Home » Novinky

Podniky sice nakoupily bezpečnostní software, ale neumějí ho využívat

Středa 04.02.2015

"Pokud i malé firmy dodržují základní principy, jako je aktualizace operačních systémů, používání silných hesel a podobně, mohou být z pohledu bezpečnosti mnohem dál než velké korporace s drahou bezpečnostní technologií, které pravidla nedodržují," říká Ondřej Filip, ředitel sdružení CZ.NIC, které je správcem domény .CZ a provozuje národní bezpečnostní tým CSIRT pro koordinaci řešení bezpečnostních incidentů v počítačových sítích v Česku.

Diskuse expertů na kybernetickou bezpečnost, kterou v lednu uspořádaly Hospodářské noviny, se kromě Filipa zúčastnili náměstek ředitele Národního bezpečnostního úřadu Jaroslav Šmíd, manažer společnosti PwC Audit Aleš Špidla a Martin Půlpán, ředitel společnosti net.pointers, která byla partnerem Kulatého stolu HN.

Nový zákon usnadní výměnu informací

Zákon o kybernetické bezpečnosti nabyl účinnosti 1. ledna letošního roku. Spolu s ním vstoupily v platnost dvě vyhlášky, tzv. standardizační a o významných informačních systémech a kritériích jejich určování. Samotný zákon ale nikoho před nebezpečím neochrání. "Je dobře, že jej máme. Například státní instituce mohou dělat jen to, co jim určuje zákon, ale kybernetická bezpečnost se netýká jen těch, kterým to určuje zákon, týká se úplně všech, i jednotlivců," vysvětluje Aleš Špidla.

Zákon usnadní komunikaci a výměnu informací mezi státními institucemi, firmami i národními bezpečnostními týmy CSIRT a nově zřízeným vládním CERT (Computer Emergency Response Team). Ondřej Filip nový předpis vítá: "Když zhruba před dvěma lety v Česku proběhl mediálně známý útok na mobilní operátory, zpravodajské weby a vyhledávače, odmítali nám někteří partneři poskytnout informace důležité pro jeho analýzu, protože jim to neumožňoval žádný právní předpis. A tento stav nový zákon mění - přímo nařizuje státní správě a provozovatelům významných systémů sdílet informace."

Odpovědnost firem i manažerů

Podle Martina Půlpána by právní úprava měla více zdůraznit i osobní odpovědnost statutárních orgánů firem za ztrátu kritických informací či liknavost při ochraně citlivých dat. V zahraničí je podle něj osobní odpovědnost manažerů běžnou součástí pracovních smluv, popřípadě je dána ze zákona. Určité možnosti nabízí již dnes trestní zákoník, konkrétně paragrafy o zneužití osobních údajů či neoprávněném držení přístupových údajů v kombinaci s trestní odpovědností právnických osob, upozorňuje Aleš Špidla. Firmy tak nemohou utéct před odpovědností za své informační systémy ani v případě, že se na ně nový zákon o kybernetické bezpečnosti nevztahuje.

V oblasti odhalování a postihování počítačové kriminality má ale Česko co dohánět. "Problém představuje neznalost soudců, nedostatek odborníků v řadách policie, absence metodiky, jak tuto trestnou činnost vyšetřovat, atd. Pokud soudce neví, jak objednat odborný posudek, jaké otázky jsou klíčové v oblasti ztráty či zneužití dat, tak postihy potom chybí. A bez postihu útočníků a jejich spolupachatelů, byť by se jimi stali i z nedbalosti, se v této oblasti příliš neposuneme," dodává Martin Půlpán.

Mnoho firem a institucí nevěnuje dostatečnou pozornost správnému nastavení a použití bezpečnostních záplat svých informačních systémů, nastavení bezdrátových sítí a podobně. Hrozba postihů správců takových systémů v případě jejich zneužití by v tomto ohledu mohla pomoci.

V ohrožení jsou i menší firmy

Podle průzkumu poradenské společnosti PwC tvoří zhruba třetinu z celkového počtu napadených firem malé společnosti do 250 zaměstnanců. Ty přitom bývají často dodavateli velkých podniků a jejich informační systémy jsou propojené. "Díru v zabezpečení u malé firmy lze využít k útoku na tu velkou. Riziko představují i externí či bývalí zaměstnanci," říká Aleš Špidla.

Takzvaná standardizační vyhláška, která vychází z normy ISO 27000, poskytuje firmám užitečný návod, jak své systémy zabezpečit. "I firmy, kterých se nový zákon netýká, by si měly vyhlášku projít a uvedená opatření uskutečnit," doporučuje Špidla.

Častou chybou je slučování rolí IT oddělení a bezpečnostních techniků, takže pak chybí systém kontroly. "Ve firmách se často setkáváme s tím, že IT oddělení mají nakoupené různé firewally, systémy pro prevenci útoků apod., ale nikdo už nezpracovává zachycené incidenty. Jeden z našich zákazníků si dokonce pořídil velmi drahou bezpečnostní technologii a po dvou letech ji vypnul, protože nevěděl, co si má s informacemi o incidentech počít," popisuje Martin Půlpán školácké chyby, které jsou bohužel běžnou podnikovou praxí.

