Na Slovensku máme mnoho riešení, ktoré dvíhajú kyberbezpečnosť na novú úroveň - DATALAN KC

Na Slovensku máme mnoho riešení, ktoré dvíhajú kyberbezpečnosť na novú úroveň

V dnešnej dobe, keď sa väčšina činností presúva do online prostredia, už organizáciám – firmám, inštitúciám, úradom aj samosprávam, nemôže stačiť základný antivírus a papierová analýza rizík. Je potrebné sa prestať tváriť sa, že „sme v bezpečí“. Najmä ak aj v našich podmienkach máme k dispozícii mnoho riešení, ktoré zabezpečenie dvíhajú na úplne inú kvalitatívnu úroveň. O tom, aké sú nové možnosti v oblasti kybernetickej bezpečnosti, prezradí viac René Pavlo, security senior konzultant zo spoločnosti DATALAN.

1. Čo všetko zahŕňa pojem kybernetická bezpečnosť a prečo musí byť vo firmách, ale aj úradoch, inštitúciách či mestách a obciach naozaj dôležitá téma?

V zmysle platnej legislatívy (§3 písm.c) zákona o kybernetickej bezpečnosti č. 69/2018 Z.z.), je „kybernetickým priestorom globálny dynamický otvorený systém sietí a informačných systémov, ktorý tvoria aktivované prvky kybernetického priestoru, osoby vykonávajúce aktivity v tomto systéme a vzťahy a interakcie medzi nimi“. Z pohľadu kybernetickej bezpečnosti teda hovoríme o zabezpečení nielen sietí a informačných systémov, ale aj (a najmä) aktivít osôb a prvkov ako súčastí celého tohoto priestoru.

Keď to však vezmem zo širšieho pohľadu, tak bezpečnosť informačných systémov je na svete o nejaký ten rok, či skôr storočia dlhšie, nielen „v poslednej dobe“. Laika možno prekvapí, že za informačný systém je možné považovať napr. aj rôzne listiny, ktoré tu existovali už od dávnoveku a napríklad dôležité rozhodnutia či dohody medzi stredovekými vladármi sa diali (zabezpečené) pod ochranou stráže, zbrojnošov, v prenesenom zmysle slova strážca plnil úlohu dnešného firewallu. Časom sa zmenili technológie a tým aj možnosti útokov. Ako sa vraví – „príležitosť robí zlodeja“ a v dnešnej dobe, keď viac a viac činností prebieha práve v online svete, je aj viac možností skryť identitu, a použiť na dosiahnutie nekalého cieľa trebárs aj pohodlie obývačky. Vytvárajú sa tak nové možnosti ako sa obohatiť, kompromitovať konkurenciu, či úmyselne uškodiť. A práve vďaka presunu do digitálneho sveta sú pre nás kedysi takmer nepredstaviteľné činnosti dnes už v „online“ bežnou rutinou. Obrazne povedané, v začiatkoch internetu sa platil dolár za doručený e-mail a dnes platíme desiatky za nedoručovanie, napríklad spamu.

Ruka v ruke s vývojom, keď sme od po zuby ozbrojenej stráže prešli k moderným firewallom; od pergamenu popísaného husím brkom k dotykovým tabletom, by sme však nemali zabúdať na dôležitosť ochrany toho, čo nám prechod do digitálneho sveta prináša a to možnosti zdieľať informácie takmer okamžite s kýmkoľvek na svete. Doba pandémie nepochybne urýchlila prechod do online sveta a pre mnohých nové hrozby je potrebné komunikovať výraznejšie a zabezpečiť sa pred nimi.

Rôzne firmy, inštitúcie, ale aj úrady či samosprávy majú zákonom dané povinnosti, ktoré musia splniť tak, aby bola kybernetická bezpečnosť uvedená do praxe. A čo je najdôležitejšie – informácia ako taká má cenu zlata (možno aj viac), čiže práve spomínaná možnosť bleskového šírenia a dostupnosti v online priestore si logicky vyžaduje aj primeranú ochranu citlivých dát.

