Článek
„Nejslabším článkem v zabezpečení firmy bývá vždy člověk. A je úplně jedno, jestli se bavíme o recepční, vrcholovém manažerovi nebo třeba o klientovi banky,“ říká Lukáš Renc, specialista na kybernetickou bezpečnost a etický hacker společnosti AEC.
Jak dodává, lidský faktor bývá jednoznačně nejčastější příčinou selhání často nákladně budované ochrany jakékoli organizace.
V roli hackerů se zpravidla snažíme o jakýsi průřez firmou, tedy zaútočit od zaměstnanců recepce přes mzdové oddělení až po HR či manažery firmy.
Společnost AEC pomáhá firmám eliminovat bezpečnostní rizika. Používá při tom řadu nástrojů a postupů včetně útoků takzvaných etických hackerů. Jejich služeb často využívají velké nadnárodní finanční instituce, například banky nebo pojišťovny, které kladou na IT bezpečnost mimořádný důraz. „Přestože tyto korporace obvykle mají nejmodernějšími prostředky, etičtí hackeři z AEC jsou v naprosté většině případů schopni jejich ochranu prolomit, a upozornit je tím na dosud skryté hrozby a potenciální rizika,“ vysvětlil pro Seznam Zprávy Renc.
Etický hackerský útok
Etičtí hackeři, hovorově zvaní také „white hat“ (doslova bílý klobouk), jsou specialisté na počítačovou bezpečnost, kteří se snaží se souhlasem svých zákazníků prolomit jejich bezpečnostní opatření. Útok může probíhat například tímto způsobem:
1. Hackeři si nejdříve zjistí o firmě co nejvíce informací, například e-maily a telefonní čísla z veřejných zdrojů, ale i hesla zaměstnanců z uniklých databází.
2. Vytipují si možná místa a způsoby průniku do firmy, například přes veřejné IP adresy.
3. Vytvoří malware (škodlivý program) na míru, který má za cíl obejít antivirové systémy dané firmy. Tyto systémy, které zajišťují komunikaci s řídícími servery společnosti, by měly za normálních okolností běžný virus odhalit.
4. K „propašování“ malwaru do firemního IT systému použijí hackeři vybrané metody sociálního inženýrství. Patří mezi ně například:
- Rozesílání důvěryhodně působících podvodných e-mailů (phishing) se záměrem přimět zaměstnance, aby otevřením zprávy nevědomky spustil škodlivý kód, který daná zpráva obsahuje.
- Falešné telefonáty (vishing) s cílem přesvědčit zaměstnance, aby vykonal určitý běžný úkon (například v rámci pravidelné aktualizace firemního softwaru), jímž by spustil malware na firemním počítači.
- Fyzické spuštění malwaru skrze infikovaný USB disk. Útočník pod smyšleným důvodem navštíví firmu a při odchodu v kanceláři nenápadně „zapomene“ flashku. Málokdo odolá, aby ji nevyzkoušel.
5. Po úspěšném spuštění malwaru na zaměstnaneckém notebooku se hackeři dostanou do systému firmy. Jejich cílem je přivlastnit si citlivá data, získat neoprávněný přístup k využívání počítačů dalších uživatelů, rozšířit malware na ostatní zařízení, zjistit hesla, odhalit zranitelnosti firmy, prozkoumat sdílená úložiště a vytěžit co nejvíce osobních údajů.
6. Etičtí útočníci také prověřují zabezpečení wifi sítí a připojení neautorizovaného zařízení do sítě.
7. Jednotlivé kroky útoku a jejich dopady etičtí hackeři podrobně zaznamenávají a analyzují. Celá operace končí detailním debriefingem se zástupci testované firmy, během něhož dojde k objasnění, jak, proč, kdy a kde k útoku došlo a v čem ochrana firmy selhala. Zákazník zároveň obdrží detailně rozpracované know-how, jak podobným kybernetickým útokům v budoucnu nejlépe čelit.
