Podľa údajov britského štatistického úradu ONS (Office for National Statistics) klasická kriminalita roky klesá. Šokujúci je však údaj z obdobia od apríla 2018 až do marca 2019, z ktorého vyplýva, že zaznamenaná kybernetická kriminalita v počte incidentov dobehla klasickú. Aký je stav kybernetickej bezpečnosti aktuálne v praxi? Týkajú sa kybernetické útoky našich slovenských priemyselných podnikov?
Súhlasím. Výsledky z britského štatistického úradu potvrdzuje aj ďalší zdroj globálneho charakteru s názvom Verizon Data Breach Investigation Report. Kybernetická kriminalita celosvetovo stúpa. Treba si tiež uvedomiť, že kybernetické útoky nemajú len finančné ciele, a to nabúrať sa niekomu na účet a odcudziť peniaze. Ciele môžu byť aj politické, ako napríklad ovplyvňovanie verejnej mienky, polarizovanie spoločnosti, šírenie dezinformácií. Potom už hovoríme o etických, prípadne sexuálne motivovaných kybernetických útokoch. Slovenské priemyselné podniky nie sú žiadnou výnimkou, avšak tieto prípady nie sú až také medializované ako v iných krajinách. Dôvodom je často obava o reputáciu. Takéto myslenie musíme zmeniť. Musíme sa naučiť hovoriť aj o negatívnych skúsenostiach, pretože obrana proti kybernetickým zločinom by mala byť kolektívna. Časť tohto problému však môže vyriešiť zákon o kybernetickej bezpečnosti, ktorý predstavuje pre subjekty, tzv. povinné osoby, okrem iného aj ohlasovaciu povinnosť.
Potreba hovoriť o možných nástrahách kybernetickej bezpečnosti je akútna najmä preto, že aj rôzne štatistiky preukázali hrozivé výsledky. Môžete nám povedať aké?
Hovorí sa, že najzraniteľnejšie miesto je medzi stoličkou a klávesnicou a v mnohom to potvrdzuje už skôr spomenutý Verizon Data Breach Investigation Report, ktorý monitoruje globálne dianie a trendy. Len za minulý rok bolo za viac ako 73 % narušeniami bezpečnosti dát zlyhanie ľudského faktora, čo je oproti predošlému roku zlepšenie z 82 %. Avšak štatistika je stále hrozivá. Útočníci najčastejšie využívajú ransomvérový scenár, kde medzi najaktívnejšie vektory útoku patrí e-mailová správa, cez ktorú sa útočník infiltruje do vnútornej siete spoločnosti. Podľa spomenutého reportu viac ako 91 % kybernetických útokov sa začína práve takto. Útočníci už dávnejšie pochopili, že snažiť sa prelomiť dnes už pomerne solídne zabezpečené systémy v organizáciách je časovo a finančne pomerne náročné a oveľa efektívnejšie je cieliť škodlivé aktivity na používateľa.
Cieľom informačnej bezpečnosti je udržať dáta, informácie, systémy a zariadenia v bezpečí pred možnými únikmi. V súčasnosti sú firmy nútené venovať sa oblasti bezpečnosti čoraz viac. Tlačí na ne nielen zvyšujúca sa digitalizácia prinášajúca vyšší počet potenciálnych útokov, ale aj prísnejšia bezpečnostná legislatíva, ktorá do praxe prináša niekoľko kľúčových zmien a nových povinností. Aký dosah má na podniky zákon o kybernetickej bezpečnosti? Kedy je podnik povinný riešiť informačnú a kybernetickú bezpečnosť?
Celoeurópska legislatíva v oblasti kybernetickej bezpečnosti, teda smernica NIS a teraz hlavne NIS2, je pomerne populárna téma, na ktorú reagujú všetky krajiny Európy. Členské štáty Európskej únie majú povinnosť do 17. októbra 2024 vytvoriť vlastnú legislatívu, ktorá by mala vychádzať čiastočne aj z predošlej smernice NIS. Na Slovensku sme v tejto oblasti, dá sa povedať, popredu a máme vlastný legislatívny rámec, ktorý vychádzal z NIS, konkrétne zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti a príslušné vyhlášky (ZoKB). V decembri 2023 bol schválený NIS2, preto členské štáty EÚ, ktoré dosiaľ nereagovali na NIS, ako napríklad Poľsko, musia reagovať a pripraviť zákon. Susedné Česko malo tento zákon pripravený, povedal by som však, že nie až tak prísne, ako to upravuje NIS2, a preto ho pripravujú nanovo. Náš zákon bol pravdepodobne zo všetkých členských krajín najprísnejšie pripravený, takže u nás ide iba o novelizáciu existujúceho zákona. NIS2 zároveň prináša pomerne výrazné rozšírenie zoznamu subjektov, ktoré sa budú musieť riadiť zákonom o kybernetickej bezpečnosti. V súčasnosti je to asi 1 800 subjektov, no po novelizácii zákona a podľa nových identifikačných kritérií pôjde približne o 9 000 subjektov. Pribudli k nim najmä výrobné a potravinárske podniky, farmaceutický priemysel, odpadové hospodárstvo a ďalšie, ktoré neboli súčasťou NIS.