2. Aké útoky a problémy sú na Slovensku najčastejšie?

Najrozšírenejšie formy útokov súčasnosti sú tzv. ransomware a DDoS útoky. Úvaha, či ransomware a klasický počítačový vírus je to isté, je zaiste obeti jedného či druhého jedno. Rozdiel je možno v tom, že niektoré vírusy dokázali kedysi poškodiť aj samotný hardvér počítača, a zamerané boli hlavne na šírenie sa a ničenie dát. Len pre zaujímavosť – jeden z najznámejších a možno aj najstarších polymorfných (takých, čo mutujú) počítačových vírusov, tzv. One Half pochádza zo Slovenska. Ransomware vo svojej základnej „podstate“ slúži na kryptovanie dát. A samozrejme šírenie sa v rámci napadnutej organizácie. Dáta nemusí likvidovať, väčšinou to ani nerobí, aj napadnuté počítače „ako-tak“ fungujú, ale problém je, že zakryptuje všetko, čo považuje za dôležité, napríklad dokumenty, databázy, zálohy atď., aby boli dáta nepoužiteľné bez výkupného. Je to niečo ako únos – únosca unesie obeť a žiada výkupné, ransomware zakryptuje dáta, samozrejme použitím silného algoritmu a žiada výkupné za rozšifrovanie. Výkupné je väčšinou v kryptomenách, napr. bitcoin. Mnohí sa domnievajú, že bitcoin je nevystopovateľný – to je však omyl. Bitcoin transakcie fungujú na otvorenom princípe, každá transakcia od vzniku bitcoinu má svoj pevný zápis, v tzv. blockchain reťazci a každý môže sledovať adresu. Ak vie, že patrí konkrétnemu človeku, tak o anonymite ťažko vravieť. Aj preto boli napr. v prípade nedávno napadnutej spoločnosti Colonial Pipeline, ktorá výkupné aj zaplatila, vrátené finančné prostriedky, resp. ich značná časť. Existujú však aj štátmi podporované hackerské skupiny na rôzne politické a vojenské ciele, priemyselná špionáž apod., to je však na samostatnú kapitolu.

Druhý spomínaný najčastejší útok je tzv. DDoS útok. Krásny príklad za všetky bolo spustenie registrácie na očkovanie proti Covid-19 – ukážka, ako prebieha DDoS útok (Distributed Denial Of Services – distribuované zneprístupnenie služby). Každý si iste pamätá, že sa nebolo možné zaregistrovať, ktokoľvek a akokoľvek to skúšal. Netvrdím, že šlo o útok, ale pre vysvetlenie – v krátkom čase sa na registračný web snažili dostať státisíce ľudí a systém jednoducho nápor požiadaviek nezvládal. Takmer identicky prebieha DDoS útok, keď je cieľ zahltený až miliónmi požiadaviek z iných počítačov, tak jednoducho zlyhá. Existujú postupy, ako sa takému útoku brániť, resp. minimalizovať jeho dopad, s týmto však zrejme nik nepočítal a takto vznikla „kauza“.

3. Vedia sa s tým slovenské firmy, inštitúcie a pod. vysporiadať, či majú medzery?

Firma, ktorá podniká v oblasti IT bezpečnosti, určite dbá na svoje renomé a snaží sa reflektovať na nové trendy a hrozby. Veď dobré meno spoločnosti ide ruka v ruke s úspechom. Ale ako sa vraví, kôň má štyri nohy a predsa sa potkne, tak stalo sa, že istá zahraničná firma – český výrobca známeho antivíru – bol hacknutý. A to na dobrom mene nepridáva. Nie je v tom však sama, aj dodávatelia rozličných bezpečnostných riešení boli hacknutí a preto je potrebné sústavne dbať o zlepšovanie. Mnohé firmy, napr. banky si najímajú tzv. „white-hat“, alebo etických hackerov, aby im pomohli nájsť slabé miesta v systémoch. U nás na Slovensku k tomu pristupujú štátne inštitúcie „svojsky“ – znovu spomeniem NCZI, ktoré dostalo upozornenie od etických hackerov na slabé miesto a namiesto toho, aby poďakovali a prípadne požiadali o pomoc s riešením, bolo podané trestné oznámenie.

