České advokátní kanceláře v nedávné době vystrašilo několik kybernetických útoků. Ty měly podobu ransomware, tedy škodlivého programu, který blokuje počítačový systém nebo šifruje data v něm zapsaná, a pak požaduje od oběti výkupné za obnovení přístupu. Experti ze SingleCase proto vydali Deset ověřených pravidel, jak se před takovými útoky efektivně bránit. Spolupracoval na nich také Tomáš Honzák, který působí jako Chief Security Officer v česko-americké firmě GoodData a je viceprezidentem české pobočky mezinárodní asociace ISACA, která je zaměřená na audit, řízení, a bezpečnost informačních systémů.
Tomáši, ransomware je poměrně široké téma. Co vše vlastně představuje?
Pohybujeme se od banálních až naivních balíčků, z nichž třeba ani spousta nemusí být skutečně nebezpečná, až po útoky, které jsou organizované vládami. Vydírání v kyberprostoru má mnoho podob a patří sem například i vyděračské maily, které dostal každý: nafotili jsme vás přes kameru, pošlete bitcoiny, jinak to vystavíme do celého světa. Lidé jsou vyděšení a nevědí, co dělat, a tak radši zaplatí.
Dobře, ale mezitím se pohybuje strašná spousta běžného ransomwaru, který blokuje počítačový systém nebo šifruje data v něm zapsaná, a pak požaduje od oběti výkupné za obnovení přístupu. Jak funguje?
Takový program se dostane na počítač řadového zaměstnance, ani to nemusí být člověk z oddělení IT. Všechno, co ransomware potřebuje, má zaměstnanec na svém systému nebo má k dokumentům přístup, kdy celá firma zálohuje na jeden sdílený síťový disk. To je bohužel stále klasický případ řešení v českém IT. Pak stačí, aby měl zaměstnanec práva zápisu, ransomware dokumenty zašifruje a znemožní přístup pro celou firmu. Hlavní problém není v tom, že by zaměstnanec byl nešikovný nebo prostě klikal na co nemá, ale hlavní problém je absolutní nedostatek odolnosti firmy a jejích systémů proti takovému typu útoku. To je ten hlavní problém, který máme, a ten je i celosvětový.
A co ransomware a Česko?
I v Čechách je to hodně vidět, protože útoky v kybersvětě zesílily v pandemii. Vidíme také určité nepochopení. Všichni si myslí, že je možné se tomu bránit, že je možné tomu zamezit. Není to možné. Nikdy nebudete mít situaci, že celá firma bude vyškolená, celá firma bude zabezpečená a všichni budou vědět, jak se kyberútokům ubránit. Jsme lidé a děláme chyby. Na to je potřeba se připravit.
Skutečně to nevymýtíme?
Je to jako s vakcínami proti covidu. Cílem vakcín není virus zlikvidovat z povrchu zemského. Bylo by super, kdyby se to povedlo, ale ono se to nepovede. Ale když budeme všichni dobře proočkovaní dobrými vakcínami, bude to pod kontrolou. A ta škoda bude malá. Lidí v nemocnicích bude minimum, umírat jich bude ještě méně, budeme pokračovat ve vývoji molekulárních protilátek. Nakonec se s tím naučíme žít.
Dobře, a v případě ransomware útoků je to jak?
Je to úplně stejný případ. Každá firma se musí naučit bránit. Tak, že se naučí nejen zabezpečovat koncové stanice a vyškolit zaměstnance, ale hlavně stavět veškerou svou IT strukturu způsobem, že šíření ransomware v jejich systému nenapáchá zásadní škodu. To slovo „zásadní“ je důležité.
Jakou roli v tom hrají služby typu SingleCase, MS Teams nebo Dropbox?
Zdánlivě jsou to různé technologické přístupy, které automatizují a usnadňují procesy. Ve skutečnosti je tam důležitý koncepční rozdíl v tom, jak je prostředí připravené na takovéto typy útoků nebo scénáře.
Takže zásadní rozdíl mezi tím fungovat na serverech a fungovat v rámci cloud nebo digitalizovaných služeb je ten, že bezpečnost je řešena za vás? Dá se to takto zjednodušit?
Je to jedna půlka, ale není to ta nejpodstatnější. Ta nejpodstatnější je, že dnes spousta firem pracuje sice v digitalizovaném prostředí, ale nakonec uživatelé stejně vezou dokument ve Wordu, něco do něj dopíší, vyplní textové pole, nahrají to do nějakého portálu a je to…
Co to znamená?
Že skutečná odolnost proti ransomware nevzniká v okamžiku, kdy nahrávám dokumenty do cloudového řešení, ale kdy jsem v rámci digitální transformace přestal pracovat s konceptem dokumentu. Moderní cloudové služby, když jsou chytře udělané, tak fungují na principu, kdy jsou v nich informace ne v dokumentech uložených na sdíleném disku, ale v systémech a databázích coby strukturovaná data a metadata. O těch ten systém ví, je schopen s nimi pracovat a ukládat je, zpřístupňovat uživatelům v těch správných podobách, ale hlavně zálohovat je a bránit. Naprostá většina ransomwaru funguje vcelku naivním způsobem – vidím dokument, tak ho zašifruji a originál smažu. Pokud mám dokument na cloudovém úložišti, tak se mi synchronizuje na disk a já ho šifruji na svém disku. Ale i „klasické“ cloudové úložiště, je-li odolné proti ransomware a dělá alespoň stínové kopie, umožní mi se vrátit k nepoškozené verzi a mám „vyléčeno“. Pokud je ovšem ransomware chytřejší a typ úložiště rozezná, může umět zaútočit přímo na systém a s právy uživatele, nejsou-li omezená, napáchat obdobné škody jako na klasickém sdíleném disku.
