České kybernetické jaro
Kybernetické útoky, které byly během jarních měsíců zaznamenány v České republice, neměly za cíl získat citlivá osobní data. O napadeních za účelem odcizení interních údajů se totiž ve více než 80 % neví ještě následující měsíc od jejich provedení. U nás se jednalo o takzvaný DDoS kybernetický útok, jehož výsledkem bylo, že se služby některých z největších poskytovatelů služeb staly nedostupnými či dostupnými s velkými obtížemi. Zasaženy byly banky, dále pak zpravodajské weby, vyhledávače a také mobilní operátoři (bylo jen otázkou výběru, že podobným problémům nečelily i pojišťovny). Tento druh ataků nepříjemně omezil komfort obyvatel v přístupu ke službám, na které jsou dnes již zvyklí. Daleko záludnější jsou však útoky vedené na osobní data a informace. Ty se šíří potichu, tak aby o nich nikdo nevěděl a aby útočníci nebyli odhaleni a mohli získávat data v co nejdelším časovém intervalu. Při tomto typu útoku nejde jen o snížení našeho komfortu, ale už i o naši existenci. Dodnes sice není jasné, kdo za jarními DDoS útoky v ČR stál, jedno pozitivum to však mělo – podle expertů na kybernetiku útoky hackerů dokonale prověřily, nakolik jsou počítačové systémy velkých společností výkonné a zabezpečené.
Boj s boty je téměř nemožný
DDoS útoky tedy neznamenaly vážnou hrozbu v podobě získání nebo poškození uložených dat a informací v napadených systémech. Ukázaly však, že jsou útočníci schopni vytvořit a ovládat velké množství tzv. botů. To jsou zařízení napadená nežádoucím softwarem (malware), která se mohou nacházet v nejrůznějších systémech a místech. Tím se stává efektivní boj proti nim téměř nemožný. Bohužel se však ukazuje, že se tyto boty mohou vyskytovat v počítačových sítích nejrůznějších firem a organizací bez ohledu na to, ve které zemi či světadílu se nachází. Zásadní je fakt, že tyto boty nemusí provádět pouze DDoS útoky. Jsou schopny dělat téměř cokoli, od zobrazování reklamy až po získávání hesel a citlivých dat uložených v síti zvolené organizace. V případě zneužití citlivých dat organizace už nejde jen o dočasnou ztrátu komfortu uživatele, může jít doslova o život jak organizaci, tak jejím zaměstnancům, partnerům a klientům.
Šifrování, monitorování a restrikce
Antivir a firewall jsou prostředky, které dnes téměř nikdo neopomíjí. Současnost je ale taková, že ani antivir ani firewall nejsou schopny hrozbě zavedení botů do interní sítě zabránit. Každá velká organizace by tak měla postupně investovat prostředky do tří úrovní ochrany. Mezi ně patří monitorování, restrikce a ochrana obsahu. Monitorování je nutné provádět na úrovni síťové vrstvy, což odhalí anomálie datových toků sítí. Současně je vhodné provádět monitoring na straně uživatelských zařízení. Ten odhalí anomálie v chování uživatele spočívající například v připojování nejrůznějších paměťových zařízení či datovém toku přes tato zařízení. Tímto způsobem se vytvoří celistvý přehled o vytvoření nebo použití botu. Ve výsledcích monitoringu se tato skutečnost objeví. Na základě jeho vyhodnocení je možné přistoupit k restrikcím. A to jak na síťové úrovni, například v podobě blokování některých IP adres, tak na uživatelské straně, třeba blokováním aplikací spouštěných z U SB disků. Restrikce jednoznačně vedou k zamezení vytvoření botů. V souvislosti s možným získáváním citlivých dat pomocí botů je také důležité zmínit i ochranu obsahu dat, především těch nejcitlivějších. Nejúčinnějším způsobem je použití šifrování pro přenášená data i pro data ukládaná na nejrůznějších datových úložištích organizace. Tím je možné zamezit botu, aby automatizovaně získal obsah těchto dat a poskytl je útočníkům.
