Jaroslav Lom: bezpečnostní manažer by neměl chybět ani v malé firmě

Karel Michal , 30. duben 2014 09:00 1 komentářů
Jaroslav Lom: bezpečnostní manažer by neměl chybět ani v malé firmě

Motivace útočníků mohou být různé, ale jednoznačným trendem v informační bezpečnosti je, že čím dál víc jde hlavně o peníze, éra hackerů idealistů dávno skončila. Bezpečnostního manažera by měla mít i relativně malá společnost a největším problémem dneška je ignorování rizik, tvrdí Jaroslav Lom ze společnosti Eset.

V poslední době se v médiích množí skandály okolo úniků dat a dalších bezpečnostních incidentů - pozorujete zvýšený zájem firem o informační bezpečnost?

Zájem roste, ale určitě ne tak, jak by bylo možné očekávat při čtení horrorů o desítkách milionů ukradených údajů o platebních kartách. Mám na mysli kauzu Target, kdy velký americký maloobchodní řetězec nedokázal zabezpečit citlivé údaje svých zákazníků a několik desítek milionů – oficiálně sedmdesát, podle některých zdrojů až 110 milionů údajů o platebních kartách se dostalo do rukou počítačového podsvětí. Ten únik se stal v prosinci 2013, ale škody se od té doby dál a dál vrší. Ke všemu o tohle téma projevila zájem jedna významná produkční společnost a koupila práva na zfilmování.

Tedy, neschopnost zabezpečit data a systémy jako filmový trhák… To by mohlo manažery ve firmách docela probrat, ne?

Jaroslav Lom pracuje ve společnosti ESET od června 2013. Přišel ze
společnosti AMI Praha, kde působil na pozici Senior Account Manager. Předtím
pracoval ve společnostech ICZ, NetGuard, Schuss nebo PosAm.
Jaroslav Lom pracuje ve společnosti ESET od června 2013. Přišel ze společnosti AMI Praha, kde působil na pozici Senior Account Manager. Předtím pracoval ve společnostech ICZ, NetGuard, Schuss nebo PosAm.
To asi ano, a nejenom v Americe. My se tady obvykle setkáváme s reakcí typu „Nám se tohle stát nemůže…“

Ale - samozřejmě, že může. Nemyslím identický případ, ale obecně hrozbě bezpečnostních incidentů – například právě úniků dat - firmy v Česku běžně čelí. A zdaleka ne všude to je tak, že by si manažeři byli rizik vědomi, a adekvátně na ně reagovali.

Ale čemu říkáte adekvátní reakce?

Samozřejmě záleží na konkrétních podmínkách. Ty má zmapovat bezpečnostní audit, v návaznosti na něj je potřeba mít bezpečnostní strategii, rozpracovanou do politik a akčních plánů, průběžně kontrolovat jejich dodržování… Informační bezpečnost, to není konkrétní krok ani projekt – byť by byl seberozsáhlejší. To musí být jedna ze základních priorit řízení společnosti.

Kde vidíte největší mezery v informační bezpečnosti ve firmách?

Z obecného pohledu je to celkový přístup, který se dá charakterizovat jako ignorování a přehlížení rizik. Také v oblasti povědomí o informační bezpečnosti u zaměstnancůjsou často značné rezervy.

Můžete prosím konkrétněji?

Dá se to tak říci, s tím, že na různých úrovních se ignorování rizik projevuje jinak. Na úrovni vrcholového vedení je to absence konkrétní role bezpečnostního manažera, absence bezpečnostní strategie a podobně, a na úrovni pracovníků třeba tak, že bezmyšlenkovitě otevřou vše, co najdou na stole nebo co jim přijde poštou.

Bezmyšlenkovitě? Spíš ze zvědavosti, ne?

To je jedno – prostě jde o nedostatek obezřetnosti, který může otevřít systém případnému útoku. A je známo, že metody sociálního inženýrství, kdy útočník přesvědčí pracovníka ve firmě, aby udělal něco, co udělat nemá, jsou zdaleka nejčastější příčinou bezpečnostních incidentů. Sociální inženýrství spočívá ve využívání faktorů, které ovlivňují rozhodování lidí a jejich chování. Může jít o Vámi zmíněnou zvědavost, ale také třeba o důvěru, respekt k autoritám, sympatie, snahu vyhnout se konfliktu nebo prostě mít už konečně pokoj… Je až neuvěřitelné, jak rafinované mohou metody sociálního inženýrství být, a co všechno jsou lidé, na něž takový útok cílí, schopni udělat.

