocníc, pozastavenie služieb bánk či napríklad zmrazenie peňažného konta.

Ako sa ale proti podobným útokom brániť? "Nemálo sa dočítame o zásadných chybách, ktorých sa dopúšťa bežní užívatelia internetu a radoví pracovníci vo firmách," hovorí úvodom Marcel Poul, riaditeľ realizácia projektov spoločnosti BCV solutions. Námatkovo sú napríklad v hojnom množstve zastúpené chyby súvisiace so slabými heslami či dokonca s nulovou ochranou dát, ďalej potom zverejňovanie fotografií aj zadávanie dát do neoverených aplikácií. Ako už ale bolo naznačené, podobné úniky dát sa netýkajú len jednotlivcov. V dnešnej dobe sa firmy a rôzne organizácie musia potýkať s kyberútoků aj útokmi z vnútorného firemného prostredia.

 Kevin Ku

Ilustračné foto: Unsplash.com / Kevin Ku

TOP 1 Kybernetický útok a vydieranie

Jednou z najväčších a obávaných hrozieb je kybernetický útok, počas ktorého hrozí únik vysoko citlivých dát vo veľkom množstve, a to dokonca aj napriek vysokú úroveň zabezpečenia. "Za najčastejšie hrozbu súčasnosti sa považuje tiež vydierania. V takejto situácii útočník prenikne do kľúčových systémov organizácie, zašifruje dáta tak, aby k nim mal prístup ako jediný, pričom ako jediný má tiež kľúč na dešifrovanie, "hovorí riaditeľ realizácie projektov spoločnosti BCV solutions. Nasleduje zaslanie podmienok, v ktorých žiada výkupné (pomerne často to býva prevod určitej sumy v Bitcoin či iné kryptomena šplhajúce sa do rádov desiatok miliónov Sk). Organizácia potom mávajú na výber - zložiť sumu a dúfať v dešifrovanie dát, alebo začať svoje dáta obnovovať zo zálohy. V oboch prípadoch však vznikajú veľké škody.

Ako jeden z posledných mediálne známych prípadov kybernetického útoku možno uviesť prípad Fakultnej nemocnice Brno, ktorý sa stal v marci 2020. Fakultnej nemocnice kvôli kybernetickému útoku prišla ku škode v poriadku desiatok miliónov korún. Bola ňou odcudzená ekonomická aj niektoré administratívne dáta. Dokonca nemocnice prišla o internetový objednávkový systém darcov krvi. Ako sa ale proti kybernetickému útoku brániť? Spôsobov je niekoľko.

  • Oddeliť kritické systémy, ako je napr. transfúznej systém v Nemocnici, alebo systém pre výplatu dávok na ministerstve pod. do oddelenej infraštruktúry, aby sa k nim prípadný útočník vôbec nedostal.
  • Aktívne vyhodnocovať hrozby - s tým môže pomôcť Národný úrad pre kybernetickú bezpečnosť. Má expertmi, ponúka online školenia, vydáva odporúčania.
  • Dodržiavať pravidlá minimálneho prístupu - zjednodušene - všetky dvere do siete alebo do systému sú v predvolenom stave zatvorené, povolený je len vybraný a schválený prístup.
  • Používať prvky aktívnej ochrany infraštruktúry - Intrusion detection system, Intrusion prevension system. Tzn. keď už na organizáciu niekto útočí, rýchlo sa na neho príde a zneškodnia sa v zárodku.
  • Používať kvalitné nástroje pre monitoring infraštruktúry. Platí to isté, čo bolo napísané vyššie. Ak je prevádzka podozrivý alebo sa systém chová neštandardne, v čo najkratšom čase na to možno vďaka kvalitným nástrojom a monitoringu prísť.
  • V prípade útokov na nemocnice - predtým neexistovali plány, ako sa brániť kybernetickému útoku. Chýbali veci v podobe zoznamu systémov a aplikácií a ich stanovená priorita. Je potrebné vedieť, čo kde funguje, čo sa má v prípade potreby zachraňovať ako prvé a akým spôsobom.
  • Mať kvalitnú zálohu dát a hlavne postup, ako dáta zo zálohy efektívne a rýchlo dostať. V tomto bode mali nemocnice tiež problém. Síce občas akúsi zálohu mali, ale dáta, ktorá bola na zálohe obsiahnutá, bola zastaraná. V ďalšom prípade nemocnice neboli schopné dáta zo zálohy dostatočne rýchlo obnoviť, čo potom veľakrát spôsobovalo obmedzenia prevádzky.
  • Nechať si pravidelne robiť bezpečnosťou audit alebo ešte lepšie - nechať si robiť nezávislé penetračné testy - v podstate kyberútoků nanečisto.