Kybernetická sabotáž
Kybernetické úroky jsou dnes opravdu závažným, i když ne tak mediálně sledovaným problémem. Řada organizací pochopila, že klasické vojenské řešení konfliktu je již minulostí, a tak ubírá své aktivity směrem kybernetické sabotáže. Říká se, že například stovka specialistů za třicet milionů dolarů poškodí jakoukoli infrastrukturu tak, že si její plná obnova může vyžádat roky práce a stamiliardy dolarů. S rostoucí mírou závislosti mnoha západních institucí a firem na výpočetní technice spolu se stále širším využitím internetu tak útok na počítačové sítě vypadá z pohledu „zvenčí“ čím dál lákavěji. Podle amerického ministerstva obrany a Federálního úřadu pro vyšetřování rizika kybernetických zločinů pravděpodobně zastíní snahy muslimských teroristů ohrozit bezpečnost Spojených států. Tak vypadá střízlivý výhled do nejbližší budoucnosti. Světový terorizmus je stále problémem číslo jedna. Neexistuje však již oblast lidské činnosti, která by se nějakým způsobem neodrážela na globální síti. A stále více společností ve Spojených státech se zajímá o to, jak se co nejlépe chránit před kybernetickými útoky, jejichž výskyt v poslední době jednoznačně narůstá. S tím souvisí i fakt, že podle posledních údajů stoupl počet společností, které si zakoupily produkty kyberpojištění, ve srovnání s minulým rokem o 33 %. U některých oblastí, jako je například vzdělávání, odborné poradenství, účetnictví, obchod, právní služby je tento nárůst pak obzvláště markantní.
Nejčastější rizika
A jaká jsou tedy nejčastější rizika, která ohrožují firemní data? Zjednodušeně řečeno se bavíme o třech zásadních okruzích. První velkou skupinou je zastaralý hardware či software, který znemožňuje dostatečnou ochranu dat. Ať už se bavíme o datech klientů, vlastních zaměstnanců nebo prostě obchodních partnerů v rámci dodavatelských či odběratelských společností. Další velkou skupinu tvoří neloajální zaměstnanci, kteří se mohou vyskytnout téměř v každé společnosti a jsou výraznou hrozbou pro společnost, a to zejména mají li přístup k citlivým datům. Poslední velkou skupinu tvoří ztráta či zcizení hardwaru, jenž obsahuje citlivé informace, údaje a data. Může se jednat o mobilní telefony, notebooky, tablety nebo stolní počítače. A co nastane, pokud k takové situaci opravdu dojde?
Únik dat a informací - Dojde ke ztrátě či úniku elektronických dat z informačního systému společnosti. Může se jednat o ztrátu či únik z počítače, notebooku, mobilního telefonu nebo tabletu formou neoprávněného nakládání s osobními údaji, informacemi klientů či cíleného napadení systému za účelem získání přístupu k datům společnosti, ať provedeného třetími osobami zvenku, nebo zevnitř společnosti jejími zaměstnanci.
Dopady na řízení IT - IT oddělení i v případě takové ztráty či úniku dat musí tento problém řešit současně se zabezpečením běžného fungování informačního systému společnosti. Kromě toho je vystavené otázkám typu: Jedná se o pouhou ztrátu či únik informací, anebo je společnost terčem hackerského útoku? Byla data ukradena, nebo jen ztracena? Jakým způsobem? Kde jsou data nyní? Jak se bránit úniku? Je nutné restartovat anebo odpojit systémy? Existuje záložní řešení? Existuje plán pro krizovou situaci a umíme podle něj začít jednat?
PR komunikace s veřejností - Zprávy o úniku dat se šíří rychlostí blesku, zejména v dnešní době sociálních sítí. Důvěra zákazníků vůči společnosti se může ztratit během pár hodin. Taková situace vyžaduje obezřetné řízení a komunikaci s médii, zákazníky, společníky či akcionáři, ale i s vlastními zaměstnanci. Jak a jestli vůbec oznámit únik dat je další obtížná otázka. V takových situacích je nezbytná rychlá reakce a zároveň vysoce odborná PR komunikace s cílem zabezpečit a chránit dobrou pověst společnosti.
Finanční dopady - Finanční dopady jsou také nezanedbatelné. Společnosti může být v souvislosti s takovou ztrátou či únikem dat udělena pokuta dozorovým orgánem. Poškozené osoby mohou společnost žalovat o související náhrady. Nemalé jsou i případné náklady na restart, rekonfiguraci a diagnostiku systémů, případně na jejich obnovení. V důsledku odpojení informačních systémů může dojít i ke ztrátě zisku společnosti. Jakýkoliv takový incident a související negativní publicita mohou mít vliv na hodnotu samotné společnosti, důvěru jejích věřitelů nebo na cenu jejích akcií. Jediný únik dat či informací může mít rozsáhlé následky.
