Rostoucí závislost společnosti i jednotlivců na moderních komunikačních a výpočetních technologiích s sebou přináší vedle řady výhod také nemálo výzev a úskalí. Zejména kyberbezpečnostní témata a s nimi související události si vcelku agresivně a někdy velmi nekompromisně vynucují pozornost veřejnosti a zájem odpovědných stran. V minulém roce se i v České republice odehrálo několik incidentů, jež naznačily, že doba teoretizování, nenaplněných varování a pozorování dění v zahraničí skončila. Kybernetické hrozby ukázaly, že umí podstatně víc než navádět uživatele na podvodné weby bankovních institucí nebo krátkodobě znepřístupňovat služby úřadů.

"Z hlediska bezpečnosti organizací v ČR se ukázalo, jak moc je toto téma podceňováno. Viděli jsme to na případu filmového festivalu ve Zlíně, nemocnice v Benešově i firmy OKD − a to je pouze výběr toho nejlepšího," říká Michal Řezáč, ředitel pro strategický rozvoj ve společnosti Gordic. Incident benešovské nemocnice ukázal, jak kybernetické hrozby dokážou ovlivnit dění v reálném světě a vyřadit z provozu i klíčové služby pro obyvatelstvo. "Čas nebyl vybrán náhodně, na konci roku útočníci správně předpokládali, že je IT personálně oslabeno. Lze očekávat, že v současné době probíhá možná i desetkrát více útoků, aniž by se o nich zatím vědělo," dodává Roman Rous, architekt bezpečnosti a IT ve společnosti ČD − Telematika.

Bezpečnostní firmy a jejich analytické týmy vloni mimo jiné upozorňovaly na rostoucí vyspělost, až rafinovanost phishingových útoků, na zvyšující se zájem útočníků o mobilní zařízení nebo na neutuchající evoluci kryptovirů. "Asi nejviditelnější byl návrat útoků typu ransomware na výsluní, kdy malware zašifruje celou organizaci a vymáhá výkupné, případně jen působí škodu. Ostatně nárůst počtu útoků s pouze destruktivním cílem je něco, co je dobré sledovat, a zejména v kombinaci s cílením na veřejný sektor v podobě útoků na města, nemocnice a infrastrukturu jako takovou jde o poměrně vážnou věc s potenciálem napáchat společensky významné škody," doplňuje Petr Špiřík, expert na kybernetickou bezpečnost ve společnosti PwC Česká republika.

640

Na průměrnou organizaci v Česku míří zhruba 640 kyberútoků za týden, celosvětový průměr je přitom 594 útoků, vyplývá to z analýzy výzkumného týmu Check Point Research.

5,7 %

Podle Gartneru činilo v minulém roce průměrné procento výdajů na IT bezpečnost 5,7 % celkových výdajů na IT. Jde o nižší hodnotu než v letech 2017 (6,2 %) a 2018 (6 %).

Trendy blízké budoucnosti

Průběžně roste vyspělost útoků, jimž se stejně průběžně přizpůsobují bezpečnostní opatření a jim asistující technologie. Na tomto trendu se nic nezmění ani v letošním roce. Redakcí oslovení specialisté upozorňují zejména na rostoucí sofistikovanost a rychlost útoků.

"Dá se předpokládat, že novou hrozbou bude šíření škodlivého kódu pomocí řetězení jednotlivých modulů či částí samotného kódu. Kód se do systému bude dostávat postupně po nevinně vyhlížejících částech, po jejichž spojení dojde k aktivaci a spuštění za účelem nakažení a šíření škodlivého kódu laterálním pohybem v síti," říkají odborníci ze společnosti Anect. "Výraznou změnou trendu je důraz útočníků na rychlost. Historicky se uváděl jako typický modus operandi pokročilých útočníků fakt, že chtějí zůstat v kompromitované organizaci co nejdéle a pomalu a nenápadně krást informace či jinak dosahovat svých cílů. To se poměrně dramaticky mění. Nyní útočníci chtějí rychle dovnitř a rychle provést škodlivou činnost. Spoléhají na to, že i když si jich někdo v cílové organizaci všimne, tak efektivní reakce na incident nepřijde včas," dodává k faktoru rychlosti Petr Špiřík ze společnosti PwC.

