Rok 2023 byl v mnohém zlomový. Hackeři a kyber podvodníci vyvíjejí stále sofistikovanější způsoby průniku do systémových sítí firem, zároveň se jim s masivním nástupem umělé inteligence rozšiřují možnosti zcela nových podvodů. Na konferenci CIO Agenda 2024, kterou v pražském O2 universu navštívilo 27. února celkem 250 účastníků, se probíraly nové hrozby, nástroje ochrany i právní hlediska kyberzločinu.
Umělá inteligence radikálně mění možnosti kyberútoků. Využití deepfake videa s tzv. voice cloning technologií, která napodobuje hlas konkrétních lidí, lze vidět kromě dezinformační scény i v hackerství. Martin Haller z Patron IT připomněl nedávný medializovaný případ majitele fitness e-shopu GymBeam Dalibora Cicmana, kterého útočníci „naklonovali“ do deepfake video hovoru a skrz jiného zaměstnance se snažili zjistit stavy na firemních účtech. To, že se AI dokáže nabourat do interní komunikace, už nejspíš nikoho nepřekvapí. Zdaleka ale nemusí jít jen o krádež byznysových dat. „Dobře může posloužit i schopnost detekce protiprávního jednání nebo romantického vztahu a hackeři mají hned v ruce materiál pro vydírání,“ vysvětlil Haller.
O pohled kriminalisty se podělil Ondřej Kapr, policejní rada z odboru hospodářské kriminality Policejního prezidia ČR. K tématu voice cloningu přidal osobní historku, kdy ani jeho manželka nebyla schopná odlišit jeho hlas „vyrobený“ umělou inteligencí od reality. Voice cloning těží ze síly manipulace hlasem. V útocích na jednotlivce u nás však zatím stále vedou „živí“ podvodníci. Např. falešní bankéři, kteří díky technice spoofing oběti telefonují z čísla její skutečné banky, znají její rodné číslo a nabádají ji k převodu peněz, protože její účet je v ohrožení. „Důležité je připustit si, že se to může stát komukoliv. I mně, i vám. Vzdělání tu nehraje roli. Naopak právě lidé s vysokým vzděláním, lékaři nebo právníci, se domnívají, že oni by podvodný telefonát určitě prohlédli. Fenoménem jsou třeba podvodné sms, které cílí na tzv. spěchající manažery. V poklusu mezi meetingy něco rychle potvrdíte a ani vás nenapadne, že to bylo nějak podezřelé,“ dodal Kapr a apeloval právě na firmy, aby dostatečně edukovaly své zaměstnance i v případě podvodných jednání na úrovni členů jejich rodiny.
Totální blackout
Na konkrétní způsoby kyberútoků se zaměřilo hned několik příspěvků. Etičtí hackeři Jan Marek a Daniel Hejda ze společnosti CyberRangers přiblížili, co všechno musí hacker udělat, než se pokusí prolomit zabezpečení. To, že si vaše systémy někdo scanuje, lze zjistit skrz data z firemního firewallu nebo portscan detekci. Jako prevence může zapůsobit i tzv. honeypot, který umí vytvářet falešné zranitelnosti nebo jinak lákavé cíle a působit jako past. Díky tomu lze účinně analyzovat, jaké metody a postupy hackeři využívají, a efektivněji se bránit.
Radek Šichtanc z O2 mluvil o druzích DDoS útoků. Zmínil přelom srpna a září loňského roku, kdy tomuto typu útoku čelila většina českých bank. Nedošlo k prolomení interních systémů a krádeži dat, ale většina institucí měla nedostupné webové stránky. „Počet DDoS útoků v naší síti roste. Ovšem zatímco v roce 2022 jsme zaznamenali rekordní počet volumetrických útoků, od loňska se začalo rapidně zvyšovat množství útoků na aplikační vrstvě,“ vysvětlil Šichtanc. V případě druhých jmenovaných už nestačí rozšiřovat spotřební kapacitu linek, jsou mnohem sofistikovanější a náročnější na detekci a identifikaci. O2 v rámci své sítě provádí tzv. flow-based monitoring. Jedná se o analýzu vzorků datových toků a v případě detekce chybové události nebo překročení hranice datového toku systém automaticky pošle oznámení a zahájí analýzu a klasifikaci. Ty pak dokončují pracovníci security operačního centra a následně podle jejich charakteru nasazují cílená protiopatření, která odstraňují negativní dopady útoku.
