Článek
„Chcete zpět zdravotní údaje svých pacientů? Zaplaťte.“ Například takhle může vypadat tzv. ransomeware, nejrizikovější druh kybernetického útoku namířeného proti firmám (jde o složeninu anglických slov ransom = výkupné a software). V tomto případě útočníci zašifrovali data pacientů. Aby je nemocnice dostaly zpět, musely zaplatit „výpalné“.
Podstatou útoku je instalace škodlivého programu, který blokuje počítačový systém nebo šifruje data v něm zapsaná, a za obnovení přístupu pak požaduje od oběti výkupné.
A děje se to i v Česku. „Zažil jsem u jedné firmy, že se zvenku do systému dostal vir a nikdo o něm nevěděl. Vir tajně šifroval data na počítačích, které po čase přestala fungovat. Pak přišla nabídka na rozšifrování. I tak může tenhle byznys fungovat,“ potvrzuje Jiří Formáček, šéf společnosti GreyCorbel.
Celkové náklady u ransomware útoků za rok 2018 se podle Jana Širmera, bezpečnostního experta společnosti Avast, vyšplhaly na řádově miliardy dolarů.
Jinou kategorií kybernetických útoků namířených proti podnikům je tzv. CEO fraud (CEO = šéf firmy, fraud = podvod), kde útočníci cílí na vysoké manažery a na finanční oddělení firmy. Přes toto spojení se snaží vyvolat dojem urgentní platby dodavatelům a místo účtu dodavatelské firmy pošlou vlastní číslo účtu. „Tento typ útoku měl podle publikované zprávy americké FBI za následek škody v celkové částce převyšující 12 miliard dolarů,“ říká Širmer.
U mediálně viditelných firem se na efekt také poměrně často používá tzv. DDoS útok (denial of service = výpadek služby). „Jde o to odstavit službu, kterou podnik nabízí. Požadavků zvenku, například na zjištění zůstatku na účtu, je tolik, že to systém zahltí. Může to být i útok konkurenta,“ tvrdí Roman Sebránek, manažer růstu GreyCorbel.
Existují bezpečnostní řešení, která umí počet požadavků snížit. V praxi to může vypadat tak, že když systém vyhodnotí riziko útoku, dovede zablokovat ty požadavky, které jsou nad rámec předem definované únosnosti (například několik set během krátké chvíle), čímž zabrání tomu, aby se napadený systém zahltil a přestal odpovídat.
Největší nebezpečí je člověk
Nejslabším článkem firemního zabezpečení je ale jednoznačně tzv. humanware (human = člověk), tedy lidský faktor. Podle statistik společnosti Microsoft je 90 procent kybernetických útoků na podniky vedeno přes řadové zaměstnance. Když se hacker přes ně nabourá do systému, otevírají se mu vrátka ke zneužití účtů s vyšším oprávněním. Pak záleží, jestli aspoň ty jsou dostatečně zabezpečeny.
„I standardní IT specialista může být bezpečnostní laik,“ podotýká Sebránek. „Firmy dnes řeší umělou inteligenci nebo zabezpečení cloudů, ale pak se stane, že má správce IT sítě podobné heslo do sociálních sítí i do pracovního účtu,“ doplnil.
„Každý komplexní systém je postaven na procesech fungujících prostřednictvím softwaru na nějaké infrastruktuře. Softwarové i infrastrukturní prvky téměř vždy ovládají, řídí nebo užívají lidé – a počet chyb lidského prvku je nepoměrně vyšší a s dalekosáhlejšími následky než počet chyb v softwaru,“ vysvětluje Hana Gawlasová, technologická expertka z právní kanceláře Squire Patton Boggs.
Malá fantazie a slabá paměť
Lidé totiž mají tendenci ulehčovat si práci. Vezměme si třeba tvorbu hesel. „Dřív bylo doporučení mít dlouhé heslo a pravidelně si ho měnit. Pokud ale někdo dokáže uhodnout heslo, dokáže uhodnout i následující,“ tvrdí Formáček. Když totiž někdo má heslo „prosinec2019“, je pravděpodobné, že další bude „leden2020“.
Dnes se podle Formáčka doporučuje heslo měnit méně často, ale mít ho opravdu složité. Při častém měnění totiž vznikají jednoduchá hesla, lidé nemají na pravidelně měněná složitá hesla fantazii a paměť.
Jeho firma GreyCorbel vyvinula aplikaci na správu hesel pro administrátorské účty firem. Jde o nástroj, kterým se pomocí šifrování a dalších nástrojů zabezpečují účty s nejvyššími právy ve firmě. Objednala si ho například i jedna z firem ze skupiny Berkshire Hathaway Inc. amerického miliardáře Warrena Buffetta.
