Ačkoliv množství subjektů, jichž se týká nový zákon o kybernetické bezpečnosti, je zatím poměrně malé, aktuální trendy v oblasti IT zabezpečení jsou důležité pro firmy všech velikostí.

Přibývá oborových regulací, pobočky firem musí plnit standardy zahraničních mateřských subjektů a shoda s předpisy se stále častěji vyžaduje i v rámci spolupráce partnerů a dodavatelských řetězců. Firmy potřebují především realistické zhodnocení současné situace a své pozice na trhu - většina z nich neprovozuje kritickou infrastrukturu, současně se jich však týkají jiná bezpečnostní rizika než koncových uživatelů.

Ačkoli některá doporučení platí víceméně univerzálně, dnešní situace je odlišná než např. před třemi lety, protože i kybernetická kriminalita se stále vyvíjí. Jaké jsou tedy hlavní trendy a doporučované reakce?

Ransomware a dolování

Software, který přiměje oběť ke spuštění a následně šifrováním znepřístupní data, neohrožuje pouze koncové uživatele. Vyděračům takto zaplatila i newyorská policie; přitom samozřejmě neexistuje žádná záruka, že po zaplacení dojde k opětovnému zpřístupnění dat.

Pro podniky z toho vyplývá nutnost mít efektivní strategii zálohování do prostředí maximálně odděleného od produkční infrastruktury. Výhodou je také strategie zajištění kontinuity podnikání - jak rychle obnovit provoz kritických podnikových aplikací včetně služeb zákazníkům apod.

Oblíbeným prostředkem útočníků je dnes zneužití výpočetního výkonu k dolování měn typu bitcoinu. Firemní servery jsou pro podvodníky samozřejmě zajímavých cílem. Pokud by důsledkem byly pouze vyšší účty za elektřinu, šlo by o podvod relativně benigní.

Zpomalení serverů znamená současně pokles produktivity zaměstnanců a samozřejmě už samotná přítomnost malwaru v podnikové síti představuje problém. Dnešní škodlivé kódy bývají univerzální, přijímají instrukce z řídicích serverů a dokáží stahovat další software, čili mohou kdykoliv přejít k mnohem nebezpečnějším aktivitám.

Mobilní hrozby, routery a NAS

Podniky, podobně jako koncové uživatele, ohrožuje mobilní malware. Z pohledu firem nespočívá riziko tolik v útocích na onlinové bankovnictví ani v celkem primitivních podvodech typu automatizovaného zasílání SMS na speciálně tarifikovaná čísla, mobilní zařízení však podvodníkům mohou sloužit jako brána do vlastní firemní sítě.

Bez ohledu na to, zda je přenosné zařízení ve vlastnictví firmy či zaměstnance (často zmiňovaný trend BYOD), se vyplatí používat nástroje, které od sebe oddělí firemní a soukromou část zařízení, přičemž firemní "kontejner" bude spravován IT oddělením.

Že běžný smartphone či tablet není bez dalších úprav zrovna ideálním místem pro citlivá firemní data, je už všeobecně akceptováno. Malé (ale i větší) organizace však používají také další produkty určené primárně pro koncové spotřebitele, čemuž odpovídá míra jejich zabezpečení. Rizikem jsou zde především směrovače (routery) a úložná zařízení NAS. U všech těchto produktů se vyplatí věnovat pozornost konfiguraci, nastavování Wi-Fi komunikace, aktualizacím firmwaru a především otázce, zda povolit přístup k webovému rozhraní pro správu také přes internet.

10 000

Antimalwarový výzkumný tým Kaspersky Lab vloni každý den zpracoval 325 tisíc nových škodlivých souborů. Denně o deset tisíc víc než v roce 2013 a o 125 tisíc víc než v roce 2012.

Vzdálený přístup a aktualizace

V současnosti se bezpečnost často zmiňuje v souvislosti s cloudem, tato rizika jsou však nejspíš přeceňována. V případě cloudu nebývá problém v samotné technologii, byť fyzické umístění dat mimo firmu (eventuálně mimo EU apod.) může narážet na nějaké regulační překážky.

V době vzdálených přístupů a práce "kdykoliv a odkudkoliv" (což marketing u každého řešení dnes zdůrazňuje téměř povinně) není vnitrofiremní síť v principu o nic uzavřenější/izolovanější než cloud. Samozřejmě se podniky snaží oddělit, třeba firewallem, interní systémy tak, aby útok na webový server neovlivnil další aplikace, jenže v řadě případů (z poslední doby medializovaný případ Sony Pictures) tato strategie selhala.

