Pro potřeby tohoto článku budeme používat pojem počítač, ale myslete na to, že stejně tak riziková jsou i mobilní zařízení a všechna ostatní „chytrá“ zařízení připojena k internetu.
V tomto článku vám přinášíme několik základních doporučení, které vám pomohou ochránit se před kybernetickými hrozbami. Nejdříve se ale pojďme zaměřit na motivace kybernetických útočníků, což nám pomůže lépe pochopit celou problematiku.
Motivace kybernetických útočníků
Už dávno nejsou tzv. hackeři pouze vtipálci nebo politicky motivovaní aktivisté, kteří napadají servery vlád nebo velkých korporací. Rozhodně si nepředstavujme podivné týpky v kapucích schované v temných sklepích, kteří provádějí kyberútoky, protože je to baví. Zločin se přesouvá z „ulice“ do kyberprostoru, je organizovaný a má globální dosah. Za kyberútoky stojí skupiny, které fungují „podnikatelsky“, mají propracované postupy a naplno se touto činností živí. Jejich primární motivací jsou peníze, přičemž chtějí minimalizovat své náklady a maximalizovat výnosy. Logicky používají metody, které stojí málo peněz a mají dobré výsledky. Proto jsou pro první fázi útoku tak často využívané e-maily. Poslat hodně e-mailů je levné. Útočník potřebuje vytvořit jen dobrý, respektive účinný text a ten pak recyklovat a rozesílat. Cílem může být, aby oběť otevřela přílohu obsahující malware – škodlivý program, pomocí kterého útočník získá přístup k zařízení, nebo aby oběť navštívila podvodnou internetovou stránku, pomocí které z vás útočník „tahá“ vaše heslo do banky, sociální sítě, e-mailové schránky atp. V okamžiku, kdy útočník získá přístup k zařízení, snaží se napadnout další zařízení v síti a pak maximálně monetizovat data: 1) data, která mohou být cenná pro někoho jiného a 2) data, která mohou být cenná pro napadenou organizaci. Takovými daty jsou uložené přístupové údaje, e-mailová korespondence, osobní údaje klientů, smlouvy, informace o zakázkách nebo cenné know-how, jednoduše data, která lze prodat. V druhém případě, kdy jde o data, která jsou důležitá pro majitele napadeného zařízení, což může být například účetnictví nebo systém řízení výroby. Útočník data zašifruje a vyžaduje výkupné. Také se snaží nalézt zálohy, aby znemožnil obnovení dat bez platby výkupného. Útočníci se nezdráhají kombinovat obě varianty, kdy vám řeknou, když nám nezaplatíte, tak nezískáte přístup k vlastním datům, a ty nejcennější navíc zveřejníme.
Možná vás napadá, jestli byste za data byli ochotni zaplatit. Z etického pohledu je to velmi sporné, protože v případě zaplacení výkupného za data podpoříte útočníka k dalším útokům. Z pragmatického pohledu, kdy vám odcizení dat znemožní například pokračovat ve vašem podnikání, přichází otázka vaší připravenosti na podobné útoky. V nejlepším případě jste připraveni tak dobře, že útočit na vás je náročné natolik, že se to útočníkům nevyplatí. Když máte alespoň dobře vyřešené zálohování, tak nemusíte nic platit, protože si obnovíte celou infrastrukturu ze záloh, aniž byste potřebovali klíče od útočníků k odšifrování dat. Připravenost je vhodné testovat, ideálně simulovaným útokem a přinejmenším pravidelným testováním obnovy zazálohovaných dat. Pokud na takový případ ale nejste připraveni, můžete zkusit s útočníkem alespoň smlouvat o ceně. Nemají stanovenou jednotnou cenu za odcizená data, jen odhadují a zkoušejí. Tak trochu dobrou zprávou je, že si tito útočníci zakládají na své pověsti. Tedy, že když jim oběť zaplatí výkupné, úspěšně data obnoví. Pokud by vznikl dojem, že oběti data nezískají ani po zaplacení výkupného, nikdo by jim už nezaplatil. Kyberútočníci pracují s důvěrou obětí.
Jak se chovat bezpečně?
Nyní se tedy pojďme věnovat několika pravidlům, jejichž dodržováním byste se měli stát odolnějšími vůči kybernetickým útokům.
Zapojte kritické myšlení
Jedním z nejdůležitějších pravidel je rozhodně kritické myšlení. Při práci s počítačem je potřeba přemýšlet. Kyberútočníci kromě technických metod útoků hojně využívají technik sociálního inženýrství a manipulují své oběti falšováním identity, naléhavostí nebo výhružkami. Cílem je, aby oběť provedla nějakou akci (otevření přílohy, kliknutí na odkaz) bez toho, aby o ní dlouze přemýšlela. Ale opatrnost při čtení e-mailů nestačí, kritické myšlení bychom měli aplikovat i na sebe, například když se registrujeme do online systému a píšeme heslo, které už jsme použili na mnoha jiných místech, a také na svého IT správce, protože jen málokomu důvěřujeme tak moc jako lidem od IT.
