Na jedné straně jsou zlí hackeři, ale hlavní kybernetickou hrozbu představují vždy zaměstnanci

K citlivým datům se lze dostat různými způsoby. Teoreticky připadá v úvahu hledání zranitelností konkrétních systémů. Také je možné zkoušet hrubou silou lámat hesla či se pokusit fyzicky dostat k počítačům, které data obsahují. Tyto metody jsou však rizikové, často velmi nákladné a obvykle obtížně realizovatelné.

Proto stále platí, že nejsnazší cestou k citlivým informacím je pomyslná spojnice mezi klávesnicí a židlí – uživatel.

Selhání lidského faktoru

Pro bezpečnost informací existují tři základní hrozby: narušení důvěrnosti, integrity a dostupnosti dat. Selhání lidského faktoru může způsobit všechny tři. Pojďme se podívat na nějaké příklady.

V druhé polovině března roku 2016 přišel Johnu Podestovi, poradci tehdejší kandidátky na prezidentku USA Hillary Clintonové, na jeho Gmail účet varovný e-mail, který se tvářil, že je od společnosti Google.

Ve skutečnosti tento mail neposlal Google, ale skupina ruských hackerů známá pod označením Fancy Bear. Poradce Podesta, nic zlého netuše, na odkaz v mailu klikl a nevědomky spustil jednu z největších kauz kybernetické bezpečnosti v dějinách.

O několik měsíců později se totiž na WikiLeaks objevily tisíce Podestových mailů, které si vyměnil s Hillary Clintonovou a dalšími lidmi.

Cílený útok

Podesta totiž kliknutím na odkaz nevědomky dal ruským hackerům přístup ke svému mailovému účtu. Z jejich strany šlo o cílený útok, který je známý jako spear phishing (viz box vpravo).

Cílem tohoto útoku bylo narušení důvěrnosti informací. V překladu to znamená, že e-mailové zprávy, které měl číst pouze Podesta a jejich adresáti či odesílatelé, si mohli přečíst i hackeři.

A v důsledku toho se pak najednou objevily také na veřejném serveru WikiLeaks, kde je mohly číst miliony dalších lidí.

Příbuzní z Afriky

Popis incidentu s podvrženým e-mailem od společnosti Google zní možná komplikovaně, ale je to něco, co jste sami v nepoměrně měkčí variantě nejspíš zažili.

Řeč je o slavných tzv. afrických e-mailech. Zkrátka vám napíše někdo údajně z Afriky (či odněkud z podobně exotické destinace), že je váš vzdálený strýček. A také že od něj zdědíte pár milionů dolarů, pokud někam něco pošlete nebo někam kliknete.

Textace těchto e-mailů byla poznamenána zjevně automatickým překladačem, takže e-maily často nedávaly žádný smysl. Nicméně navzdory všem těmto řekněme formálním nedostatkům se našlo nemálo lidí, kteří se nechali napálit.

Šlo o klasické phishingové e-maily, které po internetu kolují i nadále. Místo bohatých příbuzných z Afriky jsou však teď v kurzu spíše výhrůžky, že hackeři mají videozáznam z vaší webkamery, jak například masturbujete před monitorem, a pokud nezaplatíte výkupné, bude video zveřejněno.

Tento základní typ phishingu je odhalitelný poměrně snadno a kromě nepoučených uživatelů na něj lidé většinou nenaletí.

Jeden účet vládne všem

Horší je typ spear phishingu popsaný na příkladu s Johnem Podestou. Jsou známé příklady, kdy například někdo podvrhl e-mailovou adresu ředitele firmy a z této adresy těsně před koncem pracovní doby odeslal e-mail sekretářce, že je potřeba ještě ten den někam poslat urgentní platbu.

Sekretářka se pochopitelně bála neuposlechnout příkaz nadřízeného, a proto obešla interní směrnice o schvalování plateb a peníze odeslala. Netřeba říkat, že šlo o útočníka, který se za ředitele pouze vydával. Podvržení e-mailové adresy totiž ve většině případů není nic extra složitého.

Podvržením e-mailové adresy však nekončíme. Útočníci často cílí na uživatele sdílených služeb, jako je Office 365 nebo G Suite.

Obvyklý cíl útočníků? Běžný zaměstnanec

Logika je velmi prostá: často stačí, aby se spletl jeden zaměstnanec, a útočníci mají obratem přístup k dokumentům celé organizace.

Může jít prakticky o cokoli: ceníky služeb pro různé klienty, databáze osobních údajů, kompletní účetnictví. Ve veřejné sféře pak o interní spisy úřadů, informace z trestního či správního řízení, výsledky výzkumu u univerzit a vědeckých pracovišť a řadu dalších informací, k nimž by nikdo nepovolaný neměl mít přístup.

Postup je v těchto případech rozšířen o další krok. Útočníci například všem zaměstnancům pošlou mail, že je třeba se opětovně přihlásit k účtu u sdílené služby. Odkaz v mailu vede na stránku, která skutečně vypadá jako přihlašovací stránka Office 365 nebo G Suite. Jenže stránka je podvrh a slouží jen ke sběru přihlašovacích údajů.

MOHLO BY VÁS TAKÉ ZAJÍMAT:

Zapomeňte neznámá cizí slova, u kybernetické bezpečnosti je nutné řešit podstatu

Vladimír Špička (Forcepoint): Film Minority Report se v kybernetické bezpečnosti stane realitou

Jaká používáte hesla? Podle průzkumu Češi kybernetické hrozby spíše podceňují

Bez učení to nepůjde

Co tedy s tím? Management v případě incidentu hází vinu logicky na IT oddělení organizace. Jenže to není právě ideální postup.

Zaměstnanci v drtivé většině firem i ve veřejné správě zkrátka v současnosti počítač, e-mail a sdílené služby ke své práci naprosto nezbytně potřebují. A IT oddělení může být sebespecializovanější, ale chybné kliknutí neinformovaného uživatele nezastaví, ani kdyby se stavělo na hlavu.

Jediná šance je soustavné zvyšování povědomí o kybernetické bezpečnosti a o rizicích, která na uživatele v tomto prostředí číhají. A to rozhodně není práce pro IT specialisty.

Zde musí promluvit experti na vzdělávání, kteří rádi potvrdí, že nudný e-learning v rámci vstupního školení ve firmě, který každý bez zájmu prokliká, je k ničemu. Zaměstnance je třeba neustále školit v bezpečném používání moderních technologií a školení musí být maximálně realistická a šitá na míru dané organizaci.

Jen touto cestou může vzrůst odolnost uživatelů proti kybernetickým útokům. Jsou to totiž právě uživatelé, kdo dnes představuje největší hrozbu.