Podminky cookies

O2 Security Expert Center: Ochrana kyberprostoru připomíná detektivní práci nebo těžbu zlata

O2 Security Expert Center: Ochrana kyberprostoru připomíná detektivní práci nebo těžbu zlata

O2 Security Expert Center: Ochrana kyberprostoru připomíná detektivní práci nebo těžbu zlata

Firmy každoročně investují statisíce do zabezpečení fyzického majetku. U vstupu do firem najdeme stále sofistikovanější turnikety, které mnohdy snímají také biometrické údaje. Ředitelé firem spoléhají na kamerové záznamy, platí za profesionální ostrahu a pečlivě střeží svůj majetek. Často ale zapomínají na to, že skutečné bohatství firmy není samotná budova nebo vozový park.

Firemní know-how, smlouvy, rozpracované tendry, údaje o zaměstnancích nebo zákaznících jsou pro útočníky mnohem lákavější cíl. A často se k takovým údajům dostanou naprosto nepozorovaně. Odhalení kybernetického útoku totiž může trvat i několik měsíců, po které útočník nerušeně „sosá“ velmi cenné informace, aniž by ho někdo vyrušil.

Kromě obrovských finančních ztrát hrozí firmám také poškození reputace, která může vést až k naprosté likvidaci firmy. Do kybernetické bezpečnosti přesto firmy stále dostatečně neinvestují. Přitom rozhodně neplatí, že chránit se mají jen velké firmy. Záleží spíše na citlivosti dat, s jakými firma nakládá. Velmi cenné informace pro hackery shromažďují třeba auditoři, účetní firmy, plastičtí chirurgové, právníci nebo třeba novináři, ale i jakákoliv firma s cenným know-how.

Kdo stojí za kyberútoky: Zapomeňte na představu hackera s kapucí

Co si představíte, kdy se řekne hacker? Jestli tajemnou postavu s kapucí, která sedí v tmavém sklepě a do klávesnice zuřivě ťuká složité příkazy, aby se nabourala do systémů velkých firem, pak jste úspěšně podlehli stereotypnímu obrazu hackera z akčních filmů.

Ve skutečnosti za útoky stojí velmi dobře organizovaná síť lidí, kteří v současné době tvoří v podstatě vlastní průmyslové odvětví. Na rozdíl od jakéhokoli legálního podnikání, hackery nesvazují žádné legislativní rámce, smlouvy ani státní hranice. Mají naprosto volnou ruku a neštítí se ničeho. V jednom okamžiku hackeři útočí klidně na stovky firem, které ani nemusí být z jednoho oboru.

Obchodování s ukradenými citlivými zaměstnaneckými i klientskými údaji a databázemi totiž generuje obrovské množství peněz.

Za kolik se prodávají vaše osobní data:

  • Osobní údaje (jméno, rodné číslo, datum narození, heslo, přihlašovací údaje, údaje kreditní karty …) – tyhle základní osobní údaje mají na trhu hodnotu kolem 400 Kč
  • Přihlašovací údaje k e-bankovnictví – tyhle základní bankovní údaje mají na trhu hodnotu kolem 1 000 Kč
  • Zdravotnická dokumentace – lékařské záznamy, údaje o předepsaných lécích, zdravotnická dokumentace – takové informace už jsou cennější a prodávají se až za 100 000 Kč

Tento výpis představuje jen zlomek dat, které jsou v kyberprostoru pro útočníky lákavým soustem. Na první pohled se to nemusí zdát jako nijak závratné částky. Jenže hackeři sbírají údaje o statisících až milionech uživatelích najednou.

Například poslední únik osobních dat (jména, adresy, informace o lokalitě, mailové adresy a telefonní čísla) uživatelů Facebooku z března 2021 se dotkl 533 milionů účtů. Takový útok představuje pro hackery velmi lákavé výdělky.

Jak probíhá kybernetický útok: Nejprve zkoumá terén, potom zaútočí

Útoky organizují konkrétní lidé nebo skupiny lidí, ale samotný útok obvykle probíhá jako kombinace strojového a ručního útoku. Typicky prostřednictvím programu, který například postupně prochází firemní síť a hledá v ní možné zranitelnosti.

Stále převládá mylná představa, že kybernetický útok je rychlý, že jde o záležitost několika minut. Ve skutečnosti útoku předchází fáze tzv. oťukávání. Útočník, respektive jeho program, si nejprve mapuje prostředí, zkoumá terén, hledá slabiny v zabezpečení. Například instaluje škodlivé programy nebo jejich části. Po sestavení potřebného útočného scénáře postupně začíná útočit. Tento framework se v oblasti kyberbezpečnosti obecně nazývá killchain.

