Rezervy mají v bezpečnosti všichni a hackeři toho využívají

Jak se vyvíjí zájem o kybernetickou bezpečnost?

Podle našich zkušeností zájem o bezpečnost roste a klesá ve vlnách. Zhruba před pěti lety jsme mohli sledovat rostoucí investice do IT bezpečnosti, ale poté zájem postupně upadal. Se zlepšující se ekonomickou situací v posledních letech a investicemi firem do rozvojových projektů pak podle mého názoru zájem o bezpečnost ustoupil dokonce výrazně. Řekl bych, že je to i kvůli tomu, že už se delší dobu nic závažného nestalo. Rezignací na prevenci se přitom firmy vystavují velkému riziku. Stačí se podívat na moderní formy kybernetických útoků a nejlépe je přímo ukázat IT manažerům ve firmách, kteří si často nejsou schopni možné dopady takových hrozeb plně uvědomit. Řada firem má obrovské štěstí, že zatím nebyla napadena.

Co dnes patří v kybernetické bezpečnosti k nejžhavějším otázkám?

Řada organizací ztrácí spoustu času v teoretické a přípravné fázi. Tuto fázi jistě není dobré podcenit, ale její dopad na okamžitou změnu je jen malý. Organizace by tedy při řešení své bezpečnosti neměly váhat, měly by si vytyčit jasný časově ohraničený plán a pustit se do práce. „Druhá strana“ totiž na nic nečeká.

Pokud se zákazník chce do řešení bezpečnosti vrhnout hned, může začít například u vulnerability managementu (díky kterému zjistí, kde má největší „díry“, a ty co nejrychleji zalepí). Tímto krokem se vyplatí začít, navíc nebývá časově náročný.

U bezpečnosti platí, že zákazníka je potřeba vystrašit, a to nikoli teoreticky v PowerPointu, ale nejlépe rozborem jeho skutečné situace. Často v tomto kroku odhalíme i několik desítek bezpečnostních děr, které lze okamžitě zneužít. Penetrační testy jsou v těchto případech podle mého názoru zcela zbytečné, jsou nákladné a jejich úspěch je naprosto zřejmý.

Zejména korporátní zákazníci dnes nejsou schopni řídit rizika a vidět aktuální zranitelnosti. Mnoho lidí si navíc stále neuvědomuje, že v síti nejsou zapojeny pouze počítače, ale i řada dalších prvků včetně telefonů, switchů, kamer, tiskáren a dalších zařízení. V každém z nich přitom mohou být nejrůznější bezpečnostní díry umožňující okamžitě kompromitovat infrastrukturu. A to se znalostmi průměrného vysokoškolského studenta, většinou k tomu není potřeba vůbec nic speciálního.

Kam se bude kybernetická bezpečnost ubírat?

Kybernetické útoky jsou stále sofistikovanější. Všude kolem nás se nacházejí technologie, které o lidech sbírají nejrůznější informace. Jsou opravdu na každém kroku a o lidech umožňují zjistit řadu různorodých údajů. Tyto informace se sbírají primárně kvůli marketingovým účelům, ale jsou skutečně neuvěřitelnou přehlídkou nejrůznějších dat. Digitální stopa za každým z nás sahá hodně daleko. A to vůbec nemluvím o nástrojích, které byly na sledování a špehování lidí speciálně vyvinuty.

Dnešní kybernetické útoky dokáží veškeré tyto informace a jejich kombinace zneužít. Je nezbytné, aby na tento vývoj reagovali výrobci bezpečnostních řešení i samotní zákazníci. Společně by se pak měli zamyslet, před čím by se měli chránit. Ochranu před viry lze považovat za standard, běžnou součást operačního systému. Málokdo však platí za pokročilejší ochranné technologie, a s tím hackeři bohužel počítají.

Podívejme se na ransomware. Ten se typicky do sítě dostane prostřednictvím e-mailu a následně pak souborem staženým z internetu. Nezbytný je dnes vícevrstvý model, který chrání různé úrovně IT. Minimálně některé z těchto prvků musejí být již velmi pokročilé. Není výjimkou, kdy se před korporátní firewally umisťují například specifické nástroje na ochranu proti ransomwaru nebo aplikačním útokům či signaturám.

