Pred kyberútokom nie ste v bezpečí nikde. Ani na Slovensku.

Tisíce útokov denne. Tak dopadol audit bezpečnosti informačných technológií na slovenských vysokých školách. Bezpečnostná analýza sieťovej premávky zatiaľ na troch univerzitách odhalila viac ako stotisíc pokusov kompromitovať školské zariadenia, pričom stovky z nich sa počítali medzi skutočne vážne.

Výsledky naznačujú, že kybernetický zločin je tu a netreba ho brať na ľahkú váhu. Predstava, že Slovensko nie je pre útočníkov v kyberpriestore zaujímavé alebo že práve tá „moja“ firma či organizácia nemá zločincom čo ponúknuť, je naivná. Hoci dáta tých skutočne významných firiem sú nepochybne lákavá korisť, bývajú zvyčajne dobre zabezpečené. Pre zločincov je oveľa jednoduchšie rozhodiť svoje siete na veľké množstvo slabšie bránených terčov, ako sú napríklad práve univerzity.

Ideálne ciele

Školy či zdravotnícke zariadenia sú z pohľadu  útočníkov veľmi príťažlivé ciele – ich siete sú ­pomerne otvorené, má k nim prístup veľké množstvo používateľov a cieľové inštitúcie ­neoplývajú zdrojmi na to, aby investovali do poriadneho zabezpečenia.

Napríklad práve v zdravotníctve je veľmi rozšírené nedostatočne zabezpečené prihlasovanie, umožňujúce jednoduchú detekciu hesiel. Mnohí zamestnanci na nich majú nastavené účty s vysokými stupňami oprávnení, ktoré pritom na svoju prácu nepotrebujú. Neaktualizované a pravidelne nezaplátané aplikácie a operačné systémy, ako aj používanie neautorizovaných webových aplikácií bezpečnostnú situáciu naďalej zhoršuje. Zdravotníctvo je pre útočníkov ­mimoriadne lákavé, keďže má cenné dáta. Ponemon Institute vo svojej analýze tvrdí, že takmer 90 percent zdravotníckych zariadení bolo v posledných dvoch rokoch terčom útoku s cieľom krádeže dát; pri takmer polovici bolo za rovnaký čas päť a viac útokov. Len v USA bol odhad škôd na úrovni 6,2 miliardy dolárov.

Nezisková organizácia HIMSS vo svojej štúdii Healthcare Environmental Security Scan Report odhaduje, že pravdepodobnosť napadnutia pokročilým malvérom je pri zdravotníckych zariadeniach až štvornásobne vyššia ako v iných odvetviach. Niet sa čomu čudovať, podľa odhadov čierny trh platí za záznamy pacientov desaťnásobok až dvadsaťnásobok toho, čo je ochotný dať za čísla kreditných kariet. Tieto dáta otvárajú priestor na ďalšie sofistikované podvody alebo dokonca krádeže identity.

Najskôr výkupné, potom zdravie

Hitom kybernetického zločinu v ostatných rokoch je ransomvér. Zločinci na vydieračskom softvéri len do marca tohto roka zarobili viac ako 200 miliónov dolárov. Odhadovaná získaná suma za celý rok 2016 dokonca prekračuje deväťcifernú hranicu. Známy je prípad útoku na nemocnicu v Kalifornii, pri ktorom zločinci vymámili od nemocnice bitcoiny v hodnote 17-tisíc dolárov. Po príklady však netreba chodiť do USA, dva prípady sú známe aj z Nemecka. Jedna z nemocníc sa dokonca na niekoľko týždňov musela vrátiť k telefónom, faxom a osvedčenému peru a papieru. Pokusy internetových vydieračov, našťastie s dobrým koncom, sa objavili aj v českých nemocniciach.

Existuje viacero typov útokov pomocou ransomvéru. Najznámejšie formy tohto typu malvéru sú momentálne klony Powerware či Maktub Lockers, ktorý využíva najmä nepozornosť používateľov. Do ich počítačov sa dostáva pomocou phishingových kampaní a podvodníckej elektronickej pošty. Nebezpečný je aj typ SamSam, ktorý sa zameriava na počítačové siete a od svojich obetí zvyčajne žiada vyššie výkupné.

Čo robiť po útoku ransomvéru?

Ak sú počítače kompromitované a namiesto pracovnej plochy sa z monitora pozerá výzva na úhradu nejakej sumy, existuje jedno zlaté pravidlo: Nezaplatiť ani cent. Platba útočníkom nedáva istotu, že zločinci dáta skutočne odšifrujú. Navyše ak nejde o fotky z dovolenky, ale o citlivé a hodnotné dáta, bude sa im dať po kompromitácii ešte veriť?

V prípade napadnutia platí ešte jedno zlaté pravidlo – s útokom treba počítať skôr, ako sa stane. Pravidelná záloha dát na úložiská, najlepšie také, ktoré nie sú s počítačom spojené sieťou, dokáže škody minimalizovať.

Ucelený koncept ochrany

Najlepšia stratégia je však komplexný koncept ochrany, ktorý zahŕňa ucelené bezpečnostné riešenia.

Samozrejmosť v takej sieti sú firewally, ktoré kontrolujú komunikáciu podľa nastavených pravidiel. Ochranné prvky sledujú internetovú premávku a porovnávajú ju so signatúrami známych zraniteľností. Ak na ich základe vyhodnotia škodlivý kód, zabránia mu v prieniku do internej siete. Nástroj na ochranu webovej premávky kontroluje, čo prechádza z webového prostredia a do neho. Funguje vlastne ako proxy brána a umožňuje nastavenie bezpečnostných politík na komunikáciu s webovými servermi.  Bezpečnostná brána na ochranu elektronickej pošty môže byť on-premise alebo v podobe cloudovej služby a kontroluje všetky prichádzajúce a odchádzajúce e-maily.

Nástroj na ochranu pred malvérom má na starosti nielen predchádzanie napadnutia, ale aj detekciu, blokáciu a spätnú analýzu súborov. Posledný odporúčaný nástroj je riešenie na ochranu komunikácie s DNS servermi. Deväť z desiatich dnešných malvérových kampaní potrebuje na svoje šírenie DNS. Bezpečnostné riešenie, ktoré opäť môže fungovať ako cloudová služba, potom dokáže škodlivé požiadavky blokovať. „Mäkké“ ciele väčšinou nemajú prostriedky na špeciálny IT tím, vyčlenený na bezpečnosť. O to dôležitejšie je správne nastavenie bezpečnostných pravidiel, aktívny monitoring diania v sieti a v neposlednom rade poučenie zamestnancov.

Zdroj: PC Revue