Bezpečností informační služba („BIS“), Vojenské zpravodajství („VZ“) a Národní úřad pro kybernetickou a informační bezpečnost („NÚKIB“) vydaly výroční zprávy za rok 2019, jež hodnotí různé oblasti bezpečnosti České republiky. Ačkoli mají tyto instituce rozdílné funkce, jejich výroční zprávy se široce zabývají tématem kybernetické bezpečnosti, konkrétně hrozbami, zranitelnostmi a bezpečnostními opatřeními.
Výroční zpráva BIS má dvě verze. Utajovanou verzi s detailnějšími informacemi obdrželi například ministři a další bezpečnostní složky. Veřejná zpráva naproti tomu není konkrétní, nastiňuje však přehled významných událostí, které se v roce 2019 staly.
Z pohledu kybernetické bezpečnosti považuje BIS za největší hrozbu kyberšpionáž a Advanced Persistent Treat („APT“) neboli pokročilé typy hrozeb, při kterých je použito značného úsilí a finančních prostředků k provedení útoku. Hlavními aktéry jsou Rusko a Čína. BIS navázala na dřívější šetření kompromitace neutajované sítě Ministerstva zahraničních věcí. Útočníci využili zranitelnosti koncových stanic zastupitelského úřadu ČR v zahraničí a infikovali je škodlivým kódem. V systému pak využili zranitelnosti v řízení přístupu, kdy pomocí privilegovaných oprávnění a jejich eskalace přistupovali do jiných systémů. Této technice se říká laterální pohyb.
Obětí kyberšpionáže se stala společnost Avast zabývající se kybernetickou bezpečností. Útočníci kompromitovali uživatelský účet a pomocí vzdáleného připojení VPN se dostali do interní sítě Avastu, kde se jim podařilo získat privilegovaná oprávnění (technika eskalace oprávnění) a infikovat software CCleaner škodlivým kódem. Je zarážející, že pro přístup do interní sítě nebyl použit druhý autentizační faktor (sms, token apod.).
Dalším významným útokem byla kompromitace zařízení ICT infrastruktury jedné z českých diplomatických misí při mezinárodní organizaci. Útočníci použili metodu sociálního inženýrství phishing, při které útočníci cílí převážně na neznalost uživatelů. Infikují přílohy emailů škodlivým kódem, či odkazují na podvodné stránky s cílem získat citlivá data včetně přihlašovacích údajů.
BIS se rovněž věnuje problematice zneužívání postavení dodavatelů. Z pohledu kybernetické bezpečnosti se jedná o rizika spojená s kritickou infrastrukturou státu a absenci řízení rizik souvisejících s dodavateli, kdy dochází např. k závislosti na konkrétním dodavateli (vendor-lock). Za této situace má dodavatel z důvodu špatně sepsaných smluv velké vyjednávací schopnosti a pro odběratele je takřka nemožné jej změnit.
Vojenské zpravodajství nezmiňuje ve své výroční zprávě konkrétní kompromitované subjekty a aktéry. Stejně jako BIS považuje za největší kybernetickou hrozbu pro ČR APT, převážně kvůli vyspělosti technologií a sofistikovanosti útoků. Tyto typy hrozeb jsou založeny především na metodách sociálního inženýrství a cílí na vybrané organizace a jejich systémy. Právě tento druh útoků využívají ostatní státy, které si najímají různé skupiny hackerů, tzv. Black Hat, nejčastěji prostřednictvím sítě Dark web, s cílem poškodit ČR. Jak například takový typ útoku vypadá? Útočník využije metod sociálního inženýrství, konkrétně baiting, kdy oběti, tedy osobě, která má přístup do systému cílené organizace, podstrčí infikovaný USB flashdisk. Oběť ho zapojí do koncového zařízení a v tom okamžiku se spustí škodlivý kód, který systém infikuje. Účelem škodlivého kódu může být například odcizení citlivých informací nebo jejich zašifrování (ransomware). VZ eviduje nárůst použitých technik sociálního inženýrství, a to převážně phisingu/spear phisingu, stejně tak dostupnost škodlivých kódů na již zmíněném Dark webu.
Další oblasti, kterým se VZ věnuje, jsou Moderní zařízení IoT (internet věcí) a zvýšený počet útoků na mobilní telefony. Chytré televize, lednice a další zařízení připojená do internetu čelí zvýšenému počtu útokům kvůli své slabé bezpečnosti a velkému počtu zranitelností. U těchto typů zařízení bývá na prvním místě cena a funkčnost. Konkrétní typ útoku si můžeme představit tak, že útočník využije zranitelnosti zastaralého firmware chytré televize, a je například schopen přes webovou kameru provádět zvukový a obrazový záznam. Výrobci emitují na trh stále novější modely a pro ty „zastaralé“ už aktualizace nevydávají. Pro běžného uživatele je tak velice obtížné, takřka nemožné, se proti těmto typům útoků bránit.
VZ také zmiňuje hrozby útoků na dodavatele hardwaru, softwaru a zdůrazňuje nedostatek expertů na kybernetickou bezpečnost.