Možno povedať, že v minulosti stačilo na ochranu firemnej IT infraštruktúry zabezpečenie vnútornej siete firewallom a na všetky koncové zariadenia nainštalovať antivírus. Tento prístup je v súčasnosti nedostatočný. Z tohto dôvodu sa prechádza na tzv. architektúru Zero Trust. Je to naozaj bezpečné riešenie? Čoho sa týka tento koncept?
Súhlasím s vaším tvrdením. Roky naozaj stačilo robiť pre bezpečnosť oveľa menej ako v súčasnosti. Na koncových zariadeniach stačilo inštalovať antivírusové produkty a na perimetri firewall. Pokročilejšie zabezpečenie používali predovšetkým bezpečnostné zložky a finančné inštitúcie. Dnes sme úplne niekde inde. Hrozieb a foriem útokov stále pribúda, a preto je potrebné, aby sa aj táto oblasť neustále vyvíjala. Architektúra Zero Trust je určite jedna z veľmi dobrých metód. Útočníci nespia, neustále vymýšľajú nové formy útokov. Za posledné obdobie mala na bezpečnosť vplyv aj pandémia. Množstvo ľudí pracovalo vzdialene, z domácností, čo prakticky zbúralo perimeter, respektíve posunulo ho na identitu používateľa. Spoločnosti hľadali najúčinnejšie spôsoby, ako zabezpečiť takúto formu práce, komunikáciu a prenos údajov. Preto vznikol aj tento koncept, ktorý vychádza z niekoľkých prvkov, ako je neustále overovanie identity používateľa, šifrovanie komunikácie alebo poskytovanie minimálneho prístupu len tam, kam to je pre prácu nevyhnutne potrebné, prípadne s časovým obmedzením pripojenia, čo eliminuje dôsledky škôd, ktoré môže spôsobiť malvér. Stačí to? Je to určite oveľa viac ako neurobiť nič. Možno už o pár mesiacov to nebude stačiť, preto treba neustále pracovať na nových prístupoch.
Jeden z najvýraznejších faktorov je samotná povaha kybernetického priestoru, ktorý nie je ničím limitovaný. Prakticky nemá žiadne hranice. Prebieha v ňom veľká časť osobného, ale aj pracovného života každého človeka a už je takmer nemožné oddeliť tieto dva svety. Nehovoriac o tom, že zo súkromných zariadení dokážeme pristupovať do firemného prostredia. Prečo je to často vstupná brána pre útočníka?
Prečo je to cielené na používateľa, človeka? Pretože je to tá najjednoduchšia cesta. V minulosti sa snažili útočníci prelomiť bezpečnostné systémy a infiltrovať sa do siete organizácie s rôznymi cieľmi, ako napríklad zašifrovať dáta alebo ukradnúť dôležitú priemyselnú dokumentáciu, patenty a podobne. Ciele sú dnes rovnaké s tým, že je oveľa jednoduchšie sa k nim dostať práve cez používateľa, jednotlivca. Štatisticky je dané, že najviac útokov prebieha cez víkend, avšak tých cielených na používateľa práve v pondelok ráno, keď sa po víkende otvorí e-mailová schránka s množstvom neprečítaných správ a používateľ má tendenciu rýchlo ju vyčistiť, takže poľaví v ostražitosti, klikne na link a otvorí cestu útočníkovi do siete spoločnosti.
Mobilné zariadenia nie sú výnimkou. V dnešnej dobe každý disponuje telefónom so svojím súkromným e-mailovým, ale aj pracovným klientom. Samo o sebe to priamo nepredstavuje hrozbu. Avšak rozdiel je vo veľkosti displeja v porovnaní so stolovým počítačom. V telefóne nie je možné kurzorom označiť URL adresu a skontrolovať, čo sa pod ňou v skutočnosti skrýva. Ak je tam rozdiel, ide o prvé podozrenie, ktoré upozorňuje na to, že po kliknutí na danú linku sa neotvorí to, čo tam vidíte napísané, ale úplne niečo iné. A to môže byť hrozba pre nás a príležitosť pre útočníka.
Úniky a zneužitie citlivých údajov sú dnes témou, ktorá sa týka každej firmy, organizácie či verejnej inštitúcie. Aké údaje sú najčastejšie cieľom kybernetických útokov? Aké sú najrozšírenejšie a najúčinnejšie formy útoku?
Myslím si, že nebudem klamať ani zavádzať, keď uvediem, že najčastejším cieľom kybernetických útokov sú osobné údaje a údaje spoločnosti. Celosvetovým trendom – a týka sa to aj Slovenska – sú ransomvérové útoky, ktorých cieľom je dostať sa práve cez nepozorného používateľa do siete. Inými slovami, útočník sa dostane cez používateľa do siete spoločnosti, kde sa snaží zmocniť privilegovaných práv alebo prístupu celej organizácie. Keď sa mu podarí získať kontrolu nad sieťou, zašifruje dáta a pýta výkupné. Takáto forma útoku je pre útočníka finančne motivovaná. Po zaplatení výkupného útočník poskytne poškodenému dekryptovací kľúč. Treba si však uvedomiť, že máte do činenia so zločincom, a preto vám nikto negarantuje, že kľúč na konci dňa získate. Ak vám ho aj poskytne, je možné, že sa po čase opäť ozve a bude žiadať ďalšie výkupné.
