Článek
Pandemie a související zrychlená digitalizace nahrály kyberzločincům. O nástrahách, které kladou lidem i firmám, v rozhovoru pro SZ Byznys mluvil Milan Habrcetl, odborník na kybernetickou bezpečnost z firmy Cisco.
Jaké jsou statistiky kybernetické kriminality za poslední rok ve srovnání s předchozím obdobím před covidem?
Člověk by čekal, že se trochu otupí aktivita, ale opak je pravdou. V roce 2020 a 2021 jsme zaznamenali více než šestinásobný, nebo chcete-li 600procentní, nárůst kybernetické kriminality.
Které typy útoků jsou nejčastější?
Záleží, na který sektor se díváme. Určitě nejvýnosnější a dnes nejčastější jsou útoky typu ransomware – chci výpalné za to, že vám zpřístupním data, které jsem vám předtím zašifroval. Ještě bych zmínil útoky typu cryptomining a útoky cílené na odcizení dat nebo ztrátu nějakého know-how.
Co je to cryptomining a týká se firem nebo jednotlivců?
Pomocí výpočetní techniky si můžete vydobýt nějaké bitcoiny nebo jinou kryptoměnu. Útočníci zneužijí cizí počítače. Cílem je ovládnout co nejvíc koncových uživatelských stanic, takže se to týká jak jednotlivců, tak firem.
Takže mi na počítači někdo doluje kryptoměnu a já o tom ani nevím. Jakou škodu můžu utrpět, kromě toho, že počítač pořád pracuje, opotřebovává se a spotřebovává elektřinu?
To je přímá škoda, útočníci ale nechtějí, abyste to zjistila, proto jsou ty procesy docela optimalizované. Musíte na to mít nástroj nebo bezpečnostní produkt, který dokáže zjistit, že se na počítači děje něco, co není obvyklé. To se pak reportuje bezpečnostnímu správci nebo vám jako správci vaší koncové stanice.
A hrozí mi něco jiného než ta přímá škoda?
Když někdo na vašem počítači těží, znamená to, že ho ovládl. A může si s ním dělat, co chce. V mnoha případech jsou ty počítače i součástí tzv. botnet sítí (síť počítačů napadených speciálním softwarem řízeným z jednoho centra, pozn. red.). Když pak někdo chce třeba na zakázku napadnout jinou firmu, tak si takovou botnet síť pronajme.
Dnes je zajímavým trendem i kybernetický útok „as a service“ (jako služba, pozn. red.). Zločinec ovládá nějakou počítačovou síť a pronajímá ji. Můžu si pak někde na darkwebu (hůře přístupná část internetu používaná zejména k nelegálním aktivitám, pozn. red.) koupit kampaň, ať už ransomwarovou, nebo DDoS útok (Distributed Denial of Service, jeho cílem je přehltit kapacitu serverů obrovským množstvím požadavků v jednu chvíli, a tím je vyřadit z provozu, pozn. red.) či cryptomining, phising apod.
Na darkwebech jsou různí poskytovatelé služeb, kteří nabízejí třeba síť 1,5 milionu stanic.
Ovládané počítače jsou vlastně takoví spící válečníci a jejich majitelé nevědí, že něco takového doma mají. Armáda strojů se probudí, ve chvíli, kdy je potřeba.
Ano, ten, kdo ji ovládá, ji využije ve svůj prospěch nebo ji pronajme někomu na kampaň.
Například když chcete DDoS útokem přehltit web konkurenci a tím ho odstavit.
Přesně. K tomu potřebujete nějakou sílu útoku, nějakých x stanic, které budou na daný server vysílat všechny najednou v jednu chvíli nějaký požadavek, a tím ho zahltí.
Útok DDoS si můžete na darkwebu koupit třeba už za 19,90 dolaru měsíčně. Je to takový hezký e-shop, kde si navolíte parametry útoku.
Aniž bych chtěla někoho navádět, jak se dá na takový darkweb dostat a využít těchto služeb?
Dá se najít přes běžné vyhledávače. Zadáte si „potřebuju koupit DDoS“ a jste tam hned. Nenavádím, ale je to běžné.
A obrana proti tomu je mít na počítači nainstalováno něco, co dokáže odhalit, že někdo chce ovládnout můj počítač?
Ano.
Popište, prosím, jak probíhají ransomware útoky, které už jsme zmiňovali, a o co útočníkům jde.
Útočník ovládne stanice nebo servery ve firmách a zašifruje data. Za odšifrování – opětovné zpřístupnění dat – požaduje výpalné. Specifikem útoku je, že útočník potřebuje nejdřív zjistit, kde jsou data a jak může ovládnout systém.
