Motivace útočníků mohou být různé, ale jednoznačným trendem v informační bezpečnosti je, že čím dál víc jde hlavně o peníze, éra hackerů idealistů dávno skončila. Bezpečnostního manažera by měla mít i relativně malá společnost a největším problémem dneška je ignorování rizik, tvrdí Jaroslav Lom ze společnosti Eset.
V poslední době se v médiích množí skandály okolo úniků dat a dalších bezpečnostních incidentů – pozorujete zvýšený zájem firem o informační bezpečnost?
Zájem roste, ale určitě ne tak, jak by bylo možné očekávat při čtení horrorů o desítkách milionů ukradených údajů o platebních kartách. Mám na mysli kauzu Target, kdy velký americký maloobchodní řetězec nedokázal zabezpečit citlivé údaje svých zákazníků a několik desítek milionů – oficiálně sedmdesát, podle některých zdrojů až 110 milionů údajů o platebních kartách se dostalo do rukou počítačového podsvětí. Ten únik se stal v prosinci 2013, ale škody se od té doby dál a dál vrší. Ke všemu o tohle téma projevila zájem jedna významná produkční společnost a koupila práva na zfilmování.
Tedy, neschopnost zabezpečit data a systémy jako filmový trhák… To by mohlo manažery ve firmách docela probrat, ne?
společnosti AMI Praha, kde působil na pozici Senior Account Manager. Předtím
pracoval ve společnostech ICZ, NetGuard, Schuss nebo PosAm.
To asi ano, a nejenom v Americe. My se tady obvykle setkáváme s reakcí typu „Nám se tohle stát nemůže…“
Ale – samozřejmě, že může. Nemyslím identický případ, ale obecně hrozbě bezpečnostních incidentů – například právě úniků dat – firmy v Česku běžně čelí. A zdaleka ne všude to je tak, že by si manažeři byli rizik vědomi, a adekvátně na ně reagovali.
Ale čemu říkáte adekvátní reakce?
Samozřejmě záleží na konkrétních podmínkách. Ty má zmapovat bezpečnostní audit, v návaznosti na něj je potřeba mít bezpečnostní strategii, rozpracovanou do politik a akčních plánů, průběžně kontrolovat jejich dodržování… Informační bezpečnost, to není konkrétní krok ani projekt – byť by byl seberozsáhlejší. To musí být jedna ze základních priorit řízení společnosti.
Kde vidíte největší mezery v informační bezpečnosti ve firmách?
Z obecného pohledu je to celkový přístup, který se dá charakterizovat jako ignorování a přehlížení rizik. Také v oblasti povědomí o informační bezpečnosti u zaměstnancůjsou často značné rezervy.
Můžete prosím konkrétněji?
Dá se to tak říci, s tím, že na různých úrovních se ignorování rizik projevuje jinak. Na úrovni vrcholového vedení je to absence konkrétní role bezpečnostního manažera, absence bezpečnostní strategie a podobně, a na úrovni pracovníků třeba tak, že bezmyšlenkovitě otevřou vše, co najdou na stole nebo co jim přijde poštou.
Bezmyšlenkovitě? Spíš ze zvědavosti, ne?
To je jedno – prostě jde o nedostatek obezřetnosti, který může otevřít systém případnému útoku. A je známo, že metody sociálního inženýrství, kdy útočník přesvědčí pracovníka ve firmě, aby udělal něco, co udělat nemá, jsou zdaleka nejčastější příčinou bezpečnostních incidentů. Sociální inženýrství spočívá ve využívání faktorů, které ovlivňují rozhodování lidí a jejich chování. Může jít o Vámi zmíněnou zvědavost, ale také třeba o důvěru, respekt k autoritám, sympatie, snahu vyhnout se konfliktu nebo prostě mít už konečně pokoj… Je až neuvěřitelné, jak rafinované mohou metody sociálního inženýrství být, a co všechno jsou lidé, na něž takový útok cílí, schopni udělat.
Toto platí bez rozdílu pozice. Žádnou výjimkou nejsou vrcholoví manažeři, pracovníci HR, vývojáři nebo i systémoví administrátoři.
Což může napáchat obrovské škody.
Přesně tak. Mimochodem, nedávno odhalená největší síť serverů, ovládaná kybernetickou mafií, vznikla tak, že se útočníci dostali k přihlašovacím údajům administrátorů. Bylo to v masovém měřítku: kompromitováno bylo na 25 tisíc serverů, z nichž dodnes je zhruba deset tisíc aktivních – to znamená, že rozesílají spam a snaží se infikovat stanice, které k nim přistupují, nebo aspoň přesměrovávají internetový provoz. A pozor: když se bavíme o spamu, tak je to nějakých 35 milionů denně, a pokusů o implantaci malware je denně na půl milionu. Mimochodem, experti ESET detailně analyzovali provoz v té síti a zjistili, že kompromitované servery mají v infikování přistupujících počítačů úspěšnost okolo jednoho procenta.