Zdroj: Společnost AEC
Překvapivě velkou úspěšnost eviduje AEC u útoků za pomoci falešných telefonátů. „Pro útočníky je vishing nevýhodný v tom, že je časově náročný, a dotkne se proto menšího počtu obětí. Velkou předností takových útoků je však jejich úspěšnost, která dosahuje 80 až 90 procent,“ říká Renc a upřesňuje: „V roli hackerů se zpravidla snažíme o jakýsi průřez firmou, tedy zaútočit od zaměstnanců recepce přes mzdové oddělení až po HR či manažery firmy.“
Úspěšné často bývají i hackerské útoky prostřednictvím na míru šitých podvodných e-mailů. „O manažerce jedné testované firmy jsme z veřejných zdrojů zjistili, že je silnou osobností a zároveň vášnivou rybářkou. Vypracovali jsme tedy e-mail, který ji žádal o poskytnutí krátkého vystoupení na setkání podporujícím ženy, které boří stereotypy,“ popisuje Renc. Součástí zprávy byla i infikovaná příloha s fiktivní pozvánkou.
Další možnosti phishingu představuje zasílání obecnějších zpráv větší skupině lidí například pozvání na firemní vánoční večírek.
Podle etického hackera jsou útočníci stále sofistikovanější a do svých příprav a postupů zahrnují takové aspekty, jako je vyvolání časové tísně, jemná manipulace nebo psychický nátlak na vytipovaného zaměstnance. Oběť se bojí, aby něco nezanedbala, nepromeškala, aby se neztrapnila před kolegy, a proto raději útočníkovi vyhoví.
„Je naprosto v pořádku být podezřívavý. Rád bych tímto podpořil všechny pečlivé a opatrné zaměstnance, kteří se nebojí oznamovat i pouze náznakem podezřelé události, e-maily či telefonáty,“ uvedl Lukáš Renc. Jak dodal, upozornění na pochybné aktivity, nejen v IT oblasti, by měly firmy u svých zaměstnanců vítat a oceňovat.
Bezpečné Česko?
Česká republika se v indexu bezpečného chování na internetu umístila na 9. místě v Evropské unii, dodržuje ho 74,5 procenta, ukazují data Eurostatu. Nejlépe jsou na tom Finové s 90 % občanů dodržujících bezpečnost na internetu, následovaní Nizozemci s 87 %. Na konci žebříčku se pak nachází Rumunsko (48 %) a Bulharsko (48,5 %), jejichž občané nedosahují základní dovednosti v oblasti bezpečnosti ani z poloviny.
„V indexu bezpečného chování na internetu dosahují Češi nadprůměrných hodnot. Alespoň základní úrovně dosahuje 74 procent Čechů ve věku 16 až 74 let, v celé EU se jedná o 68 procent osob,“ potvrzuje čísla evropských statistiků Lenka Weichetová z Odboru statistik rozvoje společnosti Českého statistického úřadu (ČSÚ).
S bezpečností na internetu jsou však mezi lidmi značné rozdíly. Velkou propast například mezi Čechy vytváří odlišné vzdělání. Nejnižší bezpečnost je u lidí se základním vzděláním, kdy téměř polovina má alespoň základní dovednosti, pokročilé však jen 18,5 % z nich. Mohou tak snadno na internetu někomu naletět. Nejvíce naopak dodržují bezpečnostní zásady lidé s vysokoškolským vzděláním.
Znát zásady bezpečného chování je pro používání internetu nezbytné. Mnozí lidé však rizika nevnímají, vysvětlil pro Seznam Zprávy lektor a konzultant společnosti Digiskills Jan Dolejš.
