Moderní únosci si za rukojmí neberou lidi, ale data. Jsou to zločinci operující v kyberprostoru, kteří využívají zranitelnosti informačních systémů k tomu, aby se dostali do IT prostředí svých obětí. Těmi jsou bonitní majitelé dat, tedy různé firmy a instituce. Útočníci mají jediný cíl – najít nejcitlivější data v elektronické podobě, bez nichž daná organizace nemůže fungovat, a tato data nejprve zkopírovat a následně zašifrovat. Tím napadené organizaci znepřístupní jakékoli použití dat a vyřazují ji z provozu.
Ilustrace: Vojtěch Velický
Když nemáte lékařské zprávy a výsledky vyšetření vašich pacientů, těžko je budete léčit. Pokud nemáte geologické plány a projekty, nemůžete budovat technologické sítě. Zkrátka bez byznysových kritických dat neuděláte téměř nic. Pokud nemáte kvantový počítač (ne, nemáte), nemusíte ani zkoušet šifru prolomit. Můžete počkat, až se vám útočníci ozvou a budou chtít výkupné. A následně buď data, a tím často i celou společnost odepsat, nebo vyjednávat a zaplatit. I pro člověka z oboru bezpečnosti IT je až strašidelné, že renomované právní kanceláře se znalostí problematiky říkají – zaplaťte a pak pojďme řešit, jak škody co nejvíce zmírnit.
Přijde vám to jako scénář k nějaké béčkové sci-fi kriminálce? Dodnes občas potkáváme představitele velkých firem či institucí, klidně patřících do kritické infrastruktury státu, kteří přes masivní osvětu vůbec netuší, jak reálné tyto hrozby jsou. Stále jsou lidé, a to i ti zodpovědní za kybernetickou bezpečnost, kteří se více drží naděje, že na jejich organizaci snad nikdo útočit nebude. Jenže útočníci moc dobře vědí, že prolomit zabezpečení globální a bohaté firmy je mnohem těžší, než se dostat do systémů a na data nějaké menší. A pak jsou tu ty instituce, které třeba tolik peněz nemají, ale jejich fungování je klíčové. Ve většině případů je na začátku pro přenos škodlivého kódu využitý třeba pouze jen e-mail, který nedostatečně poučený uživatel otevře.
Situace by se mohla zdát beznadějná, ale není. V tomto případě totiž více než kde jinde funguje prevence. V první řadě je nezbytné důsledně školit všechny pracovníky, aby se dostali na patřičnou úroveň počítačové gramotnosti. Následně je zapotřebí zabezpečit procesy tak, aby případné útoky, jež prolomí první ochrannou bariéru v podobě poučeného uživatele, zneškodnil jiný mechanismus. Proto je nutné pravidelně testovat úroveň zabezpečení nebo nasazovat systémy, které rozpoznají podezřelé chování uživatelů či dat. Dále je třeba ověřovat, zda jsou uživatelé opravdu těmi, za koho se vydávají. A jestli mají práva na aktivity, které by mohly při zneužití výrazně uškodit.
Jde o komplexní řízení zabezpečení, které aby fungovalo, musí se řešit ve všech jeho oblastech. Jako pomůcka toho, co je nezbytné minimum, nám mohou sloužit všemožné normy a nařízení. Některé z nich jsou platné již roky a stejně má spousta organizací vůči jejich požadavkům velké rezervy. Aby byli manažeři o něco více motivovaní, dostávají se do legislativního rámce vedle sankcí i patřičné odpovědnosti, a to včetně té trestní. To se týká především aktuálních nařízení přicházejících z EU s označením NIS2 a DORA.
Když za vámi tedy někdo z IT oddělení přijede s tím, že je potřeba zvýšit úroveň zabezpečení, a bude se ohánět nařízeními EU, vězte, že hlavní důvod není legislativa. Jde o to, že rizika spojená se ztrátou dat jsou jednoduše příliš vysoká. Například podle předpovědí magazínu Cybercrime mají škody způsobené kyberzločinem do roku 2025 vyskočit na 10,5 bilionu dolarů. Celosvětově výnosy z kybernetických zločinů již překonaly ty z prodeje drog. Hrozby a reálné útoky není možné ignorovat a investice do prevence vyjde většinou levněji než vyjednávání s únosci.
Petr Urban, předseda představenstva AMI Praha
•
