Jak hackeři obvykle útočí na instituce a firmy?
Instituce a podniky jsou především terčem cílených útoků, tedy nikoli nějakých obecných a neadresných. Tam velmi záleží na tom, o jakou instituci jde, protože kyberzločinci se chovají ekonomicky - na své činnosti chtějí generovat profit. A proto si vybírají i cíle, které profit umí přinést.
To je právě příklad ransomwaru Ryuk (druh škodlivého programu, který blokuje počítačový systém nebo šifruje data v něm zapsaná, a požaduje od oběti výkupné za obnovení přístupu, pozn. red.). Ten se používá především proto, aby znefunkčnil nějakou společnost, která je movitá. Tu, když přes noc zničehonic vypnete, tak je ochotná zaplatit za zprovoznění poměrně zajímavé výkupné. Kyberzločinci si na základě případů, které byly publikované, přišli na miliony dolarů.
Setkal jste se ve své praxi i s hackery, kterým nejde o peněžní zisk, ale o to cíleně vyřadit z provozu nějakou infrastrukturu či provádět špionáž?
Bohužel ano. Naše analytické týmy se při své práci potkávají i s těmito typy útoků. Kvůli jejich vysoké sofistikovanosti nebývá jejich odhalení snadné a škody, které tak mohou napáchat, bývají vysoké. V této souvislosti bych připomenul například cílené útoky na elektrárny a rozvodnou síť na Ukrajině nebo na ambasády některých zemí EU, za jejichž analýzou a odhalením stojí naše společnost.
V souvislosti s kyberútokem na nemocnici v Benešově se objevila i kritika ohledně toho, že by se na bezpečnost nemocnic měla více zaměřit vláda.
S tím naprosto souhlasím. Myslím, že by se to mělo řešit například úpravou zákona o kybernetické bezpečnosti. To znamená, aby ten zákon začal platit na vícero institucí než platí v současnosti. Ta kritická infrastruktura by se tedy podle mého názoru měla rozšířit právě i na běžné nemocnice či úpravny vody.
Jsou speciální nařízení vlády nutné? Nepostačí pro základní bezpečnost, když IT oddělení "neusne na vavřínech" a bude dodržovat běžně dostupné bezpečnostní normy, jak to dělají i velké soukromé podniky?
To s tím ale souvisí. V momentě, kdy musíte tento zákon dodržovat, tak máte taxativně dané, co musíte splňovat.
Mířím tím k tomu, zda mělo IT oddělení benešovské nemocnice dostatečně zvládnuté základní zabezpečení.
Ono je strašně jednoduché tyto věci odsoudit bez znalosti kontextu. Já si dovedu představit, že lidé ve státní správě musí bojovat s řadou věcí, že tam mnohdy chybí peníze na potřebné záležitosti. Takže já bych rozhodně nikoho neodsuzoval.
V případě benešovské nemocnice nakonec došlo "jen" k zašifrování dat a vyřazení většiny přístrojů z činnosti. Může podobný útok v nemocnici například přenastavit pacientům dávkování léků? Lze například v úpravně vody přenastavit dávkování chemikálií?
To je samozřejmě možné. Pokud uděláte všechno špatně a například úpravnu vody připojíte do internetu, tak se to samozřejmě stát může. Ale existují pravidla, jak budovat informační strategii a používat technologie tak, aby to bylo pokud možno co nejbezpečnější.
Čímž se opět dostáváme k tomu, že v případě benešovské nemocnice se virus dovnitř dostal.
Ryuk je specifický v tom, že zašifrování dat je až poslední fáze. Předtím, než znehybní celou organizaci, se v síti rozhlíží a v podstatě si operátoři dělají jasný obrázek o tom, co v té síti je. Výkupné tedy není pevně dané a ohledně jeho výše se operátoři rozhodují až podle toho, co tam vidí. Takže ano - oni v té síti byli a o tom, jaká zařízení se tam provozují, věděli.
Jak mají podobné instituce i jiné podniky zvládnutou edukaci zaměstnanců? Aby nedocházelo k případům, kdy zaměstnanec odklikne v e-mailu něco, co nemá, a virus se dostane dovnitř.
To souvisí s něčím, čemu se říká infekční vektor malwaru (malware je program určený k poškození nebo vniknutí do počítačového systému, pozn. red.). Je to vlastně cesta, jakým způsobem se dostane na cílové zařízení. Ve spoustě případů se používá jako kanál právě e-mail. To znamená phishing nebo jen "hloupý" spam. V obou případech každopádně potřebuje spolupráci člověka, který je v tu danou chvílí tím slabým článkem. Vy sice můžete mít ve firmě nastavena nějaká bezpečnostní opatření, ale pokud tam bude neznalý člověk, tak nikdy selhání úplně nezabráníte. Proto je edukace zaměstnanců samozřejmě důležitá.
Zlepšuje se tedy ten přístup k edukaci lidí v českých firmách?
