Podle letošního průzkumu provedeného mezi evropskými manažery rizik jsou jasně největším nebezpečím kybernetická rizika a zajištění bezpečnosti dat, následované regulacemi a outsourcingem. Více než třetina kybernetických útoků se odehrává na sociálních sítích. „Jsme svědky celkového postupného přesunu kriminality z fyzického do virtuálního světa. Uvědomme si, že z hackingu je dnes byznys a malware lze nakupovat na dark webu, kde je možné koupit i přístupová jména a hesla, čísla karet, přístupové údaje do internetového bankovnictví či najmout si služby hackera,“ upozorňuje Tomáš Doležal, manažer operačních rizik Komerční banky v rozhovoru pro TRADE NEWS.
Prevence a vzdělávání jako zbraň
Když mluvíme o rizicích, kde je nejslabší článek?
Dnes se více než 95 % veškerého platebního styku odehrává elektronicky. Organizace jsou často proti útokům vcelku dobře zabezpečeny, a tak třeba v bankovnictví útočí kybernetičtí zločinci přímo na klienta jako na nejslabší místo, jelikož dostat se k účtům zákazníků přes několik vrstev zabezpečení jako firewall, antivirus či šifrování dat je pro ně zbytečně složité. Daleko jednodušší je „zavirovat“ klientův počítač a získat jeho přihlašovací údaje anebo vzdáleně vstoupit do jeho počítače a přes něj se dostat do banky v uvozovkách oficiální cestou, která se tváří jako standardní provoz. To je v dnešní době jednoznačný trend, a proto je nesmírně důležitá prevence mezi klienty a jejich vzdělávání v tomto směru.
A kde tedy číhají nebezpečí přímo na banku?
Když dáme stranou takzvané DDoS útoky, tedy útoky brutální silou, kdy masivním počtem požadavků vyřadíte určitou webovou stránku z provozu, standardně jde v první řadě o karetní podvody a útoky na internetové bankovnictví – ty jsou pro banky nejnebezpečnější z pohledu finanční hrozby. Nejfrekventovanějším útokem v kyberprostoru, a to obecně, jsou karetní podvody. Valná většina je realizovaná formou „card not present“, tj. zneužitím karet na internetu. Například se vyskytly případy, kdy klientům nakupujícím na méně věrohodných čínských eshopech byly jejich karty zneužity.
Jak se lze proti tomu bránit?
Existuje ochrana v podobě 3D Secure řešení, která vyžadují dodatečnou autorizaci při online karetních transakcích, například formou potvrzovací SMS. Jejich velkou výhodou je to, že příslušný eshop nebo jiná třetí strana nemá k dispozici vaše karetní data. Jestliže daný eshop není 3D Secure a dojde ke zcizení karetních údajů, je automaticky vinen právě on.
Pokud jde o útoky na internetové bankovnictví, rozlišujeme útoky zaměřené na korporátní klienty a útoky cílené na retailové klienty. Korporátní klienti používají čipovou autorizaci, která je sama o sobě téměř neprůstřelná. Ale pokud útočník převezme vzdálenou kontrolu nad napadeným PC a zadá podvodné transakce bez vědomí klienta, představuje to obrovské riziko, jako například u viru Hesperbot. Ochrana pak spočívá v řešení, kdy se karta vkládá do externí čtečky opatřené klávesnicí, kam zadáváte i PIN, a pak je komunikace mezi touto čtečkou a počítačem šifrovaná, takže ten, kdo se k počítači vzdáleně připojí, nemá možnost tyto údaje přečíst.
Velké obavy panují také z takzvaných APT útoků (z angl. advanced persistent threat, tedy pokročilá hrozba). To jsou útoky, za nimiž stojí dobře organizované skupiny lidí, pravděpodobně financované státy, které investují značné množství peněz a času do toho, aby infiltrovaly určitou organizaci, fungovaly tam nepozorovaně třeba rok a vytipovaly osoby, jež v ní mají potřebná přístupová oprávnění, a přes ně pak realizovaly útok. V roce 2016 byla takto napadena bangladéšská centrální banka, které byla málem zcizena skoro miliarda dolarů.
A jak to chodí v případě útoků na retailové klienty?
Ti používají souborový certifikát s následnou SMS verifikací, proto musí útočník infikovat jak PC klienta, tak i jeho telefon, a proto je důležité, aby klienti neinstalovali na své mobilní telefony žádné aplikace mimo „oficiální“ obchody, jako jsou App Store či Google Play.
Česko jako testovací země pro hacking
Dá se o některých zemích říct, že jsou největším líhništěm hackerů? A proč?
Aniž bych chtěl na některé země ukazovat prstem, tak takoví největší guruové v oblasti hackingu pocházejí ze zemí bývalého SSSR nebo z Číny, to je celkem neoddiskutovatelné.
Napadení CNC programu hackery může firmu v extrémním případě i zlikvidovat.
