CIO Agenda 2024: Kyberzločin je jen byznys

Umělá inteligence na nejcennější cíle útoků zatím nestačí. Dělá chyby a případné odhalení by prozradilo i další pracně a nákladně připravované operace. Přesto se podle expertů musíme na kyberútoky podporované AI připravit. I to zaznělo na letošní CIO Agendě.

Aktuální kybernetická rizika i nastupující hrozby, včetně třeba rychle rostoucího množství bezpečnostních incidentů v cloudu, byly hlavním tématem letošního ročníku odborné konference CIO Agenda, na níž se koncem února v pražském O2 universu sešlo na 250 účastníků.  

Hlavním partnerem konference byla už tradičně společnost O2. Náš ředitel bezpečnosti Radek Šichtanc ocenil skladbu prezentací i možnost setkat se a diskutovat s kolegy z praxe. „CIO Agenda má vždy obsahově nabitý program a letos tomu nebylo jinak. Velmi mě oslovily hlavně prezentace zástupců společnosti Bizerba a strojíren Beneš a Lát, které si prošly úspěšným útokem ransomwaru. Jejich zkušenosti jsou přínosné i pro další podniky a organizace. To bylo ostatně vidět i během debat v kuloárech,“ říká Radek Šichtanc. 

DDoS útoky směřují stále častěji na aplikace 

O zkušenosti z praxe se podělil i Radek Šichtanc, když ve své prezentaci názorně popsal průběh DDoS útoků na české banky z přelomu srpna a září loňského roku, stejně jako úspěšné zmírnění jejich dopadu díky připravenosti infrastruktury O2 na tento typ napadení.

I DDoS útoky ale procházejí vývojem. Podle dat z infrastruktury O2 sice dlouhodobě roste jejich intenzita co do objemu škodlivých datových přenosů, zároveň ale není pro útočníky snadné přetížit infrastrukturu operátora a datových linek, které svým zákazníkům poskytuje.

Také proto se úsilí útočníků přesouvá spíše k aplikačním DDoS útokům. Ty se snaží vyřadit z provozu konkrétní do internetu vystavené aplikace. „I takové útoky je ale možné včas detekovat a úspěšně se jim bránit. Základním předpokladem je pokročilý monitoring a analýza síťového provozu, ideálně kombinované se systémem detekce abnormálních stavů na aplikační vrstvě,“ vysvětluje Radek Šichtanc. 

Stanovte si přijatelné ztráty a udělejte si pořádek v účtech 

Praktický pohled na cíle a průběh kyberútoků přinesla prezentace Jana Marka a Daniela Hejdy ze Cyber Rangers. Podle nich existuje hned několik důležitých milníků, kdy by měla v nástrojích na zabezpečení IT začít blikat varovná světla. Patří k nim například pokusy o skenování portů, zvýšené množství požadavků na webové servery, nestandardní přístupy uživatelů nebo další neobvyklé aktivity v síti. Podcenění těchto indikátorů počínajícího útoku může vést k úspěšnému průniku útočníků do sítě – například prostřednictvím přístupových údajů získaných pomocí phishingu. 

A když už útok probíhá? Experti ze Cyber Rangers zdůrazňují, že kyberzločincům jde jen o peníze, a tedy o nejhodnotnější cíle. Proto doporučují počítat s přípustnými ztrátami, jako jsou jednotlivé pracovní stanice a běžné uživatelské účty, a zaměřit se primárně na intenzivní obranu hodnotných cílů – serverů, dat, privilegovaných účtů nebo výrobní infrastruktury. Jen tak je možné omezit ztráty, udržet maximum systémů v chodu a ochránit si reputaci. 

Cyber Rangers také doporučují provést základní kroky k posílení kybernetické bezpečnosti, které ani nemusí stát mnoho peněz a úsilí. Především jde o systematickou správu uživatelských účtů se silnými hesly a ověřováním a přidělením pouze takových oprávnění, jaká jsou pro danou roli v organizaci skutečně nezbytná. 

AI mění svět kyberzločinu 

Poutavý pohled na využití technologie umělé inteligence (AI) při kybernetických útocích přinesl etický hacker Martin Haller z PATRON-IT. Zdůraznil, že je nutné odlišovat využití AI státem podporovanými hackery a ilegálními kyberzločineckými skupinami. Vzhledem k chybovosti a nedostatečné preciznosti AI nemohou státem podporovaní hackeři svěřit umělé inteligenci vedení útoku. Reálně totiž hrozí vyzrazení operace, a tím i ztráta obrovských investic do přípravy infiltrování nejhodnotnějších cílů. AI proto zatím plní spíše roli podpůrného nástroje. 

Běžní kyberzločinci, kteří hromadně útočí na velké množství cílů, oproti tomu využívají AI nejen pro analýzy velkého množství odcizených dat nebo generování textového obsahu pro phishingové útoky, ale stále častěji také k deepfake podvodům imitujícím hlasy a videozáznamy skutečných osob. Tyto techniky se podle Martina Hallera neustále zdokonalují, o čemž svědčí například nedávné případy falešných únosů dětí, kdy kyberzločinci dokázali přesvědčit rodiče k zaplacení výkupného na základě zfalšovaných hlasů jejich dětí.  

Kyberútoků, podvodů a šíření dezinformací s podporou AI bude stále přibývat a jedinou skutečnou obranou zatím zůstává duchapřítomnost a kritický pohled obětí, které si veškerá podezření důkladně ověří. 

Jak je možné nachytat se na vishing? 