Myslím si, že ano. Spoustě majitelů firem nedocházelo, k jakým škodám dojde, když nebude podnik vlivem útoku fungovat den, týden nebo měsíc. Jaké to budou škody v porovnání s tím, kolik stojí investice do IT technologií a edukace lidí. To se teď ale s medializací jednotlivých případů zlepšuje.
Jak snadno je v současnosti napadnutelná takzvaná chytrá domácnost, která je de facto připojená k internetu, řízená na dálku přes počítač či mobil?
Pokud je vše řízeno jen počítači, je to vždy rizikové. Je to o zodpovědnosti uživatele. Hodně třeba záleží na tom, kdo je výrobce zařízení, zda k němu například vydává pravidelně bezpečnostní aktualizace.
Například nejlevnější routery pro připojení k internetu, které pocházejí nejčastěji z Číny, se dají pořídit v obchodě s elektronikou za několik stokorun. A u nich máte v podstatě jistotu, že u nich výrobce už nikdy žádnou bezpečnostní aktualizaci nevydá. Takže pokud se chcete chovat zodpovědně, je vhodné si najít takového výrobce, který se o bezpečnost svých výrobků stará.
Existují nějaká data k tomu, jak bezpečné je používat řízení domácnosti přes Amazon Alexa nebo Google Home?
Už tady byla řada medializovaných případů, kdy ke špehování lidí byly zneužity například chůvičky. Takže já bych takové technologie bral s velkou rezervou a respektem. Cokoli, co v sobě má mikrofon, kameru a podobně, tak se může stát předmětem zneužití.
Jaké jsou tedy nejběžnější typy útoků vůči domácnostem?
To se vrátíme zpět k počítačům. Nemyslím si, že v současnosti jsou scénáře, kdy by vám někdo napadl robotický vysavač, ledničku nebo klimatizaci či topení, úplně běžné. Určitě ale nastávají případy, kdy se odhalí zranitelnost v nějakém systému pro správu chytré domácnosti a vy jste pak schopni pomocí Shodanu, což je vyhledávač zaměřený na IoT zařízení připojená k internetu, třeba zjistit, jakou teplotu má doma Henry z Anglie, kdy chodí domů a podobně.
Takže daleko běžnější jsou třeba útoky přes e-mail?
Ano, opět - protože je to nejsnáze monetizovatelné. Primární zájem je opravdu získat peníze. A z tohoto pohledu je smysluplnější vám ukrást přihlašovací údaje do banky než vás vydírat fotkami z vysavače.
A přelepujete si páskou kameru na notebooku?
Nepřelepuji, protože mám dobře zabezpečený počítač, který je toto schopen řídit. Ale opět - teoreticky je možné všechno. Samozřejmě v momentě, kdy získáte práva administrátora toho zařízení, můžete si v něm dělat cokoli.
Existuje nějaký typ útoku, u kterého klesá jeho úspěšnost?
Lidé jsou už teď daleko více ostražití u sezonních podvodných kampaní typu slevových kuponů, výzev na vyzvednutí balíků, výzev od exekutorů a podobně. Pomáhá tomu rovněž medializace těchto případů i časté opakování těchto útoků a úspěšnost útočníků se snižuje.
Jaké jsou ty hackerské trendy? Které typy útoků může domácnost očekávat do budoucna?
V minulých letech byly například dominantní útoky typu ransomware nejen na firmy, ale i na domácnosti, kdy výkupné bylo obvykle požadováno formou kryptoměny bitcoin. Jeho cena je ale nyní na zlomku toho, kde byla před lety, tudíž to přestalo vynášet.
To, co my nyní vidíme ve statistikách, je velký vzestup hrozeb typu trojských koní a spyware. V překladu to znamená snahu kyberzločinců vás připravit o přihlašovací údaje a zdaleka nejen k bankovním službám, ale třeba i k sociálním sítím, platebním systémům, ale i dalším službám, jako je Netflix, Amazon a podobně. Takže údajů, které mohou být zneužity je mnohem více a kyberzločinci se na ně zaměřují.
Jak tedy znějí základní poučky, které by měl zodpovědný uživatel dodržovat?
Není to nic složitého. Stačí se držet několika základních pravidel, která pokrývají jak výběr zařízení, která používáte, tak vaše chování v kyberprostoru.
Jednak při výběru zařízení upřednostňujte výrobce, který je schopen garantovat jeho podporu po celou dobu životnosti zařízení. Používejte podporovaný a vždy aktualizovaný operační systém. Pravidelně aplikujte rovněž bezpečnostní záplaty i pro používané aplikace. Nepoužívejte stejná hesla pro více on-line služeb, pokud to jde, používejte vícefaktorové ověření, využívejte aplikace pro správu hesel. Zálohujte pravidelně a správně svá data. Používejte na svých zařízeních kvalitní bezpečnostní software a zvyšujte své povědomí o informační bezpečnosti.