Kyberbezpečnost a ochrana citlivých dat je v dnešní době velmi důležité téma, fenoménem se stává takzvaný etický hacking. Ten může pomoci firmám ochránit se před kyberútoky, které jsou čím dál sofistikovanější, a zároveň vyřešit situace, kdy se již hackeři k citlivým informacím dostali.
Co je podstatou etického hackingu a na co si mají firmy dát v oblasti kyberbezpečnosti pozor? Jak probíhá napadení hackery? Je v případě kyberútoku výhodnější s hackery vyjednávat a zaplatit výkupné? Nejen na tyto otázky odpovídá v rozhovoru pro Roklen24 Martin Haller, etický hacker a zakladatel firmy Patron-IT, která napadeným institucím a podnikatelům pomáhá dostat citlivá data zpět, nebo posílit jejich ochranu v rámci preventivních opatření.
Jak probíhá napadení hackery? Jaké aktivity hacking nejčastěji zahrnuje a co je motivací?
Napadení hackery může probíhat různými způsoby, v závislosti na jejich cílech a zkušenostech. Někteří hackeři se zaměřují na tzv. sociální inženýrství, kde zneužívají důvěru a nevědomost lidí k získání citlivých informací. Jiní hackeři mohou používat technické metody, jako je například využití zranitelností v software, aby získali přístup do systému.
Motivace hackerů se mohou také velmi lišit. Někteří jsou motivováni finančními zisky, jiní mohou být motivováni touhou poznat, jak systémy fungují a jak je lze porazit. Další mohou být motivováni ideologickými nebo politickými důvody, a chtějí napadnout systémy, které jsou spojeny s organizacemi nebo vládami, se kterými nesouhlasí.
Jak lze napadení hackery odhalit?
Odhalení útoku hackerů může být složité, protože mnoho útoků je navrženo tak, aby byly co nejvíce nepozorované. Existují však některé známky, které mohou ukazovat na to, že systém byl kompromitován.
Základní indikací jsou upozornění od bezpečnostních technologií jako je antivirus. Dále to může být neobvyklá aktivita na síti, jako je vysoký provoz v neobvyklých hodinách, neočekávané pokusy o přihlášení nebo pokusy o přístup k citlivým informacím. Další známky mohou zahrnovat pomalejší než obvyklý výkon počítače, náhodné restarty nebo změny nastavení systému.
Nicméně, nejlepší obranou je prevence. To zahrnuje udržování software aktuální, používání silných hesel, omezení přístupu k citlivým systémům a informacím a vzdělávání uživatelů o bezpečných postupech a rizicích.
Vaše specializace je takzvaný etický hacking. Co to znamená a proč se toto téma stává fenoménem dnešní doby?
Etický hacking, někdy také označovaný jako penetrační testování, je zkoumání počítačových systémů, sítí a softwaru z hlediska bezpečnosti, s cílem identifikovat a opravit potenciální slabiny dříve, než je zneužijí neoprávněné osoby. Etický hacker pracuje s povolením od správce systému, který chce zjistit, kde jsou slabá místa a jak je lze vylepšit.
Etický hacking se stává fenoménem dnešní doby, protože v dnešní digitalizované společnosti je bezpečnost informací stále důležitější. Firmy a organizace dnes často ukládají a zpracovávají obrovské množství citlivých dat, od osobních údajů zákazníků po obchodní tajemství. Jakékoli úniky nebo narušení těchto dat mohou mít vážné důsledky, včetně finančních ztrát, poškození reputace a právních problémů.
Zároveň se zvyšuje počet a sofistikovanost kybernetických útoků, což znamená, že starší obranné strategie nejsou často dostatečné. Etický hacking poskytuje realistické a užitečné způsoby, jak testovat a zlepšovat bezpečnostní opatření. Kromě toho, zákony a normy v mnoha zemích a průmyslových odvětvích nyní vyžadují pravidelné bezpečnostní kontroly a testování penetrace, což také přispívá k rostoucí poptávce po etických hackerech.
Jak konkrétně probíhá etický hacking po kybernetickém útoku?
Po kybernetickém útoku může etický hacker pomoci analyzovat, co se stalo, identifikovat slabiny, které byly využity, a navrhnout způsoby, jak tyto slabiny odstranit a zabránit podobným útokům v budoucnosti. Zde je stručný přehled toho, jak by mohl tento proces vypadat:
- Analýza incidentu: Etický hacker začíná tím, že se snaží zjistit, co se přesně stalo. To může zahrnovat prohlížení logů serveru, provádění forenzní analýzy na kompromitovaných systémech a další techniky. Cílem je zjistit, jak byl útok proveden, které systémy byly postiženy a jaké informace mohly být kompromitovány.