Česko bývá z mnoha hledisek řazeno mezi východní nebo stále se rozvíjející trhy. Platí to i v případě kybernetické bezpečnosti? Je u nás více hackerských útoků než jinde v Evropě?
Z makroekonomických dat nelze říct, že by hackeři více útočili na organizace v Česku než třeba v Polsku, ale například v roce 2013 byl spuštěn zmíněný virus Hesperbot, který se zaměřil na internetové bankovnictví. Česko bylo hackery vytipováno jako pilotní testovací země vzhledem ke kvalitě bankovního zabezpečení, vysoké míře používání internetového bankovnictví, vybavení (například korporátní čipové karty jsou standardem) a rychlosti platebního styku, která je jednou z nejvyšších v Evropě. Pro útočníky to byl zkrátka ideální trh k vyzkoušení, jak to pak bude fungovat – přičemž mezi hlavní cílové trhy patřilo třeba Turecko.
Vzhledem k novým trendům v průmyslové automatizaci, robotizaci a digitalizaci je téma kybernetické bezpečnosti velmi aktuální i pro strojírenský a výrobní sektor. Očekáváte, že se jich tato témata budou v příštích letech týkat daleko víc než třeba sektoru služeb nebo konkrétně finančnictví či IT?
Strojírenské a výrobní firmy by měly, možná ještě spíše než firmy z jiných sektorů, zavádět přísnější bezpečnostní opatření proti úniku dat a informací. Vedle obecného rizika krádeže nebo ztráty knowhow si vezměte třeba CNC stroje: obrábění je primárně dané parametrem programu, který na daný stroj nastavíte. Pak stačí, když někdo jen nepatrně tento parametr změní – a je to třeba tak nepoznatelná změna, že se při kontrole ani nezjistí – a po měsíční produkci vám výrobek začnou klienti hromadně vracet. Tyto hrozby jsou o to horší, že závislost výrobních nebo strojírenských firem třeba v případě uvedených CNC strojů na digitalizaci je dnes stoprocentní. V okamžiku, kdy dojde v CNC programu k nějaké modifikaci, může to tedy takovou firmu v extrémním případě i zlikvidovat.
Abychom neplatili výpalné
To zní děsivě. A jaké jsou další nejnovější trendy mezi hackery?
Takovým hitem letošního roku je ransomware, který spočívá v tom, že vám zašifruje veškeré informace, které v počítači máte, a chce po vás výpalné. Žádná data nikam neodcházejí, takže o nic nepřicházíte – jen musíte poměrně dost zaplatit za to, abyste k nim měli opět přístup, a to se týká i dat na síťových discích a na cloudech. Účinná obrana pro firmy spočívá v tom, mít servery a routery v dobrém stavu a pravidelně „patchované“, tj. aktualizované, mít všechny přístupy ošetřené hesly, nastavené firewally atd. Vedle toho určitě pomůže, když je například zakázáno vkládat do firemních počítačů neautorizované USB disky. Pokud mají podniky toto vše standardně nastavené, nejnebezpečnější cestou je email, jímž se může do organizace malware pořád poměrně snadno dostat, zejména když obsahuje odkaz, na který zaměstnanci kliknou. Existují řešení, která „otestují“ odkaz v příchozím emailu, a kdykoli naleznou nějakou formu malwaru, takový email ihned vyhodí.
A co takový fenomén dneška, jako jsou takzvané odklony plateb, kdy podvodníci pošlou email, v němž informují o změně platebních údajů, a při stresu či nepozornosti se tak velmi snadno stane, že místo svému dodavateli firma bude zasílat velké částky peněz na podvodný účet. Jak se bránit proti tomu?
Vcelku jednoduše: například mít ve smlouvách zakotveno, že platební údaje se mohou měnit jen na základě dodatku podepsaného oběma stranami. Nebo mít nastavený proces, kdy dodavatele do účetního systému registruje jiný tým lidí než ten, který vyřizuje platby, čímž se eliminuje riziko chyby lidského faktoru. Existují však ještě méně sofistikované útoky: útočníci zjistí, kdo je v dané firmě generálním ředitelem, finančním ředitelem, obchodním ředitelem a podobně, a v období, kdy jsou mimo kancelář, napíšou do firmy email jakoby jménem jednoho z nich a přimějí účetní, aby realizovala platbu na určitý účet. Je to vcelku prosté – když účetní dostane email od generálního ředitele s žádostí o okamžité zaslání platby, většinou to bez dotazů udělá.
Jak vnímáte nastupující trend mobilního bankovnictví? Je opravdu dobře, abychom ve svém mobilu měli vedle telefonu, fotoaparátu, plánovače a minilaptopu i banku? Jakým způsobem je to zabezpečené?