Takový proces často probíhá v tzv. šedé zóně a oběť vůbec netuší, že už útok dávno probíhá. Když na to konečně přijde, bývá pozdě. Jakmile jsou například vaše citlivá data jednou znehodnocena nebo zcizena, už to obvykle nemůžete vrátit. Firmy pak čelí nejen finančním ztrátám, ale často také sankcím i poškozené pověsti.

Firmy se často potýkají například s pokusem o prolomení hesel. K tomu obvykle dochází prostřednictvím tzv. brutt force attack (útok hrubou silou). V takovém případě se program snaží o rozluštění šifry bez znalosti jejího klíče k dešifrování. Zjednodušeně se jedná o systematické testování všech možných kombinací.

Dalším častým typem útoků je ransomware, kdy útočník zašifruje data a soubory a za jejich odblokování požaduje výkupné.

Jsou i případy, kdy dochází k záměrnému úniku dat skrze vlastní zaměstnance. Často jde právě o únik hesel, případně celých databází firemních klientů nebo citlivých informací. Některé firmy a organizace jsou na to připravené a mají nastavené ochranné mechanismy, které monitorují a informují, pokud dojde ke stahování konkrétních informací nebo podezřele velkého množství dat. Nicméně zaměstnanec většinou tato bezpečnostní opatření zná a může se jim proto vyhnout.

TIP: Na zaměstnance se často cílí hlavně prostřednictvím podvodných e-mailů a phishingu. Podívejte se, jaké jsou nejčastější kybernetické prohřešky zaměstnanců, které ohrožují bezpečnost firem.

Naprostá většina kybernetických útoků ale pochází zvenku. Odhaduje se, že až 90 % všech útoků mají na svědomí externí útočníci.

O2 Security Expert Center: Detektivové kybernetického prostoru

Otázka kybernetické bezpečnosti se dnes týká firem všech velikostí i státního sektoru. Naprosto klíčová je pro ně prevence a adekvátní vyhodnocení rizik. Nestačí se totiž ptát, zda na nás někdo zaútočí, ale spíš kdy a jak? Základní ochranu většina firem řeší instalací antiviru a firewallu, což považují za nejnutnější základ, bez kterého nemůže dneska nikdo fungovat.

Co ale firmy někdy podceňují je komplexní bezpečnostní dohled, vyhodnocování rizikových situací a také jejich předcházení. Základní ochranné programy, kterých je na trhu spoustu, dokážou sice některým typům útoků zabránit, případně nahlásí problém. Pracují ale jen s předem naprogramovanými scénáři a ty vyhodnocují. A tato ochrana je často nedostatečná. Program nedokáže nahradit bezpečnostního experta, který se na firmu podívá v celém kontextu, nalezené informace zanalyzuje a dokáže vyhodnotit.

V O2 Security Expert Center se právě tým expertů stará o komplexní dohled nad ICT firem včetně analýzy a zhodnocení případných rizik. Aby byla taková služba funkční, musí být připravena na míru konkrétnímu zákazníkovi. To mimo jiné znamená, že bezpečnostní analytik, který jednotlivé situace vyhodnocuje, musí znát způsob podnikání klienta včetně jeho interních procesů. Jedině tak dokáže správně identifikovat případné odchylky od normálu, které ukazují na potenciální nebezpečí.

O2 SEC je tedy služba, která zahrnuje jak nástroje, tak především experty, kteří s nimi umí pracovat, včetně jejich dlouholetých znalostí a zkušeností.

S čím O2 SEC pracuje

Nejprve se v prostředí ICT konkrétního zákazníka sbírají tzv. logy. To jsou veškeré bezpečnostně relevantní záznamy o provozu ICT prostředí ve firmě, které mohou pocházet z různých zdrojů – antivirového programu, firewallu, activ directory, databázových serverů, ale také třeba vstupních turniketů. Všechny tyto logy se stáhnou a uloží na bezpečné místo tak, aby s nimi nikdo nemohl manipulovat nebo je jakkoliv upravovat.

Tahle fáze trochu připomíná klasickou detektivní práci sbírání důkazů. U digitálních důkazů tvořených jedničkami a nulami je to ale trochu složitější, nicméně O2 SEC garantuje tzv. forenzní čistotu logů. To znamená jistotu, že s těmito záznamy (důkazy) nikdo nemanipuloval a nijak je nemohl pozměnit nebo dokonce vymazat. Po fázi sběru dat přichází na řadu analýza security nástroji a vyhodnocování našimi experty.

