Jaroslav Lom: bezpečnostní manažer by neměl chybět ani v malé firmě

Karel Michal , 30. duben 2014 09:00 1 komentářů
Jaroslav Lom: bezpečnostní manažer by neměl chybět ani v malé firmě

Motivace útočníků mohou být různé, ale jednoznačným trendem v informační bezpečnosti je, že čím dál víc jde hlavně o peníze, éra hackerů idealistů dávno skončila. Bezpečnostního manažera by měla mít i relativně malá společnost a největším problémem dneška je ignorování rizik, tvrdí Jaroslav Lom ze společnosti Eset.

V poslední době se v médiích množí skandály okolo úniků dat a dalších bezpečnostních incidentů - pozorujete zvýšený zájem firem o informační bezpečnost?

Zájem roste, ale určitě ne tak, jak by bylo možné očekávat při čtení horrorů o desítkách milionů ukradených údajů o platebních kartách. Mám na mysli kauzu Target, kdy velký americký maloobchodní řetězec nedokázal zabezpečit citlivé údaje svých zákazníků a několik desítek milionů – oficiálně sedmdesát, podle některých zdrojů až 110 milionů údajů o platebních kartách se dostalo do rukou počítačového podsvětí. Ten únik se stal v prosinci 2013, ale škody se od té doby dál a dál vrší. Ke všemu o tohle téma projevila zájem jedna významná produkční společnost a koupila práva na zfilmování.

Tedy, neschopnost zabezpečit data a systémy jako filmový trhák… To by mohlo manažery ve firmách docela probrat, ne?

Jaroslav Lom pracuje ve společnosti ESET od června 2013. Přišel ze
společnosti AMI Praha, kde působil na pozici Senior Account Manager. Předtím
pracoval ve společnostech ICZ, NetGuard, Schuss nebo PosAm.
Jaroslav Lom pracuje ve společnosti ESET od června 2013. Přišel ze společnosti AMI Praha, kde působil na pozici Senior Account Manager. Předtím pracoval ve společnostech ICZ, NetGuard, Schuss nebo PosAm.
To asi ano, a nejenom v Americe. My se tady obvykle setkáváme s reakcí typu „Nám se tohle stát nemůže…“

Ale - samozřejmě, že může. Nemyslím identický případ, ale obecně hrozbě bezpečnostních incidentů – například právě úniků dat - firmy v Česku běžně čelí. A zdaleka ne všude to je tak, že by si manažeři byli rizik vědomi, a adekvátně na ně reagovali.

Ale čemu říkáte adekvátní reakce?

Samozřejmě záleží na konkrétních podmínkách. Ty má zmapovat bezpečnostní audit, v návaznosti na něj je potřeba mít bezpečnostní strategii, rozpracovanou do politik a akčních plánů, průběžně kontrolovat jejich dodržování… Informační bezpečnost, to není konkrétní krok ani projekt – byť by byl seberozsáhlejší. To musí být jedna ze základních priorit řízení společnosti.

Kde vidíte největší mezery v informační bezpečnosti ve firmách?

Z obecného pohledu je to celkový přístup, který se dá charakterizovat jako ignorování a přehlížení rizik. Také v oblasti povědomí o informační bezpečnosti u zaměstnancůjsou často značné rezervy.

Můžete prosím konkrétněji?

Dá se to tak říci, s tím, že na různých úrovních se ignorování rizik projevuje jinak. Na úrovni vrcholového vedení je to absence konkrétní role bezpečnostního manažera, absence bezpečnostní strategie a podobně, a na úrovni pracovníků třeba tak, že bezmyšlenkovitě otevřou vše, co najdou na stole nebo co jim přijde poštou.

Bezmyšlenkovitě? Spíš ze zvědavosti, ne?

To je jedno – prostě jde o nedostatek obezřetnosti, který může otevřít systém případnému útoku. A je známo, že metody sociálního inženýrství, kdy útočník přesvědčí pracovníka ve firmě, aby udělal něco, co udělat nemá, jsou zdaleka nejčastější příčinou bezpečnostních incidentů. Sociální inženýrství spočívá ve využívání faktorů, které ovlivňují rozhodování lidí a jejich chování. Může jít o Vámi zmíněnou zvědavost, ale také třeba o důvěru, respekt k autoritám, sympatie, snahu vyhnout se konfliktu nebo prostě mít už konečně pokoj… Je až neuvěřitelné, jak rafinované mohou metody sociálního inženýrství být, a co všechno jsou lidé, na něž takový útok cílí, schopni udělat.