Výroční zpráva NÚKIB přistupuje k problematice kybernetické bezpečnosti nejkomplexněji. Největší hrozbu představují útoky pomocí sociálního inženýrství, převážně phishing.
Stejně jako BIS a VZ se NÚKIB zabývá tématem kyberšpionáže, avšak ne v takovém detailu. Útoky přisuzuje již zmíněným aktérům Ruské federace a Číny.
Další hrozbu představuje kyberzločin. Hlavní motivací kyberzločinců je finanční zisk. Tyto typy útoků mohou být prováděny například pomocí ransomware, který zašifruje informace. Útočník pak za dešifrovací klíč vyžaduje výkupné, zpravidla kryptoměnu Bitcoin nebo anonymní Monero. Mezi kyberšpionáží a kyberzločinem existuje silná korelace, jelikož pseudonymizovaný Bitcoin je zpětně používán na financování kyberšpionáže a skupin APT. NÚKIB eviduje vyšší nárůst cílených sofistikovaných útoků ransomware oproti těm plošným.
S kryptoměnami následně souvisí hrozba kryptominingu. Kryptomining, přesněji kryptojacking, tedy ilegální těžba kryptoměn, cílí na co největší počet počítačů, kde si z každého z nich vezme část výkonu. Na pozadí běží program, který vykonává matematické operace a „těží“ tak kryptoměnu. Tento typ útoku je však oproti roku 2018 na ústupu, což může být způsobeno nižší cenou kryptoměn a nižším zájmem o těžbu.
NÚKIB také varuje před nedostatkem expertů ve státním sektoru. Je to dáno motivačním ohodnocením, které je v soukromých firmách vyšší. Stávající pracovníci jsou tak pracovně přetíženi, hrozí vyšší riziko narušení kybernetické bezpečnosti a není prostor k inovacím.
Kyberšpionáž představuje největší hrozbu pro státní správu, akademický svět a kritickou informační infrastruktury („KII“). Je to dáno především takřka neomezenými finančními prostředky APT skupin, sofistikovaností útoků, které jsou náročnější na detekci, a krytím těchto skupin státy cizí moci. V budoucnu můžeme předpokládat rostoucí trend kyberšpionáže a větší sofistikovanost a sílu útoků pomocí umělé inteligence a rozšíření 5G sítí.
Sociální inženýrství představuje účinný způsob, jak kompromitovat vnitřní síť organizace. Phishing je nejčastějším typem útoku na uživatele. Postačí dobře napsaný a zacílený email a není potřeba provádět sofistikované útoky na perimetr sítě, které vyžadují vyšší finanční zdroje a časovou náročnost. S phishingovými emaily se setkala téměř každá organizace v ČR. Vzhledem k vývoji a dostupnosti moderních technologií je pro útočníky snazší sbírat potřebná data a vytvářet tak věrohodnější e-maily a podvodné stránky. Phishingové emaily budou nabývat na síle.
Ransomware útoky se dají rozdělit na 2 vlny. Zatímco první vlna útoků kolem roku 2014 byla zaměřena na co nejširší okruh obětí, cílem druhé vlny sofistikovaných útoků bylo napadnout a vydírat konkrétní organizace. Útočníci umocnili účinnost ransomwaru tím, že svoji oběť vydírají zveřejněním citlivých dat, pokud nedostanou za poskytnutí dešifrovacích klíčů zaplaceno. Počty cílených sofistikovaných útoků pomocí ransomware rostou. V ČR se s tímto typem útoku setkala každá třetí firma, a i v budoucnu lze očekávat vzestupný trend.
Dodavatelé představují pro organizace riziko převážně v přímém napojení na její infrastrukturu. Útočníci s oblibou využívají slabých míst v dodavatelském řetězci. Je to pro ně jednodušší než útočit na silně zabezpečený perimetr cílené organizace. Navíc „hacknutí“ dodavatele otevírá útočníkovi vrátka k síti jeho zákazníkům, kterých mohou být tisíce.
Úroveň kybernetické bezpečnosti v ČR nabývá rok od roku na významu. Je to dáno především přijetím zákona 181/2014 Sb. o kybernetické bezpečnosti („ZKB“), novelizací vyhlášky č. 82/2018 Sb., o kybernetické bezpečnosti („VyKB“), investicemi do kritické informační infrastruktury („KII“) a realizací projektů v oblastech digitální gramotnosti. Po legislativní stránce si ČR vede obstojně, problémem je však podfinancovaný veřejný sektor.
Na základě výše zmíněných hrozeb lze jako opatření doporučit alespoň pravidelné školení uživatelů a zálohování dat. Každá organizace se však liší, má různou úroveň kybernetické bezpečnosti a různou potřebu chránit svoje data. To je však věc analýzy rizik, která již není předmětem tohoto článku.
IČ: 06196675
DIČ: CZ06196675
U továren 999/31, Hostivař, 102 00 Praha 10
Copyright © 2018. Všechna práva vyhrazena.