Ak je napadnutá štátna inštitúcia, väčšinou je dopad takého útoku katastrofálnejší, napr. nedávno bolo belgické ministerstvo vnútra niekoľko mesiacov obeťou hackerov. Predstavme si, aké dáta môžu zločinci získať, aké škody môžu napáchať. A určite horšie ako útok so zbraňou je napr. nezabezpečená čistička vody, či nebodaj atómová elektráreň, to naozaj môže mať fatálny dopad na široké masy a ohroziť nielen majetok, ale aj životy. Ide teda hlavne o ľudský faktor, rozhodnutia, či sa inštitúcia dokáže primerane chrániť. Samozrejme, nič nie je 100%, ale dôležité je aspoň minimalizovať možné dopady útoku.

V prvom rade by mal teda každý chcieť. Nad tým, čo platilo v IT pred 10-timi rokmi ako „bezpečné pravidlo“, sa dnes môžeme len pousmiať. Je to to isté, ako keď si niekto kúpi povedzme nový firewall, úspešne ho spustí a nechá roky tak. Ak sa nebude zaujímať, či neboli objavené bezpečnostné diery, či nie je nový firmware, konfigurácia atď., tak je len otázka času, než sa vystaví rizikám. Platí, že každý by sa mal zaujímať o bezpečie v digitálnom svete aspoň tak, ako v reálnom.

"To najjednoduchšie, čo môže robiť každá organizácia, je pravidelne vzdelávať."

4. S čím sa experti v praxi najviac stretávajú – s akými zanedbanými problémami alebo podcenenými situáciami?

Uvediem príklad samospráv: z vlastnej skúsenosti viem, že mnohé mestá a najmä obce by mali dobehnúť niekoľkoročný rozdiel v investíciách do IT. Stretol som sa s prípadmi, keď sa ešte stále používajú nepodporované systémy, napríklad toľko obľúbený Windows 7, ba dokonca aj Windows XP, prípadne nemajú primeranú antivírovú ochranu apod.

Legislatíva je však daná a osobne vítam napr. aj aktivity MIRRI, napr. nedávnu výzvu na uchádzanie sa o fondy z EÚ smerujúce práve na zlepšenie stavu kybernetickej bezpečnosti. Zámer je to viac ako dobrý. Dôvody tohto meškania v investíciách sú jasné – financie. Tak si myslí väčšina. Problémom však je aj to klasické – IT nikto nevidí, pokiaľ všetko funguje. Veľkú príležitosť na zlepšenie prinesie, keď si štatutárne orgány uvedomia potrebu investícií do tejto oblasti. Opäť sa dostávame k vzdelávaniu, laicky povedané, ťažko presvedčiť človeka, ktorý nepoužíva ani smartfón o nutnosti upgradu z Windows 7 na Windows 10. Mnohí „riadia“ kybernetickú bezpečnosť bez toho, aby mali dostatočný prehľad, takpovediac z „pozície moci“, alebo princípom „však vždy to tak bolo“. Tým sa nikoho samozrejme nechcem dotknúť, ale je nutné vnímať vývoj, argumenty a brať na zreteľ, že IT je najrýchlejšie sa vyvíjajúci segment a to ako v oblasti hardvéru, tak softvéru, rizík aj bezpečnostných opatrení. To, čo platilo pred rokom je dávno prekonané a na nové hrozby treba adekvátne reagovať.

