Obří útok paralyzoval vaši firmu? I s tímhle může pomoci tým expertů na kyberbezpečnost

V budově na pražských Roztylech, kde sídlí mobilní operátor T-Mobile, sedí v jedné z kanceláří zhruba desítka mužů a žen. Prostor, jenž vypadá jako klasické IT oddělení v běžné firmě, je ve skutečnosti Bezpečnostní operační centrum (Security Operations Centre – SOC), které odpovídá za ochranu společnosti T-Mobile i stovek dalších podniků z Česka a zahraničí. Zdejší experti nepřetržitě monitorují jejich síťový provoz a infrastrukturu a vyšetřují nejen bezpečnostní události, ale i rozsáhlé kybernetické incidenty.

Jedním z nich je i Martin Štalmach, který vystudoval politologii, nicméně svému oboru se už pracovně nevěnuje. Už během studia na vysoké škole nastoupil do společnosti T-Mobile. „O oblast IT jsem se vždy zajímal. Tím, jak se obor dynamicky vyvíjí, důležitější než znalosti ze školy je zájem a ochota se celoživotně vzdělávat i v praxi,“ vysvětluje Štalmach, proč pro něj studium úplně jiného oboru v jeho práci není handicapem.

To potvrzuje i jeho kolegyně Ivana Talašová, která naopak vystudovala aplikovanou informatiku a informační management a ve firmě pracuje jako senior analytik kybernetické bezpečnosti. „Nejvíc mě ale naučili tady. Obecné informace v dnešní době najdete na internetu nebo v knihách, ale nejvíc získáte opravdu praxí,“ tvrdí mladá dívka.

Kromě Talašové a Štalmacha pracuje v Bezpečnostním operačním centru na jednotlivých pracovištích ještě asi dvacítka IT odborníků. 

Experti zde nonstop ve směnném provozu dohlížejí na kybernetickou bezpečnost svých zákazníků, což je vzhledem k narůstajícímu počtu hackerských útoků stále důležitější práce. „Průměrně za den dojde k několika desítkám útoků. Dlouhodobý trend je stoupající, což vidíme hlavně u DDoS (Distributed Denial of Service) útoků, kterých od začátku války na Ukrajině výrazně přibylo,“ říká Štalmach, který v SOC působí na pozici expert analytika kybernetické bezpečnosti.

Kybernetickou ochranu poskytuje T-Mobile téměř dvěma stovkám firem z Česka, Slovenska, ale také sousedního Rakouska a Německa. Podniky jsou různé velikosti a z rozličných oborů. „Jedním z našich produktů je ochrana proti DDoS útokům, kterou jsme schopni doručit všem zákazníkům bez ohledu na to, jaký dělají byznys. Stačí, že má firma nějakou exponovanou službu, jako je platební brána nebo webové stránky, a tím se stává potenciálním cílem pro útok,“ uvádí Štalmach.

HN BeNative

Útočníci pracují s vašimi emocemi. Hesla k bankovnímu účtu jim dávají i lidé, do kterých byste to neřekli

▪ 2 min. čtení

Operátor T-Mobile spustil SOC v roce 2017, od 1. 1. 2022 potom centrum poskytuje služby 24 hodin denně, sedm dní v týdnu a 365 dní v roce. Kromě hlavního města má pobočky také v Brně a Ostravě.

Pracovníci jsou podle svých znalostí rozděleni do tří skupin (takzvaných linií) s označením L1, L2, L3. Při běžném denním provozu je v první linii na směně v pražské kanceláři několik pracovníků, v noci a o víkendech, kdy počet bezpečnostních událostí typicky není tak vysoký, pak jejich počet klesá. Denní směna je dále v pracovní době doplněna o další kolegy. Analytici na úrovni L1 mají za úkol sledovat takzvaný tiketovací systém, který funguje na podobném principu jako e-mailová schránka. „V posledních měsících přijde za den průměrně 150 tiketů různé závažnosti. Ty, které mají vyšší prioritu, je potřeba odbavit rychleji a věnujeme se jim přednostně. Nemusí jít vždy o útok, ale třeba jen o podezřelé chování. Zákazníka kontaktujeme pouze v případě, že jde skutečně o útok,“ popisuje Talašová, která aktuálně v dohledovém týmu působí na úrovni L2.

Posouzení závažnosti každého tiketu je úkolem linie L1. Pokud je událost podezřelá, předá ji seniornějším odborníkům na úrovni L2, kteří ji detailněji prověří. Na nejvyšším stupni L3 jsou pak nejzkušenější experti, jejichž úkolem je samotná reakce na daný útok, takzvaná incident response.

„Nejzávažnější jsou ransomwarové útoky. Pokud jsou úspěšné, jsou velice ničivé a provoz firem mohou reálně zastavit. S jedním zákazníkem jsme takový útok řešili a chtěli jsme svolat konferenční hovor. To ale nešlo, protože jim nefungoval žádný počítač, byli prakticky jako v době kamenné,“ říká Štalmach s tím, že problémy museli řešit pouze po telefonu. 

Obnova chodu firmy po velkých útocích trvá podle něj kolem šesti týdnů. „Často je tam zpočátku velká panika a stres. Nejprve musíme síť zabezpečit a plně z ní odstranit útočníka, což může zabrat až kolem dvou týdnů. Typicky teprve poté můžeme plně začít s obnovou,“ doplňuje expert.

I přes tuto hrozbu však řada podniků svou ochranu proti útokům zanedbává. „Když vše funguje, nechtějí firmy do této oblasti investovat peníze, protože je to pro ně pouze náklad, který nic nevytváří,“ míní Štalmach. Náklady spojené s případným zastavením chodu firmy a následnou obnovou jsou však významné a mnohdy značně převyšují náklady na zavedení a provozování kyberbezpečnostních opatření. Ty se přitom mohou v rámci malých a středních firem pohybovat na úrovni ceny jedné kávy v restauraci na jednoho uživatele.

T-Mobile nabízí klientům tři základní typy služeb. První oblastí je síťová bezpečnost a technologie na ochranu webu, druhou je pak ochrana koncových zařízení, tedy počítačů a mobilních telefonů před různými typy malwaru. Třetí skupinou služeb je sběr informací o provozu aplikací a detekce možných bezpečnostních rizik pomocí nástroje SIEM (Security Information and Event Management). „Pokud se například uživatel v devět hodin ráno vzdáleně přihlásil z Česka a o dvanáct minut později ze stovky kilometrů vzdáleného místa, tak je to podezřelá událost, která může indikovat probíhající útok,“ vysvětluje Štalmach.

Monitoring síťového provozu a obrana před DDoS útoky, ochrana koncových zařízení před malwarem nebo řešení rozsáhlých bezpečnostních incidentů jsou jen některé z běžně probíhajících činností v Bezpečnostním operačním centru. Širší skupina odborníků na kybernetickou bezpečnost čítá ve společnosti T-Mobile zhruba sto lidí. Analytiky bezpečnostního dohledu tak v případě potřeby doplní vývojáři, penetrační testeři, auditoři nebo další specialisté.