S číslem uvedeným v titulku přišli analytici společnosti Cybersecurity Ventures. Když vezmeme v úvahu phishing a další typy útoků, znamená to, že jsou firmy a organizace po celém světě nepřetržitě pod palbou.

Rostoucí počet kyberútoků směřuje samozřejmě také proti českým firmám, úřadům a dalším institucím. Dokazuje to i setrvale rostoucí počet trestných činů spáchaných v českém kyberprostoru. V roce 2021 jich bylo nahlášeno 9518, zatímco o rok dříve skoro o 1500 méně. Tento nepříznivý trend prezentoval na březnové kyberbezpečnostní konferenci CIO Agenda 2022 Ondřej Kapr z Policejního prezidia. Zároveň ale upozornil na důležitý fakt, že policii je hlášen pouze malý zlomek incidentů v kyberprostoru, zpravidla takových, při kterých dojde k vyšším škodám.

Nejčastějším typům útoků dominují inzertní podvody a podvodné e-shopy, tedy útoky zaměřené především proti soukromým uživatelům internetu, následované phishingem, vishingem (telefonickým phishingem) a smishingem (phishingem přes SMS zprávy) – nejčastěji s cílem získat citlivé osobní údaje, jako jsou přístupy k různým internetovým službám nebo elektronickému bankovnictví.

Pokud jde o podnikovou sféru, patří k nejčastějším typům útoků řešeným Policií ČR podvody se vzdáleným přístupem a také tzv. BEC (Business Email Compromise) útoky, kdy dochází k podvržení komunikace top managementu podniků směrem k zaměstnancům; cílem je přimět je k vyzrazení citlivých údajů nebo rovnou uskutečnění bankovního převodu na účet kyberzločinců. A na jakých principech jsou podle Ondřeje Kapra podvody nejčastěji založeny? Patří k nim hlavně nátlak, naléhavost, vyvolání strachu, chamtivost a zastrašování.

Zákeřný spear phishing

Za velkou hrozbu považuje oddělení Policie ČR, které se zabývá kyberzločiny, především vysoce cílený phishing, tzv. spear phishing. Tato metoda podvodníků, která je výrazně účinnější než klasický phishing, realizovaný typicky přes hromadné, často celkem snadno rozpoznatelné podvržené e-maily, vychází z důkladného poznání oběti. Díky tomu může útočník vystupovat velmi důvěryhodně, se znalostí hierarchie firmy a klíčových manažerů, procesů či pravomocí.

Často ale nejde o informace, které by nebylo možné získat z veřejných zdrojů nebo na základě několika zdánlivě nevinných telefonátů do firmy. To vše zvyšuje pravděpodobnost úspěšnosti takového útoku i zisk pro podvodníka. Pro oběti, typicky reprezentované zaměstnanci, je velmi těžké spear phishingu odolat, a pokud nemají dostatek duchapřítomnosti a nejsou na podobné situace školeni, podlehnou a udělají to, co po nich útočník vyžaduje.

I proto je naprosto nezbytné mít nasazeny další bezpečnostní mechanismy, které nepřetržitě monitorují podnikovou infrastrukturu a detekují jakékoli podezřelé anomálie, stejně jako bezpečnou zálohu všech důležitých dat pro případ, že je spear phishing prostředkem ransomwarového útoku.

Útočníkem může být (skoro) každý

Dvousečnou zbraní je v oblasti kyberbezpečnosti technologický vývoj. Na jedné straně zde máme stále sofistikovanější řešení kybernetického zabezpečení, využívající automatizaci a technologii umělé inteligence, ale musíme počítat s tím, že stejné technologie jsou k dispozici i kyberzločincům. Do jejich mysli a postupů dali účastníkům konference CIO Agenda 2022 nahlédnout etičtí hackeři Daniel Hejda a Jan Marek ze společnosti Cyber Rangers.

Podle jejich zkušenosti fungují profesionální hackerské skupiny podobně jako firmy. Tyto organizace mají jasnou byznysovou strukturu a jejich spolupracovníci nebo přímo zaměstnanci často ani nemusejí tušit, na čem se vlastně podílejí – prostě jen odvádějí svoji část práce podle zadání.

Jednou z nejnebezpečnějších taktik kyberzločinců je také spolupráce s insidery – typicky nespokojenými zaměstnanci firem, které se chystají napadnout. Nabízejí totiž významný podíl na zisku z úspěšného ransomwarového útoku (typicky až 40 procent ze získaného výkupného), který může dosahovat milionů dolarů. Ve většině firem či organizací přitom není příliš složité najít nespokojeného zaměstnance, který s vidinou obrovského zisku udělá to, oč jej útočníci požádají. Jako typické adepty na funkci spojence uvnitř uvádějí etičtí hackeři z Cyber Rangers pracovníky IT oddělení, kterým jejich vedení nenaslouchalo, když navrhovali posílení kybernetického zabezpečení podnikové infrastruktury.

