Kybernetická bezpečnost je dnes celospolečenskou problematikou, a proto se na tvorbě této zprávy nově podílela široká škála příslušných subjektů. Vedle NÚKIB k jejímu vzniku přispěly některé orgány veřejné správy, správci kritické infrastruktury, akademická sféra, bezpečnostní experti nebo významné soukromé společnosti z oblasti kybernetické bezpečnosti. Tímto všem za jejich pomoc děkuji. Na základě jejich podkladů, komentářů a postřehů je obrázek o stavu kybernetické bezpečnosti přesnější, což nám umožní se v ochraně kybernetického prostoru posunout zase o kousek dál. Zpráva byla vypracována s použitím tří hlavních zdrojů – informací, které má k dispozici GovCERT.CZ provozovaný NÚKIB, informací získaných od parterů Úřadu a na základě otevřených zdrojů.
Mohlo by vás zajímat: TOP 30 pojišťovacích makléřů za rok 2018 v Česku dle oPojištění.cz
Množství kybernetických hrozeb, kterým Česká republika čelí, se průběžně navyšuje. Počet kybernetických útoků a jejich důmyslnost roste, útočníci přicházejí s novými metodami útoků a současně se neustále rozšiřuje možné útočné pole, do kterého přibyla například tzv. zařízení internetu věcí (Internet of Things, IoT), která se pomalu stávají běžnou součástí našeho života.
Nejvýznamnějším aktérem kybernetických hrozeb jsou z hlediska státu vzhledem k dostupným lidským, finančním a časovým prostředkům státní aktéři. Jejich snahou je povětšinou získat strategické informace cestou špionážních operací v kyberprostoru a následně je využít ve svůj prospěch. V případě České republiky jsou to podle informací, které má NÚKIB k dispozici, konkrétně operace aktérů napojených na Ruskou federaci a Čínskou lidovou republiku. Druhým nejvýznamnějším aktérem hrozeb v kyberprostoru jsou osoby a organizace podílející se na kriminální činnosti. Jelikož je kyberzločin výnosný a je stále jednodušší se do něj zapojit, bude představovat hrozbu pro organizace a jednotlivce i v následujících letech.
Pokud jde o způsoby útoků, došlo v roce 2018 jak ve světě, tak v České republice k ústupu vyděračských útoků (ransomware), které nahradila těžba kryptoměn skrze malware. Tento trend naznačuje, že se pravděpodobně jedná o efektivnější nástroj generování finančního zisku než v případě ransomwarových útoků. Přes dopady na výpočetní výkon infrastruktury napadených subjektů je nelegitimní těžba kryptoměn z pohledu ochrany ICT méně závažnou hrozbou. Na rozdíl od ransomwarových útoků nemá destruktivní charakter a neohrožuje dostupnost důležitých dat.
Mohlo by vás zajímat: Asistence k pojištění zajistí pomoc při domácích karambolech
Dalším trendem bylo rostoucí množství a sofistikovanost cílených spear-phishingových útoků, u kterých je zřejmé, že pachatelé často disponují vynikající znalostí prostředí a investují množství času do jejich přípravy. Častým cílem spear-phishingových útoků jsou v České republice finanční instituce a jejich klienti, v posledních letech se však zvedl i podíl útoků proti českým univerzitám. Hlavní motivací útočníků je přímý finanční zisk, ale výjimkou nejsou ani snahy o krádež duševního vlastnictví. Kybernetické útoky na vzdělávací a výzkumné instituce přitom nelze podceňovat. V případě kompromitace univerzitních sítí může dojít k úniku duševního vlastnictví a dosud nepublikovaných výsledků výzkumu. Pokud by útočníci v sítích českých univerzit působili nepozorovaně delší dobu, mohlo by to pro Českou republiku ve výsledku znamenat významné oslabení konkurenceschopnosti české ekonomiky.
Významnými sektory, pro něž je otázka kybernetické bezpečnosti zcela klíčová, je energetika a bankovnictví. Trendem, který v energetickém sektoru stojí za pozornost, je nasazování chytrých elektroměrů, tzv. SMART meterů. Ty představují jak způsob optimalizace toku energie, tak případné slabé místo využitelné útočníky k přerušení dodávek proudu. Výrobci nasazovaných IoT technologií by tak měli dbát na jejich adekvátní zabezpečení, aby bylo riziko kybernetického útoku co nejmenší. Pokud jde o bankovnictví, objevují se především útoky na mobilní aplikace internetového bankovnictví. Stále více lidí využívá mobilní aplikace ke spravování svých financí a hackeři se tomu rychle přizpůsobili. V roce 2018 byla příkladem tohoto trendu upravená aplikace QRecorder, která poškodila klienty českých bank.
