Kybernetičtí útočníci se nezaměřují pouze na jednotlivce, ale také stále více na firmy a instituce. V oblasti zabezpečení IT však koluje řada mýtů, kterým lidé s rozhodovací pravomocí mnohdy věří. Je těžké jednoznačně určit, který bezpečnostní mýtus je nejhorší a způsobuje největší škody. Rozhodně se však nevyplácí spoléhat se na to, že firma je pro útočníky nezajímavý cíl. Stejně tak podceňovat zabezpečení zařízení, která nevnímáme jako napadnutelná přesto, že jsou zapojená do počítačových sítí.
„Žijeme v informačním věku, kdy je podnikání ve většině oborů více či méně závislé na IT, připojení do informační sítě či sdílení dat. Informační technologie umožňují firmám inovovat, nabízet své služby zákazníkům na míru, zjednodušit administrativu a dosáhnout konkurenční výhody. Přináší ale i mnohá rizika, která naprostá většina organizací podceňuje,“ říká Michal Merta, ředitel pražského Cyber Fusion centra společnosti Accenture. V oblasti kyberbezpečnosti je podle něj rozšířená spousta mýtů a důvěra v ně dělá z mnoha společností snadné cíle pro potenciální útočníky.
Pro útočníky nejsme zajímavý cíl
Kdybychom sestavovali pomyslný žebříček nebezpečných mýtů v oblasti kybernetické bezpečnosti, jedno z předních míst by určitě obsadilo tvrzení „moje firma je na kyberútok moc malá“. Tahle domněnka je stejně tak rozšířená, jako mylná. Kyberútočníci se o velikost firmy nestarají a často převládá vidina možného zisku. Ve valné většině kybernetických útoků je tím, co z firmy udělá cíl, jen pouhá náhoda. Pro kyberútočníky může být výhodné napadat malé firmy, jejichž vedení si myslí, že jim za útok nestojí. „Důvodů, proč menší firmy mohou být lákavý cíl pro potenciální útočníky, je více. Menší firmy neinvestují tolik prostředků do IT zabezpečení či jej podceňují, Tím lákají útočníky, kteří mají nižší dovednosti, nebo útočníky, kteří si potřebují vyzkoušet své postupy, případně přesvědčit o svých dovednostech potenciálního sponzora,“ říká Filip Štěpánek, odborník na kyberbezpečnost ze společnosti Accenture.
„Počítačová kriminalita neohrožuje jen banky, pojišťovny a další podobné instituce. I když se firemní data zrovna nepodaří prodat na černém trhu, kyberútočníci je mohou zašifrovat a vymáhat výkupné nebo použít pro přípravu komplexnějších útoků. Naše zkušenost je taková, že se mnoho společností stane cílem plošné kybernetické vlny útoků v podstatě náhodně. Následkem může být krádež, ztráta nebo zablokování dat, poškození technologie nebo její vyřazení z provozu, případně odcizení know-how,“ vysvětluje Martin Pejsar z BNP Paribas Cardif.
Bezpečnost ohlídá antivirový program
Řada organizací se spoléhá na silná hesla a antivirový software. Ačkoliv obojí má svou nepochybnou hodnotu, ani jedno neposkytuje absolutní záruku bezpečnosti. Silná hesla jsou dobrá věc. Při dostatečném úsilí, tedy dostatečném množství strojového času, je ale možné prakticky každé heslo prolomit. Obranou je hesla obměňovat, a hlavně používat dvoufaktorovou autentizaci. Znamená to, že se zaměstnanec hlásí do firemní sítě ještě pomocí vícefázového ověření.
„Problém antivirového softwaru je v tom, že tyto programy obvykle využívají rozsáhlou databázi škodlivého kódu. Pokud bude vaši síť ohrožovat něco, co software už zná, není příliš důvodů se strachovat. Proti novým hrozbám však taková pasivní obrana nestačí. Pro zajištění bezpečnosti firemní infrastruktury je nejspolehlivější metodou aktivní vyhledávání zranitelných míst, což ale není úkol pro interní IT oddělení. Tomu se věnují odborné týmy, jakým je například naše Cyber Fusion centrum,“ říká Michal Merta.
Zabezpečit je třeba hlavně počítače
Do firemních sítí je připojena řada zařízení, která nejsou vnímána jako nebezpečná, a přesto přes ně protékají důležitá data, zajímavá pro útočníky. Typickým příkladem jsou pkombinované skenery a tiskárny, na nichž se skenují, kopírují a tisknou smlouvy, nabídky a další citlivá data.
„Dnes už nic jako čistě "hardware" neexistuje. Všechno jsou integrované obvody, v podstatě malé počítače, které mohou dělat cokoliv a ke své správné činnosti potřebují obslužný software. A jako software se v principu mohou stát zranitelnými. Kvůli tomu se zavádí ve firmách bezpečnostní standardy určující například pravidelné aktualizace a záplatování všech informačních technologií – od počítačů po čidla teploty. Plyne z toho také, že žádné zabezpečení není samo dostatečné. Bezpečnosti se dosahuje tedy vrstvením různých bezpečnostních opatření. V případě útoků na sdílené firemní tiskárny se dá expozice snížit například tím, že nejsou přístupné z internetu nebo ani z celé firmy, pouze ze sítí, kde se zrovna ta která konkrétní tiskárna využívá,“ vysvětluje Ondřej Ševeček, odborník na etický hacking a bezpečnost z Počítačové školy GOPAS.
Bezpečnostní hrozby přichází zvenku
Poslední z rozšířených pověr je představa, že bezpečnostní hrozby přichází odněkud zvenku. Velmi často to tak není. „Podstatnou část úniků dat mají na svědomí zaměstnanci. Ať už jde o úmyslnou činnost odcházejícího nespokojeného zaměstnance nebo se jedná o incident způsobený nepozorností, nejzranitelnější článek bezpečnostního řetězce vždycky byl a bude člověk. Vnitřní hrozby je proto potřeba monitorovat stejně jako vnější,“ uzavírá Filip Štěpánek. (1.2.2022)