Nenechte se překvapit phishingem
Velmi častým typem útoku jsou phishingy. Existují různé formy tohoto útoku. Mohou to být podvodné sms, podvodné zprávy na sociálních sítích i třeba podvodné volání. Nejčastěji to jsou ale podvodné e-maily, které nás vyzývají k rychlé akci – např. ihned nainstalovat aktualizaci, kliknout na odkaz, otevřít přílohu nebo obnovit heslo.
Platí zde ověřené pravidlo dvakrát měř, jednou řež – když nám přijde podezřelá zpráva, měli bychom se zamyslet, co je na ní podezřelého. Zastavit se, když dostanete zprávu tzv. mimo normál a rozmyslet si, zda a jak na ni budu reagovat. Bohužel častější je, že lidé nejdříve kliknou a pak přemýšlejí. Je potřeba to obrátit.
Když vám přijde podezřelý e-mail, tak ve většině případů není rizikové otevřít samotnou zprávu, hrozba bývá ukryta v příloze nebo na odkazované webové stránce. Když pravidelně aktualizujete operační systém, poštovního klienta (typicky Outlook) i antivirový program, nemusí být problém si takový e-mail otevřít, přečíst a rozhodnout se, zda jde o podvodný e-mail nebo ne. Phishingové e-maily můžete poznat hned podle několika znaků. V hlavičce zkontrolujte celou adresu odesílatele, zda není něčím nestandardní. Stejně tak zkontrolujte, komu byl e-mail zaslán, tedy příjemce. Podvodné e-maily jsou často směřovány na více lidí nebo dokonce na cizího příjemce, než je vaše e-mailová adresa. Pokud vám text zprávy nedává smysl nebo z textu pociťuje manipulaci, urgenci či nátlak na provedení určité akce, je potřeba být ve střehu a přílohu raději neotevírat. Stejně tak je vhodné zkontrolovat, kam směruje odkaz, ještě před tím, než na něj kliknete, zda nejde o nesmyslnou adresu (obvykle extrémně dlouhou) či adresu s překlepem apod.
Neotevírejte bez rozmyslu přílohy a odkazy v e-mailech. Kontrolujte e-mailovou adresu odesílatele i příjemce a zpozorněte, když odkazovaná stránka požaduje zadání hesla, nebo když zpráva vytváří časovou tíseň či vás žádá o něco neobvyklého. Nepovolujte makra Microsoft Office (Word, Excel…) když si nejste naprosto jistí, že je to v pořádku.
Když si nejste jistí, můžete kontaktovat údajného odesílatele telefonicky a ověřit, zda vám tuto zprávu skutečně odeslal.
Mějte silná hesla
Čím delší heslo, tím lepší. Nepoužívejte stejné heslo do více systémů a pokud je to možné, aktivujte více faktorové ověřování například pomocí potvrzení SMS kódů, nebo ještě lépe potvrzení přes aplikaci. Hesla si pište na BEZPEČNÉ místo, ideálně používejte specializovanou aplikaci pro správu hesel (např. LastPass, 1Pass nebo Bitwarden). Heslo, které si musíte pamatovat, můžete tvořit jako větu. Heslo nikomu nesdělujte (ani lidem z IT). Heslo zadávejte tak, aby ho nikdo nemohl odpozorovat.
Udržujte software vždy aktuální
Každý software obsahuje chyby a některé z nich jsou objeveny až po mnoha letech. Určité chyby je možné zneužít k tomu, aby útočník podstrčil vlastní škodlivý program vašemu počítači či serveru a ten ho spustil. Když je taková chyba výrobcem zjištěna a opravena, je vydaná bezpečnostní aktualizace, která nás chrání před zneužitím této chyby. Odkládáním instalace aktualizace se zbytečně vystavujeme riziku, že tuto chybu někdo zneužije proti nám.
Zálohujte automaticky
Zálohování patří k notoricky podceňované a odkládané činnosti, proto je důležité tento proces automatizovat a současně neztratit kontrolu. Nejjednodušším způsobem, jak zajistit kvalitní zálohování našich dat je využít takzvaného cloudového úložiště aplikace jako např. Microsoft OneDrive, Google Drive nebo Dropbox. Tyto aplikace nám mohou naše data automaticky na pozadí synchronizovat na servery poskytovatele dané služby. Zároveň nás upozorní, když dojde k nějakému problému se synchronizaci a my problém můžeme bez zbytečného odkladu vyřešit. Získáváme tak zálohovací systém, který funguje autonomně, ale můžeme ho kontrolovat. Nebojte se využívat cloudové služby renomovaných firem, které poskytují řádově vyšší úroveň zabezpečení, než jaký je možné v rámci obvyklého rozpočtu většiny organizací realizovat vlastními silami.