K aktuálním trendům technologického světa patří aplikace umělé inteligence a strojového učení. Příslušné systémy vyvíjejí a využívají také poskytovatelé bezpečnostních řešení a samozřejmě i kybernetičtí útočníci, což potvrzuje i výčet rozvíjejících se trendů, které uvádí Eliška Jirovská, country manager společnosti VMware pro Česko a Slovensko: "Na straně bezpečnostních hrozeb sílí trendy v oblasti kyberútoků na průmyslová zařízení a kritické infrastruktury, objevují se nové hrozby ve formě tzv. fake news, zvyšuje se frekvence cílených ransomwarových útoků a objevují se útoky, které jsou řízeny umělou inteligencí."

O inovativním úsilí světa kybernetického zločinu svědčí rychlá evoluce řady tradičních postupů a technik. "V oblasti DDoS útoků pozorujeme přesun od jejich kvantity ke 'kvalitě'. Pokud jsme v minulých letech byli svědky relativně dlouho trvajících DDoS útoků, nyní je pozorujeme spíše krátké, ovšem o to intenzivnější a přesněji zaměřené. Cílem již není jednoduše zahltit kapacity klientovy konektivity, ale stačí pouze narušit provoz, přerušit stávající spojení a krátkodobě zabránit navázání nových. V době on-line streamování médií či on-line gamingu je i krátké přerušení konektivity pro koncové zákazníky značně nepříjemné a má velmi negativní dopad na reputaci poskytovatele," přibližuje evoluci jedné z útočných technik Mikuláš Labský, ředitel úseku Telekomunikační služby ve společnosti ČD − Telematika.

Jistou, a ne malou změnu přístupu ke kybernetické bezpečnosti si vynutí také nástup mobilních sítí páté generace. Podle slov Patricka Müllera, jenž působí jako senior channel account executive pro Česko a Slovensko ve společnosti Sophos, se podniky v této souvislosti budou muset intenzivněji zaměřit na téma vícevrstvého přístupu k zabezpečení. V něm hraje hlavní roli systémový přístup a vzájemná výměna informací mezi jednotlivými ochrannými produkty či službami.

Perspektivní technologie

Spíše než nasazování nových technologických řešení zdůrazňují redakcí oslovení odborníci změnu přístupu ke kybernetické bezpečnosti, účinnější využití a nastavení stávajících produktů a na prevenci či kontrolu dění uvnitř organizace. "Organizace by se měly zbavit tradičního a zastaralého přístupu k zabezpečení IT prostředí, které spočívá v ochraně perimetru, kdy se důvěřuje každému zdroji v interní síti. Tady vidíme poměrně zásadní chybu v pojetí bezpečnosti, protože většina útoků nepochází přímo z internetu samotného, ale je iniciována interními uživateli sítě v podobě spouštění neprověřených souborů jako příloh e-mailu nebo kliknutím na internetové stránce a následném spuštění skriptu, který vyvolá bezpečnostní incident. Nový bezpečnostní přístup založený na principu nulové důvěry (zero trust) tento tradiční způsob mění. S tímto přístupem jsou všechny zdroje považovány za nedůvěryhodné a je vyžadováno nepřetržité ověřování důvěry mezi zařízeními, uživateli a aplikacemi," vysvětluje Eliška Jirovská ze společnosti VMware.

Efektivní aplikaci víceméně tradičních bezpečnostních postupů a technik zdůrazňuje Roman Rous ze společnosti ČD − Telematika: "Z pohledu kybernetické bezpečnosti by se firmy a organizace měly soustředit na srozumitelný a funkční log management a následně SIEM kvůli proaktivnímu zjišťování potenciálních zranitelností a soustavnému sledování nejvíce ohrožených aktiv. Další důležitou oblastí je rovněž bezheslová a multifaktorová autentizace, protože hesla jsou zdaleka největší zranitelností spojenou s běžnými uživateli." Podobně vyznívá také obecné doporučení odborníků ze společnosti Anect: "Vzhledem k tomu, že nové typy škodlivého kódu jsou polymorfní, a většina tradičních antivirů je tedy nedokáže detekovat, je vhodné věnovat větší pozornost chování a datovým tokům uvnitř počítačové sítě a vhodnému vyhodnocení komunikace mezi veřejnou sítí internet a interní počítačovou sítí."

