Absolutní bezpečnost je mýtus. Nejslabším článkem je člověk

Absolutní bezpečnost je mýtus. Nejslabším článkem je člověk

Kyberútok na elektrárnu, plynárnu nebo třeba na řízení letového provozu chce čas, úsilí a značné prostředky. Většinou proto na tyto cíle neútočí jednotlivci jen tak pro zábavu, ale zejména profesionální skupiny placené cizími státy. Jak se proti nim česká infrastruktura brání? O tom jsme si povídali s Lenkou Cuřínovou ze společnosti ICZ, která dodává rozsáhlá řešení pro státní správu a veřejnou sféru. Spravuje třeba také nemocniční systémy, systémy velení a řízení vzdušných sil naší armády nebo různé systémy pro správu citlivých dokumentů.

Jak se řeší kyberbezpečnost státních a polostátních zakázek a projektů?

V pohledu na integrování požadavků bezpečnosti do zakázek a projektů došlo v posledních letech ke značnému pokroku. Názor, že bezpečnost je drahá a zbytečná součást řešení, která pouze komplikuje práci běžným uživatelům, se sice stále ještě vyskytuje, ale je – zejména díky přijímané legislativě a souvisejícím pokutám – naštěstí na ústupu. Bezpečnost je tak nyní stále více pojímána jako běžná a integrální součást všech dodávaných řešení.

Hlídáte třeba bezpečnost řízení letového provozu pro českou armádu. Útočí se na ně hodně?

U takto důležitých systémů je na kyberbezpečnost samozřejmě kladen velký důraz a musím říct, že naštěstí jsme se tu v posledních letech s žádnými útoky nesetkali. Obecně ale lze v případě systémů obdobného typu, jako jsou ty pro řízení letového provozu AČR, očekávat především útoky od vysoce motivovaných a vybavených útočníků. Tomu musí odpovídat i přijímaná bezpečnostní opatření, včetně požadavků na obsluhující personál, protože člověk je zpravidla i zde tím nejslabším článkem.

Kdo na tyto velké projekty nejčastěji útočí?

Hlavními útočníky na informační systémy infrastruktury (jako jsou elektrárny, plynárny, řízení leteckého provozu atd.) jsou profesionální skupiny mnohdy podporované cizími státy, a to zejména z důvodů finanční a technické náročnosti takových útoků, a také proto, že takové skupiny mají pro tento typ útoků nejlepší důvody.

Prováděním útoků na naše státní orgány nebo podniky útočníci také často testují své nástroje v rámci přípravy a plánování podstatnějších útoků. Rovněž takto mohou demonstrovat své schopnosti pro případné zákazníky. Lze zmínit také cíl diskreditovat konkrétní osoby, a to ať v rámci např. předvolebního, nebo obecně politického boje.

Obecně lze však asi říci, že útoky na státní podniky a státní správu nejsou zdaleka tak oblíbené jako útoky cílené na finanční sektor a soukromou sféru obecně, v rámci konkurenčního boje nebo průmyslové špionáže.

RNDr. Lenka Cuřínová, Ph.D.

Lenka působí ve společnosti ICZ od roku 2002, a to na pozici specialisty bezpečnosti informací. Zabývá se zejména návrhem a implementací bezpečnostních opatření v oblasti ICT a problematikou elektronických podpisů. Vystudovaný má MATFYZ.

Jaké projekty jsou obecně na přípravu a na provoz nejnáročnější?

Za velmi náročné projekty lze označit ty, kde je zahrnut např. zakázkový vývoj specifického bezpečnostního softwaru nebo hardwaru. Tyto projekty jsou vždy dlouhodobé, zaměřené na řešení na míru pro konkrétního zákazníka, produkty musí také většinou projít dlouhodobým a složitým procesem certifikace.

Říká se, že není otázka, jestli hackeři něco hacknou, ale kdy. Jaký je váš názor na toto tvrzení?