- Identifikace slabin: Jakmile je útok pochopen, etický hacker se pokusí identifikovat konkrétní slabiny, které byly využity. To může zahrnovat hledání chyb v kódu, zranitelností v konfiguraci systému, nebo nedostatek bezpečnostních opatření, jako je nedostatečná autentizace nebo šifrování.
- Návrh oprav a vylepšení: Po identifikaci slabin etický hacker navrhne způsoby, jak je opravit. To může zahrnovat aktualizaci nebo změnu softwaru, změnu konfigurace systému či zavedení nových bezpečnostních politik a postupů.
- Testování: Jakmile jsou opravy a vylepšení implementovány, etický hacker provede další testování, aby se ujistil, že slabiny byly řádně odstraněny a že nová opatření fungují správně.
- Dokumentace a vzdělávání: Nakonec etický hacker může pomoci dokumentovat celý incident a jeho řešení, aby se z něj organizace mohla poučit. Také může poskytnout zaměstnancům vzdělávání o tom, jak se vyhnout podobným problémům v budoucnosti.
Mezi vaše zkušenosti patří i přímé vyjednávání s hackery. Můžete popsat nějaké zážitky? Do jakých částek se může vyšplhat požadované “výkupné”?
Zrovna z nedávné doby máme jednu kuriózní zkušenost. Pro jednu z napadených firem jsme vyjednávali s útočníky výkupné. Vše již bylo domluvené a obě strany s částkou souhlasily. Vtom však útočníci napsali, že již dešifrovací klíče smazali a data tak nemohou obnovit. To bylo poprvé, co se nám něco takového stalo. Vůbec netušíme, co se na straně útočníků stalo. Pravděpodobně technická chyba, nebo nějaká interní hádka. Oni tak přišli o značnou sumu a zákazník o data.
Z naší zkušenosti se výkupné pohybuje v řádu vyšších statisíců korun pro drobné firmy okolo deseti zaměstanců a v milionech korun pro firmy s tisíci zaměstnanci. Takže rozpětí je značné.
Podobné částky jsou vidět i ze statistik firem zabývajících se řešením ransomware incidentů globálně.
Je pro firmy v současnosti stále výhodnější hackerům zaplatit, než čelit reputačnímu riziku a škodám, které mohou kyberútoky napáchat? Co říkáte na názor, že kyberútočníkům by se navzdory jejich vydírání platit nemělo, protože je tím živíme?
Otázka, zda platit kybernetickým útočníkům, je velmi složitá a závisí na konkrétní situaci. Platba může být pro některé organizace atraktivní, pokud jim to umožní rychle obnovit svůj provoz, získat zpět data a minimalizovat škody.
Pokud jde o reputační riziko, tak zde bych rozhodně doporučoval neplatit. Útočníkům se nedá věřit, že v případě zaplacení ukradená data nezveřejní, či oběť nebudou vydírat opakovaně. Praxe spíše ukazuje, že v tomto směru slovo nedrží. Dále je důležité si uvědomit, že placení kybernetickým zločincům může také poškodit reputaci firmy. Zákazníci a obchodní partneři mohou zpochybňovat bezpečnostní postupy firmy a její schopnost chránit citlivé informace.
Mnoho odborníků na kybernetickou bezpečnost, včetně mě, se domnívá, že placení kybernetickým útočníkům by mělo být poslední možností. Místo toho by se organizace měly zaměřit na prevenci těchto útoků prostřednictvím silných bezpečnostních opatření, pravidelných záloh dat, vzdělávání zaměstnanců a pravidelného testování a aktualizace svých systémů.
Dokážete vzhledem k vašim zkušenostem odhadnout, jakého množství firem se kyberútoky týkají? Jakou vy osobně slavíte úspěšnost v rámci vyjednávání?
Většina útoků se nikde nehlásí, proto je velmi těžké získat nějaká vypovídající statistická data. Nicméně jen na nás se v roce 2022 obrátilo okolo 120 úspěšně napadených subjektů.
Zároveň z rozhovorů s IT správci z různých firem mám pocit, že většina se již osobně s ransomware útokem také setkala.
Pokud jde o naše osobní zkušenosti s vyjednáváním, tak zde se nám naštěstí vždy podařilo získat zpět data za „rozumnou“ cenu, pokud již došlo k samotné platbě.
Věnujete se i auditu bezpečnosti. Kde podle vás u českých firem nejčastěji selhává ochrana dat? Na co by se měly tyto firmy zaměřit, aby byly schopné se lépe ochránit před kyberútoky?
Můžu potvrdit, že existuje několik běžných oblastí, kde firmy – nejen v České republice, ale po celém světě – často selhávají v ochraně svých dat. Toto jsou některé z nejčastějších problémů:
- Zastaralý software a hardware: Mnoho firem používá zastaralé systémy a software, které nejsou pravidelně aktualizovány. Tyto systémy jsou pak často vstupní branou útočníků do firemní sítě.