„Lidé si neuvědomují, že v digitálním světě dnes máme svou identitu, peníze a mnoho citlivých informací, které útočníci mohou snadno zneužít. Největší problém ale vidím v tom, že Čechům chybí obecný zájem o moderní trendy a technologie, které by jim pomohly. Jen malá část přemýšlí, jak si zjednodušit život, automatizovat si práci nebo převést část agendy ‚do digitálu‘.“
IT bezpečnost je součástí Indexu digitálních dovedností Evropské unie. Cílem EU v rámci digitální dekády, tedy digitální transformace Evropské unie, je mít do roku 2030 digitálně gramotných 80 % občanů. V tuto chvíli má základní digitální kompetence 54 procent lidí.
V rámci digitální bezpečnosti EU určila, že pro to, aby lidé ovládali alespoň základy, musí udělat jednu či dvě z nabízených činností, mezi něž patří například omezení viditelnosti obsahu na sociálních sítích či kontrola stránek, na které zadávám osobní údaje, zda jsou bezpečné. Kritéria pro IT bezpečnost tedy nejsou příliš přísná.
Data o bezpečném chování na internetu podle ekonomické aktivity pak ukazují, že nejlépe si vedou studenti. Ti mají značnou výhodu, jelikož s internetem už odmala vyrůstali a často se na něm pohybují. Alespoň jednou za týden použije internet 99 % mladých lidí (16–24 let). Nejhůře jsou na tom nezaměstnaní. Alespoň základy bezpečnosti na internetu má 72,2 procenta z nich.
Internet o nás ví vše
Pro bezpečné chování v digitálním světě je, mimo zmíněných činností bezpečnostního indexu EU, důležitý i například výběr aplikace pro zasílání zpráv. Přehled komunikačních aplikací vytvořil Národní úřad pro kybernetickou bezpečnost (NÚKIB), který občanům doporučuje aplikace s end-to-end šifrováním.
End-to-end šifrování
End-to-end šifrování je způsob, jakým komunikační aplikace zajišťují bezpečnost obsahu zpráv. Znamená to, že aplikace zprávu před odesláním zašifruje, předá příjemci a rozšifruje ji. Tím pádem se nemůže dostat k obsahu samotné zprávy. Příkladem může být například WhatsApp či Signal. Naopak facebookový Messenger v normálním módu poslané zprávy nešifruje, Facebook k nim proto má přístup.
Přesto, že má Messenger na Facebooku minimum bezpečnostních prvků, je v Česku třetí nejpoužívanější sociální sítí, kterou pravidelně využívá 51 % Čechů, hned za Facebookem (70 %) a YouTubem (66 %). Přívětivé uživatelské rozhraní a spojení s nejvyužívanější sociální sítí je pro mnohé lidi lákadlem.
Přehled komunikačních aplikací podle jejich bezpečnosti.
„Ačkoliv nabízí end-to-end šifrování, musí být manuálně zapnuto formou samostatné bezpečné konverzace s uživatelem. Běžné konverzace jsou nezašifrované a provozovatel má přístup k jejich obsahu,“ píše se v analýze komunikačních aplikací NÚKIB, s dodatkem, že Messenger není vhodným kanálem pro citlivé konverzace a informace.
Češi mají podle Jana Dolejše ze společnosti Digiskills problém také se zabezpečením mobilů i laptopů. „Necháváme se příliš ovlivnit falešnými zprávami, zdroje informací poctivě ověřuje jen hrstka lidí. Podobné je to i se zabezpečením našich zařízení a dat.“
Seznam Zprávy proto připravily desatero bezpečného chování na internetu.
Desatero bezpečnosti v online světě
1. Buďte obezřetní
- Obecně je důležité se na internetu chovat opatrně a přemýšlet nad tím, co děláme.
- Nechoďte na podezřelé webové stránky.
- Pokud zaznamenáte podezřelou aktivitu na vašem pracovním počítači, ihned uvědomte IT oddělení či své nadřízené.
- Pokud někde zadáváte své heslo nebo údaje z platební karty, zkontrolujte si, že jste na správné stránce.
- Klikat na podezřelé odkazy či posílat peníze údajnému válečnému veteránovi z Afghánistánu není dobrý nápad.