Na již zmíněný potenciál automatizace bezpečnosti v podobě nasazení technologií umělé inteligence a strojového učení upozorňuje Eliška Jirovská: "Technologie, kterým by podniky aktuálně měly věnovat pozornost, jsou ty, které využívají možnosti umělé inteligence a strojového učení pro předvídání a dynamické přizpůsobení ak­tuálnímu stavu prostředí. Zavádění automatizace zvýší celkovou odolnost prostředí, nabídne schopnost dynamické reakce v reálném čase, zavede větší míru standardizace a vyloučí chyby vznikající z opakujících se činností správců systémů."

Kybernetickou bezpečnost samozřejmě netvoří pouze technické produkty a jimi poskytované služby. "Nejsem příznivcem hledání odpovědí na kybernetické hrozby v produktech a technologiích. Považuji za důležitější spíš celkový obraz a sladění technologií s procesy, organizací firmy a zejména se zabezpečením lidského faktoru skrze vzdělávání a osvětu," říká Petr Špiřík a dodává: "Myslím si, že hodně organizací letos i v příštích letech čeká sžívání se s adopcí cloudových technologií. Je za námi první vlna, kdy se všechno do cloudu přesouvalo prostou kopií jedna k jedné z fyzického světa, čímž se jednak přenášel i špatný design, ale hlavně se nevyužívaly naplno možnosti, které cloud přináší. Z tohoto pohledu, a i vzhledem k rostoucí zralosti všech tří velkých cloudových poskytovatelů, mám za to, že se dnes dá udělat efektivní a bezpečný design cloudové architektury."

Tuzemské nedostatky

Obecné shrnutí hlavních problémů kybernetické bezpečnosti českých organizací pojímají odborníci společnosti Anect: "Bezpečnostní nedostatky jsou dlouhodobé, koncoví uživatelé podceňují rizika a o bezpečnostních technologiích mají nízké povědomí. Na technické úrovni chybí v organizacích specialisté, přičemž prioritu má vlastní provoz ICT." Na nedostatek kvalifikovaných specialistů jako na jedno z klíčových úskalí poukazuje také Vojtěch Dvořák, technický ředitel společnosti S&T CZ.

Situace se oproti minulosti pozvolna zlepšuje a svůj pozitivní vliv na to má i související legislativa. "Nároky vyplývající z nových bezpečnostních vyhlášek samozřejmě nutí firmy investovat do příslušných řešení. Svůj podíl na zlepšující se situaci mají i média, která se tomuto tématu věnují a upozorňují na bezpečnostní incidenty," říká Patrick Müller ze společnosti Sophos a přidává několik praktických postřehů: "Roste zejména oblast řešení šifrování disků pro zajištění ochrany dat jako takových. Hodně podceňovaná jsou ovšem mobilní řešení, která mnohé organizace do svých bezpečnostních plánů dosud vůbec nezahrnuly. Často je také vynechávána ochrana serverů."

Trojici nejčastějších problematických oblastí tuzemské kybernetické bezpečnosti identifikoval Petr Špiřík ze společnosti PwC: "První je, kdy organizace cíleně bezpečnost řešit nechce nad rámec nezbytného minima. To může být strategické a byznysově správné rozhodnutí, ale výsledek tomu odpovídá. Druhá oblast je pak situace, kdy by organizace bezpečnost řešit i chtěla, ale není schopna najít, získat a udržet kvalitní lidi. A třetí oblast, jež je vlastně nejsmutnější, se týká malých a středních firem, které jsou často v situaci, buď doopravdy, nebo to tak alespoň vnímají, že buď by musely na bezpečnost vynaložit velké množství peněz, což ale poškodí jejich primární oblast podnikání, anebo nebudou dělat nic a jejich postoj k zabezpečení bude spočívat v naději. Bohužel, naděje není strategie. Mám ale pochopení pro toto nepříjemné dilema majitelů nebo ředitelů takových firem, protože volí mezi dvěma špatnými možnostmi."

