Co dělat v případě kyberútoku: Klíčová je rychlá reakce a schopnost rozhodnout o dalším postupu

Michaela Látalová

Michaela Látalová
15. 12. 2022

Co dělat v případě kyberútoku: Klíčová je rychlá reakce a schopnost rozhodnout o dalším postupu

SDÍLET

„A jak ty ses vlastně dostal k IT bezpečnosti?“ ptá se jeden zaměstnanec druhého. „Ale, ani se neptej. Vlastně to na mě tak nějak zbylo.“ 

Takový rozhovor byste ve své firmě určitě zaslechli jen neradi. Přesto i spousta velkých českých podniků stále postrádá vlastní bezpečnostní experty.

Je jich jako šafránu, poptávka po nich přitom neustále roste. I díky tomu si vlastní tým „IT securiťáků“ může dovolit málokdo, často to ani pro firmy nedává smysl.

Většina podniků proto řeší svou kyberbezpečnost jako součást provozního týmu, samostatný tým tvoří jen výjimečně. Nebo spoléhají na odborníky zvenčí a bezpečnost outsourcují. Stále je ale velké procento firem, které vnímají problematiku kybernetické bezpečnosti jako provozní přívěšek nebo ji vůbec neřeší.

Chybí prevence, průběžný monitoring, vyhodnocování rizik i nástroje, které by útok zachytily ještě v přípravné fázi. Až 90 % firem tak reaguje až na probíhající útok. Firmy pak takový útok stojí mnohonásobně více peněz i času. A výsledek takové ex post obrany je značně nejistý a téměř vždy s sebou nějakou ztrátu přinese.

Máte bezpečnostní tým? A můžeme ho vidět?

Představte si klasický vývojový diagram, který popisuje, co máte dělat v případě potíží. Nefunguje vám počítač? Krok číslo jedna, zkontrolujte, jestli je zapnutý.

Takový jednoduchý postup, který by platil univerzálně, v případě kyberútoku bohužel neexistuje. Typů a forem útoků je totiž nepřeberné množství, neustále přibývají další a u některých typů oběť ani netuší, že probíhají.

Kdy útok proběhne, jakou bude mít podobu ani jak dlouho bude trvat ovlivnit nemůžete. Co ale máte naprosto ve svých rukou je sestavení týmu, který bude v případě potíží schopný rozhodnout, jaké kroky a kdy provést. Určitě nejde pouze o pracovníky IT, v krizovém týmu mají místo zástupci všech oddělení, na které má útok dopad.

IT oddělení může jednoduše odstavit maily nebo shodit celou firemní síť. Ale nedokáže vyhodnotit, jaké důsledky pro firmu takové rozhodnutí bude mít. Ať z hlediska financí nebo vlastní reputace.

Tým pro krizové řízení se proto nejčastěji skládá z bezpečnostního manažera, IT manažera, jednatele nebo majitele firmy, případně risk manažera a dalších důležitých rolí ve společnosti. 

Velikost týmu se téměř vždy odvíjí od velikosti firmy. Ale i ta nejmenší firma by měla vědět, kdo v případě kyberútoku převezme otěže a bude se ho snažit ukočírovat s co nejmenšími dopady. Platí totiž, že každá minuta je v takovém případě klíčová. 

Je proto velmi důležité mít schopnost rychlé a současně řízené reakce. Zde bezezbytku platí, že „štěstí přeje připraveným“. Úrovně přípravy musí být komplexní a ve všech oblastech. Místo hledání a tápání při postupu eliminace útoku je třeba sáhnout a řešit.

To znamená mít k dispozici ověřené postupy reakce a model komunikace. Místo vývojového diagramu tak potřebujete hlavně relevantní informace a schopnost přijímat rozhodnutí v krátkém čase. V případě útoku totiž nestačí vytáhnout kabely ze zásuvky a modlit se.

 Nikdo na vás ještě nezaútočil? Nenechte se tím falešně uchlácholit

S troškou nadsázky bychom mohli říct, že máte v životě dvě jistoty – daně a hrozbu kybernetického útoku. Protože právě v případě kyberútoku platí dnes víc než kde jinde, že to není otázka jestli, ale kdy a jak.