Národní bezpečnostní úřad prováděl v posledních dvou letech průzkum stavu informační bezpečnosti ve veřejné správě a vybraných firmách a zjistil, že technologicky jsou organizace většinou vybaveny dostatečně. "Budou muset upravit především procesy. Nářky, že nový zákon přináší vysoké náklady na nový hardware a software, jsou podle našich zjištění neopodstatněné," vysvětluje Jaroslav Šmíd.

Riziko představuje i hardware

Bezpečnostní riziko může představovat také asijský hardware nasazený v kritické informační infrastruktuře. Technologii čínských výrobců používají například všichni tři čeští mobilní operátoři, ačkoliv řada zemí se těmto dodavatelům brání. "Řeší se to těžko, protože jde o diskriminační opatření. Navíc mnozí dodavatelé hardwaru, ale i bezpečnostního softwaru nabízejí své produkty za ceny, jimž nelze konkurovat. Chtějí tak dosáhnout co nejvyšší penetrace trhu. Bezpečnost ale musí být striktní. Státy jako Rusko nebo Čína jsou v oblasti kybernetické špionáže velmi aktivní," vysvětluje Martin Půlpán.

Národní bezpečnostní úřad i zpravodajské služby o tomto problému vědí. Zákon je ale koncipován jako technologicky nezávislý. "Například ve Francii přístup některých čínských dodavatelů k veřejným zakázkám tohoto typu zakázali. U nás ale neexistuje legislativa, podle které by to šlo udělat. Bylo by dobré tuto problematiku řešit na úrovni Evropské unie," uvádí Jaroslav Šmíd.

Bezpečnost se ale netýká jen velkých firem - napaden může být na internetu kdokoliv. Může to být kvůli penězům nebo technickým prostředkům, které lze zneužít k dalším útokům. "Velkým rizikem jsou například domácí wi-fi routery. Aniž si to uživatelé uvědomují, jde v podstatě o počítače, které dokážou útočit. Je proto třeba software těchto zařízení pravidelně aktualizovat, podobně jako operační systémy počítačů. Například u automobilů jsme si na nutnost pravidelné údržby zvykli, u počítačů tomu tak dosud není," dodává Ondřej Filip.

Výnosný byznys s citlivými daty

Kybernetická kriminalita představuje výnosný byznys, který už objemem překonal zisky z klasické trestné činnosti. Podle Aleše Špidly se odhaduje, že se v této branži ročně protočí okolo 400 miliard dolarů. Existují softwarové nástroje, které si lze jednoduše pronajmout k nejrůznějším útokům včetně teroristických. "Pronájem sítě nakažených počítačů, které mohou zaútočit například na vašeho konkurenta, stojí pár stovek dolarů," říká Martin Půlpán.

"V současnosti nejvýnosnějšími osobními daty na černém trhu je podle našeho průzkumu kompletní zdravotní dokumentace," doplňuje Aleš Špidla. "Údaje o bankovní kartě stojí dolar, zdravotní dokumentace jednoho člověka až stovky dolarů. Lze ji využít například k nabídkám léků, ale může sloužit také k vydírání. Zdravotnictví je jednou z největších oblastí, kde dochází ke krádežím dat. Pozorujeme také nový trend, že útočníci se již nezaměřují na konkrétní informace, ale berou všechna data a nasazují na ně analytické nástroje," upřesňuje.

Co dělat při napadení

Zákon i nadále předpokládá individuální odpovědnost za zabezpečení vlastních systémů. "Záleží na typu útoku, ale každá firma by se měla snažit vyřešit situaci především sama. Národní bezpečnostní tým CSIRT poskytne informace, poradí s řešením konkrétního typu útoku, ale nečekejte, že vám přijde nakonfigurovat vaše zařízení. Pokud nestačí vlastní síly, musejí se firmy obrátit na bezpečnostní odborníky, kteří mají s takovými situacemi zkušenosti," popisuje Ondřej Filip, jak postupovat v případě útoku.

Pokud by však dnes došlo k podobně masivnímu útoku jako v roce 2013, situace by měla být výrazně lepší. "Jsme mnohem dál než před dvěma lety. Máme ustavené pracovní skupiny, které si vyměňují data, máme mnohem více takzvaných zalistovaných bezpečnostních týmů než většina evropských zemí atd. Česko na tom tedy není zdaleka tak špatně, jak by z předchozí debaty mohlo vyznít," dodává Filip.

Vznikají také různé resortní aktivity, kdy firmy z jednoho oboru sdílejí bezpečnostní informace, ačkoliv jsou konkurenty. V reakci na předloňské útoky vznikl v rámci českého peeringového uzlu NIX.CZ projekt Fenix, který sdružuje velké poskytovatele významných internetových služeb v Česku. Jeho smyslem je v případě masivního útoku zachovat funkčnost důležitých informačních systémů alespoň v rámci ČR.

Více na: http://archiv.ihned.cz/c1-63475090-tuzemske-firmy-hrozbu-utoku-podcenuji