V roce 2011 bylo celosvětově zaznamenáno více než 855 případů narušení bezpečnosti, během kterých bylo zasaženo 174 milionů dat. Jaké jsou údaje o nejčastějších kybernetických útocích?
-
71% ze všech případů, kdy došlo k narušení bezpečnosti a ztrátě dat se týkalo malých a středních společnosti s 1 – 100 zaměstnanci;
-
96% všech útoků bylo provedeno velmi jednoduchým způsobem;
-
v 97% všech případů se dalo předejít ztrátě dat dodržováním základních bezpečnostních pravidel a aktualizací bezpečnostních systémů;
-
každou minutu je globálně zasaženo malwarem 232 počítačů (Malware je počítačový program určený ke vniknutí nebo poškození počítačového systému).
Kyberpojištění v České republice
Na tuzemském pojistném trhu se donedávna kyberpojištění nenabízelo. Jako nejbližší produkt bylo využíváno pojištění pro případ přerušení nebo omezení provozu podniku – ve všeobecných pojistných podmínkách najdeme však většinou pasáž, která škody podobné těm způsobeným kybernetickými útoky z pojištění vylučuje. Situace se však změnila. AIG pojišťovna představila speciální produkt, který kybernetická rizika kryje. CyberEdge zmírňuje finanční dopady úniku, zneužití nebo ztráty dat a také dopady na IT systémy či dobré jméno společnosti. Co se týká krytí, produkt je postaven na dvou pilířích, které jsou tvořeny základním krytím a volitelným rozšiřujícím krytím, které je rozšířením o další významné aspekty.
Základní krytí
Základní krytí je zaměřeno na neoprávněné nakládání s údaji, na povinnosti pojištěného vůči dozorovým orgánům a na náklady na odborné služby. Neoprávněným nakládáním s údaji jsou myšleny osobní údaje, důvěrné informace společnosti, data související se subdodavatelskými společnostmi v obchodním řetězci, ale také důsledky nekvalitního zabezpečení sítě, které může generovat napadení, potažmo zavirování dat třetí osoby, odepření přístupu k datům, neoprávněné získání přístupového kódu, zničení, poškození nebo smazání dat, odcizení hardwaru, ale také zpřístupnění dat samotným zaměstnancem. Každá společnost má co dočinění s dozorovými orgány, které dohlížejí na dodržování pravidel v rámci jejich fungování. V případě neoprávněného nakládání s údaji může dozorový orgán uložit sankce, na které je stejně jako na případné náklady na právní poradenství pamatováno v rámci základního krytí. Pokud dojde k reálnému naplnění některé z výše uvedených hrozeb, postižené společnosti vznikají další náklady na nápravu dobrého jména, ať už společnosti nebo jednotlivce, náklady na oznámení v médiích, IT experty a v neposlední řadě na obnovu dat.
Volitelné krytí
V rámci dalších možností a nastavení, které pojištění nabízí, by bylo dobré zmínit zejména zveřejnění digitálního obsahu, vydírání prostřednictvím sítě nebo výpadky sítě. Zveřejněním digitálního obsahu jsou myšleny například pomluvy a s tím související negativní vliv na dobré jméno, zásahy do práva na soukromí, porušení autorského práva nebo nekalosoutěžní jednání. Mezi další krytí patří i možnost dokoupení takzvaného Výpadku sítě. Produkt zde nabízí možnost krytí finanční ztráty samotné pojištěné společnosti, která může vzniknout přerušením či pozastavením funkce počítačových systémů společnosti.
Závěrem
S rostoucí mírou závislosti mnoha západních institucí a firem na výpočetní technice společně se stále širším využitím internetu vypadá útok na počítačové sítě z pohledu „zvenčí“ čím dál lákavěji. Tento fakt se v nejbližší budoucnosti bude pravděpodobně jen prohlubovat. Z globálního hlediska půjde o to, aby se z kybernetických sabotáží a kriminality nevyklubal problém kybernetické války.
Mgr. Marko Antič, Financial lines underwriter, AIG, Martin Hanzal, Výkonný ředitel společnosti Sodatsw, Pojistný obzor
Komentáře
Přidat komentář