Jak efektivně motivovat a kontrolovat dodržování bezpečnostních pravidel i u těch „nejvyšších“ – managementu, specialistů, adminů?
Odpovídá Štěpán Bouda, obchodní ředitel společnosti ComSource.
Digitální realita provozovatelů kritické infrastruktury i velkých firem vyžaduje otevřenost vůči externím médiím, e-mailům, cloudovým úložištím i webovým službám. Jak najít rovnováhu mezi potřebou každodenní operativnosti a nutností zachovat vysoký bezpečnostní standard?
Firmy dnes potřebují svobodu komunikace – sdílení dat v cloudu, práci s přílohami e-mailů, přístup k webovým službám. Problém je, že právě odsud přichází většina hrozeb. V ComSource proto implementujeme přístup „zero trust for files“ – to znamená, aby každý soubor prošel sanitizací a validací dřív, než doputuje k uživateli. Například řešení jako OPSWAT CDR eliminuje škodlivý kód, aniž by zasáhlo obsah dokumentu, a to v řádu sekund. Důležité je, aby pro koncového uživatele byl celý proces „neviditelný“ – stačí mu pracovat obvyklým způsobem, žádné nové kliky ani nastavení. Je třeba, aby lidé nemuseli měnit své pracovní postupy.
S jakými novými a sofistikovanými útoky se české firmy setkávají a kde je hlavní slabina jejich bezpečnostních opatření?
Firmy dnes čelí cíleným útokům, které využívají sofistikované phishingové kampaně, zneužívají cloudové služby, nebo vkládají malware přímo do dokumentů, které vypadají legitimně. Největší slabinou bývá, že spoléhají jen na antivir. Ten ale funguje reaktivně – hrozbu zastaví až ve chvíli, kdy ji zná. Moderní útoky jsou často „zero day“ a klasický antivir je nepozná. CDR – tedy doslova odzbrojení a rekonstrukce obsahu – je postavené jinak – nečeká, až se něco stane, ale preventivně odstraní vše, co by mohlo být škodlivé. Další trhlinou je pomalá implementace vlastních bezpečnostních politik v rámci firem. Útočníci se přizpůsobují flexibilně, ale zavádění nových koncepcí a technologií ve firmách často trvá měsíce, ne-li roky. To riziko dramaticky zvyšuje.
Jak zajistit, aby vedení i zaměstnanci – včetně IT specialistů – dodržovali pravidla a nepodceňovali rizika spojená s USB disky, e-mailovými přílohami či QR kódy?
Bezpečnost musí běžet na pozadí a uživatele nerušit. Pokud po nich chcete, aby instalovali speciální software, složitě nastavovali přístupy nebo si hlídali každý klik, rychle to obejdou. Proto je třeba nasazovat řešení, které automaticky čistí přílohy v e-mailech, soubory z USB i nahrávání do aplikací. Uživatelé pokračují v práci jako dřív, ale dostávají už jen bezpečný obsah. Smyslem je zajistit bezpečný provoz infrastruktury, a ne přenést odpovědnost na uživatele.
Jak efektivně motivovat a kontrolovat dodržování bezpečnostních pravidel i u těch „nejvyšších“ – managementu, specialistů, adminů?
Základem je centrální nasazení bez výjimek. Pokud je řešení instalováno na úrovni infrastruktury, tak nezáleží na tom, jestli to uživatel aktivuje. Bezpečnost se stane standardní součástí provozu, stejně jako zálohy. Zároveň každá firma dnes potřebuje jasnou, schválenou strategii kybernetické bezpečnosti – a podle ní se pak musí chovat i vedení a technici. Ti všichni jsou z pohledu dat jen uživatelé, dokonce ti nejatraktivnější. Konec konců, v čím zájmu by to zrovna mělo být.
Sofistikované útoky cílí na psychologii – phishing e-maily, podvodné QR kódy. Jak eliminovat rizika bez zbytečného zdržování práce?
Technologie jako CDR fungují plně automaticky: soubor se skenuje, převádí do bezpečné podoby a doručuje uživateli, aniž by ho něco rušilo. Žádné zdržující dialogy, žádné čekání na schválení administrátorem. Tímto způsobem znemožníte spuštění malwaru, i kdyby někdo klikl na škodlivý odkaz nebo QR kód. Uživatelské rozhraní zůstává stejné, ale útok prostě nemá šanci.
Jak zabezpečit práci s USB disky a externími zařízeními tak, aby tok dat zůstal plynulý, ale bezpečný?
Namísto absolutního zákazu nebo neomezené svobody je tu ještě třetí možnost: připojení USB přes kontrolní stanici, která data okamžitě sanitizuje. Do firemní sítě se tak dostane jen čistá, bezpečná verze souborů, a to s minimálním zdržením. Stejný princip platí i pro mobilní zařízení nebo techniku dodavatelů – všechna data procházejí firemním úložištěm a sanitizačním bodem, než se nasadí do produkce. Jde o celkovou disciplínu v práci s daty. Například u dodavatelského řetězce – proč by třeba váš tradiční servisní partner neměl mít povinnost doručovat nové upgrady nejprve do vašeho firemního, důvěryhodného úložiště? Při zásahu si pak vámi kontrolovaná data v síti vyzvedne a provede úkon, který má.