O vishingu neboli podvodných telefonátech jako fenoménu posledních měsíců hovořil pplk. Mgr. Ondřej Kapr, rada odboru hospodářské kriminality Úřadu služby kriminální policie a vyšetřování Policejního prezidia ČR.  

Kyberzločinci zneužívají podvržená telefonní čísla bank (tzv. spoofing) k přesvědčování svých obětí o výhodných investicích do kryptoměn, vylákání vzdáleného přístupu k jejich počítači a bankovnímu účtu nebo rovnou k předání hotovosti či provedení finančních převodů v jejich prospěch. Používané historky a metody přesvědčování se ukazují jako extrémně účinné – například jen v loňském roce došlo k asi 800 úspěšným útokům typu „falešný bankéř“ s průměrnou škodou 300 000 korun. Jedna z obětí přišla tímto způsobem dokonce o 8 milionů korun.  

Podplukovník Kapr připomněl i úspěchy Policie ČR při dopadení hned několika kyberzločinců, kteří svým obětem způsobili milionové škody. Drtivá většina vishingových, smishingových a podobných podvodů ale zůstává nepotrestána. Navíc se i zde bude stále více zapojovat AI s deep-fake podvody na základě podvržených hlasů a videí.    

Razantní nárůst ransomwaru 

O ransomwaru jako nejfrekventovanější hrozbě posledních let hovořil ve svém příspěvku Jakub Souček ze společnosti ESET. Upozornil na meziroční nárůst množství obětí vyděračských útoků o 49 % a popsal měnící se taktiky a techniky ransomwarových skupin. Model Ransomware-as-a-Service poskytuje i málo technicky zdatným útočníkům kompletní servis při průniku do systému oběti, nasazení ransomwaru i zpracování transakcí výkupného.  

Jakub Souček upozornil také na razantní posun v taktice útočníků. Namísto malwaru se dnes pro přístup do infrastruktury obětí nejčastěji zneužívají neošetřené zranitelnosti v běžném softwaru, stejně jako další legitimní nástroje, typicky pro vzdálený přístup k pracovním stanicím a serverům. Stále častěji jde také útočníkům primárně o krádež dat a až druhotně dochází k jejich zašifrování.  

K dosažení úspěchu pomáhají kyberzločincům především špatně nastavené systémy logování, kdy se útočníkům daří skrývat v síti i několik týdnů, a pak také nesprávné nastavení a nedostatečné využití řešení typu EDR. Kriticky důležité je rovněž včasné instalování aktualizací ošetřujících známé zranitelnosti systémů. 

Dvě trpké zkušenosti s ransomwarem 

Jak drtivý dopad může úspěšný ransomwarový útok mít, si vyzkoušely hned dva účastníci konference CIO Agenda 2024. Společnost Bizerba, která dodává své produkty především do výroby a maloobchodu, zažila v polovině roku 2022 útok ransomwaru LockBit, který postihl všechny interní systémy poboček po celém světě. Odstávka veškerých systémů a techniky znemožnila komunikaci se zákazníky a zaměstnanci, vyplácení mezd, plnění daňových povinností i všechny další aktivity firmy závislé na IT.  

Teprve po pěti týdnech se podařilo zprovoznit dva počítače připojené k ERP systému a návrat k normálnímu provozu trval dlouhých šest měsíců. Celkové škody šly do milionů, ale naštěstí se podařilo udržet všechny zákazníky. Mnoho z nich si totiž prošlo podobnou zkušeností a často nabízeli i pomoc. Co si z tohoto incidentu odnesl Martin Dvořák, výkonný ředitel společnosti Bizerba pro Českou republiku a Slovensko? „Mějte vždy připravený plán B, i když to je třeba jen papír a tužka. Musíte si zajistit možnost komunikovat a udržet tok prostředků i fungování vašich zákazníků,“ říká Martin Dvořák. 

O pár let dříve zaútočil vyděrač také na rodinnou strojírenskou firmu Beneš a Lát. Zašifrování databází znamenalo odstávku všech systémů a ztrátu přibližně poloviny dat, která nebylo možné obnovit ze záloh.

Firma měla ale štěstí v neštěstí, jak popisuje Jan Lát, finanční ředitel společnosti: „Vyděrač s námi komunikoval a my jsme se rozhodli jednat o zaplacení výkupného. Z původního požadavku 4,75 bitcoinu za každou dešifrovanou databázi se nám podařilo snížit výkupné na 2,5 bitcoinu za všechny databáze. V té době to znamenalo přibližně 250 tisíc korun, za které jsme museli nakoupit bitcoiny a odeslat je útočníkovi.“ Po obdržení platby vyděrač skutečně poslal dešifrovací nástroj i příslušné klíče a přibližně po třech dnech práce se podnik mohl vrátit k běžnému provozu. 

„Příběh firmy Beneš a Lát má sice relativně šťastný konec, ale na obnovu dat po zaplacení výkupného skutečně nelze spoléhat. V dnešní době se navíc požadavky na výkupné pohybují v úplně jiných řádech,“ dodává Radek Šichtanc, ředitel bezpečnosti v O2. To si ostatně uvědomují i ve firmě Beneš a Lát, kde po incidentu zásadně aktualizovali svoji infrastrukturu, omezili všechny zbytné služby, zavedli přísnější pravidla pro tvorbu hesel a především posílili svoji strategii zálohování. 

Program konference CIO Agenda přinesl ještě další zajímavá témata a informace z oblasti kyberbezpečnosti, ke kterým se budeme na O2 CyberNews postupně vracet.  

Petra Javornická
Marketingový specialista pro B2B