Také tu nejde o žádnou převratnou novinku, ovšem bezpečnostní hrozby a incidenty kvůli globálnímu zesíťovaní "všeho" rostou geometrickou řadou a mají fatální vliv na chod institucí a podnikové sféry. V porovnání s ostatními trendy přínosy bezpečnostních prvků nespatřujeme v přímém dopadu na rozvoj obchodních příležitostí a růst tržeb, ale v zachování udržitelného stavu. Přecházet na cloudová řešení anebo zavádět mobilní přístupy pro pracovníky bez navyšování bezpečnostních prvků podnikové architektury by bylo šílenstvím.

Počítačová kriminalita už dávno není záležitostí laškovných šprýmařů nezávazně se bavících na účet neznalých uživatelů. Současné kyberútoky jsou tvrdě organizovaným zločinem v takovém rozsahu, o kterém se někdejším esům kriminálního podsvětí mohlo jenom zdát. V geopolitické rovině mají regulérní válečný charakter a na podnikové úrovni tu může kromě ekonomických propadů docházet i ke ztrátám na životech, například když hackeři za účelem vymáhání výkupného odstaví hospitalizované pacienty od přístrojů.

Pojďme se bát

Dvacet sedm procent cloudových aplikací třetích stran zanesených do prostředí organizace zaměstnanci vykazovalo v roce 2016 vysoká bezpečnostní rizika. Nekontrolované ověřování jejich připojení zasahuje do firemní infrastruktury a umožňuje volnou komunikaci jejich zařízení s firemními cloudy a platformami SaaS. Tři čtvrtiny respondentů byly infikovány adwarem, přes který mohou potenciální hackeři organizovat další devastující útoky na organizaci. To vše vyplývá z poslední studie společnosti Cisco 2017 Annual Cybersecurity Report.

Většina firem využívá v současnosti více než pět dodavatelů bezpečnostních systémů a více než pět bezpečnostních produktů. Více než polovina (55 procent) profesionálů z oblasti bezpečnosti používá nejméně šest dodavatelů, 45 procent používá od jednoho do pěti dodavatelů a 65 procent využívá ve firmě šest a více bezpečnostních produktů. Komplikovaná bezpečnostní architektura ovšem nahrává útočníkům. Ne všechna řešení jsou kompatibilní a ne všechna síťová zařízení jsou chráněna všemi bezpečnostními produkty. Organizace tak narážejí na problém akvizice bezpečnostních expertů, neboť znalost více nástrojů zvyšuje nároky na jejich kvalifikaci.

Kvůli dalším povinnostem, vytížení či nedostatku pracovníků prošetří organizace jen kolem 56 procent bezpečnostních výstrah, jež denně obdrží. Klíčovými omezeními pro implementaci pokročilých bezpečnostních řešení a politik v organizacích jsou rozpočet (35 procent), kompatibilita (28 procent), certifikace (25 procent) a znalosti (25 procent). Experti mezi nejrizikovější oblasti bezpečnosti organizace řadí používání mobilních zařízení, data uložená ve veřejném cloudu, infrastrukturu cloud computingu a počítačovou gramotnost, resp. chování zaměstnanců.

49 %

Téměř polovina českých firem povolila zaměstnancům používat vlastní zařízení v rámci konceptu BYOD.

794

Desítce výrobců s nejděravějšími systémy kraluje Oracle se 794 chybami, následovaný Googlem (698), Adobem (548) a Microsoftem (492 chyb).

Podíl nevyžádané pošty v e-mailech, spamu, loni vzrostl na nejvyšší úroveň za posledních sedm let a tvořil zhruba 65 procent všech zpráv. Každou sekundu je celosvětově odesláno více než 3500 falešných zpráv. Osm až deset procent z nich obsahuje malware, škodlivý infikovaný software.

Třetina napadených institucí zaznamenala po útocích nižší tržby. Přibližně 90 procent napadených firem následně investovalo do kybernetické ochrany. Přesto zůstává 44 procent bezpečnostních hlášení zcela bez odezvy. Více než pětina organizací, na něž byl veden úspěšný útok, přišla o zákazníky.