2. Vytvořte si bezpečná hesla
- Na každou webovou stránku či aplikaci mějte jiné heslo. Pokud máte heslo stejné a unikne z nějaké databáze, mohou si ho hackeři koupit a získat tak přístup k vašemu e-mailu, sociálním sítím a dalším.
- Heslo má být dlouhé a jedinečné. Délka je důležitější než speciální znaky, velká písmena a čísla. Ideální heslo je složené ze čtyř a více náhodných dlouhých slov.
- Nejpoužívanějším heslem je 123456. Můžete se podívat na seznam 200 nejčastějších hesel, která umělá inteligence dokáže odhalit do několika vteřin. Pokud své heslo v tomto seznamu najdete, měli byste si ho hned změnit.
- Nejlépe je mít v důležitých aplikacích, jako jsou například sociální sítě či e-maily, dvoufázové ověření. Přihlášení tak budete muset potvrdit například opsáním kódu z mobilu.
- Pokud si hesla nepamatujete, nemějte je lehce dohledatelná. Lepicí papírek na notebooku s heslem pro přihlášení je, jako byste žádné heslo neměli. Řešením může být správce hesel, který si hesla pamatuje za vás.
3. Používejte antivirus
- Antiviry vaše zařízení neochrání před všemi hrozbami, riziko však výrazně sníží.
- Mobily i počítače si updatujte hned, jak je to možné. Nové aktualizace často souvisí s vytvořením ochrany proti aktuálním virům, které vaše zařízení mohou napadnout.
4. Komunikujte šifrovaně
- Ke komunikaci používejte aplikace s end-to-end šifrováním, jako je například Signal.
5. Nesdílejte víc, než je potřeba
- Na sociálních sítích si chraňte svoje soukromí, cizí lidé o vás nemusí vědět všechno.
- Nesdílejte žádné důvěrné a osobní informace, pokud nemusíte (např. kvůli odeslání balíku).
- Přemýšlejte o tom, co sdílíte. Ne nadarmo se říká, že co se jednou na internetu objeví, bude tam už navždy.
- Není důvod, abyste na sociálních sítích měli například váš osobní mobilní telefon či dokonce adresu. Když pak navíc sdílíte během své dovolené fotky na sociální sítě, můžete se stát snadným cílem zlodějů.
- Je zbytečné, aby jakékoliv aplikace sledovaly vaši geografickou polohu (pokud zrovna nepoužíváte například mapy).
- U cookies souborů vždy sdílejte jen nezbytné cookies, ostatní zamítněte.
6. Ověřujte si informace
- Na internet může napsat kdokoliv cokoliv. Je nutné na to myslet a informace si ověřovat.
7. Plaťte obezřetně
- Vždy si zkontrolujte stránky, na kterých platíte.
- Podívejte se, zda sedí odesílaná částka.
- Plaťte jen přes stránky s ikonou zámku nalevo od webové adresy.
- Informace o platební kartě sdílejte jen v zabezpečeném a šifrovaném prostředí.
8. Neklikejte na podezřelé odkazy
- Nestahujte neznámé či podezřelé soubory.
- Nestahujte přílohy e-mailu od lidí, které neznáte.
- Odkaz může přijít i od známého člověka. Na Messengeru například putuje zpráva „Na tom videu jsi ty?!!“ s odkazem, který po kliknutí z uživatelů láká přihlašovací údaje k Facebooku.
- Při špatné gramatice se vždy mějte na pozoru. Může se jednat o útok ze zahraničí se zprávou přeloženou přes překladač.
9. Mějte více e-mailů
- Jednu adresu můžete využít na osobní komunikaci, druhou pro registrace na webových stránkách. Snížíte riziko, že se hacker dostane do obou e-mailových adres.
10. Využívejte bezpečné připojení
- Pokud využíváte wifi zdarma ve veřejném prostranství, například na letišti či v kavárně, může někdo vaši online aktivitu sledovat. Připojení k internetu totiž ovládá správce sítě.
