Kybernetické útoky v Česku nejsou výjimkou, ale pravidlem. Ročně jich proběhnou desítky a stále častěji ochromí firmy na dny i týdny. Nejčastějším scénářem je ransomware. […]
Kybernetické útoky v Česku nejsou výjimkou, ale pravidlem. Ročně jich proběhnou desítky a stále častěji ochromí firmy na dny i týdny. Nejčastějším scénářem je ransomware. Jde o útok, při kterém útočníci zašifrují firemní data a požadují výkupné. V pořadu Face IT na platformě FocusOn o tom mluvili Václav Svátek, zakladatel společnosti ČMIS, a Matěj Váňa, Network Security Engineer ze stejné společnosti.
Spotify„Kybernetických útoků jsou v Česku desítky ročně,“ říká Svátek. Útoky se přitom netýkají jen velkých korporací. Zasažené bývají firmy s desítkami zaměstnanců i podniky s několika stovkami lidí. Společným jmenovatelem je nepřipravenost.
Máte zálohy?
Okamžik, kdy firma zjistí, že nemá přístup k datům, bývá chaotický. Manažeři řeší, komu volat – policii, pojišťovně nebo IT dodavateli? Podle Svátka je ale klíčová jiná otázka: „První dotaz je, jestli máte zálohy.“
Pokud jsou zálohy bezpečné a oddělené od napadené infrastruktury, je situace řešitelná. Pokud ne, firma se může dostat do existenčního problému. „Bývá to tak padesát na padesát,“ říká Svátek. Část firem má zálohy funkční a pravidelně je testuje. Jiní sice zálohují, ale nikdy si nevyzkoušeli, zda je dokážou kompletně obnovit. A existují i případy, kdy útočníci zašifrují i samotné zálohy.
Podle odhadu ČMIS až 50 % firem není schopno kompletně obnovit celý systém v plném rozsahu.
Obnova může trvat hodiny. Nebo měsíce
Doba obnovy závisí na připravenosti firmy. V jednom nedávném případě, kdy měla firma připravený plán obnovy a infrastrukturu v datovém centru, trvala kompletní obnova jen tři až čtyři hodiny. Šlo o společnost s 300 až 400 zaměstnanci.
Na opačné straně spektra jsou firmy, které přijdou nejen o data, ale i o zdrojové kódy svých systémů. „Měli jsme případ, kdy firma neměla ani zdrojové kódy k informačnímu systému, který se 20 let vyvíjel,“ říká Svátek. Ztráty tak nejsou zanedbatelné. U větších firem mohou dosahovat milionů korun za hodinu výpadku.
Výkupné se platí ve 20 až 30 % případů
Ne každý útok končí platbou výkupného, ale děje se to častěji, než si veřejnost myslí. „Z našich odhadů bych řekl, že se platí zhruba ve 20 až 30 % případů,“ uvádí Svátek.
Útočníci přitom nejsou jednotlivci, ale organizované skupiny. „Nejsou to kluci v kapuci. Jsou to profesionalizované, organizované skupiny, kde jedna část vyvíjí nástroje, jiná získává přístupy, další vyjednává,“ popisuje.
Výše požadovaného výkupného se odvíjí od ekonomické síly napadené firmy. Útočníci si z veřejných zdrojů zjistí obrat a zisk společnosti a podle toho nastaví požadavky. Částky se mohou pohybovat od jednotek milionů až po stovky milionů korun.
Největší slabina? Lidský faktor
Technická zranitelnost není jediný problém. Podle odborníků zásadní roli hraje lidský faktor. Matěj Váňa uvádí, že při simulovaných phishingových kampaních klikne na podvržený odkaz 50 až 80 % uživatelů. „Z toho desítky procent zadají své přihlašovací údaje,“ říká.
Ilustrativní experiment ukázal, že 67 % oslovených lidí bylo ochotno zadat platební kartu za příslib pizzy za jednu korunu. Tento příklad podle Svátka ukazuje, jak snadno lze zneužít lidskou důvěřivost.
IT versus management: Kdo určuje míru rizika?
Častým problémem je nesoulad mezi vedením firmy a IT oddělením. Management předpokládá, že bezpečnost je „nějak vyřešena“. IT oddělení naopak často tvrdí, že nemá dostatek rozpočtu ani jasné zadání.
Klíčová rozhodnutí by přitom neměli dělat IT specialisté, ale vedení firmy. Jde například o to, jak dlouho si firma může dovolit být mimo provoz a o kolik dat je ochotna přijít. Svátek upozorňuje, že tyto cíle by měly být stanoveny obchodním vedením, nikoli technickým oddělením.
Základní úroveň ochrany přitom není extrémně nákladná. U firem se stovkami zaměstnanců se roční náklady na základní zabezpečení pohybují v řádu stovek tisíc až jednotek milionů korun. U regulovaných institucí, jako jsou banky či energetické společnosti, mohou jít do desítek milionů ročně.
Útoky přicházejí ve vlnách
Zajímavým fenoménem je šíření útoků přes dodavatelské řetězce. Firmy jsou často propojené a útok se může přenést z jednoho subjektu na další. „Často řešíme dvě nebo tři firmy v krátkém časovém horizontu,“ říká Váňa.
To vytváří tlak nejen na napadené podniky, ale i na týmy kybernetické pohotovosti. V krizových situacích může na jednom incidentu pracovat až 20 odborníků současně: síťoví specialisté, správci serverů, právníci i vyjednavači.
Tři kroky, které může firma udělat hned
Na závěr rozhovoru zazněly konkrétní rady.
Nechat si udělat nezávislé posouzení stavu bezpečnosti.
„Najměte si někoho zvenku, klidně na jeden dva dny, a nechte si objektivně zhodnotit situaci,“ doporučuje Svátek.
Mít kvalitní zálohování.
„To je absolutní alfa a omega,“ říká. Dobré zálohy podle něj vždy vyjdou levněji než placení výkupného.
Zavést dvoufaktorové ověřování a základní technická opatření.
Segmentace sítě, aktualizace systémů a důsledné řízení přístupů patří mezi základní ochranné prvky.
Podle Svátka platí jednoduché pravidlo: „Když máte dobré zálohování, podaří se to vždy obnovit bez placení.“
Celý rozhovor si můžete pustit jako video nebo podcast:
- Jak vypadá první hodina po zjištění ransomware útoku?
- Jak probíhá vyjednávání s útočníky a jak se ověřuje, že data skutečně vrátí?
- Proč jsou útoky často vedeny přes dodavatelské řetězce?
- Jaké konkrétní chyby administrátorů útočníci nejčastěji zneužívají?
- Jak se psychicky zvládá práce v režimu 24/7 kybernetické pohotovosti?