CIO Agenda 2025: Ransomware může sloužit k zametení stop

Bezpečnostní specialisté, kteří vystupovali na konferenci CIO Agenda 2025, varují před novým trendem kyberútoků. Zašifrování podnikových dat ransomwarem dnes už nepředstavuje hlavní mechanismus útoku, ale až jeho poslední fázi. I proto jsou dnes kyberútoky mnohem zákeřnější.

Téma konference CIO Agenda 2025 „AI, hackeři a další grázlové a jak na ně!“ vystihuje skutečnost, že dnes už nejsou kybernetické útoky pouhým rizikem, ale naprostou jistotou. Navíc jsou útočníci vždy o krok napřed – i kvůli zneužívání umělé inteligence ke stále sofistikovanějším phishingovým podvodům a dalším typům útoků. Situace je vážná, ale nikoli zoufalá, protože stejně jako techniky a taktiky útočníků se vyvíjejí také metody a nástroje obránců sítí. Některé z nich byly představeny i na tradiční bezpečnostní konferenci, kde se opět sešli zástupci podniků z různých oborů i veřejné správy, aby získali nové informace a mohli diskutovat o aktuálním stavu i výhledech ve světě kybernetických rizik. A stejně jako v minulých letech u toho nemohl chybět ani náš bezpečnostní tým.

Jako partner konference s bezmála třemi stovkami účastníků jsme měli možnost představit obecenstvu náš vlastní pohled na aktuální rizika kybernetické bezpečnosti. Příležitosti se chopil bezpečnostní ředitel O2 Radek Šichtanc, který ve své prezentaci shrnul aktuální vývoj technických opatření reagujících na hrozby prolomení asymetrického šifrování, dnes široce využívaného v datové komunikaci po internetu. „Nástup prakticky využitelných kvantových počítačů se nezadržitelně blíží a s tím i okamžik, kdy asymetrické šifrování ztratí svoji relevanci při ochraně citlivých dat,“ varoval Radek Šichtanc. „Díky iniciativě amerického Národního institutu standardů a technologie již ale máme v současné době k dispozici hned několik kvantově odolných šifrovacích algoritmů, zároveň máme vhodné technické prostředky i pro bezpečnou kvantovou distribuci šifrovacích klíčů. Je tedy načase začít řešit zavádění těchto technologií do praxe,“ dodal Radek Šichtanc a představil již fungující implementaci kvantové distribuce klíčů v optické síti propojující dvě z pražských datových center O2, realizovanou kolegy ze společnosti CETIN.

Špion ve vašem počítači 

Mezi nejvíce alarmující patřila určitě hned úvodní prezentace Daniela Hejdy, etického hackera a spoluzakladatele společnosti Cyber Rangers. Jako jedno z aktuálně největších nebezpečí představil schopnosti pokročilého špehovacího softwaru, tzv. infostealerů.

Tento nebezpečný software často pronikne do počítače nebo chytrého telefonu prostřednictvím instalace různých doplňků nebo kompromitovaného legitimního softwaru. Následně je infostealer schopen nepozorovaně sbírat citlivá data (hesla, finanční údaje, snímky obrazovek atd.) a odesílat je útočníkovi. Některé infostealery mohou dokonce kompletně převzít ovládání napadeného zařízení, aniž by to jeho uživatel mohl zaznamenat, zcela měnit obsah internetových stránek otevíraných v prohlížeči nebo překonat vícefaktorovou autentizaci. Odcizená data jsou následně obchodována na dark webu, ilegálních tržištích i v uzavřených hackerských fórech.

Jak se infostealerům bránit? Podle Daniela Hejdy je obrana před sofistikovaným špehovacím softwarem velmi složitá. Doporučuje vícevrstvou ochranu, extrémní obezřetnost při instalaci jakéhokoli softwaru i používání silných (unikátních a pravidelně měněných) hesel k internetovým službám. Podniky a další organizace by pak měly pravidelně procházet bezpečnostními audity, které by měly napadená zařízení odhalit. 

Co se doopravdy děje ve vaší síti? 

Hned v několika prezentacích se na konferenci CIO Agenda 2025 řešila problematika nepřetržitého monitorování podnikové sítě pro možnost včasné detekce kybernetických hrozeb i probíhajících útoků a co nejrychlejší reakce, která útok hned v zárodku zastaví. Byly představeny i některé zajímavé nástroje na monitoring sítě v reálném čase, které využívají strojové učení a umělou inteligenci pro odhalení hrozeb na základě anomálií v běžném provozu.

Jakkoli je ale včasná detekce hrozeb a reakce na ně pro efektivní zabezpečení klíčová, je v praxi velmi složité zajistit ji vlastními silami. Samotné nasazení pokročilých nástrojů typu EDR či XDR na detekci anomálií automaticky neznamená zvýšení zabezpečení před kyberútoky. Je totiž nezbytné tyto nástroje nejen správně nasadit, ale také je umět používat a průběžně je spravovat. To ovšem vyžaduje vysoce kvalifikovanou obsluhu, stejně jako pokročilé znalosti při rozpoznávání skutečných hrozeb v obrovském množství datového šumu.