DDoS je ďalšia forma útoku, ktorej cieľom je znefunkčniť alebo zneprístupniť službu alebo stránky. Môže k tomu dôjsť tak, že sa server zahltí obrovským množstvom požiadaviek. Táto forma útoku často prebieha prostredníctvom internetového obchodu, kde si vo väčšine prípadov práve konkurencia kupuje tzv. distribuované znefunkčnenie služby. Sieť infikovaných zariadení po celom svete, tzv. Botnet, realizuje v krátkom čase tisícky požiadaviek, čím službu dočasne znefunkční.
Spoločnostiam v mnohých prípadoch chýba know-how, ale aj experti na digitálnu bezpečnosť. Mnoho spoločností preto siaha po praktických riešeniach na mieru. Existujú vôbec také riešenia? Aké opatrenia by mali podniky prijať, aby vzdelávali a posilnili svoju pracovnú silu proti potenciálnym kybernetickým hrozbám?
Kľúčové je vzdelávať používateľa v oblasti elektronickej komunikácie. Nie je to iba o phishingovom útoku alebo iných formách sociálneho inžinierstva. Je to aj o rôznych pravidlách bezpečného správania, ako je napríklad politika čistého stola, čo znamená žiadne lístočky s heslom na pracovnom stole a podobne. Je potrebné vzdelávať používateľa v celom spektre tém, ktoré sa neustále rozširuje, ale zároveň treba overovať, či sa používateľ správa zodpovedne. Tento proces má dva aspekty, ktoré vyžaduje aj NIS, respektíve náš zákon o kybernetickej bezpečnosti. Prvým aspektom je vzdelávanie používateľa v oblasti hrozieb v kybernetickom priestore. Druhým je meranie úrovne povedomia o kybernetických hrozbách a meranie progresu v čase. Ako vzdelávate zamestnancov? Aký máte prehľad o ich aktuálnom povedomí? Ako meriate ich progres v čase? Ako bol na tom používateľ minulý rok a ako je na tom teraz? Aj to sú otázky, na ktoré sa môže pýtať audítor kybernetickej bezpečnosti. Odpovede na tieto otázky ponúkajú rôzne platformy, ktoré fungujú v cloude, sú plne autonómne, nevyžadujú pravidelnú obsluhu IT špecialistov a podobne. Takúto platformu ponúka aj naša spoločnosť.
Platforma poskytuje používateľovi v pravidelných intervaloch vzdelávací obsah v krátkych kvalitných moduloch doplnených o kvízovú otázku s okamžitou spätnou väzbou. Povedomie o kybernetických hrozbách a meranie progresu sa dá určiť a merať najúčinnejšie tak, že otestujeme používateľa tzv. simulovanými phishingmi, ktoré sú súčasťou spomenutej platformy. Používateľ bez predošlého upozornenia dostane phishingovú správu a platforma sleduje, či bol e-mail otvorený, či používateľ klikol na URL linku, prípadne či si všimol podozrivú správu a nahlásil ju administrátorovi. Tieto informácie sa zbierajú do reportov a z nich pekne vidieť vývoj konkrétneho používateľa v čase.
Prečo sú tieto platformy dôležité? Údaje z bezpečnostných reportov, ako napríklad Verizon Data Breach Investigation Report či štatistiky phishingových kampaní, sú hrozivé. Napríklad v nemenovanej spoločnosti na Slovensku, ktorá má vyše 1 000 zamestnancov, sa minulý rok realizoval simulovaný phishing a miera prekliknutia bola 93 %. To znamená, že 93 % zamestnancov kliklo na URL linku v podvrhnutej e-mailovej správe. Zároveň všetci vidíme, akú silu a dosah majú dezinformácie šírené na sociálnych sieťach, pretože tento priestor nie je regulovaný a prakticky ktokoľvek môže zdieľať čokoľvek na obrovskom priestore v reálnom čase. Aj napriek tomu, že povedomie je z našich výsledkov na zlej úrovni, som rád, že podniky na Slovensku si uvedomujú dôležitosť informačnej bezpečnosti, zaujímajú sa o možnosti vzdelávania a zvyšovania povedomia o kybernetickej bezpečnosti. Odstrašujúce čísla sú vo väčšine prípadov výsledkom jednorazového overenia, čo je jednoznačne nepostačujúce, pretože pribúdajú stále nové formy hrozieb a v procese vzdelávania a merania povedomia treba kontinuálne pokračovať v záujme budovania odolnosti organizácie proti kybernetickým hrozbám a plnenia požiadaviek ZoKB.
Ďakujeme za rozhovor.