Nebezpečnějším druhem útoku je ransomware, přičemž nejčastějšími terči jsou instituce kritické infrastruktury. Jakub Souček ze společnosti ESET přiblížil, jak se mění charakteristika tohoto druhu útoku. Zatímco dříve se útočníci vlamovali skrz botnety a cílem bylo zašifrovat co největší množství dat, dnes se soustřeďují více na zranitelnosti a skrz aplikace pro vzdálené přístupy využijí již existující nástroje. Tak například skrz PsExec spouští procesy, které vedou nikoliv k zašifrování, ale rovnou ke krádeži velkého objemu dat. To značně ztěžuje detekci. „To, že vás u takových útoků tradiční antivir nezachrání, je ale mýtus. Jen je třeba ho neustále aktualizovat,“ dodal souček.
Před pěti lety se terčem ransomwarového útoku stala firma Beneš a Lát. Její finanční ředitel Jan Lát vylíčil celý incident, kdy hacker výměnou za zpětné odšifrování požadoval 4,75 bitcoinu, a dokonce nabízel slevu za včasnou reakci. Téměř celý den trvalo vyjednávání mezi útočníkem a IT zaměstnancem a zároveň postupné obnovování dat ze zálohy. „Dostali jsme se na částku 2,5 bitcoinu (tehdy téměř čtvrt milionu korun) s příslibem odemčení úplně všech zašifrovaných databází. Zároveň jsme našli člověka, který disponoval takovým množstvím bitcoinu a byl ochoten je prodat,“ popsal Lát. Večer odeslali peníze a zbývalo jen doufat. „Hacker byl „fér“, asi do hodiny a půl poslal hesla, a když jsme se připomněli, že asi tři databáze chybí, tak to doposlal,“ dodal Jan Lát. Zpětnou analýzou zjistili, že došlo k infiltraci skrz uniklé heslo. Tři roky na to – a po masivním zlepšení bezpečnosti a zálohovacích metod – se podobný útok zopakoval, nyní už ale byla firma schopna sama obnovit data do stavu 45 minut před útokem.
O další „lekci“ z kyberútoku se podělil Martin Dvořák ze společnosti Bizerba. Před třemi roky je vypnutí všech systému, v podstatě totální blackout, stálo několik měsíců bez sítě. „Když vám dojde, že to není cvičení a že nemáte v šuplíku žádný plán B, tak nevíte ani, koho se zeptat nebo jak vůbec informovat zaměstnance. Kdo z vás má pět set kontaktů na zaměstnance ve svém telefonu?“ řekl Dvořák. Po třech dnech od vypnutí se podařilo alespoň zprovoznit pracovní e-mail, jinak se pracovalo s tužkou, papírem, flipchartem a 15 let starými formuláři pro fakturace. Teprve po osmi týdnech bylo prvních pět počítačů připojeno k firemní síti a na směny se na nich střídalo 66 zaměstnanců. „Až po šesti měsících jsme se jakž takž vrátili do plnohodnotného fungování,“ dodal Dvořák a apeloval na přítomné: „Mějte plán B, mějte někde dostupný seznam zaměstnanců a nějakou oddělenou workstation, kterou to nepostihne.“
Expertů je málo
Konkrétním řešením se věnoval druhý programový blok konference. Ivan Svoboda (Anect) a Miloslav Lujka (Check Point) prezentovali nová rizika a hrozby cloudových úložišť a představili možnosti ochrany např. aplikací Office365. „Na klasický případ, kdy se někdo nabourá do e-mailu účetnictví a podstrkává tam falešné faktury, jsme reagovali instalací nástroje CloudGuard. Díky němu jsme následně detekovali pět phisingových kampaní týdně,“ popsal Lujka.
Radek Nebeský ze společnosti Ricoh připomněl, že některým antivirovým softwarům může trvat až týdny, než odhalí nevratné poškození ransomwareovým útokem. Produkt RansomCare, který publiku CIO Agendy představil, proto funguje jako efektivní doplněk k dalším bezpečnostním opatřením – jako poslední záchranná brzda, která zabrání zašifrování firmy. V reálném čase hlídá servery, kritická data a analyzuje změny souborů. Pokud narazí na nelegitimní šifrování, odpojí uživatele, který útok způsobil, a zároveň odpojí napadený server, aby se nákaza dále nešířila. Zároveň vygeneruje seznam infikovaných souborů, aby bezpečností tým věděl, co je třeba obnovit ze zálohy před napadením. „Počet ransomwareových útoků na organizace roste meziročně o téměř dvě stě procent,“ podělil se Nebeský o alarmující statistiky. Tím pádem je taková zkušenost pro většinu firem jen otázkou času a je třeba být připraven.