I firma, která přes dvacet let úspěšně podniká a za celou dobu její existence se s žádným útokem nesetkala, by neměla propadnout falešnému pocitu, že jich se to netýká. Expert na kybernetickou bezpečnost a ředitel O2 Security Expert Centra Jiří Sedlák k tomu dodává: 

„Že se firma bude někdy potýkat s kybernetickým útokem, to je jistota. Na to se můžete spolehnout. Záleží jen na tom, kdy k tomu dojde. Někdy firmy pracují s rizikem a chvíli se jim to vyplácí. Až do chvíle, kdy útok skutečně přijde. A on přijde.“

Kybernetický útok může ohrozit opravdu všechny firmy. Od těch nejmenších e-shopů o pár zaměstnancích, přes velké korporáty, výrobní podniky nebo logistické firmy. Jakmile se pohybujete na internetu a nakládáte s daty, která pro někoho představují lákavý úlovek, nejste proti hackerům imunní. 

To koneckonců dokládají i data z průzkumů, které pravidelně provádí Národní úřad pro kybernetickou a informační bezpečnost. Podle jejich šetření se kybernetický útok v roce 2020 dotkl téměř každé české firmy. Celých 40 % z nich pak čelilo velmi agresivnímu útoku v podobě ransomware. Ale kyberútoky mají mnoho forem, přichází v různých časech a podobách.

 Viditelné vs. neviditelné útoky: Ne vždycky na sebe útočník upozorní

Situaci firmám značně komplikuje fakt, že útočníci jsou vždycky o krok napřed. Nejsou totiž vázáni žádnými pravidly, neplatí pro ně geografická omezení, nesvazují je legislativní rámce a mají k dispozici mnohonásobně více prostředků než ti, kteří se útokům brání.

Někdy se útočníci projeví velmi halasně, s velkou parádou shodí třeba celé webové stránky a odříznou vás tak od zákazníků. 

Takovým agresivním typem útoku je například DDoS útok (Distributed Denial of Service), který spočívá ve vyslání obrovského množství požadavků na váš server a jeho naprostému zahlcení. Takový útok může trvat minuty, hodiny ale i dny. Pro velký e-shop pak představuje každá taková minuta, kdy zákazníci nemohli objednávat, obrovské finanční ztráty.

O2 Anti DDoS: Vyzrajte na vnější útoky na svou síť

DDoS útok patří k jednomu z nejběžnějších tzv. průmyslových kyberútoků. Jde o útoky, které si může dneska každý koupit v podstatě každý. Stačí jen najít portál, který se takovým útokům věnuje. Na něm si pak útočník vybere, na koho chce útočit, v jakém rozsahu a jak dlouho má takový útok trvat. Se službou O2 Anti DDoS se takovým útokům snadno vyhnete. Dokáže útok odhalit a úplně odklonit, takže vaše prostředí zůstane plně funkční.

Dalším typem útoku, kterého si firma určitě všimne je už zmíněný ransomware. Jde o typ škodlivého softwaru, který zašifruje přístup k firemním datům a informacím.

Útočník následně požaduje výkupné za jejich znovu zpřístupnění. Firmy mají v podstatě dvě možnosti, jak se v případě takového útoku zachovají. Rozhodnou se obnovit data ze svých záloh (pokud je mají a jsou si jisté jejich kvalitou) a pokračovat ve své činnosti, nebo útočníkovi požadovanou sumu zaplatí a získají (nebo také nezískají) znovu přístup ke svým datům.

Obě možnosti představují riziko. Při obnovení dat z vlastních záloh totiž může dojít k tomu, že záloha už obsahuje „virovou nákazu“ a po nějaké době dojde opět k zašifrování souborů.

A že jste útočníkovi zaplatili ještě neznamená, že na vás nezaútočí znovu. Hackeři totiž podle férových pravidel většinou nehrají. Řešení následků ransomwaru proto bývá velmi drahé a přináší velmi nejistý výsledek.

Na začátku letošního roku jsme provedli průzkum mezi českými středními a velkými firmami a zjišťovali jsme také, jak jsou na tom s kyberbezpečností.

Jaké útoky podniky nejvíce ohrožují jsme pak sepsali v článku Digitalizace a kyberbezpečnost 2021.

Mnohem větší úskalí pro firmy ale představují tzv. neviditelné útoky. Nespadají už mezi klasické masové útoky, které využívá většina útočících skupin, nebo si je může jednoduše kdokoli koupit.