TOP 2 Útoky vo vnútri organizácie a zámerná odcudzeniu dát

Často sa zabúda na útok vo vnútri organizácie tzv. Insider attack. "Pochopiteľne, firmy sa tým nechváli, pretože insider sú často zamestnanci, ale nesmieme zabudnúť na zaujímavú skupinu - bývalí zamestnanci," hovorí Marcel Poul. Nezriedka sa stretávame s tým, že po ukončení kontraktu so zamestnancom, ktorý sa nemusí niesť nutne v dobrom duchu, zostanú odosielanému i jeho prístupy ako napríklad VPN (vzdialený prístup) vrátane ďalších prístupov. A práve to by mohol byť výrazný problém. Taký človek sa pre svojho bývalého zamestnávateľa stáva nemalú hrozbou. Môže byť otázkou času, kedy sa v organizáciu zistí únik citlivých dát. "V takejto situácii potom nie je úplne ťažké onoho konkrétneho jedinca dohľadať, ale to nie je pointa. Pointa je, že už mohol napáchať škody, ktoré už z neho nikdy nikto nedostane. A to nielen priame škody, kedy niekoľko ľudí musí po určitú dobu riešiť ich nápravu, ktorá sa veľakrát predĺži, pretože sa musí pracovať na obnovách a aktualizáciu dát. Pokuta vo výške miliónov môže byť pre firmu to najmenšie. Predstavte si situáciu ohľadom odcudzených údajov zo zdravotnej poisťovne, "upozorňuje odborník z BCV solutions.

Vhodným príkladom je situácia zo zahraničia, a to zo Spojených štátov amerických, kedy teraz už bývalý zamestnanec Jason Needham odišiel v roku 2013 zo strojárskej firmy Allen & Hoshall so sídlom v meste Memphis v štáte Tennessee a sám založil firmu HNA Engineering. Po ukončení pracovného pomeru mu však zostali všetky prístupy k citlivým dátam. Needham tak aj naďalej pristupoval k e-mailovým účtom spoločnosti. Mal prístup k interným súborom, kde si stiahol návrhy projektov, finančné dokumenty, technické schémy a ďalšie súbory. Vo firme Allen & Hoshall o jeho správaní nevedeli až do roku 2016, kedy potenciálny zákazník dostal od novo vzniknutej firmy návrh, ktorý bol výrazným spôsobom podobný tomu z firmy Allen & Hoshall. Tá kontaktovala FBI a v roku 2017 bol Jason Needham obvinený z trestného činu.

Ďalšie insider attack môže nastať vo chvíli, keď súčasný zamestnanec cielene disponuje dáta. Tie potom môže predávať konkurencii (napríklad v prípade technických návrhov), ďalej je potom môže používať pre naštartovanie vlastného biznisu (dostane sa ku kontaktom) a pod. Čiastočne tomu môže zamedziť IdM (Identity Management) - kedy má zamestnanec prístup k správnym (rozumejte schváleným) dátam v správny čas a na konkrétnom mieste. Ďalším riešením by mohol byť kvalitné log manažment, monitoring, DLP (Data Loss Prevention - systémy na ochranu dát), a najmä dobrý návrh samotnej aplikácie. Ďalej potom riadenie prístupov pomocou rolí a rôzne trasholdy (prahové hodnoty) pre "podozrivé" operácie v systéme - napríklad keď si niekto exportuje veľa dát zo CRM.

"Ako ďalší príklad možno uviesť americká spoločnosť Tesla, ktorá sa kvôli málo dôslednému obmedzeniu úrovne privilegovaných prístupov svojich zamestnancov musela potýkať sa sabotérom. Ten využil svojho prístupu k vykonanie zmien kódu v operačnom systéme Tesla Manufacturing pod falošnými užívateľskými menami a spôsobil tak únik veľkého množstva vysoko citlivých dát tretím stranám. Na podobnú situáciu upozorňovala aj agentúra Reuters, kedy sa americkej bankovej spoločnosti SunTrust Bank pokúsil teraz už bývalý zamestnanec stiahnuť údaje o klientoch s úmyslom ich poskytnú tretej strane," konštatuje odborník Marcel Poul, riaditeľ realizácia projektov spoločnosti BCV solutions.

TOP 3 Neaktuálny softvér

Patríte medzi zástancov odďaľovanie aktualizácií - či už z dôvodu "nedostatku času" či nie ste zástancovia "pokroku" a súčasná verzia vám dostatočne vyhovuje? Mysleli ste si, že neaktuálny softvér nie je nebezpečný? Opak je pravdou. Hackeri často vyhľadávajú a využívajú práve zastaraných a neaktualizovaných softvérov, u ktorých si sú vedomí chýb a nedostatkov. "Práve tie im potom značným spôsobom uľahčujú prístup k vašim citlivým údajom, s ktorými potom môžu nakladať podľa svojej ľubovôle," upozorňuje Marcel Poul. V dnešnej dobe existuje mnoho programov, ktoré onú konkrétnu zraniteľnosť využijú k ovládnutiu systému - útočník tak nerobia manuálne, ale to za neho robia špecializované nástroje.

