S rostoucí digitalizací a s přechodem na práci z domova kvůli pandemii koronaviru sílí obavy o kybernetickou bezpečnost. Na strachu uživatelů či majitelů firem se podepisují také zprávy o útocích hackerů na české nemocnice, veřejné instituce i soukromé firmy. Šéfové společností ale kyberbezpečnost mnohdy začínají řešit, až když je pozdě. Podnik pak takový incident stojí miliony korun.

Útočníkům stačí jen vejít

Hackeři svou aktivitu zvýšili okamžitě po vypuknutí pandemie loni na jaře, před vysokou hrozbou kybernetických útoků varoval v dubnu Národní úřad pro kybernetickou a informační bezpečnost, který v souvislosti s nákazou koronaviru registroval zvýšené množství útoků. Hackeři v krizové situaci vycítili příležitost a snažili se napadnout méně zabezpečené počítače.

Firmy nebyly na práci z domova připravené a vzdálený přístup do jejich sítí byl do té doby takřka nemožný, protože ho IT správci nedovolovali. Najednou bylo třeba, aby zaměstnanci bez omezení pracovali. Firmy ovšem neměly k dispozici dostatek vybavení a povolily zaměstnancům využívat jejich vlastní zařízení. Úroveň ohrožení tak násobně vzrostla.

„Firemní IT specialisté byli více vytížení, protože se soustředili především na zabezpečení počítačů pro zaměstnance, kteří byli na home officu, a neměli čas se věnovat standardní kybernetické ochraně a její kontrole,“ uvedl v on‑line debatě Hospodářských novin Lukáš Hlavička, ředitel oddělení forenzní analýzy a reakce na bezpečnostní incidenty ve společnosti LIFARS.

Útočníci také často využívali i samotné téma koronaviru a například rozesílali falešné e‑maily s výsledky testů. „Velkou roli hraje i stres, protože zaměstnanci nepracují ve vhodném prostředí, doma mají za krkem například děti na on‑line výuce, a jsou tak náchylnější k tomu, aby podlehli pokusu o podvod,“ vysvětloval poradce pro kybernetickou bezpečnost společnosti Anect Ivan Svoboda.

Útočníci se mohou do firemní sítě dostat několika cestami. Například přes síťový protokol RDP, který umožňuje vzdálené připojení k počítači a zneužít se dá v případě, kdy je k internetu připojeno příliš mnoho zařízení. Dalším způsobem jsou takzvané ransomware útoky, při nichž škodlivý program zašifruje data nebo zablokuje část systému a snaží se přimět uživatele k zaplacení finanční částky.

Hackeři ale kolikrát volí mnohem snazší způsob – zneužívají neznalosti nebo ledabylosti a s pomocí phishingového útoku získají přístupové údaje do sítě. Obvykle zaměstnanci pošlou podvržený e‑mail, jenž se jeví jako oficiální komunikace zaměstnavatele nebo banky. Uživatel si falešnou zprávu přečte a v domnění, že jde o oficiální dopis, útočníkům pošle své přístupové údaje, čímž jim otevře cestu do sítě.

„Útočníci se nepotřebují nabourávat. Stačí jim jen vejít, protože firmy nechávají otevřené dveře. Ať už to je přes nepoučené zaměstnance, nebo zranitelné části systémů,“ varoval Svoboda a připomněl, že se nesmí zapomínat na nepřetržitou kontrolu sítí. „Obránci zranitelné části kontrolují jednou za rok, přičemž je potřeba je monitorovat neustále.“

Jak bojovat s lhostejností

Podle Ľubomíra Kopáčka, vedoucího divize bezpečnosti ve společnosti GAMO, lze firmy svým přístupem k ochraně dat a sítí dělit na tři skupiny. V první jsou ty, které už napadení čelily. Do druhé by zařadil podniky a instituce, jež musí svou bezpečnost řešit na základě zákona o kyberbezpečnosti, který se týká například správců kritické informační infrastruktury, poskytovatelů digitálních služeb nebo subjektů z oblasti bankovnictví, energetiky či zdravotnictví. Do třetí skupiny patří firmy, jimž pravidla určuje mateřská společnost. „Přirozený zájem o kybernetickou bezpečnost je ovšem u všech velmi vzácný,“ upozornil Kopáček.

Všichni účastníci debaty se shodli, že právě zvyšování povědomí o kyberbezpečnosti a vzdělávání šéfů firem jsou jedny z nejsnazších způsobů, jak bojovat s lhostejností a nezájmem o bezpečí firemních dat. „Generální ředitel nebo majitel si musí uvědomit, že pokud v důsledku zanedbání kyberbezpečnosti utrpí ztrátu, padá to na jeho hlavu,“ řekl Aleš Hok, obchodní ředitel distributora bezpečnostního softwaru Zebra Systems. Podle něj zájem věnovat se zabezpečení firemní sítě a dat a vylepšovat ho přichází od středního managementu nebo přímo z IT oddělení. Tato snaha ovšem často ztroskotává u nejvyššího vedení, které kybernetickou bezpečnost nepovažuje za prioritu.

Experti například vypočítali, že při napadení nemocnice v Benešově počítačovým virem v prosinci 2019 se škoda vyšplhala na 59 milionů korun. Nejvíce nemocnice tratila kvůli neproplaceným operacím a vyšetřením. Při loňském březnovém útoku na brněnskou nemocnici to bylo několik desítek milionů korun. V komerčním sektoru ale může zastavení výroby způsobit řádově vyšší ztráty.

Nebezpečná iluze bezpečí

Debatující odborníci na kybernetickou bezpečnost se ovšem setkávají rovněž s falešným pocitem bezpečí, že se firma ochraně svých dat věnuje a má své vlastní systémy zabezpečené. Ve skutečnosti tomu tak ale není. „Jde jen o iluzi, že vynakládají prostředky v souladu s legislativou, ale při pokročilých útocích se ukáže, že je ochrana nedostatečná. Taková iluze je ještě horší, než když si firma uvědomuje, že má v kyberbezpečnosti nedostatky,“ uvedl Lukáš Hlavička z LIFARS.

Firmy by primárně měly začít vzdělávat své zaměstnance a také si připravit plán a soubor pravidel, jak reagovat v případě vniknutí útočníků do sítě, shodli se účastníci debaty. „Přirovnal bych to k požárnímu plánu. Nikdo nezačíná vymýšlet strategii, až když hoří. Podobné to je i při napadení hackery. Správci musí vědět, co se bude dít a jak se mají chovat,“ vysvětloval Aleš Hok ze Zebra Systems.

Dodržování kyberbezpečnostních norem a technická opatření však automaticky nezajišťují, že se z firemní sítě stane nedobytné území. Experti v debatě připomněli také potřebu vzbudit zájem uživatelů o bezpečnost a samotnou edukaci. Ta často probíhá jen při nástupu nového zaměstnance, který si přečte nařízení, jak pracovat se zařízením připojeným k internetu, a tím vzdělávání v této oblasti končí.

„Při školeních je vhodné uživatelům ukázat rizika na jejich soukromém životě. Co riskují například při ukládání soukromých fotek nebo při používání internetového bankovnictví,“ řekl Ivan Svoboda z Anectu, podle něhož u vedení firem funguje praktická ukázka útoku. Během toho názorně vidí, jak jejich zabezpečení funguje, jak probíhá útok a jak funkční je jejich obrana.