S ohledem na kritický nedostatek odborníků na kyberbezpečnost a také na značné náklady zajištění nepřetržitého dohledu se proto stále více podniků a organizací přiklání k zajištění své kyberbezpečnosti formou řízené služby detekce a reakce (MDR) prostřednictvím centra bezpečnostních operací (SOC).

Když všechno selže, pomůže jen záloha

Konkrétní incidenty, při kterých selhala prakticky všechna (zpravidla nedostatečná) bezpečnostní opatření, přiblížili posluchačům zástupci slovenského vládního bezpečnostního týmu CSIRT.SK. Při jednom z prezentovaných incidentů se útočníci pohybovali v síti své oběti dokonce několik dní. Opakovaně se vraceli, prohledávali infrastrukturu, deaktivovali bezpečnostní opatření a extrahovali data, aby nakonec zametli stopy pomocí ransomwaru – a to aniž by byly jejich aktivity odhaleny a zastaveny.

Podle odborníků na kybernetickou bezpečnost je podobný model útoku stále častější. Útočníci setrvávají v síti delší dobu, získají citlivá data a snaží se najít a zlikvidovat zálohy. Až poté vypustí ransomware, aby zničili důkazy o svých aktivitách. Pod pohrůžkou zveřejnění získaných dat pak zvyšují tlak na zaplacení výkupného i u organizací, u kterých by jinak neuspěli – například díky dostupnosti záloh, ze kterých je možné zašifrované systémy rychle obnovit.

Právě významu a správným postupům zálohování dat se ve své prezentaci věnovala Barbora Zedníčková ze společnosti Ixperta. Připomněla důležitý fakt, že právě zálohy jsou dnes jasným cílem kyberútočníků, a také zkušenost, že ani existence záloh nutně neznamená možnost rychlého návratu k běžnému provozu. I proto je nezbytné rozšířit zažitý model zálohování typu 3-2-1 (3 kopie dat na 2 různých médiích s 1 geograficky vzdálenou zálohou) o 1 offline zálohu, kterou nemůže napadnout ransomware, a 1 zálohu, kterou nelze změnit ani smazat (tzv. WORM – Write Once Read Many – záloha). 

Nezbytnou součástí strategie zálohování je rovněž plán obnovy, který bude přesně popisovat postupy při obnově provozu ze záloh, stejně jako pravidelná kontrola integrity záložních dat i testování obnovy v izolovaném prostředí. Jen tak může být zajištěno, že bude možné data rychle a bez chyb obnovit a vrátit se k běžnému provozu.

Sbližování IT a OT přináší nová rizika

Zatím možná trochu přehlíženou hrozbu připomněla svou prezentací Renáta Pešinová ze společnosti ABB. Jde o konvergenci dříve striktně oddělených oblastí IT a OT (provozních technologií). Zatímco bezpečnost IT znamená především důraz na důvěrnost, integritu a dostupnost dat, OT se primárně soustředí na kontinuitu provozu. S postupující automatizací a digitalizací průmyslu i kritické infrastruktury ale dochází ke stále většímu sbližování oblastí IT a OT, což nutně přináší i nový pohled na související rizika. 

Dříve zcela izolované systémy OT dnes stále častěji běží v cloudu nebo jsou přinejmenším na dálku dostupné po internetu, což zvyšuje riziko neoprávněného přístupu. Další bezpečnostní rizika pak přináší velký rozmach průmyslového internetu věcí (Industrial Internet of Things – IIoT), který do světa OT vnáší zranitelnosti z oblasti IT (neošetřené bezpečnostní mezery ve firmwaru zařízení, rizika vzdáleného přístupu atd.).

Zajištění bezpečnosti OT proto vyžaduje nové postupy, jako je segmentace sítí pro omezení logického přístupu k provozním technologiím, striktní kontrola fyzického přístupu k zařízením, detekce bezpečnostních událostí a incidentů, omezení uživatelských oprávnění na nezbytné minimum, patch management a také pravidelné bezpečnostní audity infrastruktury OT. Důležitým prvkem zajištění kontinuity provozu je rovněž redundance kriticky důležitých komponent a sítí.

Kyberbezpečnost a paragrafy

Bezpečnostní konference se samozřejmě nemůže vyhnout tématu legislativy. Advokát Adam Felix shrnul aktuální stav schvalování nového zákona o kybernetické bezpečnosti (ZoKB), který do českého právního řádu přenáší povinnosti dle evropské regulace NIS2. Připomněl, že jakmile nový zákon nabude účinnosti, což pravděpodobně nastane ve druhém čtvrtletí letošního roku, budou mít povinné subjekty (poskytovatelé regulovaných služeb) na zavedení příslušných opatření následujících 12 měsíců. 

Nicméně pro podniky a organizace, které již dnes myslí na svoji kybernetickou bezpečnost, postupují v souladu s dřívější regulací GDPR a v ideálním případě splňují požadavky standardu ISO 27001 na systém řízení bezpečnosti informací, nebudou požadavky nového ZoKB velkou novinkou. 

Všichni ostatní by se měli na svoji kyberbezpečnost zaměřit bez ohledu na to, zda to po nich vyžaduje legislativa. Kyberbezpečnost je dnes jednoznačně otázkou přežití, jak se shodli i účastníci závěrečné panelové diskuse na konferenci CIO Agenda 2025.

Kateřina Benešová
Marketingový specialista pro B2B