Proč dnes nestačí klasické antiviry a jaké jsou jejich limity?
Antiviry jsou stále důležité, ale neřeší úplně vše. Fungují na principu detekci známých hrozeb, což znamená, že proti novým, neznámým útokům často nezabírají. Každý si navíc asi někdy vyzkoušel, co znamená mít na koncovém zařízení antiviry dva – je to naprosto neúnosné, počítač je nepoužitelný. Cestou je znásobit pravděpodobnost zero-day záchytů a využívat bdělost všech globálních výrobců najednou – a to za pomoci multiskenování. To umí využít až třicet antivirových enginů, což zajišťuje zero-day detekci na úrovni přes 98 %. A nad tím vším může jako třešnička na dortu pracovat CDR, které z dokumentu odstraní vše, co není pro jeho funkci důležité, takže i nově vzniklý škodlivý kód nemá šanci se spustit.
Jaké jsou nejrozšířenější mýty ohledně moderní ochrany IT?
Největším problémem je podceňování situace. Nejde o to strašit, ale neignorovat. Není pravda, že útoky míří jen na velké korporace. Realita je, že útočníci hledají nejslabší článek – a často jím je lidská chyba nebo nedostatečná ochrana jednoho konkrétního kanálu. Jde jen o to, jestli máte něco, o co byste neměli přijít. Nedávno jsem byl u zubaře a poslouchal rozhovor IT specialisty s doktorkou. Bavili se o nasazení nové aplikace využívající nějakou formu AI. Nejprve se vše točilo okolo toho, co to bude umět a co ne. Teprve když padla otázka možného úniku dat, zda by to mohlo ordinaci poškodit, pochopila lékařka vážnost ochrany. Najednou se na problém začala dívat jinak. Má unikátní data, kde únik může znamenat minimálně újmu na reputaci, ne-li správní řízení, pokuty a likvidaci podnikání. Podcenění vážnosti ochrany, podinvestování je největší problém. A mimochodem cesta není zůstat u papírové kartotéky. To snad už máme za sebou.
Pozorujete zvýšené investice do zabezpečení provozních technologií (ICS/OT) v souvislosti s NIS2?
Ano, s příchodem NIS2 vidíme větší ochotu investovat i do ochrany provozních technologií. U ICS/OT prostředí je klíčové, že je nesmíte odstavit – proto jsou potřeba nástroje, které umí kontrolovat a čistit data ještě před jejich nasazením do těchto systémů. Je samozřejmě skvělé, že lze využít těchto norem k mírnému tlaku, možná systémovému diktátu pro firmy a organizace. Dělá to osvětu, medializuje to problematiku a občas se i něco nasadí. Zároveň je obrovská škoda, že k tomu uvědomění nedošlo přirozenou cestou. Na druhou stranu, takto je to možná rychlejší. Otázkou je, co by se dělo, nebýt dotačních programů. Zda by byli všichni stále zodpovědní a zda investice nakonec využijí účelně a provoz bude udržitelný.
Jakou roli hraje edukace zaměstnanců a simulované testy v snižování rizik, a jaká pravidla dodržet, aby to nebyla pouhá formalita?
Technologie je jen polovina úspěchu. Druhou polovinu tvoří lidé. Simulované phishingové útoky, školení a workshopy musí vycházet z reálných scénářů. Praktická zkušenost pomáhá připravit správnou reakci. V ComSource na to máme samostatný projekt ComSource Academy, kde školíme na míru podle konkrétní infrastruktury a potřeb. Obecně je třeba také zdůraznit, že i zde je klíčem je transparentní komunikace vedení firmy vůči zaměstnancům – zejména u simulovaných útoků musí všichni vědět, že cílem je zlepšit připravenost, ne shazovat jednotlivce.
Co byste doporučil firmám, které chtějí zlepšit odolnost vůči kyberútokům, ale nemají velký rozpočet?
Najděte si silného technologického partnera, který není jen teoretik a pomůže vám zanalyzovat rizika a seřadit je podle priority. Zpracujte strategii rozvoje a udržitelnosti kybernetické bezpečnosti a podle priorit začněte s jejich eliminací – mezi ty největší patří přílohy v e-mailech, USB disky, sdílení přes cloud. Potřebná bezpečnostní řešení lze nasadit lokálně i postupně, bez nutnosti výměny celé infrastruktury. Návratnost investice je rychlá a efekt okamžitý.
Jaký vývoj a trendy očekáváte v následujících letech s ohledem na využití umělé inteligence při útocích i obraně?
Umělá inteligence akceleruje obě strany kybernetické války. Útočníci ji využívají k tvorbě sofistikovaných podvodů, obránci k rychlé detekci odchylek. Budoucnost patří plně automatizovaným systémům, které se učí z chování uživatelů a chrání je bez jejich aktivního zapojení. CDR je příkladem technologie, která tento trend naplňuje již dnes.
