Papír a tužka jsou po útoku k nezaplacení
Zbyněk Malý, poradce pro kybernetickou bezpečnost ve společnosti Anect,,nám mimo jiné odpovídal, co motivuje kybernetické zločince k útokům na veřejně prospěšné organizace, jako jsou nemocnice.
Proč se stávají nemocnice cílem kyberútoků? Kdo jsou vlastně dnešní kybernetičtí zločinci a co je k útokům motivuje? Jak se dá nejlépe vypořádat s bezpečnostním incidentem? Na to vše odpověděl Zbyněk Malý, poradce pro kybernetickou bezpečnost ve společnosti Anect.
Na nedávných kauzách se ukázalo, že ve chvíli, kdy dojde k nějakému kyberbezpečnostnímu incidentu, který se dotkne IT krize, řada firem se ocitne bez přístupu ke svým systémům a datům, někdy dokonce nejen dočasně. Je tedy klasická tužka a papír řešení, jak se v první chvíli vypořádat s útokem?
Papír a tužka je opravdu při těchto krizích k nezaplacení. Nejen proto, aby se mohly vykonávat a zaznamenávat rutinní činnosti, které se po návratu do standardního stavu převedou do patřičných informačních systémů. Důležité je mít na papíře – tedy vytištěné – postupy pro řešení havárií a poté pro přechod do standardního stavu.
Není vhodné, aby kvalitně zpracované havarijní plány byly pouze umístěny na nějakém datovém úložišti a v případě havárie k nim nebyl přístup. Stejně nutné je dokumentování veškerých kroků, které jsou v havarijním stavu provedeny, a zde je opět tužka a papír k nezaplacení.
Nedávno došlo hned k několika útokům na nemocnice. Proč si útočníci vybírají tyto cíle?
Jde především o špatný stav technického zabezpečení, nemocnice raději vynaloží finance do zdravotnického zařízení než do bezpečnostních technologií a systematických opatření. Například nedostatečné či zcela chybějící oddělení sítí, chybějící softwarové aktualizace, v mnoha případech i již dlouho nepodporované systémy a aplikace, nepravidelné zálohování spolu s nedostatečným bezpečnostním vzděláváním zdravotnického personálu je bohužel klíčem k úspěšnému útoku.
V současné pandemické době je navíc nemocniční personál trvale vystaven stresu a únavě. Tyto psychické podmínky způsobují potlačení přirozeného bezpečnostního vědomí (tzv. selského rozumu), čímž se riziko úspěšného útoku diametrálně zvyšuje.
Kdo jsou vlastně dnešní kybernetičtí zločinci?
Většina lidí si útočníka představí jako teenagera v černém vytahaném tričku, s umaštěnými vlasy, který má kůži bílou jak stěna, protože celý den i noc tráví před obrazovkou počítače. Přestože tento typ útočníka existuje, reprezentuje pouze malou část z celé populace útočníků. Uděláme si tedy malý přehled útočníků a pro začátek je rozdělíme na externí útočníky (ti, co jsou mimo organizaci) a interní útočníky (ty uvnitř organizace).
Útočníci, o kterých se veřejnost dozvídá nejčastěji, patří takřka výhradně do kategorie externích útočníků. Můžeme mezi ně zahrnout jak teenagery, tak profesionály najaté vládou nebo nebezpečnými organizacemi. Kromě útočníků snažících se škodit existuje i skupina hackerů, kteří jsou označováni jako WhiteHat, popřípadě etičtí hackeři. Jejich snahou není poškodit systém, ale nabourat se do něj, aby nalezli slabinu a poukázali na ni. Při tom mohou nedopatřením způsobit škodu, i když to nezamýšleli.
Nesmíme také zapomenout na relativní novinku, a to útok jako služba, kdy si na specifickém „e-shopu“ objednám typ útoku a případný cíl, po zaplacení relativně malé částky se útok uskuteční. V případě útoku kryptovirem (vyděračský virus, tzv. ransomware) je část výkupného směrována na tvůrce tohoto škodlivého kódu anonymní platbou ve formě bitcoinů.