V nadsázce lze toto tvrzení označit za pravdivé. Existuje ale mnoho možností, jak se bránit a významným způsobem snížit pravděpodobnost a dopady případného útoku. Vyspělých technických nástrojů na obranu je v současné době k dispozici dostatek, nejslabším článkem je, jak bylo zmíněno výše, člověk. A to jak koncový uživatel, tak správce systému. Často není nutné provádět složité hackerské útoky na systém, když je na síťovém prvku ponecháno od výrobce přednastavené administrátorské heslo nebo když je možné si klíčová hesla přečíst z bloku na stole uživatele. Proto je potřeba při implementaci a správě informačních systémů věnovat velkou pozornost návrhu procesů, školení uživatelů a v neposlední řadě i kontrolám dodržování stanovených pravidel.

Společnost ICZ

Společnost ICZ patří mezi významné domácí i mezinárodní dodavatele aplikačního programového vybavení, návrhu a implementace infrastruktury a řešení bezpečnosti informačních systémů. Nepůsobí jenom v Česku, ale také na Ukrajině, v Asii, na Středním východě a v Africe. Mezi nejznámější projekty, které zastřešuje u nás, patří například řízení letového provozu pro AČR. Více o nich zjistíte na webových stránkách www.i.cz.

Co se může stát, když hacker napadne třeba nemocniční informační systémy?

Pokud hacker napadne nemocniční systém, může se stát v podstatě cokoliv. Může například „jen“ ukrást a zneužít (např. prodat) data pacientů a lékařského personálu, ale může také provést akce, které přímo ohrozí životy pacientů. Cílem může také být vydírání správce napadeného systému např. pomocí „osvědčeného“ ransomwaru, který zašifruje všechna dostupná data v systému a za jejich dešifrování požaduje tučné výkupné.

Důvody pro útoky jsou obecně různé. Někdy je cílem získání jistých citlivých dat, jindy může být cílem poškodit konkurenci nebo přímo státní zájmy. Často se však podceňují útoky, které nejsou zdaleka tak výrazně cílené, ať už se jedná o zmíněný ransomware, získání zařízení pro botnety, krádeže platebních údajů (čísla kreditních karet apod.), nebo jen krádeže autentizačních údajů, které lze často využít pro útoky na další nezávislé systémy.

Zvýšil se v poslední době nějak počet takových útoků?

Rozhodně ano. Počet útoků se v poslední době stále zvyšuje, důvodem pro to je zejména pokračující digitalizace/elektronizace světa. Stále více systémů využívá ke svému fungování počítače a ty jsou také více propojovány – jak mezi sebou, tak do vnějšího světa (internetu). Tím vzniká mnohem více příležitostí pro organizované i nahodilé skupiny a jednotlivce, jak tyto systémy zneužít k obohacení nebo prosazování vlastních cílů.

Stále více nástrojů na provádění útoků je také k dispozici na internetu, a to i ve formě služby včetně „potřebného supportu“. To způsobilo významné rozšíření skupiny útočníků a snížení požadavků na jejich kvalifikaci. Zejména se jedná o DDoS útoky (vysvětleno ve slovníčku v úvodu), které mají za cíl znepřístupnit konkrétní službu pro ostatní uživatele. Dále se jedná o výše zmíněný vyděračský kód ransomware a stále sofistikovanější phishingové útoky, které mají za cíl především vylákat z uživatele přístupové údaje, ideálně např. k bankovnímu účtu.

Co když se chci taky zasadit o bezpečí Česka?

Pokud vás zajímá přímo ochrana státu, bude nejlepší ucházet se o místo přímo v Národním centru kybernetické bezpečnosti nebo Národním CERT týmu. I v ICZ se ale lze v tomto smyslu realizovat, třeba prostřednictvím konzultačních služeb nebo dodávek informačních systémů pro státní správu nebo armádu.

Obory týkající se informační bezpečnosti lze v současné době studovat na několika vysokých školách. V ICZ je pro nás u nového kolegy důležitá zejména schopnost používat „selský rozum“ a ochota učit se novým věcem.

Obecně by měl mít specialista na bezpečnost rozhled a průřezové znalosti v oblasti informačních technologií, dále v oblasti kryptografických technik a protokolů, nezanedbatelné jsou také znalosti z oblasti legislativy, bezpečnostních norem a standardů. Měl by mít i slušné vyjadřovací schopnosti, aby byl schopen jasně formulovat pravidla a postupy.

Text: Ella Mahdalová

Mohlo by tě zajímat

Nejnovější