- Nesdílejte tedy osobní a důvěrné informace.
Senioři v ohrožení
Nejohroženější skupinou v rámci kybernetické bezpečnosti jsou senioři, což je zřejmé i z následujícího grafu. Obezřetnost s postupujícím věkem klesá. Jen každý třetí důchodce (65–74 let) má v Česku alespoň základní úroveň bezpečného chování na internetu.
Situaci se však snaží zlepšit například společnost Elpida, která seniory v oblasti digitální gramotnosti vzdělává již šest let. „V dubnu 2016 jsme seminářem odstartovali naši snahu vést seniory ke kritickému myšlení při čtení zpráv a sledování videí a reklam. Všimli jsme si, že s rostoucí schopností a chutí pohybovat se světem internetu někdy chybí základní obezřetnost a schopnost rozlišovat důvěryhodnou informaci od té zavádějící či lživé,“ řekl Seznam Zprávám Jan Bartoš, vedoucí centra Elpida, které v tuto chvíli vzdělává seniory i formou workshopů, exkurzí a dalšími aktivitami.
Podle Bartoše je pro seniory nejtěžší pochopit „tekutost“ sdělení a zpráv, které najdou různě na internetu, v e-mailových schránkách a na sociálních sítí. „Je těžké si uvědomit, že za tím vším nestojí jedna konkrétní autorita, ale že tento prostor, kterému říkáme informační džungle, je odrazem složitosti a rozporuplnosti světa.“
Období šmejdů a prodejců hrnců skončilo, teď probíhá čas kyberšmejdů.
Jejich práce se seniory hodně souvisí i s mediální gramotností. „Lidé si vždycky rádi zjednodušují a usnadňují život a někdy je zkrátka pohodlnější uvěřit jednomu názoru, zdroji, konspirační teorii nebo ideologii a ostatním se už dál nezabývat. Mít jednou pro vždy jasno. S tím souvisí fakt, že jsou senioři křehčí a někteří sociálně frustrovaní, a ti vždycky lehko naskakují na argumenty obchodníků se strachem. To se ale netýká jen seniorů,“ říká vedoucí centra Elpida.
Pokročilou úroveň bezpečného chování na internetu má pouze necelých 13 procent důchodců. Situace je opět nejlepší u mladých lidí, téměř 60 % z nich dodržuje bezpečná opatření. Neopatrnost seniorů v online prostředí dokazuje i průzkum společnosti Elpida a nadace O2 z roku 2018. Podle ní se 9 z 10 seniorů, kteří jsou na internetu, setkali z řetězovými e-maily, jeden z pěti seniorů je pak šířil dál. „Průzkum také ukazuje, že pravdivost informací ze svých oblíbených zdrojů si neověřuje celých 40 procent seniorů,“ říká Lada Brůnová z organizace Elpida.
Senioři navíc ve většině případů po členech rodiny „dědí“ nejstarší zařízení, která jsou nejméně zabezpečena. Na počítači také nejsou obezřetní. „Základem pro všechno je uvědomit si, že pro online svět platí stejné zásady jako v reálném světě. Přirozeně zpozorníme, když jdeme večer po setmění osamělým parkem, na internetu se ale často chováme, jako kdyby žádné nebezpečí nehrozilo. Pro naše starší spoluobčany je proto důležité postupně si vybudovat instinkty stejného druhu,“ říká Jan Bartoš.
A co je podle něj nejdůležitější nedělat? „Nereagovat na vyskakovací varování, nabídky, různá nátlaková počítadla, která nutí zakoupit zboží teď hned, ani slepě nevěřit, že zrovna já jsem ten šťastný a vyhrál jsem milion a stačí jen poslat 10 000 zálohy na neznámý účet. Období ‚šmejdů‘ a prodejců hrnců skončilo, teď probíhá čas ‚kyberšmejdů‘.“