Toto platí bez rozdílu pozice. Žádnou výjimkou nejsou vrcholoví manažeři, pracovníci HR, vývojáři nebo i systémoví administrátoři.

Což může napáchat obrovské škody.

Přesně tak. Mimochodem, nedávno odhalená největší síť serverů, ovládaná kybernetickou mafií, vznikla tak, že se útočníci dostali k přihlašovacím údajům administrátorů. Bylo to v masovém měřítku: kompromitováno bylo na 25 tisíc serverů, z nichž dodnes je zhruba deset tisíc aktivních – to znamená, že rozesílají spam a snaží se infikovat stanice, které k nim přistupují, nebo aspoň přesměrovávají internetový provoz. A pozor: když se bavíme o spamu, tak je to nějakých 35 milionů denně, a pokusů o implantaci malware je denně na půl milionu. Mimochodem, experti ESET detailně analyzovali provoz v té síti a zjistili, že kompromitované servery mají v infikování přistupujících počítačů úspěšnost okolo jednoho procenta.

Jak se vůbec podařilo kompromitovat 25 tisíc serverů?

Byl to vícestupňový útok. Nejprve bylo třeba sehnat přístupová oprávnění k serverům. O to se staral Linux/Ebury v kombinací s rootkitem, který byl distribuován jako modifikované OpenSSH soubory. Získat se tak dala hesla uživatelů, kteří se přihlašovali k napadenému serveru, ale i pokud se přihlašovali z napadených serverů na jiný server. Útočníci pak prováděli analýzu toho, jaká oprávnění s daným přihlášením mají. Podle toho se buď instaloval Linux/Cdorked pro přesměrování webového provozu, nebo malware pro rozesílání spamu.

Omlouvám se za odbornější výklad – ale podstatné je, že tento útok představuje další důkaz, že autentizace formou uživatelského jména a hesla je pro zabezpečení přístupu zoufale nedostatečná. Může stačit nanejvýš pro eshop s krmivem pro psy, ale v korporátním prostředí nesplňuje ani ty elementární nároky.

Ale co s tím? Firmy často nemají na zvyšování bezpečnosti prostředky.

Obecně varujeme firmy před nesystémovými kroky, protože bezpečnost je extrémně komplexní problematika. Ale právě posílení autentizace je výjimkou. Kde nemají dvoufaktorovou autentizaci, tam je jasné, že právě implementace nějakého rychlého a levného řešení celkovou míru bezpečnosti významně zvýší. Analýzy pak jsou potřeba v dalších fázích, ale implementací dvoufaktorové autentizace jako odpovědi na požadavek okamžitě zvýšit bezpečnost nelze nic pokazit.

Teď si ale kazíte byznys – neměl byste spíš razit heslo Bez analýzy ani ránu?

Podívejte, pokud existuje jednoduchý způsob, jak zvýšit bezpečnost, proč ho nedoporučit? Je přece samozřejmé, že posílit autentizaci je jen jedním z kroků. Někde u toho kroku zůstanou – ale ti by si přece stejně žádné služby neobjednali… Naproti tomu, kde se podaří management přesvědčit, aby informační bezpečnost zařadil mezi témata, jimiž se zabývá, tam je reálné, že to u posílení autentizace neskončí.

A co by mělo v typické firmě následovat? Velmi zjednodušeně: je potřeba vyhodnotit rizika, přijmout odpovídající opatření – a ta pak průběžně upravovat podle měnících se podmínek a hlavně dodržování všech pravidel průběžně sledovat. S tím vším mohou pomoci konzultanti. Při nedostatku kapacit je možné i outsourcovat roli bezpečnostního manažera…

Bezpečnostní manažer - to už ale nejsme v malé firmě, ne?