Z hlediska uživatelského komfortu nemají chytré telefony v dnešní podobě konkurenci a nevidím důvod, proč by se to mělo měnit. Mobilní bankovnictví je už dneska vlastně taková malá pobočka – už to není jen o platebním styku, ale klienti si můžou v mobilu žádat o nové bankovní produkty, například požádat o úvěr a stvrdit to elektronickým podpisem. Do mobilní banky se lidé logují cca desetkrát častěji než do internetového bankovnictví. Platby jsou pro klienty mnohem jednodušší, například mohou naskenovat QR kód na složence a rovnou zaplatit.
Z pohledu bezpečnosti tu až takový problém nevidím. Autorizace je dvoufaktorová – prvním krokem je to, že si spárujete zařízení se svou bankou, takže když vám mobil někdo ukradne i s přihlašovacími údaji, nebude moci realizovat žádnou transakci. To by se musel přihlásit do klasického bankovnictví, kde to jako druhý krok autorizuje a podepíše heslem. No a u stále častějšího typu autorizace otiskem prstu je bezpečnost už opravdu na vysoké úrovni. Jsem přesvědčen o tom, že mobilní telefony budou hrát stále významnější roli v našich životech a s dalším vývojem aplikací a jejich zlepšující se funkcionalitou se bude nadále rozšiřovat také využití mobilního bankovnictví, takže mobilní banka bude během tří čtyř let hrát stejnou roli jako dnes internetové bankovnictví.
Menší firmy jsou hodně zranitelné
Podle posledního průzkumu AMSP ČR byly čtyři z deseti podniků vystaveny kybernetickému útoku, přičemž téměř každý třetí z těchto podniků se stal obětí napadení emailového účtu hackery. To jsou poměrně vysoká čísla. Čím to podle vás je? A jak tomu mohou samy firmy čelit?
Obecně by firmy měly minimalizovat možné cesty, jimiž se mohou útočníci do jejich infrastruktury dostat a kterými mohou unikat data. Po vzoru bank, kde jsou samozřejmě zavedena nejvyšší bezpečnostní opatření, by tak měly zamezit připojení neautorizovaných zařízení do firemních sítí, nepovolovat připojení externích zařízení do firemních počítačů, instalovat na firemní počítače šifrování disků – takže když se počítač ztratí, žádné informace neuniknou ven. Dále je lepší blokovat internetové stránky, u kterých je riziko výskytu malwaru, nebo nefiremní emailové služby – např. Gmail, Hotmail, Seznam a podobně. Tím se eliminuje ten nejsnazší zdroj infekce, ale také únik dat nebo i knowhow emailovou cestou. Další věc je, že by zaměstnanci neměli mít administrátorská práva na firemních počítačích, aby tam nemohli libovolně instalovat programy či aplikace. Je to pro ně samozřejmě nepříjemné a považují za zbytečnou opatrnost, když si nemůžou nainstalovat Skype, otevřít si Gmail nebo Facebook, ale zkušenosti a trendy z posledních let ukazují, že restrikce, které se budou ve firmách zavádět, budou čím dál přísnější. Pokud firmy nebudou chtít být stále častěji předmětem útoků, budou muset následovat příkladu bank.
Víc než polovina firem s miliardovým a větším obratem v průzkumu uvedla, že byla cílem napadení. U menších firem byla tato čísla výrazně nižší. Menší firmy se tedy mohou cítit méně ohroženy a mohou ochranu podcenit. Jaká specifická rizika existují právě pro ně?
Nechci říct, že zrovna malé a střední firmy můžou být tou nejohroženější skupinou, ale je potřeba zopakovat, že kybernetičtí útočníci často jdou tou nejjednodušší cestou, tedy tou nejméně zabezpečenou. A ta vede mnohdy právě do malých a středních podniků, třeba už kvůli tomu, že zpravidla nemají IT oddělení, nevěnují zabezpečení dostatečnou péči, náklady atd. Malé firmy mají navíc častokrát dost starostí s tím, aby udržely v chodu svůj byznys, a nemohou tedy po večerech kontrolovat servery a routery. Logicky po čase bude jejich bezpečnostní infrastruktura děravá jako cedník, a stane se tak pro útočníka snadným cílem.
KB je podle tohoto průzkumu hodnocena pětinou podnikatelů jako nejbezpečnější v souvislosti s kybernetickou bezpečností. Jaká řešení či nástroje jim nabízíte?
Pro KB je bezpečnost informací a transakcí našich klientů klíčovou prioritou. Máme velmi pokročilé prevenční systémy Trusteer Rapport, což je něco jako antivirus, jen se specializuje na bankovní malware. Samozřejmě vyžaduje aktivitu klienta, který sám musí tento systém nainstalovat na svůj počítač. Vedle toho klademe velký důraz na detekce možných podvodů založených na behaviorálních charakteristikách, kdy z historického chování klienta podle plateb včas detekujeme podezřelou platbu a klienta kontaktujeme, abychom ověřili, že tuto platbu skutečně provedl. A v neposlední řadě je tu už zmíněné vzdělávání našich klientů v oblasti kybernetických rizik, aby je hned tak něco nezaskočilo.
Text: Daniel Libertin
Foto: archiv KB