- Nedostatečná bezpečnostní opatření: Mnoho kybernetických útoků také začíná úspěšnou krádeží uživatelských přihlašovacích údajů. Např. skrze phishing, používání stejných hesel u více služeb, či přihlášením na kompromitovaném počítači. Firmy by měly nasadit vícefaktorové ověřování, které snižuje rizika z úniku přihlašovacích údajů. Udělat hardening (opevnění) své vnitřní sítě, nejen perimetru. Investovat do školení svých IT správců a lehce i do školení bezpečnosti pro běžné zaměstnance.
- Chybějící monitorovací technologie: Když už se útočníci do sítě dostanou, je třeba je umět včas detekovat a útok zastavit v počátcích, než dojde k napáchání větších škod. Proto je nutné mít nasazené monitorovací technologie a denně vyhodnocovat jejich výstupy.
Dále je přínosné, aby firmy prováděly pravidelné bezpečnostní audity a penetrační testy. Ty jim pomohou v jejich bezpečnostních systémech identifikovat slabiny, které přehlédli.
Jak hodnotíte snahu EU razantně posílit kybernetickou ochranu podnikatelů i státních organizací v souvislosti s evropskou směrnicí NIS2? Podle NÚKIB se bude implementace týkat více než 6 000 českých firem a investice se mohou vyšplhat až do stovek milionů korun.
Směrnice EU NIS2 (Network and Information Security) je významným krokem k posílení kybernetické bezpečnosti v rámci Evropské unie. Tato směrnice je zaměřena na posílení bezpečnostních požadavků pro klíčové sektory a digitální poskytovatele služeb, posílení schopnosti členských států reagovat na incidenty v oblasti kybernetické bezpečnosti a podporu kooperace mezi členskými státy.
Je pravda, že implementace této směrnice bude vyžadovat významné investice od mnoha organizací. Tyto investice mohou zahrnovat nákup nových bezpečnostních technologií, školení zaměstnanců, najímání bezpečnostních specialistů a další opatření.
Bude to drahé, pracné, ale pomalu to povede k vyšší míře kybernetické bezpečnosti Evropské unie. Věřím, že je to investice, která se nám do budoucna vyplatí.
Jakým způsobem přispívá ke kyberútokům umělá inteligence a naopak jakým způsobem pomáhá umělá inteligence vám při etickém hackingu? Jaké trendy v této oblasti očekáváte do budoucna?
Na straně útoků, kybernetičtí zločinci mohou využít AI k vytváření phishingových e-mailů, které jsou více přizpůsobené a přesvědčivé, nebo k automatizaci útoků na velké množství systémů současně. AI může také pomoci útočníkům lépe zamaskovat své aktivity a zůstat v utajení.
Na straně obrany, AI může pomoci odhalovat a blokovat kybernetické útoky rychleji a efektivněji. AI může analyzovat obrovské množství dat a identifikovat podezřelé vzorce chování, které by mohly naznačovat pokus o útok. AI také může pomoci při automatizaci odpovědí na incidenty, což umožňuje organizacím rychleji reagovat na útoky.
Mně osobně pak pomáhá jako asistent k dohledávání informací či vyhodnocování většího množství dat. V rámci penetračního testování se neustále setkávám s novými systémy a aplikacemi, které jsem dříve neviděl. I když se pro mne jedná o nové aplikace, ze své povahy fungují na podobných principech jako ty, které jsem již testoval. Vím tedy, co v nich zneužívat, jen musím dohledat, kde se daná konfigurace či funkcionalita nachází. K tomu mi právě slouží umělá inteligence, která dokáže informaci dodat rychleji a přesněji než vyhledávání na Google. Samozřejmě stále je nutné si výstupy z umělé inteligence ověřovat, častokrát si totiž vymýšlí.
Co se týče budoucích trendů, očekávám, že role AI v kybernetické bezpečnosti bude nadále růst. Na straně útoku mohou kybernetičtí zločinci stále více využívat AI k vytváření sofistikovanějších a obtížněji detekovatelných útoků. Na straně obrany očekávám, že uvidíme větší využití AI pro detekci a reakci na útoky, stejně jako pro předvídání a prevenci budoucích útoků.
Martin Haller je jedním z TOP hackerů v Česku. Naučil se hackovat, aby mohl ostatní chránit proti kybernetickým útokům. Založil firmu Patron-IT, která napadeným institucím a podnikatelům pomáhá dostat citlivá data zpět, nebo posílit jejich ochranu v rámci preventivních opatření. Zároveň přednáší na odborných konferencích v Česku i v zahraničí a píše blog o kybernetické bezpečnosti www.martinhaller.cz.
Zdroj: Coveware, Patron-IT