Za úspěšným kyberútokem je nejčastěji selhání lidského faktoru

Náměstek Úseku informatiky Fakultní nemocnice u sv. Anny v Brně Ing. Martin Mareček je jedním ze zakladatelů celostátní iniciativy na kyberochranu nemocnic. Pokusů o kybernetický útok na zdravotnická zařízení stále přibývá, a tak není divu, že některé z nich spojily síly.

Napadení elektronických systémů hackery je v poslední době časté…

Pokusy o napadení jsou zaznamenávány na denní bázi. Někdy se jedná o phishing, jindy zase o cílené pokusy prolomení firewallů, případně zneužití známých zranitelností. Abychom nekřivdili pouze uživatelům, tak selhání lidského faktorů samozřejmě existuje i u systémových inženýrů a IT odborníků. Nicméně v těchto případech se jedná v drtivé většině případů o selhání jedince nebo o chybu systémovou. I na tomto bojišti však platí, že ochrana je stejně silná jako její nejslabší článek. Za úspěšným útokem, kdy dojde k poškození či zcizení dat, je bohužel nejčastěji na prvním místě selhání lidského faktoru následováno dalšími. Jinak řečeno, když už jsem uvnitř, tak se trochu „porozhlédnu“.

Co konkrétně lidé dělají špatně v otázce kyberbezpečnosti?

Nevětším prohřeškem je podle mých zkušeností malá ostražitost, důvěra a neuvědomění si následků.  Jinak řečeno: „Mně se to stát nemůže.“ Mezi nejčastější prohřešky patří vyplnění přihlašovacích údajů na neautentické internetové stránce, případně otevření nebezpečné přílohy obsahující škodlivý kód z e-mailové komunikace. Jako další příklad lze uvést i použití flash disku, který byl úmyslně útočníkem nastražen, případně neprověření pracovníka, který se vydává za zástupce servisní organizace s argumentem o provedení lokální opravy.

Proč se teď tyto věci dějí mnohem více než před pár lety?

Pokusy o získání citlivých údajů tady byly vždycky. Ale ano, musím potvrdit, že v čase narůstá počet pokusů o kompromitaci. Od jednoduchého „očuchávání“ vnějšího perimetru, až po cílené sofistikované pokusy kompromitace uživatelských přístupů do sítě a jejich následné zneužití. Nejčastější je již zmíněný phishing, kdy se může jednat o lákání finančních prostředků, snahu vylákat oběť na nebezpečné internetové stránky nebo získat přihlašovací údaje. V poslední době jsou tyty pokusy už na takové úrovni, že dochází k telefonním hovorům, kdy se volající prezentuje jako pracovník bankovního ústavu se snahou autorizovat bankovní operaci.

Kdy se útočí nejčastěji, ve dne nebo v noci?

Během nočních hodin jsou nejčastěji směřované útoky, které využívají vysokého výkonu výpočetní techniky. Tedy například při šifrování dat. V tomto okamžiku jsou lidé u PC považováni za nežádoucí faktory, protože by mohli identifikovat probíhající šifrování a celý útok zmařit. Naproti tomu DDoS útoky na online služby se zase dějí v době, kdy jsou tyto služby nejvíce využívány. Tak, aby způsobená škoda přetížením ovlivnila co nejvíce lidí.

Byl jste jedním ze zakladatelů celostátní iniciativy na kyberochranu nemocnic. Co je jejím cílem?

První myšlenka iniciativy se začala rodit po útoku na Benešovskou nemocnici. Cílem bylo vzájemně si mezi nemocnicemi pomoci a sdílet informace, zkušenosti a zároveň know-how. Aktuálně signovalo memorandum iniciativy více než 20 organizací včetně ČVUT, Národní agentury pro komunikační a informační technologie a CESNETu. Celkově se k ní připojilo také již více než 40 zdravotnických subjektů v rámci celé republiky. Cíle a důvody se samy nabízí. Stačí si spočítat, kolik potřebuje jedna organizace bezpečnostních pracovníků a kolik jich najdeme na trhu práce. Při sdílení těchto osob dojde k úspoře finančních i lidských zdrojů v řádech desítek milionů ročně. Další informace o této iniciativě a jejích aktivitách jsou k dohledání na internetových stránkách https://hsoc.cesnet.cz.

Jedním z nápadů iniciativy je vytvoření sdíleného bezpečnostního operačního centra. Jak by takové centrum fungovalo?

V dnešní době využívání informačních a komunikačních technologií se jedná o jednoduchou myšlenku. Nezáleží na tom, kde zrovna člověk fyzicky sídlí. Takové dohledové centrum by ve skutečnosti analyzovalo data „odkudkoliv“, následně by se tato data ukládala v rámci zabezpečené infrastruktury. A zde se právě nabízí sdílení odborníků z jednotlivých zapojených subjektů. Výsledkem by tedy nebyl „jenom“ provoz dohledového centra, ale souběžně úspora finančních prostředků pro všechny zapojené subjekty a udržování rozvoje a informovanosti podílejících se sdílených pracovníků. Výhodou takového sdíleného centra je možnost reagovat a řešit incident v některé s dohledovaných organizacích a aplikovat jej na všechny zapojené a tím minimalizovat rizika i následky.

Je vůbec možné absolutně zamezit kyberútokům? Nebudou vždycky ti útočníci o krok dopředu?

Kyberútokům jako takovým lze absolutně zamezit pouze jediným způsobem, a to vypnutím globální sítě a vzdáním se digitalizace. (smích) Ano, uznávám, že tento jediný způsob je mimo mísu a nereálný. Takže jednoduchou odpovědí na otázku je: NE. Útočníci nejenže jsou kroky napřed, ale i v budoucnu budou na míle vzdáleni. V tomto duchu lze říci, že útočníci mohou replikovat a inovovat útoky stále v náhodných cyklech, i když se jim nezdaří. My na druhé straně barikády musíme být stále připraveni a nesmíme podlehnout.