IT SECURITY NETWORK NEWS je B2B komunitní web zaměřený na IT bezpečnost a související témata. #security #bezpečnost #ITSECNN

Jak vyzrát na kyberútočníky

kyberútoky ransomware výkupné

Kyberútoky jsou mocnou zbraní nejen v mezinárodních konfliktech, ale i v soukromé sféře. Hackeři své útoky stále zdokonalují a je velmi obtížné s nimi držet krok. Napadení interních systémů či zneužití citlivých dat přitom mohou být pro některé firmy likvidační. Jak se dá tedy kyberzločinům nejlépe předcházet a co dělat, když už útočníci vaši firmu napadnou?

Pandemie koronaviru přesunula už i doposud otálející společnosti do online prostoru. Dnešní digitální svět se tak musí stále častěji vyrovnávat i s jeho odvrácenou stranou. Podle údajů společnosti Check Point v roce 2021 stoupl počet kyberútoků na české firmy oproti předchozímu roku o polovinu, mířilo tak na ně průměrně přes 1 000 útoků týdně, což je víc než celosvětový průměr. Kyberzločinů tedy neustále přibývá a tento negativní trend ještě umocnila i komplikovaná geopolitická situace v souvislosti s válkou na Ukrajině. Stále více firem si proto uvědomuje, že případný kyberútok může být fatální. Podle průzkumu Allianz Risk Barometer 2022, který prověřoval největší rizika pro firmy, označili odborníci z více než stovky zemí světa za největší nebezpečí letos a vloni právě kybernetickou hrozbu, která předčila dokonce i riziko případného přerušení provozu nebo dopadů legislativních změn.

Vedení firem by proto nemělo spoléhat na to, že se jim kybernetický útok prostě vyhne, a to i proto, že v konečném důsledku je to právě statutární orgán, který je odpovědný za nastavení vhodné strategie, jež vyloučí případná rizika. Management by tak měl přijmout dostatečná opatření pro předcházení kyberútokům. Opačná situace totiž může představovat porušení péče řádného hospodáře statutárních orgánů a jejich odpovědnost za vzniklé škody.

Se zločinci se nevyjednává?

„Populární“ metodou posledních let jsou kybernetické útoky formou tzv. ransomwaru, tedy digitálního vydírání. Hackeři zabrání přístupu k datům (typicky zašifrováním) a požadují po firmách tučné výkupné za jejich zpřístupnění. Že se s takovým útokem už setkala významná část firem, potvrzuje i report bezpečnostní společnosti Sophos The State of Ransomware 2021, který sledoval vývoj ransomwarových útoků v 30 zemích světa, včetně stovky společností v České republice. V roce 2021 zasáhly útoky tohoto typu 30% dotázaných společností v Česku a průměrná hodnota negativního dopadu ransomwarového útoku byla okolo 7 milionů korun. Hodnota přitom obsahuje nejen částku výkupného, ale i související náklady, čas zaměstnanců či ušlý zisk.

V Německu je to pro srovnání například 25 milionů korun a suverénně nejvyšší hodnoty dosahuje suma u našich sousedů v Rakousku s průměrem 160 milionů českých korun. Česká republika tedy v celkovém hodnocení vychází jako země s nejnižší průměrnou „ztracenou částkou“, i tak se ale nejedná o zanedbatelné sumy. Vedení firem proto bezprostředně po napadení zpravidla řeší otázku, zda se se jim nevyplatí požadované výkupné zaplatit. Výše částky za odemčení systémů se liší podle velikosti zasažené společnosti, obtížnosti zvoleného útoku a konečně i lokace cíle. Zda tedy vyjednávat, nebo ne, je doslova otázkou za milion. Například americké město Atlanta v roce 2018 odmítlo zaplatit požadované výkupné ve výši 50 tisíc dolarů. Několik dnů nebyly funkční dopravní systémy a úředníci museli pracovat s klasickými papírovými formuláři. Následně ale město zaplatilo více než 2 miliony dolarů za IT poradenství, bezpečnostní audit a PR služby.

Prevence především

Škody se tak vyčíslují až po bitvě a po kybernetických útocích firmy sčítají nejen náklady vynaložené na obnovu a zabezpečení systémů, investice do kybernetické bezpečnosti a školení o kybernetických rizicích, ale zaznamenávají i ztráty způsobené zpomalením nebo zastavením provozu či pokuty za pozdní dodání smluvním partnerům. A pokud dojde k úniku citlivých dat, pak se na ně může vztahovat i odpovědnost za ztrátu důvěrných obchodních či osobních údajů.

Vůbec nejlepší je proto kyberútokům předcházet. Správnou obranou je tedy včasné a preventivní zavedení firemních pravidel a opatření, která zabezpečí jak lidské procesy, tak samotné technologie a data. Dobrým vodítkem, jak postupovat, může být třeba zákon o kybernetické bezpečnosti, který sice zavádí povinnosti zejména pro veřejné subjekty či jejich dodavatele a provozovatele klíčových služeb pro stát, ale stejná kyberbezpečnostní pravidla lze aplikovat i v soukromých firmách. Vhodnou inspirací je pak i tzv. Minimální bezpečnostní standard, který vydal Národní úřad pro kybernetickou bezpečnost. Na začátku by měla být základem podrobná vnitřní analýza společnosti, která identifikuje bezpečnostní slabiny. Když je pak firma zná, může na nich pracovat a eliminovat je v rámci komplexního systému kybernetické bezpečnosti a digitální ochrany. Je však třeba, aby byla veškerá zamýšlená opatření dobře proveditelná a pro zaměstnance především srozumitelná tak, aby přesně věděli, jak se vyvarovat rizikového chování. Vedle toho by samozřejmě měla mít každá firma i náležité technické zabezpečení systémů a dat – pravidelně měnit hesla do firemních účtů a systémů, používat pokročilé technologie šifrování apod. A případným ztrátám důležitých dat a informací (což je častější než jejich skutečné zneužití) by pak také společnosti měly předcházet správným nastavením managementu zálohování.

Nad rámec běžných postupů doporučujeme také sestavit bezpečnostní pravidla pro home office. Zaměstnanci by například měli posílat pracovní e-maily výhradně přes firemní e-mailový účet, využívat jen důvěryhodné sítě a bezpečné připojení k firemní síti (například připojení přes VPN) apod. Ač mohou znít některá pravidla triviálně, nejde vždy o dodržovaný standard. Společnosti by také měly pečlivě vybírat dodavatele IT systémů nebo antivirových programů. Vhodnou cestou může být zavedení certifikace podle norem, resp. rodiny těchto norem ISO / IEC 27000, které stanovují požadavky na sestavení, implementaci, provoz, monitorování a přezkoumání systému managementu informační bezpečnosti. Zavedení příslušných interních postupů je ale pouze prvním krokem.

Pravidla je pak potřeba neustále aktualizovat a zaměstnance pravidelně školit tak, aby je skutečně dodržovali. To se týká nejen prevence, ale i případů, kdy už k útoku skutečně došlo. Pro takové situace doporučujeme vytvořit krizový plán, který stanoví jasný postup. Ideální je okamžitě se obrátit přímo na právní a bezpečnostní experty, kteří rychle dokážou pomoci s minimalizací škod a poradit ohledně potřebného postupu. Následně je třeba incident řádně vyšetřit a zdokumentovat. Došlo-li k porušení zabezpečení osobních údajů, může rovněž vzniknout povinnost informovat Úřad pro ochranu osobních údajů.

Zdroj: HAVEL & PARTNERS (specialisté právního poradenství při ochraně a zhodnocování dat)