Takové kyberútoky už vyžadují sofistikovanější přístup útočníka, více znalostí i zkušeností. Také proto bývá složitější jejich odhalení. Útočník už kolem sebe nemává červeným hadrem a nedožaduje se výkupného.

Naopak si v tichosti a dobře ukrytý sosá cenné firemní informace a citlivá data. Firmy si ani nevšimnou, že o něco přichází, a proto je těžké na takový typ útoku včas a adekvátně reagovat.

Typickým příkladem takového útoku může být například nenápadný útok na mailový server, kdy si útočník nechá všechnu firemní poštu přesměrovat na svou adresu.

Dostane se tak například k nabídkám na právě probíhající tender, může zcizit důležité smlouvy nebo v nich změnit jakékoli údaje. Třeba i vložit jiné číslo účtu ke smlouvě o důležité zakázce a nechat si tak platbu poslat k sobě.

Hlavní dopady kyberútoku aneb čemu se určitě chcete vyhnout

·        Finanční ztráta – jde o jednoznačně nejvíce viditelný dopad kybernetického útoku. Odstraňování následků stojí firmy každoročně velké sumy peněz. Může jít o stovky tisíc, ale klidně i o miliony. A nejde přitom jen o náklady na obnovu dat, kontrolu sítě nebo pořízení nového hardwaru.

Počítat sem musíme i ztracený zisk, o který firma přijde v době, kdy je pod útokem a nemůže například realizovat objednávky nebo musí zastavit výrobu.

·        Ztráta reputace – jakmile jednou data z firmy uniknou, už si žijí na internetu svým životem. Takový únik už se nedá vzít zpět a nevratně tak dokáže poškodit reputaci firmy.

Zvlášť ohrožení jsou všichni, kteří nakládají s citlivými daty klientů. A nezáleží ani na velikosti firmy. Takový únik může zničit veliký korporát úplně stejně jakou malou advokátní kancelář.

·        Hrozba vysokých pokut – firmy často musí například ze zákona nebo jiných nařízení splňovat přísná bezpečnostní pravidla. Typicky se jedná o banky. Pokud ale dojde k zanedbání bezpečnosti, vystaví se firma riziku vysokých pokut.


Nejenom „vnitřního nepřítele“ eliminuje správně nastavená bezpečností politika

Přestože naprostá většina kyberútoků probíhá zvenku, občas se ještě objeví pokusy o interní útok ze strany vlastních zaměstnanců. 

Nejčastěji jde o lidi například ve výpovědi, kteří z firmy neodchází úplně po dobrém. Vzniklou křivdu si pak chtějí kompenzovat zcizením firemních dat. Může jít o citlivá data firemních zákazníků nebo samotných zaměstnanců. 

V tomhle ohledu by firmy měly dbát opět především na prevenci. Na prevenci klade hlavní důraz i Jiří Sedlák z O2 SEC : „Takovému internímu útoku se dá velmi snadno zabránit. Existují na to účinné nástroje. Pokud prevenci firmy nezanedbají, nemají problém. Jakmile ale prevenci podcení, už s únikem nejsou schopné nic udělat. Pak už nezbývá než řešit následky.“

Každému útoku je vždy lepší účinně přecházet. V případě interních úniků dat mají firmy několik možností, jak se mu bránit.

V první řadě nesmí chybět správně vypracovaná a nastavená bezpečnostní politika. Například sledovat, kdo se pohybuje ve vnitřní síti, s jakými zařízeními a jakými disponuje oprávněními. 

Každá firma si musí definovat, co chce hlídat. Například v pojišťovnách nebo i zdravotnictví se běžně nastavují pravidla na odesílání dat o klientech. Nastaví se například množství informací, které se mohou odesílat najednou. 

Systém pak automaticky upozorní na to, jestli je v pořádku, aby uživatel s právy administrátora posílal kompletní databázi klientů mimo prostředí firmy. Takové informace se dostanou ke kompetentní osobě a ta ji může rychle vyhodnotit a potenciálnímu úniku informací zabrání.

Kdo je do její sítě připojený firmy často ani netuší. Přitom slabinu představuje dostupné Wi-Fi připojení nebo i volně přístupné síťové zásuvky v zasedačkách. Pokud firma pravidelně nemonitoruje svou síť, může se do ní připojit téměř kdokoliv a začít škodit. Klíčový je tedy přehled, s jakým zařízením je kdo do vnitřní sítě připojený, jaká má práva a kde se pohybuje. 