Toto platí bez rozdílu pozice. Žádnou výjimkou nejsou vrcholoví manažeři, pracovníci HR, vývojáři nebo i systémoví administrátoři.

Což může napáchat obrovské škody.

Přesně tak. Mimochodem, nedávno odhalená největší síť serverů, ovládaná kybernetickou mafií, vznikla tak, že se útočníci dostali k přihlašovacím údajům administrátorů. Bylo to v masovém měřítku: kompromitováno bylo na 25 tisíc serverů, z nichž dodnes je zhruba deset tisíc aktivních – to znamená, že rozesílají spam a snaží se infikovat stanice, které k nim přistupují, nebo aspoň přesměrovávají internetový provoz. A pozor: když se bavíme o spamu, tak je to nějakých 35 milionů denně, a pokusů o implantaci malware je denně na půl milionu. Mimochodem, experti ESET detailně analyzovali provoz v té síti a zjistili, že kompromitované servery mají v infikování přistupujících počítačů úspěšnost okolo jednoho procenta.

Jak se vůbec podařilo kompromitovat 25 tisíc serverů?

Byl to vícestupňový útok. Nejprve bylo třeba sehnat přístupová oprávnění k serverům. O to se staral Linux/Ebury v kombinací s rootkitem, který byl distribuován jako modifikované OpenSSH soubory. Získat se tak dala hesla uživatelů, kteří se přihlašovali k napadenému serveru, ale i pokud se přihlašovali z napadených serverů na jiný server. Útočníci pak prováděli analýzu toho, jaká oprávnění s daným přihlášením mají. Podle toho se buď instaloval Linux/Cdorked pro přesměrování webového provozu, nebo malware pro rozesílání spamu.

Omlouvám se za odbornější výklad – ale podstatné je, že tento útok představuje další důkaz, že autentizace formou uživatelského jména a hesla je pro zabezpečení přístupu zoufale nedostatečná. Může stačit nanejvýš pro eshop s krmivem pro psy, ale v korporátním prostředí nesplňuje ani ty elementární nároky.

Ale co s tím? Firmy často nemají na zvyšování bezpečnosti prostředky.

Obecně varujeme firmy před nesystémovými kroky, protože bezpečnost je extrémně komplexní problematika. Ale právě posílení autentizace je výjimkou. Kde nemají dvoufaktorovou autentizaci, tam je jasné, že právě implementace nějakého rychlého a levného řešení celkovou míru bezpečnosti významně zvýší. Analýzy pak jsou potřeba v dalších fázích, ale implementací dvoufaktorové autentizace jako odpovědi na požadavek okamžitě zvýšit bezpečnost nelze nic pokazit.

Teď si ale kazíte byznys – neměl byste spíš razit heslo Bez analýzy ani ránu?

Podívejte, pokud existuje jednoduchý způsob, jak zvýšit bezpečnost, proč ho nedoporučit? Je přece samozřejmé, že posílit autentizaci je jen jedním z kroků. Někde u toho kroku zůstanou – ale ti by si přece stejně žádné služby neobjednali… Naproti tomu, kde se podaří management přesvědčit, aby informační bezpečnost zařadil mezi témata, jimiž se zabývá, tam je reálné, že to u posílení autentizace neskončí.

A co by mělo v typické firmě následovat? Velmi zjednodušeně: je potřeba vyhodnotit rizika, přijmout odpovídající opatření – a ta pak průběžně upravovat podle měnících se podmínek a hlavně dodržování všech pravidel průběžně sledovat. S tím vším mohou pomoci konzultanti. Při nedostatku kapacit je možné i outsourcovat roli bezpečnostního manažera…

Bezpečnostní manažer - to už ale nejsme v malé firmě, ne?

