Až 90 procent kyberútoků na firmu mají na svědomí samotní zaměstnanci

Foto zdroj: FocusOn
Technologie 03. 01. 2023

Až 90 procent kyberútoků na firmu mají na svědomí samotní zaměstnanci

Kyberprostor je součástí digitalizace a stále se zvětšuje. S jakými hrozbami se v něm dnes můžeme setkat a jak se proti případným útokům brání jednotlivci i firmy a instituce, nám v rozhovoru objasnil Jaroslav Otcovský, vedoucí IT oddělení ve společnosti Asseco Solutions.

Souvisí postup ukrajinské armády při znovudobývání vlastního území i s hackery? Nabourávají se do komunikačních linek nebo do ruské IT struktury a nějakým způsobem je vyřazují z provozu?

Na tuto otázku je poměrně složitější odpovědět. Nicméně dnes bych asi nedal ruku do ohně za to, že to přímo souvisí s hackery a jejich útoky. V dnešní době už neexistuje něco, čemu říkáme klasická válka, setkáváme se více a více s pojmem hybridní válka. To už ze své vlastní definice kybernetický prostor a kybernetické útoky v sobě obsahuje. Tyto strategie jsou používány na obou stranách konfliktu, takže bych to s určitostí nevylučoval. A ano, může s tím částečně souviset znovudobytí toho území.

Lze tedy říct, že i samotná kyberbezpečnost je jedním z hlavních pilířů moderní hybridní války, bez kterého to už dneska ani nejde? 

Zcela jednoznačně, s tím se nedá než souhlasit. Dneska je kyberprostor součástí digitalizace, je úplně všude kolem nás a stále se zvětšuje. Citlivá data jsou tou první, snadno napadnutelnou částí. Tady ty věci jsou víceméně docela levné oproti klasickým složkám války a velmi dobře se anonymizují. 

Hackeři útočí i na velké firmy nebo třeba nemocnice. Jsou ty české už dostatečně zabezpečeny proti nějakým výpadkům à la blackout?

Osobně si myslím, že rozhodně zabezpečeny dobře nejsou, byť je vidět velká práce úřadu pro kybernetickou bezpečnost – několik z nich je už dnes jejich zodpovědností. Některé standardy musí být dodržovány na základě zákona o kybernetické bezpečnosti. Těch subjektů bylo asi 16, v letošním roce, jestli se nepletu, přibylo dalších 28, které do tohoto spadají a mají za povinnost dodržovat nějaké standardy. Kyberbezpečnost v těchto odvětvích a sektorech je výrazně poddimenzovaná. Souvisí to nejenom s tím, jak se rozšiřují digitální služby, které jsou těmito zařízeními poskytovány, tak i s vybavením, které v tuto chvíli samy používají. Dnes si už zdravotnictví bez elektronických robotů nebo různých evidencí ani nedovedeme pořádně představit. A zde právě vidím jeden z těch problémů poddimendimenzace kybernetické ochrany.

Počítačové sítě ve firmách jsou zabezpečeny před útoky především z vnějšího prostředí, přitom podle statistik ale drtivá většina z nich (90 %) je provedena zevnitř organizace, jak je to možné?

Vždycky jde o nejslabší článek toho řetězce. Spousta IT oddělení vystaví kolem firmy pomyslný perimetr ochrany, ale přece jenom uživatel, ten zaměstnanec, je zpravidla tím nejsnáze ovlivnitelným článkem, kde dochází ke chybě. Někdy se uvádí i číslo více než 90 % útoků právě zevnitř.

Předpokládám, že většinou se jedná o neúmyslné poškození ze strany zaměstnance. Jak se tomu dá zabránit?

V drtivě většině se nedá než souhlasit, že to je nezaviněné nebo neúmyslné jednání zaměstnance. A zabránit se tomu dá v podstatě skutečně jedině edukací lidí a vysvětlováním toho, co může nastat. 

Jaké jsou nejčastější chyby, které zaměstnanci dělají, když ohrozí bezpečnost firmy?

Je na to možné pohlížet z několika úhlů pohledu. Ty nejzákladnější chyby, o kterých dnes už kolují spíše vtipné poznámky, jsou lepítka na monitorech pod klávesnicí – hesla k odemykání počítačů. Nejvíce používané jsou už ale phishingové útoky, kde svojí nevědomostí uživatelé otevřou špatný odkaz, a tím způsobí nějaký problém. Bohužel jsou to i případy zaviněné. Za jeden z těch zaviněně nezaviněných bychom mohli považovat zatajování skutečnosti, že se něco ne úplně správného stalo – to je velmi častou příčinou problémů, které následně vznikají.