„Každý systém je napadnutelný, největším rizikem je však lidská chyba, tedy zanedbání bezpečnostních procesů, které mohou vést k úniku nebo zneužití osobních dat klientů, nefunkčnosti počítačových systémů, přerušení provozu i poškození dobrého jména firmy. Chybu člověka nelze zcela vyloučit, ale lze jí předcházet,“ uvádí Milan Káňa z pojišťovny Kooperativa. Ta patří mezi instituce, kde se lze proti kybernetickým rizikům pojistit.
Pracovníky ve firmě je třeba vzdělávat a na rizika upozorňovat. I tam však bývá kámen úrazu. „Dlouhodobě vnímáme jako jedno z největších rizik podcenění edukace zaměstnanců. Oproti bezpečnosti práce či požární ochrany zde neexistuje legislativní povinnost, a proto je často tato oblast podceňována a odbývána,“ upozorňuje Ondřej Šafář ze společnosti ESET.
Kyberbezpečnost totiž není několik oddělených systémů, ale naopak jeden celek, kdy se jednotlivé bezpečnostní vrstvy navzájem jistí. V praxi to znamená používání bezpečnostních produktů, školení zaměstnanců i mechanické zabezpečení.
„Čím vyšší pravomoc daná osoba má, tím více by měla být poučena o možnosti rizika kybernetického útoku. Fyzické zabezpečení celého pracoviště by určitě také nemělo být přehlížené, protože můžete mít sebelepší školení a softwarové zabezpečení, ale jak se někdo ve firmě dostane k nezabezpečenému počítači s dostatečnými právy, nepomůže sebelepší software,“ připomíná Jan Širmer.
Anketa
Na to, zda firemní systém při kybernetických útocích obstojí, se dělají tzv. penetrační testy. Vykonávají je speciální firmy, které hledají cestičky, jak se do společnosti dostat. Podle IT specialisty, který si přál zůstat v anonymitě, se jednou podařilo penetračním testem dostat dokonce do korporace z finančního sektoru. Přitom tyto instituce mají přísně nastavená pravidla nutného zabezpečení, aby byly chráněny peníze jejich klientů. Chybou bylo, že měli nastavená stejná přístupová práva pro testovací prostředí, ve kterém se vyvíjel software, jako pro reálné prostředí, v němž firma fungovala.
Tisíce až stovky milionů
Náklady na zabezpečení se odvíjejí od výše potenciální ztráty po útoku hackerů. „U výrobního podniku, kde počítač řídí stroje na hale, z toho může být maximálně výpadek výroby. Tam stačí standardní antivirové programy,“ říká Formáček. V takovém případě se mohou náklady na zajištění kybernetické bezpečnosti pohybovat řádově v tisících korun ročně.
Kdežto třeba bance hrozí při úspěšném útoku na její systémy kromě finančních ztrát i ztráta kredibility. Důvěra je přitom v bankovnictví klíčová. Banky proto ročně vynakládají na zabezpečení stovky milionů korun.
Jak už bylo řečeno výše, proti kyberrizikům se dá pojistit, mohou to udělat domácnosti i firmy. Pojištění pro firmy se liší od pojištění pro občany třeba tím, že jeho součástí může být služba tzv. poskytovatele řešení incidentu. „V případě kybernetického incidentu je schopen k pojištěnému osobně zajet a začít řešit problém na místě,“ vysvětluje mluvčí ČSOB Pojišťovny Petr Milata. „Poskytovatel řešení incidentu zajišťuje jak IT podporu, právní služby, tak i public relations služby. Zrovna v minulém týdnu jsme u jednoho z našich klientů, který byl poškozen hackerským útokem s vydíráním, úspěšně zasahovali,“ dodal.
Cena pojištění je různorodá. Pro středně velké firmy s nízkým rizikem může roční pojistné dosahovat řádově desítek tisíc korun, pro finanční instituce typu banky se bude jednat o pojistné v řádech až milionů korun.
Pojištění kryje třeba náklady na obnovu a opětovné rozjetí IT systémů. Dále náklady na případnou úhradu výkupného, přerušení provozu nebo i odpovědnost za škodu způsobenou třetí osobě. Může krýt i pokuty od regulatorního orgánu.
I na tento produkt však existují pojistné výluky a omezení výplaty. „Při likvidaci pojistné události pojistitel mimo jiné posuzuje i případné úmyslné zavinění na straně pojištěné společnosti či jiné porušení podmínek pojištění, například zabezpečení IT sítě nižší než deklarované ve vstupním dotazníku,“ upřesňuje Michaela Heclová z pojišťovací makléřské společnosti Renomia.
„Při likvidaci pojistné události se samozřejmě všechny okolnosti vzniku škody důkladně zvažují a je-li zjištěno porušení těchto pravidel, potom je možné pojistné plnění přiměřeně snížit, respektive zcela odmítnout,“ potvrzuje mluvčí Kooperativy Milan Káňa.