Z loňského průzkumu společností GFI Software a Infinigate v prostředí malých a středních podniků evropských zemí zase plyne, že největší bezpečnostní riziko pro firemní síť představují trendy práce z domova (51 procent), mobilita (50 procent), používání sociálních sítí (45 procent) a veřejných wi-fi připojení (23 procent). V oblasti konkrétních incidentů se obávají zejména neopatrnosti uživatelů (64 procent), napadení ransomwarem (55 procent), krádeží firemních dat (50 procent) a selhání či odcizení firemního zařízení (36 procent). Téměř dvě třetiny dotazovaných firem zažilo v posledních dvou letech alespoň jeden bezpečnostní incident.

Mobilita a podniková bezpečnost

Mobilita je trend, kterému se v organizacích lze jen stěží vyhnout. S jejím navyšováním v posledních dvou letech dramaticky narůstá tlak na IT a bezpečnostní útvary. Užívání vlastních zařízení na pracovišti, BYOD, je zřetelným trendem, který zavádí stále více firem. Podle aktuálních průzkumů jej povolila už polovina českých firem (49 procent), čímž jsme se dostali nad hranici evropského průměru (47 procent). Možnost práce zaměstnanců odkudkoli přináší firmám zvýšení produktivity, zvyšuje ale také stres správců a administrátorů informatiky zajišťujících bezpečnost podnikových systémů. Riziko spočívá ve využívání jak velkého spektra mobilních zařízení se širokou paletou bezpečnostních děr, tak například i nezabezpečeného připojení v domácích nebo nezabezpečených wi-fi sítích. Navíc přístupy z mobilů disponují primárně manažeři na vedoucích pozicích, pracující s těmi nejcitlivějšími informacemi. Zlaté pravidlo mobility je, že mobilní zařízení používané v prostředí organizace musí splňovat ty samé požadavky na bezpečnost jako ostatní firemní zařízení.

Antivirus není všelék

Antivirové programy nás chrání před již známým malwarem. Jsou však zcela bezmocné proti útokům zevnitř organizace, buď ze strany zaměstnance (neznalost, nedbalost, záměr), nebo když se útočník infiltruje do podnikové sítě pod uživatelským přístupem pracovníka organizace. Proto je nutné monitorovat chování vlastních zaměstnanců, ať se to někomu líbí, či ne. Antivirové programy rovněž nechrání síťové systémy od osobních zařízení zaměstnanců typu notebook, tablet, smartphone. Další slabinou antivirové ochrany bývá její neschopnost při odhalování tzv. přetrvávajících pokročilých hrozeb APT.

Zranitelnost systémů

Počet chyb ve stále komplexnějších softwarových řešeních rok od roku roste. To je samozřejmě velká příležitost pro organizované skupiny hackerů. Zvyšující se počet zranitelností značí zvyšující se riziko ohrožení podnikových sítí. Přes zranitelné operační systémy, aplikace a mobilní zařízení se do sítí dostává škodlivý software a způsobuje značné škody, včetně například zašifrování kritických dat nebezpečným ransomwarem.

Seznamy všech softwarových zranitelností a ohrožení (CVE, Common Vulnerabilities and Exposures) jsou registrovány v databázi U.S. National Vulnerability Database (NVD) vládní agentury Mitre. Co však děravost softwaru vypovídá o dodavateli? Ty nejpopulárnější a nejužívanější softwarové produkty bývají rovněž nejvíce zranitelné. Vyšší zranitelnost poukazuje na oblíbenost produktu, proto je na něj zaměřena i pozornost hackerů.

Důležitým údajem je, za jakou dobu je autor programu schopen chybu opravit nebo množství chyb na počet řádků programu. To se ale u firemního softwaru, na rozdíl od open sourcu, tak snadno nedozvíme. U Androidu je situace ještě složitější, Google může chybu hbitě odstranit, dál ovšem záleží na výrobcích smartphonů, kdy vyjdou s novou verzí svého operačního systému.

V roce 1999 vedl seznam s největším počtem hlášených chyb operační systém Windows NT se 64 indikovanými chybami, v roce 2015 jich měl Mac OS X už 444 a u loňského premianta Androidu jich bylo celkem nalezeno 523.

Samotný zápis chyby programu v databázi CVE je vlastně dobrým znamením. Indikuje totiž odhalenou a řádně zdokumentovanou chybu - a výrobce může začít s opravou. Mnohem zákeřnější jsou naopak chyby, o kterých zatím nemáme ponětí. Ty představují kritická místa pro napadení firemního prostředí útočníky zvenčí.

 

Článek byl publikován v ICT revue 3/2017.

Související