Komentář: Firmy utrácejí za bezpečnost, ale hackerům nechávají otevřené dveře

Komentář si také můžete poslechnout v audioverzi.

Spolu s tím, jak se nový zákon o kybernetické bezpečnosti pomalu posouvá na své cestě legislativním procesem a jak se o něm ve veřejném prostoru diskutuje, roste také počet firem, které chtějí řešit obranu proti hackerům. Ať už proto, aby vyhověly novému zákonu, nebo (doufejme) hlavně proto, aby skutečně chránily svůj provoz. Řada firem přitom hledá především ty správné nástroje, které pokud možno ochrání jejich provoz. Už ale přitom neřeší, že si sice kupují další a další vrstvy zabezpečení, ale přitom nechávají hackerům obrazně řečeno otevřené hlavní dveře a u toho vypnutý alarm.

V IT jsou všechny systémy standardně dodávané v režimu otevřených dveří. Každá aplikace, operační systém nebo program obsahuje desítky až stovky funkcionalit, které lze buď ponechat zapnuté, nebo je zakázat. Firmy a jejich zaměstnanci většinu těchto funkcionalit nepotřebují a nikdy nevyužijí. Každá z nich ale představuje ony pomyslné otevřené dveře, protože umožňuje prostupnost dat, vzdálené spuštění skriptů a podobné aktivity, které lze snadno zneužít.

A také se tak bohužel děje. Zneužití špatné konfigurace je totiž nejčastějším důvodem úspěšnosti hackerských útoků. Na druhém místě je potom zneužití známých zranitelností jednotlivých systémů, tedy jednoduše využití toho, že lidé a firmy používají neaktualizované programy, u kterých se našly bezpečnostní díry.

Důvodem, proč jsou tyto pomyslné dveře ve standardním nastavení otevřené, je vysoká komplexita IT prostředí a množství vzájemných interakcí jednotlivých aplikací a programů a současná snaha výrobců a následně administrátorů zajistit maximální funkčnost jejich systémů. Pro výrobce je totiž jednodušší nechat všechno otevřené a následně vydat doporučení pro optimální konfiguraci než otevřít jenom část a riskovat, že někomu aplikace nepoběží správně a že z toho bude vinit mě jakožto výrobce.

Podobně uvažují také správci jednotlivých systémů, kteří se často řídí okřídleným heslem „když to funguje, tak do toho nesahej“. Například jenom operační systém Windows 11 má více než 250 takovýchto dveří, které je možné otevřít či zavřít. Každé z nich jsou na jedné straně možnou vstupní branou pro hackery, na druhou stranu může jejich zavření způsobit nefunkčnost některého z programů či aplikací, které ve firmě využíváme.

Z výše uvedeného je možná zřejmé, proč se nikomu moc nechce pouštět do zavírání těchto dveří, odborně do tzv. hardeningu. Firmy využívají desítky aplikací a programů, což jsou reálně tisíce pravidel a příležitostí něco pokazit. Přesto bychom se alespoň o nějakou základní míru hardeningu měli všichni aktivně pokoušet. Jde o nejjednodušší a nejlevnější způsob, jak zvýšit ochranu svého počítače, telefonu či firemní sítě. Hackeři jsou totiž zvyklí právě na to, že mají přístupné všechny cesty, a jsou zvyklí jít cestou nejmenšího odporu. Řada z nich funguje jako zloděj aut, který na parkovišti pouze zkouší otevřít jedny dveře za druhými a hledá otevřená okénka. A kde se mu to povede, tam se zastaví.

Podle našich zkušeností se hardeningu systematicky věnuje pouze desetina firem (tedy ty nejvyspělejší). Řada firem podle průzkumu ANECTu neřeší ani základní věci, jakými jsou omezení přístupu zaměstnanců do celé firemní sítě nebo zákaz instalace programů na úrovni operačního systému. Zákaz instalace programů má sice 65 % zaměstnanců, často jde ale pouze o interní (teoretické) pravidlo, ne o striktní nastavení operačního systému. Omezení přístupu do firemní sítě má pouze polovina zaměstnanců. Třetina z nich přitom přiznává, že se v práci chová z pohledu kybernetické bezpečnosti rizikově.

Jak už bylo řečeno, výchozí „otevřené“ nastavení systémů a aplikací je pozvánkou pro hackery. Těm stačí jednoduše přijít, vzít si, co potřebují a zase odejít. Proto se vyplatí co nejvíce utáhnout firemní systémy a nechat průchozí pouze to, co doopravdy potřebujete. Dnes jsou pro každou platformu zdarma k dispozici kontrolní seznamy s doporučeními, co nechat otevřené a co zavřít a proč. Můžete využít buď americké CIS či STIG standardy, které jsou snadno dohledatelné, a následně si zkontrolovat, jak na tom se svými systémy jste a co by šlo skutečně zavřít. Ať už jde o zavírání jakýchkoli dveří, je vždy vhodné nejprve vyzkoušet novou konfiguraci v testovacím neprodukčním režimu, abychom měli jistotu, že to skutečně neovlivní firemní systémy.

Kybernetická odolnost je komplexní a nikdy nekončící záležitostí a často je také poměrně nákladná. Existují ale principy a postupy, které nestojí moc peněz, ale jsou především o poctivém přístupu k celé problematice a vyčlenění interních lidských kapacit. Tyto principy zároveň pozvednou úroveň firemní bezpečnosti výrazně vzhůru. To nejhorší, co se vám totiž může stát, je koupit si za miliony nákladná bezpečnostní řešení a následně pustit hackery do firmy oněmi otevřenými dveřmi. To se potom totiž velmi špatně vysvětluje.