Jak se vůbec podařilo kompromitovat 25 tisíc serverů?
Byl to vícestupňový útok. Nejprve bylo třeba sehnat přístupová oprávnění k serverům. O to se staral Linux/Ebury v kombinací s rootkitem, který byl distribuován jako modifikované OpenSSH soubory. Získat se tak dala hesla uživatelů, kteří se přihlašovali k napadenému serveru, ale i pokud se přihlašovali z napadených serverů na jiný server. Útočníci pak prováděli analýzu toho, jaká oprávnění s daným přihlášením mají. Podle toho se buď instaloval Linux/Cdorked pro přesměrování webového provozu, nebo malware pro rozesílání spamu.
Omlouvám se za odbornější výklad – ale podstatné je, že tento útok představuje další důkaz, že autentizace formou uživatelského jména a hesla je pro zabezpečení přístupu zoufale nedostatečná. Může stačit nanejvýš pro eshop s krmivem pro psy, ale v korporátním prostředí nesplňuje ani ty elementární nároky.
Ale co s tím? Firmy často nemají na zvyšování bezpečnosti prostředky.
Obecně varujeme firmy před nesystémovými kroky, protože bezpečnost je extrémně komplexní problematika. Ale právě posílení autentizace je výjimkou. Kde nemají dvoufaktorovou autentizaci, tam je jasné, že právě implementace nějakého rychlého a levného řešení celkovou míru bezpečnosti významně zvýší. Analýzy pak jsou potřeba v dalších fázích, ale implementací dvoufaktorové autentizace jako odpovědi na požadavek okamžitě zvýšit bezpečnost nelze nic pokazit.
Teď si ale kazíte byznys – neměl byste spíš razit heslo Bez analýzy ani ránu?
Podívejte, pokud existuje jednoduchý způsob, jak zvýšit bezpečnost, proč ho nedoporučit? Je přece samozřejmé, že posílit autentizaci je jen jedním z kroků. Někde u toho kroku zůstanou – ale ti by si přece stejně žádné služby neobjednali… Naproti tomu, kde se podaří management přesvědčit, aby informační bezpečnost zařadil mezi témata, jimiž se zabývá, tam je reálné, že to u posílení autentizace neskončí.
A co by mělo v typické firmě následovat?
Velmi zjednodušeně: je potřeba vyhodnotit rizika, přijmout odpovídající opatření – a ta pak průběžně upravovat podle měnících se podmínek a hlavně dodržování všech pravidel průběžně sledovat. S tím vším mohou pomoci konzultanti. Při nedostatku kapacit je možné i outsourcovat roli bezpečnostního manažera…
Bezpečnostní manažer – to už ale nejsme v malé firmě, ne?
Pozor: to můžeme být v překvapivě malé střední firmě. Bezpečnostní manažer nemusí být nutně full-time job – což je další důvod pro to, tuto roli outsourcovat – ale je důležité mít někoho, kdo sleduje bezpečnost průřezově, tedy napříč IT systémy a napříč odděleními firmy.
Jistě, můžete svěřit tuto roli CIO jako další z jeho kompetencí. To ale může být konflikt zájmů. Vždyť bezpečnostní manažer má mimo jiné hledat problematická místa v zabezpečení IT systémů – takže pokud je to CIO, měl by vlastně kontrolovat sám sebe. Jak to asi tak může dopadnout?
No, to je pravda. Penetrační test si typický CIO asi také neobjedná.
Testování je přitom důležitá součást bezpečnosti a v některých oblastech je pravidelné testování povinné. Například bezpečnostní standard pro obor platebních karet předepisuje penetrační test každý rok, případně po každé změně systému.
Jaké další možnosti má typická firma, když chce posílit informační bezpečnost?
Není možné dávat konkrétní doporučení pro obecné podmínky. Nutné kroky vyplynou především z analýzy rizik, která má nejen popsat stávající stav informační bezpečnosti, ale především, o jaké hodnoty vlastně jde. To je klíčové: bezpečnostní opatření totiž mají být adekvátní chráněným hodnotám, a to jak z pohledu samotné firmy, tak z pohledu útočníka. Z pohledu útočníka proto, že, pokud se bude chovat racionálně, tak nejspíš nebude investovat víc, než kolik může v případě úspěchu získat.
Pokud se bude chovat racionálně… je to racionální předpoklad?
Motivace útočníků mohou být různé, ale jednoznačným trendem v informační bezpečnosti je, že čím dál víc jde o peníze. To je na jednu stranu problém, protože útoky jsou čím dál víc profesionálně vedené, na druhou stranu jsou zájmy útočníků alespoň čitelnější.
Děkujeme za rozhovor.