Monitoring sítě může probíhat jednorázově, opakovaně nebo nepřetržitě. A právě záznamy o dění ve firemní síti jsou pak velmi cenným zdrojem informací v momentě, kdy dojde na forenzní analýzu a vyhodnocování vzniklého problému.

Nepřetržitý dozor firemní sítě

Naši experti z O2 SEC dokáží neúnavně monitorovat, co se děje uvnitř firemní ICT infrastruktury. Upozorní včas na možná rizika a umí velmi účinně eliminovat jak kybernetický útok, tak i případné ohrožení ze strany vlastních zaměstnanců.

Přečtěte si v článku O2 SEC: Ochrana kyberprostoru připomíná detektivní práci nebo těžbu zlata podrobněji o tom, jak řešení funguje, jaká rizika naši bezpečnostní experti vyhodnocují a jak dokážou ochránit i vaši firmu.

Dalším z možných nástrojů prevence kyberútoku je vytvoření tzv. emulovaného prostředí, které naprosto přesně kopíruje firemní ICT. A do této „virtuální sítě“ se nastraží pasti na hackery tzv. honey pots.

Stejně jako když chcete přilákat kořist na lovu, tak i na hackera potřebujete použít správnou návnadu. Například malware honey pot napodobuje aplikace nebo její rozhraní a láká útočníky, kteří si myslí, že útočí na reálný cíl.

Na základě chování v této simulaci pak mohou vzniknout účinná opatření nebo bezpečnostní záplaty, které reálný útok eliminují. A díky pastičkám firma dostane velmi ucelený pohled na to, jaké útoky na ni směřují a odkud přichází. Takový nástroj má navíc tu výhodu, že je z větší části automatický a nijak neruší skutečný chod firmy a jejího byznysu.

 

Nedávejte útočníkům zbytečný náskok. Naši experti na kyberbezpečnost z O2 Security Expert Centre vám poradí, jak se útokům účinně bránit a eliminovat je ještě než k nim dojde.

Ozvěte se nám


Michaela Látalová Michaela Látalová
Marketingový specialista pro B2B
Míša se v O2 stará o to, aby české firmy měly vždycky dost informací o trendech v cyberscurity a ICT. Plní blog články, natáčí podcasty a firmy zásobí e-mailingy se žhavými novinkami.

Byl pro vás článek užitečný?

SDÍLET

Mohlo by vás zajímat

DALŠÍ ČLÁNKY
Analýza rizik

S NIS2 se už bez analýzy rizik neobejdete. Jak identifikovat hrozby pro vaše podnikání?

S NIS2 se už bez analýzy rizik neobejdete. Jak identifikovat hrozby pro vaše podnikání?
Deepfake útoky silně na vzestupu. Co to je a jak je poznat?

Deepfake útoky silně na vzestupu. Co to je a jak je poznat?

Deepfake útoky silně na vzestupu. Co to je a jak je poznat?
SOC 2 cloud

Jak vybrat cloud pro vaši firmu? Myslete hlavně na bezpečnost

Jak vybrat cloud pro vaši firmu? Myslete hlavně na bezpečnost
O2 Security report za rok 2023: odvrátili jsme více než 1,5 miliardy hrozeb

O2 Security report za rok 2023: odvrátili jsme více než 1,5 miliardy hrozeb

O2 Security report za rok 2023: odvrátili jsme více než 1,5 miliardy hrozeb
Operační systémy a bezpečnost: Je macOS opravdu nedotknutelný?

Operační systémy a bezpečnost: Je macOS opravdu nedotknutelný?

Operační systémy a bezpečnost: Je macOS opravdu nedotknutelný?
Blíží se doba bezheslová? Jak technologie passkeys mění bezpečnost

Blíží se doba bezheslová? Jak technologie passkeys mění bezpečnost

Blíží se doba bezheslová? Jak technologie passkeys mění bezpečnost
Odchází vám zaměstnanec? Máme 7 tipů pro bezpečný offboarding

Odchází vám zaměstnanec? Máme 7 tipů pro bezpečný offboarding

Odchází vám zaměstnanec? Máme 7 tipů pro bezpečný offboarding
5 největších kybernetických hrozeb roku 2023. A jak je řešit v tom dalším?

5 největších kybernetických hrozeb roku 2023. A jak je řešit v tom dalším?

5 největších kybernetických hrozeb roku 2023. A jak je řešit v tom dalším?