Doporučení pro SMB

Priority kybernetické bezpečnosti pro malé a střední podniky (segment SMB) shrnuje Michal Řezáč ze společnosti Gordic: "Podobně jako ostatní subjekty by se měly zabývat evidencí aktiv, řízením rizik a vzděláváním svých zaměstnanců. Až poté přichází na řadu detekční a monitorovací systémy. Jelikož tyto firmy většinou nemají příliš peněz na řešení kybernetické bezpečnosti, doporučujeme zvážit, zda si správu kyberbezpečnosti nezajistit jako službu."

Vojtěch Dvořák z S&T CZ upozorňuje na možnou inspiraci i pomoc: "Národní úřad pro kybernetickou a informační bezpečnost přehledně popsal základní pravidla pro zabezpečení firem a organizací. Seznam je dobré projít společně s kvalitním bezpečnostním specialistou a určit, jaké kroky jsou pro společnost klíčové. Předtím, než společnosti investují peníze do jakéhokoliv opatření, je třeba se nejdříve poradit s kvalifikovaným odborníkem. Podniky by neměly spoléhat jen na obecná doporučení z odborných článků a analýz na internetu, ale vyžadovat relevantní ochranu na míru."

Na specifický problém ve vztahu segmentu SMB a dodavatelů bezpečnostních řešení upozorňuje Patrick Müller ze společnosti Sophos: "Nemálo dodavatelů má za to, že malé a střední podniky disponují expertní znalostí a dedikovanými zaměstnanci pro řízení kybernetické bezpečnosti. Mylně vycházejí ze svých zkušeností s velkými organizacemi." Obratem ale nabízí také perspektivní cestu řešení takové situace: "Dobrou zprávou je, že cloudová bezpečností řešení a služby mohou výrazně zlepšit zkušenost uživatelů, snížit komplexnost a zvýšit úroveň zabezpečení. Pro segment SMB s jeho obvykle omezenými zdroji jde o ideální volbu."

Další, ne zcela tradiční či samozřejmé přístupy přibližuje Roman Rous ze společnosti ČD − Telematika: "Je vhodné se zamyslet nad možnostmi přechodu na cloudové technologie a ideálně i postupy DevOps a DevSecOps. Cloud ve spojení s DevOps je ideálním prostředím pro lepší řízení provozu i bezpečnosti IT. Pokud je to možné, je dobré zavést pro kritické uživatele uživatelsky přívětivou multifaktorovou autentizaci spojenou s úplným zákazem uživatelského používání hesel. Hesla, pokud jsou vůbec potřeba, mají být uložena v nějakém prověřeném password manageru. Důležité je také nezanedbávat vzdělávání a jednoduché testování uživatelů − fakturanti, HR a obchod jsou častými cíli útoků."

Praktické kroky, jež vedou k dostupnému zvýšení úrovně kybernetické bezpečnosti, popisuje Petr Špiřík ze společnosti PwC: "Jde v principu o základní, ale důslednou hygienu IT prostředí. Zbavit se neaktuálních verzí operačních systémů, aktualizovat vše na nejnovější verze, a to včetně aplikací, nastavit pravidelné aktualizace každý měsíc a zapnout alespoň základní antivir, zejména je-li součástí operačního systému. Zbavit se ve vlastním prostředí všech možných výjimek a prostředí konsolidovat, čímž se sníží jeho komplexita a zjednoduší správa. Nastavit jednoduché zálohování důležitých dat, zbavit uživatele administrátorských oprávnění k jejich počítačům, pokud je opravdu nepotřebují, a zabezpečit e-mail. Jsem přesvědčen, že organizace, která dokáže takovou základní hygienu nastavit a udržovat, bude na slušné úrovni zabezpečení za minimální náklady. Potenciálně velmi atraktivní volbu představuje také cloudový přístup, která vedle dalších výhod umožňuje organizaci soustředit se na svou primární činnost a IT a bezpečnost svým způsobem outsourcovat."

Článek byl publikován v komerční příloze ICT revue.