Na jedné straně jsou zlí hackeři, ale hlavní kybernetickou hrozbu představují vždy zaměstnanci

K citlivým datům se lze dostat různými způsoby. Teoreticky připadá v úvahu hledání zranitelností konkrétních systémů. Také je možné zkoušet hrubou silou lámat hesla či se pokusit fyzicky dostat k počítačům, které data obsahují. Tyto metody jsou však rizikové, často velmi nákladné a obvykle obtížně realizovatelné.

Proto stále platí, že nejsnazší cestou k citlivým informacím je pomyslná spojnice mezi klávesnicí a židlí – uživatel.

Selhání lidského faktoru

Pro bezpečnost informací existují tři základní hrozby: narušení důvěrnosti, integrity a dostupnosti dat. Selhání lidského faktoru může způsobit všechny tři. Pojďme se podívat na nějaké příklady.

V druhé polovině března roku 2016 přišel Johnu Podestovi, poradci tehdejší kandidátky na prezidentku USA Hillary Clintonové, na jeho Gmail účet varovný e-mail, který se tvářil, že je od společnosti Google.

Ve skutečnosti tento mail neposlal Google, ale skupina ruských hackerů známá pod označením Fancy Bear. Poradce Podesta, nic zlého netuše, na odkaz v mailu klikl a nevědomky spustil jednu z největších kauz kybernetické bezpečnosti v dějinách.

O několik měsíců později se totiž na WikiLeaks objevily tisíce Podestových mailů, které si vyměnil s Hillary Clintonovou a dalšími lidmi.

Cílený útok

Podesta totiž kliknutím na odkaz nevědomky dal ruským hackerům přístup ke svému mailovému účtu. Z jejich strany šlo o cílený útok, který je známý jako spear phishing (viz box vpravo).

Cílem tohoto útoku bylo narušení důvěrnosti informací. V překladu to znamená, že e-mailové zprávy, které měl číst pouze Podesta a jejich adresáti či odesílatelé, si mohli přečíst i hackeři.

A v důsledku toho se pak najednou objevily také na veřejném serveru WikiLeaks, kde je mohly číst miliony dalších lidí.

Příbuzní z Afriky

Popis incidentu s podvrženým e-mailem od společnosti Google zní možná komplikovaně, ale je to něco, co jste sami v nepoměrně měkčí variantě nejspíš zažili.

Řeč je o slavných tzv. afrických e-mailech. Zkrátka vám napíše někdo údajně z Afriky (či odněkud z podobně exotické destinace), že je váš vzdálený strýček. A také že od něj zdědíte pár milionů dolarů, pokud někam něco pošlete nebo někam kliknete.

Textace těchto e-mailů byla poznamenána zjevně automatickým překladačem, takže e-maily často nedávaly žádný smysl. Nicméně navzdory všem těmto řekněme formálním nedostatkům se našlo nemálo lidí, kteří se nechali napálit.

Šlo o klasické phishingové e-maily, které po internetu kolují i nadále. Místo bohatých příbuzných z Afriky jsou však teď v kurzu spíše výhrůžky, že hackeři mají videozáznam z vaší webkamery, jak například masturbujete před monitorem, a pokud nezaplatíte výkupné, bude video zveřejněno.

Tento základní typ phishingu je odhalitelný poměrně snadno a kromě nepoučených uživatelů na něj lidé většinou nenaletí.

Jeden účet vládne všem

Horší je typ spear phishingu popsaný na příkladu s Johnem Podestou. Jsou známé příklady, kdy například někdo podvrhl e-mailovou adresu ředitele firmy a z této adresy těsně před koncem pracovní doby odeslal e-mail sekretářce, že je potřeba ještě ten den někam poslat urgentní platbu.

Sekretářka se pochopitelně bála neuposlechnout příkaz nadřízeného, a proto obešla interní směrnice o schvalování plateb a peníze odeslala. Netřeba říkat, že šlo o útočníka, který se za ředitele pouze vydával. Podvržení e-mailové adresy totiž ve většině případů není nic extra složitého.

Podvržením e-mailové adresy však nekončíme. Útočníci často cílí na uživatele sdílených služeb, jako je Office 365 nebo G Suite.

Obvyklý cíl útočníků? Běžný zaměstnanec

Logika je velmi prostá: často stačí, aby se spletl jeden zaměstnanec, a útočníci mají obratem přístup k dokumentům celé organizace.

Může jít prakticky o cokoli: ceníky služeb pro různé klienty, databáze osobních údajů, kompletní účetnictví. Ve veřejné sféře pak o interní spisy úřadů, informace z trestního či správního řízení, výsledky výzkumu u univerzit a vědeckých pracovišť a řadu dalších informací, k nimž by nikdo nepovolaný neměl mít přístup.

Postup je v těchto případech rozšířen o další krok. Útočníci například všem zaměstnancům pošlou mail, že je třeba se opětovně přihlásit k účtu u sdílené služby. Odkaz v mailu vede na stránku, která skutečně vypadá jako přihlašovací stránka Office 365 nebo G Suite. Jenže stránka je podvrh a slouží jen ke sběru přihlašovacích údajů.

MOHLO BY VÁS TAKÉ ZAJÍMAT:

Zapomeňte neznámá cizí slova, u kybernetické bezpečnosti je nutné řešit podstatu

Vladimír Špička (Forcepoint): Film Minority Report se v kybernetické bezpečnosti stane realitou

Jaká používáte hesla? Podle průzkumu Češi kybernetické hrozby spíše podceňují

Bez učení to nepůjde

Co tedy s tím? Management v případě incidentu hází vinu logicky na IT oddělení organizace. Jenže to není právě ideální postup.

Zaměstnanci v drtivé většině firem i ve veřejné správě zkrátka v současnosti počítač, e-mail a sdílené služby ke své práci naprosto nezbytně potřebují. A IT oddělení může být sebespecializovanější, ale chybné kliknutí neinformovaného uživatele nezastaví, ani kdyby se stavělo na hlavu.

Jediná šance je soustavné zvyšování povědomí o kybernetické bezpečnosti a o rizicích, která na uživatele v tomto prostředí číhají. A to rozhodně není práce pro IT specialisty.

Zde musí promluvit experti na vzdělávání, kteří rádi potvrdí, že nudný e-learning v rámci vstupního školení ve firmě, který každý bez zájmu prokliká, je k ničemu. Zaměstnance je třeba neustále školit v bezpečném používání moderních technologií a školení musí být maximálně realistická a šitá na míru dané organizaci.

Jen touto cestou může vzrůst odolnost uživatelů proti kybernetickým útokům. Jsou to totiž právě uživatelé, kdo dnes představuje největší hrozbu.

Souhrn toho nejdůležitějšího
každý pátek ve vašem e-mailu.

Přihlásit odběr