Pozor: to můžeme být v překvapivě malé střední firmě. Bezpečnostní manažer nemusí být nutně full-time job – což je další důvod pro to, tuto roli outsourcovat – ale je důležité mít někoho, kdo sleduje bezpečnost průřezově, tedy napříč IT systémy a napříč odděleními firmy.

Jistě, můžete svěřit tuto roli CIO jako další z jeho kompetencí. To ale může být konflikt zájmů. Vždyť bezpečnostní manažer má mimo jiné hledat problematická místa v zabezpečení IT systémů – takže pokud je to CIO, měl by vlastně kontrolovat sám sebe. Jak to asi tak může dopadnout?

No, to je pravda. Penetrační test si typický CIO asi také neobjedná.

Testování je přitom důležitá součást bezpečnosti a v některých oblastech je pravidelné testování povinné. Například bezpečnostní standard pro obor platebních karet předepisuje penetrační test každý rok, případně po každé změně systému.

Jaké další možnosti má typická firma, když chce posílit informační bezpečnost?

Není možné dávat konkrétní doporučení pro obecné podmínky. Nutné kroky vyplynou především z analýzy rizik, která má nejen popsat stávající stav informační bezpečnosti, ale především, o jaké hodnoty vlastně jde. To je klíčové: bezpečnostní opatření totiž mají být adekvátní chráněným hodnotám, a to jak z pohledu samotné firmy, tak z pohledu útočníka. Z pohledu útočníka proto, že, pokud se bude chovat racionálně, tak nejspíš nebude investovat víc, než kolik může v případě úspěchu získat.

Pokud se bude chovat racionálně… je to racionální předpoklad?

Motivace útočníků mohou být různé, ale jednoznačným trendem v informační bezpečnosti je, že čím dál víc jde o peníze. To je na jednu stranu problém, protože útoky jsou čím dál víc profesionálně vedené, na druhou stranu jsou zájmy útočníků alespoň čitelnější.

Děkujeme za rozhovor.


Komentáře

Honza #1
Honza 07. květen 2014 10:37

"Omlouvám se za odbornější výklad" - myslím že omluva za jedinou zajímavou část článku není na místě :D


RSS 

Komentujeme

Chatbot mluví za mrtvého – od nápadu k realizaci

Pavel Houser , 30. listopad 2016 13:00
Pavel Houser

Na webu The Verge popsala Casey Newton příběh dvou přátel (Eugenia Kuyda a Roman Mazurenko). Peripet...

Více





Kalendář


RSS 

Zprávičky

Telefony Nokia se příští rok vrátí na trh

ČTK , 02. prosinec 2016 10:30

Chytré telefony se značkou Nokia se objeví zpátky na trhu v příštím roce. Finská společnost Nokia dn...

Více 1 komentářů

CETIN nabídne příští rok operátorům připojení až 250 Mbit/s

ČTK , 01. prosinec 2016 17:00

Společnost Česká telekomunikační infrastruktura (CETIN) zvýší od května příštího roku rychlost inter...

Více 0 komentářů

Akcie Samsungu stouply na nový rekord

ČTK , 01. prosinec 2016 12:00

Akcie jihokorejské společnosti Samsung Electronics dnes stouply o více než čtyři procenta na nový re...

Více 0 komentářů

Starší zprávičky

FBI bude moci s povolením soudu pronikat do jakýchkoli počítačů

ČTK , 01. prosinec 2016 10:30

V americkém Senátu dnes selhal poslední pokus o zablokování rozšířených policejních pravomocí, které...

Více 2 komentářů

Gartner:Prodej tabletů v ČR letos klesne o osm procent na 1,1 mil

ČTK , 30. listopad 2016 14:00

Zájem o tablety letos dále klesá. Prodej tabletů a hybridních notebooků na českém trhu se letos sníž...

Více 0 komentářů

Grafen opracovaný laserem

Pavel Houser , 30. listopad 2016 11:00

Na Iowa State University přišli s další metodou pro tištění grafenových součástek. V tomto případě j...

Více 0 komentářů

GFI Software přichází s beta verzí pokročilé cloudové ochrany e-mailu

Petr Velecký , 29. listopad 2016 18:00

Beta verzi své nejnovější cloudové platformy pro zajištění bezpečnosti a kontinuity provozu podnikov...

Více 0 komentářů