Je dôležité mať na mysli, že aktualizácia softvéru je vždy skrátka nutná. S aktualizáciami prichádza bezpečnostné opravy, ktoré znemožňujú prístup útočníkom. S aktualizáciami dochádza k vylepšeniam súčasných softvérov, vylepšuje sa ako ich fungovania, tak i ich zabezpečenie. Možno by ste sa dnes divili, kde všade ešte bežia Windows XP.

TOP 4 Phishing

Pochopiteľne najväčšie problémy s bezpečnosťou sú 1000x omieľané phishing útoky a hackerské útoky. Phishingový útok má viacmenej jediný cieľ, a to od vás získať citlivé dáta, ako sú napríklad prístupové heslá k účtom. Pričom je nutné podotknúť, že za takýmto útokom zvyčajne stojí človek vydávajúci sa za niekoho dôveryhodného. Získané údaje potom môže útočník použiť napriamo - vykradne bankový účet - ale čím ďalej častejšie slúži tieto ukradnuté prístupové údaje ako vstupná brána k ďalším útokom. Napadnutý sa VPN pripojí do firemnej siete a dvierka kybernetického útoku na organizáciu sú otvorené.

Pravdepodobne ste už zaznamenali rôzne varovanie v podobe neotevírání podozrivých e-mailov, ktoré na prvý pohľad vyzerajú ako vami vyžiadaná pošta. Pri druhom pohľade, napríklad na mnohokrát zvláštne e-mailovú, gramatické chyby alebo na podnet o vloženie e-mailovej adresy aj heslá k internetovému bankovníctvu, je jasné, že daný jednotlivec čelí phishingovému útoku. Opäť treba podotknúť, že sa v poslednej dobe kvalita týchto podvrhnutých webových stránok a podvrhnutých e-mailov razantným spôsobom zlepšila. To je možné pripísať aj neustále sa skvalitňujúce sa automatickým prekladačom.

Ako sa ale takým útokom brániť? "Možno phishing odstrániť? Áno a nie. Phishing bohužiaľ úplne odstrániť nedá, ale dá sa proti nemu pomocou niekoľkých krokov brániť. V prvom rade by všetci užívatelia mali dbať na to, komu a kam zadávajú svoje informácie. Kontrolovať adresu, odkiaľ novo prichádzajúci email prišiel, nestačí. V dnešnej dobe je možné e-mailovú adresu ľahko podvrhnúť," prezrádza Marcel Poul, riaditeľ realizácia projektov spoločnosti BCV solutions. V ďalšej rade je dôležité tiež zvážiť, či je potrebné, a hlavne bezpečné klikať na konkrétny odkaz na webe či v e-maile. V tomto bode by sa užívatelia mali sústrediť na ktorú adresu vedú odkazy a v žiadnom prípade a za žiadnych okolností by na stránky z odkazov nemali zadávať svoje prihlasovacie údaje. V neposlednom rade je potrebné dbať na dostatočné zabezpečenie - či už pomocou antivírusového programu alebo pomocou vícefaktorového overenie.

TOP 5 Zabezpečenie dlhým heslom nestačí

Heslá nám nielenže pomáhajú, ale vyložene chránia naše súkromie, citlivé dáta, fotografie a mnoho ďalšieho. V prípade slabého hesla je, bohužiaľ, len otázkou času, kedy nám bude narušené naše súkromie. V prípade vymýšľanie silného hesla je dôležité mať na pamäti originalitu, dĺžku a znaky. "Čo sa týka originality - zadaním nášho rodného čísla, mena či mená detí alebo dokonca toho, čo máme radi, nikoho neobelstíme. Heslo by nemalo byť krátke a zároveň by v ňom mali byť využité špeciálne znaky. Tu však pozor - je na dennom poriadku, že niektoré znaky nahradzujú písmená, preto by sme ich mali využívať originálne," hovorí odborník z BCV solutions. V tejto chvíli sa však dostávame do bodu, kedy ani takto vymyslené heslo nemusí byť dostatočné. Preto je vhodné využívať multifaktorové overenie napríklad v podobe aplikácie v telefóne (dnes hojne využívané bankami) alebo multifaktorové overenie v podobe biometrie - odtlačku prsta či scanu tváre, ako má Apple svoje faceID. V prípade vícefaktorového overenia nám po zadaní hesla príde zvyčajne na telefónne číslo unikátny kód, po ktorého zadaní budeme k svojmu účtu prihlásení. Práve multifaktorovej overenie výrazným spôsobom prispieva k vysokej online bezpečnosti. 

Zdroj: BCV Solutions

Prieskum

Top ponuky