Vedle profesionálních hackerských skupin, které zpravidla útočí na předem pečlivě vybrané a analyzované cíle, představují rostoucí ohrožení také amatéři. Existuje řada nástrojů, se kterými může útoky provádět prakticky kdokoli. Jejich tvůrci k nim, stejně jako k běžnému, komerčnímu softwaru, poskytují dokonce technickou podporou a další služby. Nástroje typu Cybercrime-as-a-Service (CCaaS) a Ransomware-as-a-Service (RaaS) představují velké nebezpečí ve snadném spouštění značného množství útoků, které možná nebudou tak úspěšné, ale své cíle si bezpochyby najdou.

Prostor pro útoky značným způsobem rozšiřuje i práce na dálku, respektive rychlý přechod na práci z domu, který proběhl na začátku koronavirové pandemie před dvěma lety. Jak upozornil Dalibor Kačmář z Microsoftu, až polovina zařízení používaných dnes k práci není poskytována zaměstnavatelem. Organizace pak nemá pod kontrolou všechna zařízení, která se připojují k její síti a na kterých se mohou nacházet podniková data. Bez centralizovaného přehledu pak není možné zařízení spravovat a odpovídajícím způsobem zabezpečit.

Co se děje při útoku?

Průběh kybernetického útoku popsal ve svém konferenčním příspěvku Radek Šichtanc, ředitel odboru bezpečnosti operátora O2. Při analýze útoků lze odlišit několik jejich fází, od prvotního průzkumu cíle přes samotný útok až po nápravu způsobených škod a ošetření infrastruktury proti podobným typům útoků.

V této souvislosti je zajímavé, že IBM uvádí, že v průměru trvá společnostem 197 dní, než vůbec zjistí, že bylo jejich zabezpečení narušeno, a až 69 dní, než takový bezpečnostní incident vyřeší. S rostoucím časem trvání útoku ale výrazně rostou náklady na nápravu. Zatímco organizace, které se dokážou s incidentem vypořádat do 30 dní, mají průměrné náklady na řešení kolem 3,1 milionu dolarů, delší doba detekce a vyřešení narušení kybernetického zabezpečení znamená v průměru náklady kolem 4,3 milionu dolarů.

Součástí řešení kyberbezpečnostních incidentů je bezpochyby také informování všech zainteresovaných osob a stran. Šichtanc z O2 přitom naléhavě varuje před snahou incident zatajit: „Mnoho firem to chce opravdu udělat, nicméně vychází z mylného předpokladu, že lze něco takového ututlat. To ale nejde. Firma musí incident řešit, dochází k režimovým změnám, resetují se přístupové údaje, izoluje se část infrastruktury. A to se špatně vysvětluje. Navíc vždycky existuje skupina lidí, útočníky nevyjímaje, která je se vším obeznámená a u níž hrozí, že informace vynese ven.“

Proto je transparentní komunikace o incidentu směrem ven i dovnitř do firmy důležitou součástí reakce na kybernetický incident. A čím později si to firma uvědomí, tím horší budou následky pro její pověst a vztahy s klienty, kteří jsou únikem dat často přímo postiženi.

Opravdu se to děje

Svoji praktickou zkušenost s ransomwarovým útokem prezentoval na konferenci CIO Agenda 2022 Miroslav Holý z firmy Elba ze slovenské Kremnice. Napadení podnikové sítě firmy, zabývající se výrobou armatur a bránových systémů, a zašifrování dat znamenalo týdny intenzivní práce na obnově dat a provozuschopnosti firmy – a tedy i boj o záchranu podniku s 350 zaměstnanci a obratem 20 milionů eur.

Firma od počátku odmítala přistoupit na zaplacení výkupného a pustila se do záchrany vlastními silami s pomocí externích specialistů. Teprve po měsíci se podařilo získat většinu zašifrovaných dat zpět, a ještě po roce od útoku se podnik stále potýká s jeho následky. Výsledný účet? Náklady související přímo s obnovou po útoku má firma spočítané na půl milionu eur. Navíc bylo nutné najmout další lidi do výroby, aby podnik zvládl dodat nasmlouvané zakázky. Vlastní zkušenost s ransomwarovým útokem přiměla vedení podniku k významným investicím do kybernetického zabezpečení. Je nepochybné, že podobnou zkušeností si bude muset projít ještě hodně firem, které zatím svoji kyberbezpečnost dnes zanedbávají.