Jak takové informace vypadají v praxi

Většina firem má systém, který zaznamenává pohyb zaměstnanců po firmě. Pokud do firmy například vstoupí zaměstnanec, který zrovna v té době měl být na dovolené, je to sice zvláštní, ale ještě ne nutně hrozba. Nicméně i takovou informaci O2 SEC zaznamená. Pokud následně dojde například ke stahování velkého množství zákaznických dat, rozsvítí se pomyslná červená kontrolka.

Zaměstnanec mohl kartu ztratit a někdo cizí se teď pokouší získat citlivé informace. Nebo pokud v HR systému zjistíme, že je tento konkrétní člověk ve výpovědi, odhalujeme rovnou i motivaci podvodného jednání.

Jako práce zlatokopa: Hledáte relevantní události mezi spoustou hlušiny

Při nasazení řešení O2 SEC trvá běžně 2–4 měsíce, než se proces správně vyladí.  Na začátku totiž může být až 70 % upozornění tzv. false positive. Jsou to pro zákazníka běžné události, které ale systém nevyladěný na specifika konkrétní firmy nejprve vyhodnotí jako potenciální hrozbu.

Jedná se klidně o tisíce alertů za den. Postupným přizpůsobením celého systému specifikům konkrétního zákazníka dojde k nastavení té správné citlivosti, která pomůže odhalit ta opravdová rizika a ohrožení.

Jak takový nález může vypadat?

Systém zaznamená, že došlo ke stovkám pokusů o přihlášení, které vykazovaly podobné znaky – například rychlost deseti přihlášení za vteřinu. Tak rychle se určitě žádný člověk přihlašovat nedokáže, takže jde pravděpodobně o tzv. brutt force attack na prolomení hesel.

Jiná situace ale nastává, když pokusy o přihlášení do firemní sítě probíhají frekvencí dvou hesel za minutu. A po úspěšném přihlášení dojde ke změně hesla. To vypadá s nejvyšší pravděpodobností na kolegu, který heslo třeba po návratu z dovolené zapomněl.

Pokud si ale uživatel kromě změny hesla změnil i oprávnění z běžného uživatele na administrátora, už to může znamenat problém.

Na základě kombinace všech těchto informací už tým O2 SEC dokáže identifikovat potenciální nebezpečí a v takovém případě nastává čas situaci blíže prozkoumat a podniknout další kroky k eliminaci možné hrozby.

Pro koho je služba O2 SEC určená

Strukturu zákazníků O2 SEC tvoří nejčastěji ti, kteří se chtějí chránit před útoky v kyberprostoru, musí se řídit pravidly na ochranu osobních údajů (GDPR), nebo se na ně vztahují povinnosti, které ukládá zákon o kybernetické bezpečnosti.

Služba ale funguje jako tzv. zastřešující bezpečnostní deštník pro všechny, kteří pracují s citlivými daty a nemají kapacity nebo know-how na vytvoření interního bezpečnostního týmu.

Při nasazení služby OS SEC nerozhoduje ani tak velikost firmy a jejího IT zázemí, jako spíše možná rizika a škody, které únik informací nebo třeba ransomware útok mohou firmě způsobit. Jakmile jednou data uniknou, už si v digitálním světě žijí vlastním životem a proces je nevratný. Finanční ztráty jsou obrovské a pověst firmy je nenávratně poškozená. Prevence i plán postupu pro případ napadení, hrají proto klíčovou roli.

Podívejte se, jak může služba O2 SEC zajistit bezpečnost i ve vaší firmě. Naši experti vám rádi poradí a pomůžou vybrat nejlepší řešení. Jsme tu pro vás.

 

Jiří Sedlák, manažer Security Expert Center

Svou profesní kariéru zahájil v oblasti leteckého provozu, kde měl na starosti rozvoj leteckých záchranných služeb a vyšetřování leteckých nehod. Poté se začal věnovat krizovému managementu a dnes má už více než 20 let zkušeností v oblasti bezpečnosti ICT, realizaci komplexních bezpečnostních řešení a řízení rizik společnosti.

V současné době působí v O2 Czech Republic jako manažer O2 Security Expert Centra, kde uplatňuje své zkušenosti ve vývoji a realizaci řešení v oblasti ICT bezpečnosti. Zároveň dohlíží na jejich propojení s platnou legislativou. Odpovídá také za fungování týmu, který zajišťuje služby dohledového centra kybernetické bezpečnosti. A to včetně implementace a provozu security managed produktů pro zákazníky O2.

Související článek České firmy a digitalizace v roce 2021
Nahoru