Mnohé firmy, které provozují vlastní server, mají každou noc nastavené automatické zálohování. V případě zálohování serveru je velmi důležité zvolit takovou technologii zálohování, která zajistí, že případný útočník nebude moci zašifrovat zálohy našich serverů.
Pro zálohy jako takové platí, že je neděláme kvůli zálohování samotnému, ale kvůli případné budoucí obnově. Proto nestačí kontrolovat, že se záloha provedla, ale je nutné ověřit, že jde obnovit a obsahuje vše, co očekáváme.
Chraňte si svá zařízení i fyzicky aneb šifrujte všude, kde je to možné
Ztráta zařízení je sama osobě velmi nepříjemná záležitost, nicméně ztráta dat uložených na daném zařízení může být ještě horší, resp. může mít horší následky. Šifrováním uložených dat získáváme ochranu, ať už nám někdo zařízení zcizí anebo ho jen necháme po určitý čas bez dozoru a někdo se pokusí ukrást či modifikovat uložená data.
Nezapomínejme však, že šifrování značně degraduje, pokud máme slabé heslo pro přihlášení do počítače nebo pokud odejdeme od nezamčeného počítače. Připravený útočník, a může se jednat i o takzvaného insidera (= někoho zevnitř organizace), potřebuje jen pár vteřin k tomu, aby získal kontrolu nad nezamčeným počítačem.
Spolupracujte s IT odborníky a buďte vůči nim zdravě kritičtí
Na konec výčtu bychom doplnili poslední pravidlo nebo spíše doporučení. Využíváme různé technologie doma i v práci a není naším úkolem stát se IT expertem, abychom si všechny zařízení bezpečně nastavili. Když chceme mít dobrý pocit, že jsme udělali pro svou kybernetickou bezpečnost dost, musíme přemýšlet o tom, co na počítači děláme, a k tomu spolupracovat s odborníky. Správný IT správce se zajímá nejen o spravovaná zařízení, která udržuje aktuální a v chodu, ale také o business a procesy klienta, se kterým pomocí technologií hledá způsoby, jak business rozvíjet. Rozhodně by to neměl být někdo, kdo infrastrukturu udržuje „pouze“ v chodu a řídí se heslem „když to funguje, tak na to nesahej“. V této myšlence je schovaná past, že IT infrastruktura zůstane v historii a neadaptuje se na aktuální potřeby a hrozby.
Důležité je, abychom vůči IT správci zůstali zdravě kritičtí. Není tím myšleno, že byste ho měli podezřívat a kontrolovat, ale měli byste se ho ptát, jaká jsou možná řešení, jestli je můžete vidět a testovat. Je to opět aplikace kritického myšlení. Není od věci se poptat, co antivir v poslední době zachytil, jakým způsobem je nastavené zálohování a jak dlouho by v případě potřeby trvala kompletní obnova dat. Jednoduše být u toho, stejně jako při stavbě domu, kdy si jezdíte prohlížet, jak stavba postupuje a zda je to podle vašich představ. IT správce by také neměl mít problém nechat otestovat spravované IT nezávislým IT expertem. Jen tak se dozvíte, v jaké kondici je vaše IT struktura. Podobně jako účetní účtuje, ale audit dělá auditor.
Závěrem
V otázce kybernetické bezpečnosti je důležité zdůraznit, že neexistuje jedno sofistikované řešení, které by nás uchránilo před všemi kybernetickými útoky. Kybernetická bezpečnost je budována jako kombinace více opatření, jejichž účinnost se vzájemně nesčítá, ale násobí. Celková bezpečnost takového systému je pak dána (ne)bezpečností toho nejslabšího článku, kterým však bývá obvykle právě člověk.
Řešením není ani naprostá izolace od internetu a všech technologií. S kybernetickými riziky se musíme naučit žít, chránit se před nimi a minimalizovat je tak, jako jsme se to v historii naučili i v případě jiných rizik, které přinesl pokrok. Řiďte se proto výše uvedenými pravidly a zvyšte tak svou kybernetickou bezpečnost.
Autoři | Ing. Oto Křivanec a Tomáš Matějíček
Ing. Oto Křivanec
absolvoval obor informatika na Fakultě informatiky a statistiky VŠE v Praze a v současnosti je studentem doktorského studia oboru účetnictví a finanční řízení na katedře finančního účetnictví a auditingu Fakulty financí a účetnictví VŠE v Praze. Pracuje zároveň jako daňový poradce ve společnosti Mepatek s.r.o.
Tomáš Matějíček
je partner ve společnosti Mepatek s.r.o. a certifikovaný etický hacker. Informačním technologiím se profesně věnuje více než 15 let. Kromě počítačové bezpečnosti se soustředí také na problematiku efektivity správy informačních technologií.
Zdroj : Mepatek s.r.o.