5. Čo sú najjednoduchšie a najzákladnejšie veci na ochranu, ktoré by každý firma mala mať implementované?

Aspoň základné pravidlá správania sa v online priestore by mal ovládať každý, bez rozdielu veku, vzdelania, či zamestnania. Niekedy je priam neuveriteľné, čo všetko sú ľudia schopní o sebe prezradiť napr. na sociálnych sieťach, akí sú dôverčiví k rôznym konšpiráciám a ako ľahko sa dajú oklamať. Týka sa to hlavne strednej a staršej generácie, no ani mladí „mileniáli“ nie sú priekopníkmi v IT bezpečnosti. Je však potrebné povedať, že v mnohých veciach je mladšia generácia opatrnejšia, zároveň však aj zraniteľnejšia, keďže sociálne siete sú najmä o mladšej generácii a chvíľková neopatrnosť, napríklad pri hľadaní známosti, môže mať fatálne následky (kyberšikana, vydieranie atď.)

Trend, že najmä mladšie ročníky viac dôverujú bezpečnosti sociálnej siete ako štátneho systému, je najmä po medializovaných prípadoch pochopiteľný. No nemalo by to tak byť. Štát by mal vzbudzovať dôveru, ako autorita, ktorej nielen platíme dane, ale môžeme sa aj spoľahnúť na to, že údaje, ktoré o nás má, vie aj patrične ochrániť. A hlavne zabezpečiť funkčné systémy, predovšetkým, keď vtedy, keď ich najviac treba.

Odhliadnuc od toho, či sa jedná o štátnu inštitúciu alebo súkromnú firmu, najjednoduchšie a najzákladnejšie veci, ktoré by mala robiť každá organizácia je vzdelávanie. A to pravidelne, tak ako sa zamestnanci školia na BOZP, tak by mali byť pravidelne školení aj v oblasti kybernetickej bezpečnosti. Nemám tým na mysli napr. vykladať zamestnancom úradu o paragrafoch kyberzákona. Školenia poskytuje svojim zákazníkom aj DATALAN a zameriavame sa hlavne na praktické príklady a informácie o hrozbách, ktoré sa objavujú. A môžem povedať, že školenia majú pozitívny ohlas.

Práve vzdelávanie ľudí považujem za kľúčové, môžete mať špičkové firewally, ktoré stáli niekoľko tisíc eur, ale pokiaľ ich zamestnanec nevie správne nakonfigurovať, tak sú zbytočné.

6. Ako sa dá riešiť téma kyberbezpečnosti, ak firma nemá kapacity, know-how, prostriedky – najmä v dnešnej dobe nedostatku IT odborníkov, ktorí sú navyše veľmi drahí?

Záleží na tom, o akú organizáciu ide, charakter jej činnosti, pôsobnosť atď. Vo všeobecnosti je nedostatok kvalifikovaných IT odborníkov a ako vravíte, problém je aj v ich ohodnotení. Súkromný sektor dokáže ako-tak zaplatiť špičkových odborníkov v oblasti IT bezpečnosti, aj to nie každá firma, avšak za kratší koniec povrazu v tomto prípade ťahá štát s tabuľkovým ohodnotením alebo samosprávy, či dokonca zdravotnícke zariadenia, alebo iné inštitúcie, ktorých sa bytostne dotýka spomínaný zákon o kybernetickej bezpečnosti a tým napr. aj potreba mať manažéra pre kybernetickú bezpečnosť. Ak majú tieto organizácie vo vlastnej réžii splniť legislatívne požiadavky, okrem spomínanej pozície aj iné požiadavky ako je napr. monitoring prostredia, vyhodnocovanie logov a incidentov na sieti, alebo kryptografia, toto jednoducho nepokryjú jedným človekom a zaplatiť toľko odborníkov naraz, hlavne ak ich je veľmi ťažké nájsť, si často rozmyslia aj súkromné firmy.