Předpokládám, že se stále více budou prosazovat pokročilá řešení, která se budou postupně stávat komoditním zbožím.

Jak se bude oproti tomu vyvíjet kybernetická kriminalita?

Stále více se bude těžit z informací. Můžeme sledovat trendy, které se to snaží řešit (například GDPR), podnítit k řešení bezpečnostních otázek. Pro útočníky je to další znamení toho, jak je veřejnost v této oblasti ukolébaná. Neopatrnost, se kterou dnes s daty pracujeme, nejrůznějším útokům zbytečně nahrává. Spolu s tím, jak se budou komoditizovat bezpečnostní technologie, očekávám větší a lepší organizaci a spolupráci kriminality. Nabídka kybernetických útoků se standardizuje a stabilizuje a postupně se po ní vytváří běžná komerční poptávka. Stále budou existovat různí fanatici či anarchisti, kteří se budou snažit z různých důvodů někomu škodit, ale lidí, kteří se budou do něčeho takového pouštět bez ekonomického prospěchu, bude minimum. Hackerská scéna se tedy bude stále více komercionalizovat.

Jak jsou na tom s bezpečností české firmy?

Se situací začíná v tuto chvíli hýbat právě již výše zmiňované GDPR. Firmy musí něco dělat, protože případné postihy jsou vysoké a zbývá již jen málo času. Na druhou stranu je GDPR pro řadu firem velkou příležitostí, jmenovat můžeme nejen různé konzultační služby, ale hlavně samotné implementátory a realizátory, protože v tuto chvíli je již nutné sahat po konkrétních krocích a opatřeních.

Velkým tématem dneška je cloud. Jak jej vnímáte v souvislosti s bezpečností?

Ačkoli to tak na první pohled nemusí vypadat, stále jsme v úplných počátcích. Přání dodavatelů veřejných cloudových služeb a jejich uplatnění na trhu se podle mého názoru stále výrazně předbíhá s tím, jak do cloudu investují samotní koncoví zákazníci, byť to samozřejmě není málo. V porovnání s investicemi do ostatních oblastí IT je to však stále zlomek a skutečný boom je teprve před námi. Začíná se však ukazovat, že u bezpečnosti cloudu platí to samé, co u adopce bezpečnosti obecně. Pokud totiž zákazník nezmění přístup k využívání cloud computingu, a chce jej využívat stejně, jako využíval IT doposud, nepřináší mu žádné výhody, ba naopak. Často je to nejenom dražší, ale mohou dokonce vznikat i nová bezpečnostní rizika. Dodavatelé technologií o tom vědí, ale velký prostor zůstává pro řešení třetích stran. Na bezpečnost v cloudu musíme jít zkrátka jinak, a to se týká technologií i přístupu uživatelů.

Zatím je trochu škoda, že ačkoli řada zákazníků přemýšlí nad tím, jak zabezpečit cloud, neuvažuje o tom, jak využít cloud pro bezpečnost. Vezměme si takový virtuální počítač – pokud jej umístíte do lokálního datového centra a připojíte na internet, je v podstatě bez jakékoli ochrany. Pokud to samé umístíte do Microsoft Azure, máte jistotu několikanásobné ochrany. V tomto případě si tedy objednáváte výkon s vysokou mírou zabezpečení.

Rizika jsou také jasná. Zatímco u on-premise řešení jsou zákazníci do určité míry schopni a ochotni do bezpečnosti investovat, v cloudu prozatím spíše nikoli. Pokud například někdo vyvine vlastní online aplikaci a napojí ji do internetu napřímo, může dojít k tomu, že obejde všechny firewally a bezpečností technologie, které předtím pořídil. Zákazník si přitom nic takového vůbec nemusí uvědomovat. V cloudu jsou ale tyto záležitosti běžně zcela opomíjeny – infrastrukturu v cloudu firmy s radostí používají, ale zcela zapomínají na absenci bezpečnostních prvků. Zákazník často utratí celý rozpočet na výkon a na bezpečnost se již nedostane. To je podle mého názoru jedno z největších rizik cloudu. Pokud tedy chceme bezpečnostním rizikům v cloudu předcházet, měli bychom se chovat stejně zodpovědně, jako v případě „běžné infrastruktury“ a „běžného IT“.