Jak ale člověk pozná, že má útok řešit? Že je chytřejší?
Pokud bych tohle věděl, tak je ze mě nejbohatší člověk na světě. Univerzální řešení nikdy nebude. Vyvíjejí se technologie, vyvíjejí se útoky a nikdy nevíte, kde v systému máte zranitelnost, která je čerstvě objevená a není na ní dobré řešení nebo záplata. Důležitější je, budovat si odolnost, zvyšovat imunitu. Chovat se podle toho, jak jsem schopný v IT. Mít ve svém okolí lidi, kteří mi poradí ať už v práci nebo v soukromém životě, ale hlavně se nesmím chovat tak, jako že se mi nic nemůže stát. Naopak, měl bych vědět, kde mám jak cenná data, ať už jde o moje rodinné fotky nebo o klíčové firemní dokumenty, co jim hrozí a jak mohu já ta rizika snížit. A volím pochopitelně obranu přiměřenou důležitosti a finančním nákladům.
Předpokládám ale, že firmy typu SingleCase mají povědomí o několik levelů výš a jsou schopné rozpoznat, co je a není relevantní problém než malé IT firmy. Je tedy lepší tuto oblast svěřit někomu externě než si pracně budovat interní IT tým?
Pokud IT firma staví svoji cloudovou aplikaci má ve svých řadách odborníky na vývoj, testování, provoz i na bezpečnost, to je obrovská chytrých a schopných kumulace lidí. Udržovat systémy rozumně zabezpečené je velmi pracné, technologie jde dopředu, neustále se objevují nové věci, nové chyby, hrozby a útoky, nové businessové problémy, nová konkurence… Tomuto nastavení žádný IT pracovník v malé firmě nemůže konkurovat. Nadto každá cloudová firma ví, že bezpečnost je pro ni alfa a omega. Jeden nezvládnutý bezpečnostní incident může znamenat konec. Důležité je, jak se k tomu incidentu postavíte a jak budete schopni ukázat, že se v rámci možností udělalo to nejlepší jak v návrhu a provozu systému, tak i při samotném řešení incidentu.
A nehrozí například riziko, že nějaký uživatel SingleCase přenese ransomware do vašeho prostředí? Nemůže to způsobit kolaps?
Nemůže. SingleCase je profesionální systém, který má vybudované nástroje na řízení životního cyklu dokumentace, není to sdílený disk, kam má přístup každý. I když případný ransomware a koncové stanici dokumenty zašifruje, cloudové prostředí SingleCase udrží originály bezpečné. A ani nahrání napadeného dokumentu nebo samotného malware do takového systému není pro SingleCase nebezpečné.
Zmínil jste také kybernetickou odolnost. Jak vlastně vypadá?
Na to také není jednoduchá odpověď. Ve skutečnosti je to jako, když se mě ptáte, jak si postavit odolný dům. Musím vědět, kde budete dům mít, jaké je podloží, jak budete topit a podobně. U řeky se budeme chtít chránit před povodní, na středomořském ostrově před horkem… Se systémy je to podobné. Můžu mít například skvělý antivirový program na koncových zařízeních, ale pokud mi přijde zavirovaný email na Microsoft Exchange server, který bude zranitelný a nebude na něm žádné antivirové řešení, tak se virus dostane do sharepointu a o data stejně přijdu. Takže, abych dosáhl skutečné kybernetické odolnosti, musím začít od celkového, koncepčního pohledu. Udělám si nákres, kudy mi „tečou“ data, jaká zařízení zaměstnanci používají, zda má klient koncept firemní sítě, jaké systémy jsou v cloudu, kam ukládám data, kde mám mailový server, kdo se o něj stará, atd. Na tomto diagramu si udělám analýzu rizik, co se kde může stát a jaký to bude mít dopad. Musím vědět, jak velké mám ve firmě procesy, jaké potřebují vstupy a jakou pro mě mají hodnotu. Nemůžu chránit věci, o kterých nevím, že je mám. Ochrana musí být přiměřená tomu, jakou škodu může způsobit, pokud se mi něco stane… Jinak se chráním před ztrátou integrity a dostupnosti, kterou způsobí útok ransomware a úplně jiná opatření budu zvažovat, když mi hrozí, že třeba nespokojený zaměstnanec může chtít citlivé dokumenty o firemní strategii prodat konkurenci.
Dobře, kdybychom ale měli dát po vzoru Deseti ověřených pravidel, jak se před takovými útoky efektivně bránit zhuštěný návod, jak by vypadal?
Udělejte si pro typ útoku, kterého se obáváte, mentální cvičení. Představte si například, že vám do sítě ransomware pronikl. Kudy se tam dostal? Jakou škodu napáchal? Takové cvičení napoví mnohé. Ale existují pravidla obecná a univerzální. Zaprvé jde o ochranu koncových zařízení, tedy počítačů či notebooků, dobrým antimalwarem. Zadruhé by měly být všechny systémy, které komunikuji s internetem, průběžně a pravidelně aktualizovány. No a zatřetí bych měl vysvětlit zaměstnancům reálnost hrozby ransomware nebo jiných kybernetických útoků. Pokud se jim cokoliv nezdá, okamžitě musí počítač odpojit od sítě nebo vypnout a kontaktovat své IT oddělení, případně IT pracovníka. Pokud zaměstnanec reaguje rychle a IT oddělení je připraveno, máte velikou šanci, že útok přežijete bez závažných následků.
Úvodní foto: Peter Pieras z Pixabay
Foto Tomáše Honzáka: jeho archiv