Čo majú spoločné hlinikáreň Norsk Hydro, nemocnica v Benešove, mesto Johannesburg a karvinská ťažobná spoločnosť OKD? Väčšina ľudí by povedala, že zaručene nič. Odborníci na počítačovú bezpečnosť by však jednu paralelu nájsť vedeli – ide o vlaňajšie obete tzv. ransomvéru, ktorých boli po celom svete tisíce.
Podľa európskeho policajného úradu Europol sú útoky ransomvérom najväčšou kybernetickou hrozbou na starom kontinente – napriek tomu, že ich počet medziročne klesol. Oproti minulosti sú totiž cielenejšie.
Presný výber obetí
Namiesto občanov, pri ktorých nie je šanca na úspešné vydieranie vysoká, cielia hackeri viac na vybrané verejné a súkromné organizácie, pre ktoré majú dáta zvyčajne vyššiu hodnotu a ich prípadná strata spôsobí väčšie ekonomické škody. Ide napr. o nemocnice, mestské úrady, banky a iné firmy.
Podľa Europolu už niektoré európske organizácie zaplatili za odkódovanie svojich dát aj viac ako milión eur. Samozrejme, nie každá obeť sa rozhodne zaplatiť. To však neznamená, že ju v tomto prípade kybernetický bezpečnostný incident nič nestojí. Rátať musí napr. s nákladmi na odstránenie škodlivých kódov a obnovu IT infraštruktúry, ako aj s krytím strát súvisiacich s prerušením činnosti a so stratou produktivity. Napr. v benešovskej nemocnici sa škody vyšplhali cez dva milióny eur!
Ransomvér je pomerne sofistikovaný škodlivý kód. Neútočí okamžite, ale najskôr bez vedomia používateľov a správcov sietí skenuje dostupné dáta a dokumenty, prípadne dokáže aj vypnúť antivírusové programy. Do počítačových systémov sa zvyčajne dostáva tradičnými spôsobmi.
Slabinou sú ľudia
Stačí, ak používateľ otvorí infikovanú e-mailovú prílohu, klikne na webový odkaz na sociálnych sieťach alebo vloží do počítača nakazený USB kľúč. Útočníci pritom často využívajú formy sociálneho inžinierstva, vrátane fišingu, pri ktorých sa snažia ľudí psychologicky zmanipulovať. Tiež zneužívajú na zosnovanie útokov protokoly pre vzdialený prístup k pracovnej ploche. Ide o softvérovú zraniteľnosť operačných systémov, ktorá umožňuje pripojiť sa k vzdialenému počítaču.
Tradičná ochrana pozostávajúca z antivírusov a firewallov nebýva voči ransomvéru vždy účinná. Efektívnejšie je využívať sofistikovanejšie nástroje na monitoring sieťovej prevádzky s prvkami umelej inteligencie, ktoré dokážu odhaliť podozrivú komunikáciu, bezpečnostné hrozby a rozličné anomálie.
Inteligencia nemusí stačiť
Niektoré organizácie u nás takéto prostriedky už využívajú, ďalšie ich plánujú nasadiť. Podľa vlaňajšieho prieskumu Flowmon Networks mieni inteligentný monitoring sieťovej prevádzky rozvíjať (v čase do dvoch rokov) až 72 % firiem na Slovensku.
Ani najlepšie technológie však stopercentnú ochranu proti ransomvéru nezaručia, ak bezpečnostný operátor nedokáže na hrozbu zareagovať rýchlo. Preto je lepšie kombinovať monitoring s automatizáciou blokovania útokov a okamžitou odozvou na prípadný incident. Nevyhnutné sú aj osveta a školenie zamestnancov – a čoraz častejšie aj obchodných partnerov a dodávateľov. Od nich hrozí najväčšie riziko nákazy, lebo firemná komunikácia s nimi býva zvyčajne najintenzívnejšia. Rozvoj ľudských zdrojov – vrátane tréningov ľudí mimo IT oddelení – považuje za najnaliehavejšiu prevenciu kybernetických hrozieb až polovica respondentov spomenutého prieskumu.
Treba tiež dbať na pravidelné updaty systémov, tvorbu záloh a testovanie ich funkčnosti. Aktuálne zálohy pomôžu zmierniť finančné škody aj stratu reputácie, a predovšetkým obnoviť prevádzkyschopnosť organizácie – čo môže byť v prípade nemocnice alebo dodávok vody či energií kľúčové.
Roman Čupka, CEE consultant
Flowmon Networks