I když nám média představují především útočníky z řad externích, pravdou je, že většina útoků padá na hlavy těch interních. Je všeobecně známo, že počítače s přímým přístupem na internet jsou z pohledu bezpečnosti konfigurovány přísněji než počítače uvnitř sítě, které mají přístup k internetu zprostředkovaný. Značné množství firemních dokumentů bývá přístupných na společném síťovém disku, kde není vyžadována autorizace. Interní útočník má tedy oproti svému externímu kolegovi značně zjednodušenou situaci. Navíc útok může vést z počítače svého kolegy, a tím jakékoliv vyšetřování zavést do slepé uličky.
Jaké jsou vlastně motivace útočníků?
Útočníci se snaží nabourat do systémů z mnoha důvodů. I když každý útočník představuje zřejmé riziko, jeho motivace nám může pomoct v určení hrozby, kterou pro systém představuje. S těmito znalostmi můžeme při detekci útoku snadněji určit útočníkův cíl a lépe zabránit jeho dosažení.
Většina útočníků je motivována více než jedním důvodem. Mezi nejčastější důvody patří známost (proslulost), přijetí ostatními, egoismus, finanční zisk, výzva, aktivismus, pomsta, špionáž, informační válka…
Jak se dá účinně bránit dnešním kybernetickým útokům?
Útok je provedením hrozby a jeho důsledkem je ztráta nebo snížení hodnoty aktiva. Pokud chceme účinně zabránit útoku, je nutné nejdříve pochopit uvažování útočníka a jeho motivaci. Stejně tak je potřeba umět přesně ohodnotit své schopnosti. Díky objektivnímu hodnocení svých schopností se vyvarujeme chyb, které vznikají nesprávným pochopením hrozby, a tím i špatnou volbou protiopatření. Z druhé strany, pochopením útočníka, se můžeme při návrhu bezpečnosti dívat na celý problém jeho očima a uvědomit si možná rizika, která by nám jinak pravděpodobně unikla.
Jak se nejlépe vypořádat s kybernetickým útokem?
Vše záleží na rozsahu, pokud došlo k zavirování některých systémů, nedošlo k destrukci dat, ideální je dát daný systém do „karantény“ a kontaktovat odborníky, kteří dle rozsahu napadení poradí, popřípadě pomohou s likvidací škodlivého kódu a kontrolou cest, kudy mohlo k tomuto nakažení docházet. V případech, kdy došlo k napadení tzv. kryptovirem, je (pokud existují zálohy) i zde nutný kontakt s odborníky, nalezení slabého místa, kudy se nákaza do systémů dostala a jak toto slabé místo ošetřit.
Pravděpodobně bude navržena varianta úplné reinstalace všech (i nenapadených) systémů a poté obnova ze záloh. V případě, že zálohy jsou nečitelné, jde o velký problém, v určitých případech však řešitelný. Existuje sdružení No More Ransom, které je iniciativou Národního centra pro boj s informační kriminalitou nizozemské policie, Evropského centra pro boj proti kybernetické kriminalitě při evropské agentuře EUROPOL a dalších. Toto sdružení mimo jiné shromažďuje informace o vyděračských virech a u poměrně velkého vzorku těchto virů má k dispozici tzv. master key, pomocí kterého se dají zašifrovaná data opět zachránit. To však neznamená, že po takovéto záchraně dat je vše v pořádku. Škodlivý kód je i přes tuto záchranu v systému.
Tedy vhodné se jeví původní počítačovou síť nazvat jako „špinavou“, vytvořit „čistou“ síť a postupnými kroky jednotlivé počítače a systémy (samozřejmě kompletně přeinstalované a z napadených strojů použít pouze uživatelská data) do ní připojovat. V každém případě je nutné kontaktovat policii a informovat ji o podezření na spáchání trestného činu dle §230 trestního zákoníku – neoprávněný přístup k počítačovému systému a nosiči informací.
Autor textu: Michala Benešovská