A co práce z domova, tzv. home office? Tam je asi taky velké riziko. Možná i větší. Zaměstnanci občas pracují ze svého počítače, většinou mají ale firemní…

Velkým rozdílem je, jestli dotyčný na home officu pracuje na firemním počítači, nebo ne. Většina společností používá pro práci z domova nějaké VPN připojení, aby to bylo, pokud možno, zabezpečeno. Ale už málokdy se dohlíží na to skutečně koncové zařízení uživatele. Velmi často jsou používány soukromá zařízení, na kterých se pouze nainstaluje VPN klient, který zprostředkuje konektivitu. V tuto chvíli nastává situace, kdy IT oddělení má bravurní přehled o tom, jaké zařízení se připojilo nebo kdo a kdy. Ale bohužel většinou už nemá kontrolu nad tím daným soukromým zařízením. To může být velký problém a řekněme takový nechtěný trojský kůň do té společnosti. Protože už nemáte informaci o tom, jestli to zařízení je chráněno nějakým antivirem a dalšími systémy. 

A to jsme se ještě nebavili o mobilu, ten už se taky používá na čtení pracovních e-mailů apod. Ze statistik vyplývá, že loni vzrostl v Česku počet útoků o 20 %. Letos v říjnu už bylo podle Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB) těch útoků stejně jako za prvních devět měsíců roku. Logicky to tedy znamená, že počet útoků nadále roste…

Podle posledních zpráv z NÚKIBu za listopad ten počet lehce poklesl, ale můžeme očekávat, že i do budoucna spíše poroste. Zapojují se nám do toho služby, které podporují nejen phishing, ale dnes už se setkáváme třeba s ransomwarem, kdy si útočníci velmi jednoduše dokážou objednat službu takových útoků. 

Vaše firma navrhuje základní prevenci phishingového útoku, kdy pomocí určitých návnad učíte zaměstnance rozpoznat hrozbu a předejít rizikovému chování. I přesto se ale v průměru 30 % z nich stejně nechá nachytat. Jak je to možné?

Je potřeba, aby si společnosti opravdu uvědomily, že riziko je na straně těch zaměstnanců. Phishingové kampaně, které jste zmínil, zpravidla bývají právě v tom sektoru. Kolem 30 % při první phishingové kampani je těch úspěšných detekcí, kdy uživatel skutečně klikne na potencionálně závadný obsah. Na základě pravidelného školení se znovu vysvětluje uživatelům, co se stalo, kde byla chyba, jak se lépe zaměřit na to, aby poznali podvodný e-mail. A následně se tyto kampaně opakují tak, aby se vyhodnocoval nějaký možný trend zlepšení. Zkušeností z naší společnosti, kde toto absolvujeme pravidelně už několikátý rok, jsme se z úvodních podobných čísel dostali na necelá 3 %. Nejčastější příčinou bývají věci týkající se určité naléhavosti. Člověk se s tím setkává nejen v pracovním, ale i osobním životě. Nutnost změnit si heslo přístupu do banky nebo k nějakému účtu, to je jedna část. A druhá, která se nám ukázala zejména v souvislosti s děním na Ukrajině – předtím to byl covid –, jsou témata, kdy uživatelé prahnou po informacích, které chtějí získat v korporátním nebo firemním prostředí. Ukazuje se bohužel jako velmi účinné, když potenciální útočník zná strukturu společnosti a převleče, v uvozovkách, e-mail do podoby, jako by to psal nadřízený toho dotyčného nebo personální oddělení. Musí jít o nějaký velmi důležitý dokument, aby se člověk na něj proklikl.

Ještě mám dodatečnou otázku. Vy samozřejmě pracujete jak s velkými firmami, tak i s menšími, je tam třeba v tomto nějaký rozdíl? 

Ze zkušenosti vyplývá, že tomu tak není. Těch 30 % v prvopočátku bývá téměř všude. Pohybujeme se mezi 25–35 %. Vždy při první kampani, kterou u toho uživatele děláme – ta je neohlášená –, jsou to skutečně hlavně prokliky. Dokonce někteří se prokliknou i vícekrát, což je o to zajímavější.

Autor: redakce

FocusOn je zpravodajský web zaměřený na nové trendy v ekonomice s důrazem na využívání moderních technologií.

Další rozhovory