Věřme, že třeba banky mají své prezentace a transakční systémy, včetně onlinového bankovnictví, odděleny opravdu neprostupně, ale segmentace sítí by byla potřeba i jinde. V situaci, kdy absolutní bezpečnost je iluzí, by firmy měly svou infrastrukturu rozdělit na část, která by neměla být kompromitována, a část, která by neměla být kompromitována v žádném případě.

Klasické firewally dnes již nestačí; příkladem řešení je rozdělit systémy na vzdálený přístup s jménem a heslem, vzdálený přístup přes VPN/s vícefaktorovou autentizací a systémy přístupné pouze místně.

Uvedený postup může zmírnit i riziko vyplývající z používání neaktualizováného, eventuálně starého a již vůbec nepodporovaného softwaru (to se týká především operačních systémů). V ideálním případě by sice firmy měly záplatovat vše a pořád, ne vždy je to však možné. Příčinou nemusí být jen lenost administrátorů či nedostatek prostředků na tyto postupy; firmware se mnohdy aktualizuje obtížně, do kritických systémů typu databází nebo ERP raději nikdo nechce moc zasahovat, aktualizace je třeba nejprve pečlivě odladit mimo prostředí.

Migrovat specifická řešení s mnoha dodatečnými moduly a doplňky na nové verze softwaru/OS může také představovat problém. Minimum, co lze provést, je izolovat tyto rizikové systémy od internetu a provozovat je v režimu s minimálními možnými uživatelskými oprávněními.

Rizika na každém kroku

Ne všechny otázky zabezpečení má podnik zcela pod svou kontrolou. Existují chyby zero day, kdy ani vhodně nastavená bezpečnostní pravidla nemusí stačit. Firmám hrozí ztráta prestiže, pokud jsou kompromitovány jejich účty na sociální síti, přitom často je chyba na straně provozovatele sítě. To se stalo už největším firmám (také Microsoftu) a vládním organizacím včetně americké armády.

Sociální služby může dnes většina podniků těžko ignorovat (zákazníci jsou na ně zvyklí a současně očekávají, že komunikační kanály si volí oni sami), nicméně např. asi není třeba používat úplně všechny.

I zcela běžně poskytované informace se dají potenciálně zneužívat. Vytištěné dokumenty firma raději skartuje, jenže třeba automatická odpověď v nepřítomnosti s nevinným dovětkem, že se má kontaktovat kolega, dává útočníkovi představu o struktuře firmy a procesech v ní; zítra se může zkusit za někoho vydávat. Poznámka o kontrole antivirovým programem v patičce e-mailu také poskytne určitou informaci.

Vzato do důsledku by absolutní bezpečnost podnikání paralyzovala. Namísto toho je třeba rizika rozumně odhadnout, mít připraveny nouzové plány a kybernetické hrozby začlenit do systému řízení rizik, podobně jako třeba pohyby měnových kurzů.

Podniky by měly ocenit své duševní vlastnictví či škody vzniklé eventuálním únikem osobních údajů zákazníků. Ačkoliv ve druhém případě hrozí firmě mnohem větší negativní publicita, u většiny firem je dnes jejich nejhodnotnějším aktivem právě nehmotný majetek. Útočníky dnes přitom technická dokumentace, informace o výzkumu a vývoji i marketingové plány velice zajímají, určitě více než čísla kreditních karet klientů.

Plán pro případ nouze

Plán na řešení incidentu by kromě technických postupů měl specifikovat i roli právníků a PR oddělení. Je třeba komunikovat se zákazníky, policií, regulátory či médii.

Jako jeden z vážných problémů se uvádí, že firmu na incident musí často upozornit třetí strany, když se malware např. šíří k partnerům. Kromě ztráty reputace bývá důsledkem situace, kdy oběti infekci sice odstraní (ta se alespoň dál navenek neprojevuje), nedokáží však zjistit, jak k incidentu došlo a jak mu pro příště předejít.

Zde by snad mohl pomoci trend big data - informací z protokolů (logů) je vesměs k dispozici dost a přibývá i nástrojů, jak se v nich vyznat a korelovat je s nestandardními událostmi.