Správou a ochranou dokumentů se zabývali Jan Sedláček a Jakub Kiml z Digital Resources. Podle jejich dat dvě třetiny pracovníků v organizacích přiznávají, že spolupráce a sdílení informací je u nich chaotické, a třetina lidí přiznává, že si někdy přečetli důvěrné dokumenty, které jim nebyly určeny, protože byly ponechány nezajištěné na stole. Řešením může být nástroj M-Files, který má předdefinovanou strukturu metadat dostatečně na to, aby pomohl dostat řád do chaotického uspořádání. Zároveň je však vysoce flexibilní, aby si ho každá organizace mohla přizpůsobit dle svých potřeb. Klíčové je přidělování přístupů jen oprávněným osobám. Každý zaměstnanec tak ve svém rozhraní vidí jen to, co má. Platforma také umožňuje nahlašování bezpečnostních incidentů
a protokolizaci celého řešení. Tvorba interních směrnic a distribuce zaměstnancům je samozřejmostí.
Tzv. virtual CISO (Chief Information Security Officer) není nástroj ale služba, kterou nabízí společnost Xeek. Její obchodní ředitelka Tereza Kulhánková a samotný vCISO Jan Celba se na podiu sešli spolu s klientem Jiřím Maňasem z P3 Logistic Parks. Protože logistická firma outsourcuje IT služby, je pro ni smysluplné mít i externího bezpečnostního IT pracovníka. „Klienti si často v úvodu jednání myslí, že je to zbytečné a finančně se to nevyplatí. Pak si obejdou kolečko jiných řešení, kdy se snaží sehnat odpovídajícího experta interně, a nakonec stejně přijdou k nám, protože zjistí, jak velký je v tomto oboru nedostatek na trhu,“ vysvětlila Kulhánková. Jan Celba nyní funguje jako vCISO pro dvě firmy a za sebou má tým osmi až dvanácti dalších expertů.
Prověřte si své dodavatele
Odborným programem prováděl Daniel Stach z České televize, panelové diskuze se následně zhostil Michal Horáček ze společnosti Microsoft. Jedním z témat byla mj. na kyberbezpečnost pohledem právníků. Advokát Adam Škarka komentoval skutečnost, že právní svět bohužel nestíhá držet krok s vývojem technologií a částečně i proto většina sporů, při nichž vznikla nějaká škoda, končí odložením, jelikož nejde dohledat, kdo je způsobil. Jiří Sedlák z bezpečnostního dohledového centra O2 a etičtí hackeři ze CyberRangers Jan Marek a Daniel Hejda také na popud dotazů z publika probírali, jak si stále většina firem neuvědomuje, že slabý článek z hlediska kyberbezpečnosti může představovat i jejich obchodní partner nebo dodavatel. „Pokud byste vyhodnotili, že se některý z vašich zaměstnanců chová rizikově, požádali ho o nápravu a on to neudělal, tak ho vyhodíte. K dodavateli ale máme často zbytečný sentiment. Není to na místě,“ upozornil Marek Hejda. S Adamem Škarkou pak radili, že i tyto aspekty mohou být zakotveny v obchodní smlouvě. Například tak, že si dodavatele jednou ročně otestujete peer testem a odškálujete, do jaké úrovně se to vyřeší např. tříměsíční slevou na zboží či službu a od jaké je to důvod k okamžité výpovědi.
Konference CIO Agenda z produkce společnosti Blue Events je odbornou platformou, která je určena nejen pro vedoucí pracovníky v oblasti IT, ale i pro další top manažery. Již osm let tato setkání ukazují nejlepší příklady toho, jak může efektivní spolupráce mezi IT týmy a dalšími odděleními podporovat úspěšný a především bezpečný chod organizací. Akce je otevřená všem, kteří chtějí prohloubit své znalosti a mít firmu silnější, flexibilnější a odolnější.