Nejde o to, ve který moment útok přijde, je jen otázkou času, kdy se útočníci dostanou k nejcennějším datům. V informační infrastruktuře firmy už mohou slídit dávno předtím. Investice do bezpečnosti firemních IT systémů se v Česku naprosto podceňují, shodli se účastníci další debaty týdeníku Ekonom na téma Kybernetická bezpečnost.

„Lidé z firem nám často říkají, že se jim ještě nic nestalo. Pak je ovšem znejistíme otázkou: Jak víte, že uvnitř už nikdo není? Že se to nestalo, nic neznamená, je to spíš náhoda,“ říká Andrej Hradňanský, spolumajitel společnosti Axtera, která vyrábí počítačová zařízení.

Stálé dilema – platit, nebo neplatit

„Denně odrážíme 300 útoků na firmy. Bude jich stále víc, pokud se nezačnou efektivně chránit,“ nastínil Jaroslav Cihelka, ředitel společnosti ComSource, dodávající bezpečná síťová řešení. „Existuje metrika, která ukazuje, jak dlouho jsou útočníci v síti od průniku až po detekci,“ poznamenal Radek Vopěnka, architekt kybernetické bezpečnosti společnosti Soitron. „V operačních technologiích, které řídí systémy budov, dopravní signalizaci či výrobní linky v továrnách, to je standardně až tři čtvrtě roku, v IT světě je to jen 75 dnů. Představte si, že jste skoro tři měsíce slepí a nevidíte, co se vám v systémech děje.“

Debata Ekonomu

V debatě týdeníku Ekonom na téma Kybernetická bezpečnost diskutovali zleva Andrej Hradňanský ze společnosti Axtera, Ivan Svoboda z Anectu, moderátor a zástupce šéfredaktora týdeníku Ekonom Martin Petříček, Jaroslav Cihelka z ComSource a Radek Vopěnka ze Soitronu.

Zjistit v nich přítomnost útočníků pomáhá hloubková kontrola. „Srovnávám ji s cibulí. Informační systém je obalený slupkami a každá z vrstev má nějaké zabezpečení. Čím vrchnější vrstva, tím silnější má ochranu a nedovolí vstupu dovnitř, do jádra, kde jsou nejcennější data,“ přidal Hradňanský.

Jenže firmy si podle odborníků analýzu rizik nedělají, nemají peníze a ani čas. V IT oddělení nejsou vždy dost kompetentní lidé, což zase souvisí s penězi, a také mají spoustu servisní práce.

I když jsou částky na obranu IT systémů vysoké, jsou jen zlomkem toho, co stojí odstraňování následků napadení. Hrozí po něm i několikaměsíční ochromení chodu celé firmy. To znamená ušlé zisky, penále za zpoždění dodávek, nevratnou ztrátu dat a další výdaje.

Motivace útočníků bývá stejná. „Vždy jde o peníze,“ říká Vopěnka. Mohou přeprodávat ukradená data, vytvářet na jejich základě analýzy o chování zákazníků. Ještě častější je vydírání. Za vrácení dat a opuštění systémů žádají výkupné. Když útočníci zablokují důležitý systém, na kterém stojí celá firma, pak přijde zvažování, zda levněji nevyjde zaplatit, spíš než se nechat odstavit na měsíce. „Samozřejmě je to složité, protože úhradu v bitcoinech nelze zapsat do účetnictví,“ doplnil Cihelka.

Zabezpečení sítě stojí jen zlomek toho, na kolik vyjde náprava škod. Odškodné v bitcoinech se do účetnictví dát nedá.

Některé státy platit hackerům zakazují, zdůraznil Ivan Svoboda, poradce firmy Anect, jež se na informační a kybernetickou bezpečnost také zaměřuje. „Vedlo by to k nárůstu útoků. Obecný názor je neustupovat, ale často a třeba i potají vítězí ekonomické chování,“ vysvětlil Svoboda.

Ovšem zaplatit někdy nestačí. „Rozšiřují se vícekrokové útoky. To znamená, že útočníci předají po platbě pouze část klíče a chtějí další peníze, nebo si z dat ponechají citlivou část a vyhrožují, že ji bez další platby zveřejní,“ řekl Svoboda. V poslední době viděl i útoky aktivistického spektra útočníků, kteří po firmách nechtějí peníze, ale nutí je udělat nějaký podle jejich náhledu bohulibý skutek.

Musíme se naučit žít s tím, že tu kybernetické útoky jsou a budou. Jedině tak jejich počet dokážeme zredukovat.

Na změnu výukou i směrnicí

V besedě se diskutovalo, kudy vede cesta k silnějšímu zabezpečování. Účastníci jmenovali změnu přemýšlení lidí, regulaci chystanou státem a také zviditelnění problému. „Jedna katastrofa je lepší než jakýkoliv marketing,“ prohlásil Hradňanský. Z praxe ví, že zveřejněná zpráva o útoku vyvolá u lidí ve firmách děs a začnou o problematice mluvit. „Jenže to často zůstane ve fázi záměru, dokonce někdy i v případě, že firma už útoku jednou čelila, nebyl ale tak velký, aby ji ochromil,“ poznamenal Cihelka. „Když pak dojde k většímu útoku a my se dobíráme toho, kde nastala chyba, zjistí se často, že se obrana už dřív řešila, jenže to tehdy nikdo nedotáhl do konce.“ Ředitel ComSource vidí naději ve vzdělávání. „Mělo by začít už na nižších stupních škol. Musíme se naučit žít s tím, že kybernetické útoky jsou součástí našeho života,“ řekl Cihelka.

Jedinou efektivní cestou ke zmírnění útoků je zákonná regulace, myslí si Vopěnka. Expert ze Soitronu hovořil o tom, že člověk z lenosti neudělá navíc nic, když ho nedonutí vnější okolnosti. Proto v Česku vítá zavedení evropské směrnice NIS2, která pravděpodobně od roku 2024 určitým typům organizací nařídí analýzu rizik. „Dělali jsme si k tomu průzkumy po firmách, které jí budou podléhat. Nikdo o ní moc neví a nevědí ani, jak by případnou ztrátu dat řešili. Vlastně je to vůbec nezajímá,“ podpořil svůj náhled na věc.

Pokročilé systémy a princip nedůvěry

Shoda mezi odborníky panuje v tom, že nejde ani tak o to, jak je který člověk při používání datových systémů a počítačů znalý či opatrný, důležitější je při zabezpečování vycházet z míry škody, jakou na té které pozici může způsobit. „Útoky se vedou přes ty, kteří nemají tak dobrý přístup k podnikovým datům, například přes sekretářky, a pak se hledá cesta, jak se dostat dál,“ vysvětlil strategii hackerů Svoboda.

Branou mohou být i servisní organizace, takže je třeba mít pečlivě zmapováno, kdo má do firemní infrastruktury přístup a kde je její strop. Firma díky tomu může okamžitě odpojovat části systémů tak, aby se útočníci nedostali dál.

S lidským faktorem souvisí velmi účinný typ obrany, o kterém mluvil Vopěnka. Jsou to technologie založené na principu nulové důvěry, například Zero Trust Network. Ta zaměstnancům i spolupracovníkům do systémů umožňuje přístup jen na základě ověření a vždy jen k určitým částem podnikové sítě. „Princip spočívá v tom, že nikomu nevěříte, vše autentizujete a autorizujete,“ řekl Vopěnka. V Česku se ale využívá podle dat jeho firmy sotva z 15 procent a stejně tak nejsou časté ještě pokročilejší bezheslové systémy.

Související