Náš svět je stále více propojený moderními technologiemi.
Přináší to pohodlí, efektivitu, vyšší spolehlivost, ale i rizika. Možnému útoku hackerů jsou dnes vystaveny nejen webové stránky firem, ale i citlivá data, finanční systémy, státní registry nebo distribuční sítě. Útočníci přitom dosud slaví úspěchy s jednoduchými metodami. Nejslabším článkem je stále uživatel.
Ochrana počítačových sítí před útoky hackerů se stává jednou z největších výzev budoucnosti. Nedávná zpráva Světového ekonomického fóra o globálních rizicích označuje kybernetický zločin za jednu ze čtyř největších hrozeb pro příští desetiletí. Srovnává je tak s rozevíráním nůžek mezi bohatými a chudými, změnami klimatu a finančními problémy velkých států. Zdá se vám to přehnané? Na první pohled možná ano, dokud nezačnete přemýšlet o možných důsledcích online útoků.
Společnost Kaspersky Lab, která se ochranou počítačových sítí zabývá, odhaduje, že útok hackerů na evropskou společnost s více než 1.500 zaměstnanci způsobí škodu v průměrné výši 495.000 eur. Střední společnosti mohou očekávat ztráty ve výši zhruba pěti procent ročního obratu, případně i ztrátu know-how v rozsahu přímo ohrožujícím jejich další existenci.
Sto miliard eur ročně
Před rokem takovému útoku čelila známá společnost Adobe. Hackeři po útoku zveřejnili citlivé údaje 152 milionů uživatelů jejích cloudových služeb a odcizili a zveřejnili zdrojový kód klíčových produktů a jejich bezpečnostních prvků. Společnost se nyní vypořádává s poškozenou pověstí, ztrátou důvěry části uživatelů a hrozbou zneužití zdrojových kódů v budoucnu. V soudních síních navíc bude prokazovat, že pro bezpečnost dat svých uživatelů udělala vše potřebné.
To vše je jistě nepříjemné. Dovedete si však představit, jaké důsledky by mělo rozsáhlejší napadení veřejných registrů, finančních systémů nebo infrastruktury? Inteligentní sítě se dnes používají v energetice, vodárenství, v komunikacích, i v řízení dopravy. V rutinních situacích reagují bez zásahu obsluhy a při řešení řady problémů díky nim technik nemusí opouštět svou kancelář. Stejně tak je ale může zdatný hacker vyřadit z provozu, aniž by opustil svůj stůl a načatou pizzu.
Studie často vidí věci příliš černě, vycházejí z nejdramatičtějších scénářů. Ono ale zcela stačí, aby pokračoval dosavadní trend. Kybernetický zločin je vzkvétajícím a výnosným odvětvím. Dle odhadů způsobuje ročně celosvětově škody ve výši okolo sta miliard eur. Sedm z deseti uživatelů internetu se již obětí útoku stalo.
Jednoduché triky
Jeden fakt je obzvláště alarmující. Pracujeme se stále sofistikovanějšími technologiemi a jejich narušení by vedlo k dříve nemyslitelným důsledkům. Bezpečnost našich systémů je přitom ale nejčastěji narušována poměrně jednoduchými metodami. Při čtyřech z pěti útoků hacker nepotřebuje žádné zvláštní technické znalosti. Například zpráva Verizon Data Breach Report 2013 uvádí, že plných 76 % útoků je úspěšných díky snadno uhodnutelným nebo získatelným přístupovým údajům. Více než polovina případů navíc zůstane po řadu měsíců neodhalena, což poskytuje útočníkovi čas na práci. Jak tedy útočníci pracují?
Jednou z osvědčených metod je phishing e-mail. Znáte jej dobře, neboť pravděpodobnost že byste jej doposud ve své e-mailové schránce nenalezli je velmi malá. Zpráva, která se nejčastěji tváří jako žádost od banky nebo mobilního operátora, vyzývá k návštěvě podvržené stránky a zadání přihlašovacích údajů. Odvolává se zpravidla na vypršení platnosti stávajícího hesla, nutnost aktualizace účtu, jeho hrozící blokaci, neuhrazenou fakturu nebo změnu politiky.
Většina dnešních phishing e-mailů je důkladně designována a jsou prakticky k nerozeznání od komunikace skutečné banky. Proto i přes četné příběhy citované v médiích řada uživatelů zabere, své údaje hackerům nadiktuje a pak jen sčítá ztráty.
Sociální inženýrství
Cenná data se dají získat také pomocí metod sociálního inženýrství, které pracují se sociálním chováním a přirozenými reakcemi lidí. Útočník se snaží co nejdůvěryhodněji vydávat za zaměstnance firmy a pomocí e-mailů a telefonátů sbírá citlivé interní informace. K navození důvěry postačí podvržení adresy odesílatele e-mailu nebo zmínění jmen kolegů a interních informací, které útočník již dříve získal nebo jednoduše posbíral na sociálních sítích. Sledování vazeb a skládání útržkovitých informací zveřejňovaných zaměstnanci na Facebooku, Twitteru a dalších službách může výrazně ulehčit útočníkovu cestu do firmy.
Cílem útoku založeného na sociálním inženýrství se přitom může stát každý a nikdo není úplně imunní. Při péči o bezpečnost firemní sítí a infrastruktury je tak kromě investic do technického zabezpečení nutná i péče o vzdělávání zaměstnanců. Bez komplexního řízení rizik, jasných pravidel IT bezpečnosti a pravidelného tréninku budou i nadále právě oni nejjednodušší cestou k chráněným datům.
Článek vznikl pro časopis Visions (Visions Podzim 2014, http://www.siemens.cz/visions/). V případě zájmu o použití textu prosím kontaktujte pražské Tiskové centrum koncernu Siemens.