Pozor: to můžeme být v překvapivě malé střední firmě. Bezpečnostní manažer nemusí být nutně full-time job – což je další důvod pro to, tuto roli outsourcovat – ale je důležité mít někoho, kdo sleduje bezpečnost průřezově, tedy napříč IT systémy a napříč odděleními firmy.

Jistě, můžete svěřit tuto roli CIO jako další z jeho kompetencí. To ale může být konflikt zájmů. Vždyť bezpečnostní manažer má mimo jiné hledat problematická místa v zabezpečení IT systémů – takže pokud je to CIO, měl by vlastně kontrolovat sám sebe. Jak to asi tak může dopadnout?

No, to je pravda. Penetrační test si typický CIO asi také neobjedná.

Testování je přitom důležitá součást bezpečnosti a v některých oblastech je pravidelné testování povinné. Například bezpečnostní standard pro obor platebních karet předepisuje penetrační test každý rok, případně po každé změně systému.

Jaké další možnosti má typická firma, když chce posílit informační bezpečnost?

Není možné dávat konkrétní doporučení pro obecné podmínky. Nutné kroky vyplynou především z analýzy rizik, která má nejen popsat stávající stav informační bezpečnosti, ale především, o jaké hodnoty vlastně jde. To je klíčové: bezpečnostní opatření totiž mají být adekvátní chráněným hodnotám, a to jak z pohledu samotné firmy, tak z pohledu útočníka. Z pohledu útočníka proto, že, pokud se bude chovat racionálně, tak nejspíš nebude investovat víc, než kolik může v případě úspěchu získat.

Pokud se bude chovat racionálně… je to racionální předpoklad?

Motivace útočníků mohou být různé, ale jednoznačným trendem v informační bezpečnosti je, že čím dál víc jde o peníze. To je na jednu stranu problém, protože útoky jsou čím dál víc profesionálně vedené, na druhou stranu jsou zájmy útočníků alespoň čitelnější.

Děkujeme za rozhovor.


Komentáře

Honza #1
Honza 07. květen 2014 10:37

"Omlouvám se za odbornější výklad" - myslím že omluva za jedinou zajímavou část článku není na místě :D

RSS 

Komentujeme

Bezpečnost IT a tygří logika

Pavel Houser , 14. únor 2017 11:00
Pavel Houser

Jak praví známý vtip, běží-li za vámi tygr, netřeba se pohybovat rychleji než šelma – stačí předběhn...

Více






Kalendář

20. 03.

24. 03.
CeBIT 2017
25. 03. INSPO 2017
28. 04. Oracle Code 2017
RSS 

Zprávičky

110 grafických karet vytvořilo kolizi pro SHA-1 - za rok

ITBiz.cz , 25. únor 2017 19:50

Za projektem stojí Google a získal už velký mediální ohlas, i když technické podrobnosti zatím zveře...

Více 0 komentářů

Prodej chytrých telefonů v Německu loni poprvé klesl

ČTK , 25. únor 2017 14:35

Tržby poklesly i přes rostoucí průměrnou cenu smartphonu....

Více 0 komentářů

Japonská Softbank zakládá s Foxconnem společný investiční podnik

ČTK , 24. únor 2017 18:03

Japonská skupina Softbank, která investuje převážně v sektoru vyspělých technologií, a tchajwanský s...

Více 0 komentářů

Starší zprávičky

3D tisk ocelových konstrukcí

Pavel Houser , 24. únor 2017 17:37

Podařilo se "vytisknout" jeřábový hák....

Více 1 komentářů

Třetina operátora mobilní sítě Sigfox je na prodej

Pavel Houser , 24. únor 2017 17:17

Zájemci o investici v oblasti internetu věcí mohou získat až 34% podíl společnosti SimpleCell Networ...

Více 1 komentářů

Hodnota kybernetické měny bitcoin vystoupila na nový rekord

ČTK , 24. únor 2017 15:30

Hodnota kybernetické měny bitcoin se dnes zvýšila o 4,7 procenta a vystoupila na nový rekord 1218,85...

Více 0 komentářů

Apple v dubnu otevře v Kalifornii novou centrálu

ČTK , 24. únor 2017 11:30

Americká společnost Apple v dubnu otevře v kalifornském Cupertinu svou novou centrálu. Stěhování 12....

Více 0 komentářů