V posledních třech čtyřech letech se objevuje ransomware, který si už sám dokáže navázat spojení s dalšími stanicemi v rámci sítě. Z jednoho počítače dokáže ovládnout další stanice ve firemní síti, zašifrovat data a vás nakontaktovat na platební portál, abyste třeba v bitcoinech zaplatili za jejich dešifrování. To už je docela nebezpečné.
Dnes 92 procent těchto útoků začíná phishingovou kampaní: přijde vám třeba mail „jsem tvůj šéf, klikni sem, protože potřebuju, abys mi odsouhlasil tenhle proces“. Kliknete a najednou máte v počítači něco nainstalováno. Šikovnější softwary za sebou zametají stopy. Snaží se uhnízdit, rozprostřít a vyčistí cestu, kudy se tam dostaly, a procesy, které se musely spustit pro zahnízdění. S běžnými nástroji nemáte ani šanci to zjistit. Pak software navazuje spojení a říká si o výpalné.
Proč je ransomware nejčastější, kvůli tomu přímému důsledku – chce peníze. Zatímco před pěti lety se udávala průměrná výše výpalného kolem pěti tisíc dolarů, dnes jsou to statisíce. Aktuální analýza říká, že průměrná velikost ransomwarového útoku je asi 250 tisíc dolarů. Letos ale byl zaznamenán i útok s výkupným 10 milionů dolarů. To už jsou ohromné částky.
Víte, o jakou firmu šlo?
Ne, většinou se to nezveřejňuje. Napadené firmy by tím daly najevo, že jsou zranitelné. A útočník to může zkusit znovu.
Doporučujete za ta data platit, nebo ne?
Říkalo se, zásadně neustupovat a neplatit. Ale je to případ od případu. Pokud máte dobře nastavené bezpečnostní procesy a ransomware se k vám dostane, máte tam nějaké kontrolní a zálohovací mechanismy. Pokud by obnova dat trvala třeba půl dne a máte je zálohované ze včerejška a nepřijdete o nic zásadního, asi bych neplatil. Využil bych toho, že systémy obnovím ze zálohy. Než to ale firma udělá, je potřeba i tu zálohu kontrolovat. Někdy totiž šikovnější útoky dokážou napadnout nejen tu stanici, ale i zálohy.
Mnoho firem ale platí, protože nemá tyto zálohovací systémy tak dokonalé, nebo data, o které by přišly, jsou natolik závažná, že si to nemohou dovolit.
Citlivá data ve finančnictví a zdravotnictví
Která data jsou typově nejzranitelnější?
Ransomware míří tam, kde je snadno vymahatelný. To jsou firmy s velkým objemem dat, které jsou na nich závislé a pak firmy, které operují s citlivými daty, třeba nemocnice.
Bylo popsáno třeba několik útoků na české nemocnice. My jsme je předpovídali tři čtyři roky nazpátek, že finanční a nemocniční segment budou cílem číslo jedna. U těch nemocnic se to zcela naplnilo, u finančního sektoru se to často nedozvíme, protože bezpečnostní procesy jsou tam o řád lepší. Ne vždy jsou ty útoky úspěšné, nebo jsou úspěšné jen částečně a nikdo se s tím pak nechlubí.
Když firma zaplatí, může být v klidu?
Nemůže. Že se někdo do jejich sítě dostal, je poukázání na to, že se musí něco zlepšit. A nemusí to být ani zanedbání – například když softwarové firmy vydávají zprávy o tom, že vytvoří nějaké bezpečnostní záplaty – než se to stane, můžou to být i týdny nebo měsíce.
A vy musíte mít systémy naladěné tak, aby toto zvládaly: víme, že máme nějakou zranitelnost, ale než výrobce softwaru dodá bezpečnostní záplatu, musíme s tím žít. Pak je třeba rozsegmentovat procesy, oddělit zranitelnosti a snížit riziko na minimum. Například: účtárna dělá na svých počítačích, ve kterých mají starý operační systém. Rozhodně je tak nepustím třeba k datům z výroby, aby ji neohrozily, kdyby je někdo napadl.
Hodně populární bylo zneužití různých IoT prostředků (internet věcí, chytrá zařízení napojená na internet, pozn. red.) – tiskáren, kamer, různých zařízení ve výrobě. Ty dnes komunikují s internetem, ale mnohdy do tohoto otevřeného světa vůbec nejsou připravené. Pak je potřeba v síti oddělit i je – mít zvlášť síť pro kamery, zvlášť pro tiskárny, oddělit to, ať už virtuálně, nebo fyzicky a dohledovat to.