Mohlo by vás zajímat: ČSÚ: Příjmy domácností nadále rostly
Významným problémem, který jde napříč státní správou i soukromým sektorem, je nedostatek expertů na kybernetickou bezpečnost. Ze 42 institucí, které NÚKIB poskytly informace pro potřeby této zprávy, to uvedlo 40 % respondentů. Důsledkem může být to, že jsou upozaďovány některé základní bezpečnostní procesy, případně že zaměstnanci, na kterých je kybernetická bezpečnost dané instituce postavena, jsou přetíženi. Specifickým rizikovým faktorem je v podmínkách České republiky aplikace zákona o zadávání veřejných zakázek, kdy převládají zadávací řízení s cenou jako hlavním či jediným kritériem. Do strategicky významných systémů se tak na základě nabídky nejnižší ceny mohou dostat potenciálně rizikové komponenty. Zákon přitom v současné podobě umožňuje zohlednit jiná kritéria než jen cenu. Využití těchto kritérií však v nemalém počtu případů vyžaduje větší kapacity ze strany zadavatele a navyšuje riziko možného přezkumu, který může zadávací řízení neúměrně prodloužit.
Jedním ze způsobů, jak může NÚKIB reagovat na hrozby v oblasti kybernetické bezpečnosti, je vydávání varování. NÚKIB taková varování vydává ve chvíli, kdy se dozví o kybernetické hrozbě, na kterou je nutné bezprostředně reagovat. Dne 17. prosince 2018 NÚKIB varoval před používáním technických a programových prostředků společností Huawei Technologies Co. Ltd. a ZTE Corporation. K jeho vydání vedla kombinace poznatků a zjištění získaných při výkonu působnosti Úřadu. NÚKIB k tomuto varování vydal i podpůrnou metodiku, která konkretizuje opatření, jež mohou správci informačních a komunikačních systémů spadajících pod zákon o kybernetické bezpečnosti přijmout.
Mohlo by vás zajímat: Jak na komíny? Povinnosti při čištění, revizi a kontrole spalinových cest
Mezi průběžné způsoby navyšování kybernetické bezpečnosti patří cvičení kybernetické bezpečnosti. Jejich výsledky dlouhodobě ukazují, že neznalost fungování kyberprostoru, možných rizik a zásad digitální hygieny často vede ke snižování kybernetické bezpečnosti. Je proto nezbytné navyšovat povědomí o kybernetické bezpečnosti mezi zaměstnanci včetně středního a vyššího managementu. Důsledkem tohoto stavu mimo jiné je, že nejčastějším vstupním bodem pro získání informací a dat, jež jsou dostupné v interních sítích organizací, je už několik let uživatel. Útočníci na něj jako na nejslabší článek kybernetické bezpečnosti cílí pomocí technik sociálního inženýrství, jejichž podstata se nemění, ale narůstá počet i sofistikovanost takových útoků.
V České republice je mnoho osvětových projektů, ale navýšení digitální gramotnosti a odolnosti vůči hrozbám napříč společností je dlouhodobý proces, na kterém bude potřeba neustále pracovat. NÚKIB se proto angažuje v pracovních skupinách, které připravují revize rámcových vzdělávacích programů. Úřad usiluje především o významnější začlenění problematiky kybernetické bezpečnosti do školní výuky. Toto úsilí přineslo nezanedbatelné výsledky a kybernetická bezpečnost proniká do výuky jako nedílná složka digitální gramotnosti.
Prioritou je i vzdělávání osob pracujících pro státní a veřejnou správu, neboť právě ty přicházejí při výkonu své profese do kontaktu s řadou citlivých údajů. NÚKIB proto spustil dva on-line kurzy pro veřejnou správu, kterými do konce roku 2018 úspěšně prošlo více než 21 500 úředníků státní správy.
Aby Česká republika měla lepší povědomí o škodlivých aktivitách ve strategických sítích státu, realizoval NÚKIB projekt zaměřený na systém detekce kybernetických bezpečnostních událostí v informačních systémech veřejné správy. Jeho cílem je pomocí rozmístění síťových sond umožnit lepší ochranu klíčových státních sítí. Díky sdílení dat s partnery bude Úřad schopen dohledat i bezpečnostní incidenty, které by v rámci jednoho rezortu nebyly detekovány, případně by nebyly vyhodnoceny jako nebezpečné, a informovat o nich další organizace ještě před jejich případným zasažením. Na konci roku 2018 byly síťové sondy nasazeny u 20 partnerů z řad státní správy.
Mohlo by vás zajímat: Počet platebních neschopností firem se zvyšuje rychleji, než se očekávalo!
Kybernetická bezpečnost je často vnímána jako fenomén, se kterým se mohou vypořádat výhradně techničtí experti. Pro její efektivní zajištění je potřeba se od takového chápání oprostit. Kybernetická bezpečnost prolíná celým veřejným, pracovním a zčásti i soukromým životem – je součástí národní bezpečnosti, zahraniční politiky, ekonomiky, vzdělání a našeho každodenního života. Zainteresovaný management ve všech institucích státní správy je nezbytný pro navýšení kybernetické bezpečnosti v zemi a zvládnutí krizových situací.
Neočekáváme, že kybernetické hrozby budou v příštích letech ustávat. Útočníci budou hledat nové způsoby, jak prolomit ochranu a je na nás všech se jim postavit a nereagovat jen na útoky, které již proběhly, ale předvídat je a být na ně připraveni dříve, než nastanou. Kybernetická bezpečnost naší země nikdy nebude absolutní, ale je naší povinností se k tomu stavu co nejvíce přiblížit.
Komentáře
Přidat komentář