Preto sa tu ponúka snáď jediná schodná cesta a to pokrytie týchto a iných služieb externými spoločnosťami. Naša spoločnosť tiež disponuje mnohými službami v oblasti kybernetickej bezpečnosti, ktoré sú zákazníkom k dispozícii dokonca na prenájom. Viac informácií nájdete na portáli nášho Kompetenčného centra – kc.datalan.sk.

7. Aké procesy budú v blízkej budúcnosti v digitálnej dobe najviac ohrozené a ako by sa mali firmy, inštitúcie a pod. brániť?

Podľa mnohých odborníkov je práve ransomware hrozba najpravdepodobnejšia forma útokov aj v blízkej budúcnosti, ktorá sa môže týkať bežných firiem, či samospráv. Samozrejme aj spomínané DDoS útoky, a iné „lahôdky“, záleží na tom, aký je útočníkov cieľ. Ak sa jedná o automatizovaný útok, čiže program, robot, tak jemu je jedno, kde útočí, resp. skúša zraniteľnosti. Ak niečo „objaví“ informuje svojho tvorcu, alebo priamo začne konať. Možností je veľa. Treba mať však vždy na pamäti, že zálohovanie, aktualizácie a vzdelávanie sú asi najdôležitejšie aspekty ochrany.

Mnohé z opatrení vedia firmy pokryť napríklad cloudovými službami. Mnohí kedysi nad cloudovými riešeniami ani neuvažovali, každý si svoje dáta „niekde“ ukladal a zabezpečoval, dnes je však cloud bazálnym nástrojom, ktorý sa stáva súčasťou fungovania firiem.

Aj keď si to neuvedomujeme, mnoho z nás v cloude funguje už od zakúpenia prvého smartfónu, keď napr. na zálohy používa rôzne úložiská, alebo synchronizáciu kontaktov, či fotografií atď. Pre mnohé inštitúcie je práve cloud riešenie ich problému s investíciou do bezpečného prostredia. Dôležité je však vybrať si skutočne spoľahlivého dodávateľa cloudových služieb, ktorý má tému bezpečnosť v štandardných službách. Takým príkladom je aj cloud od spoločnosti IBM, ktorá je dlhodobo lídrom v inovatívnych a spoľahlivých technológiách, a ktorej nástroje vie DATALAN ako partner na Slovensku poskytnúť svojim zákazníkom podľa konkrétnych požiadaviek a priorít. S implementáciou získate nielen bezpečnosť, ale aj stabilitu a spoľahlivosť, zefektívnenenie obchodných procesov a rýchlejšie prijímanie inovácií. IBM Cloud zrýchľuje digitálnu transformáciu v akomkoľvek odvetví tým, že poskytuje bezpečnú platformu pre vytváranie a rozvoj nových podnikateľských príležitostí prostredníctvom služieb, ako sú analytika, umelá inteligencia či blockchain. Cloudové platformy dokážu bez problémov uspokojiť potreby firiem aj inštitúcií prostredníctvom širokej ponuky privátnych, hybridných a verejných cloudových služieb. Firmy vďaka takýmto technológiám získajú silnú konkurenčnú výhodu a vyťažia zo svojich zdrojov maximum, s maximálnou garanciou bezpečného prostredia.
Aby som tému kybernetická bezpečnosť uzavrel: základom, ako sa brániť rôznym nástrahám kybernetického priestoru, je najmä sústavné vzdelávanie a hlavne zdravé uvažovanie nad tým, čo ešte možno považovať za „prijateľné riziko“. Druhou nevyhnutnou podmienkou je výber spoľahlivých technológií a dodávateľov. Tu dodávam, že presun zodpovednosti za primeranú ochranu dát na externých odborníkov dokáže nielen zvýšiť ochranu, ale aj ušetriť nemálo finančných prostriedkov.

René Pavlo

security senior konzultant, DATALAN

Máte záujem o viac informácií?

Spoločne nájdeme to správne riešenie pre vás.