Čítanie o kybernetických incidentoch je napínavé a vzrušujúce, ak sa netýka nás. Je tam veľa adrenalínu, napätia, sú tam dobrí aj zlí a útoky sa opisujú ako streľba v bare v čase prohibície. Kybernetický incident však prináša finančné straty, časový stres a pri zlom manažmente často hanbu na niekoľko rokov.
Rastie nám to
V roku 2021 bolo na Slovensku nahlásených viac ako stošesťdesiat porušení ochrany osobných údajov, takzvaných data breach. „Významnú časť tvorili práve kybernetické incidenty, ktoré medziročne vzrástli o polovicu,“ hovorí Martin Oczvirk, riaditeľ odboru informačnej bezpečnosti a certifikácie Úradu na ochranu osobných údajov.
Kybernetické útoky smerovali prevažne na výrobné podniky, priemysel, obchodné spoločnosti a neobchádzajú ani verejnú správu, zdravotnícke organizácie a finančný segment. Tridsaťosem útokov bolo úspešných. Veľa? Málo? Spýtajte sa postihnutých. Zažili vážny zásah do chodu organizácie a obávajú sa straty dôvery.
Zdroje sú nekonečné
Denne sa na čiernom trhu obchoduje s miliónmi uniknutých osobných údajov a zraniteľností a na sieťach pribudnú terabajty informácií. Profesionálna zločinecká mašinéria neustále prehľadáva internet a zároveň nezaplátané zariadenia.
„Najslabším článkom naďalej zostáva človek,“ stručne hovorí Ján Doboš, riaditeľ odboru riešenia incidentov a dohľadového centra Národného centra kybernetickej bezpečnosti SK-CERT. Najúspešnejšie útoky sa často začínaju rôznymi phishingovými kampaňami slúžiacimi na získanie prihlasovacích údajov, prístupov do systémov a ich infekciu rôznymi typmi malvéru.
Ak ste už v tom
Najčastejšími typmi incidentu sú prieniky do informačného systému či infraštruktúry, úniky dát alebo vydieračský softvér, ktorý zašifruje dáta a zneprístupní systémy. „Keď je v organizácii spustený ransomvér, je potrebné reagovať v priebehu hodín, identifikovať momentálne prioritné úlohy a okamžite vykonať potrebné aktivity,“ opisuje stav Richard Kiškováč, generálny riaditeľ Istrosec.
Ak je porušená ochrana osobných údajov, zákonná povinnosť nahlasovania incidentov je do 72 hodín. Martin Oczvirk však upozorňuje, že prioritu má zamedzenie ďalším škodám. Čiže najprv opraviť chybu, aby incident nepokračoval, a následne reportovať a zdôvodniť omeškanie.
Preteky s časom
V prípade identifikovaného incidentu profesionálny tím spúšťa proces, aby sa efektívne vykonali všetky úkony na jeho úspešné zvládnutie. Incident handling tak okrem technických postupov zahŕňa logistiku, komunikáciu, koordináciu a plánovanie úkonov.
V tesnom závese nasleduje incident response – zameriava sa na vyhodnotenie a kategorizáciu incidentu a jeho hĺbkovú analýzu. Končí sa až detailným odporúčaním pre obnovu systémov do pôvodného stavu a pre zabránenie opätovného výskytu.
Znalosti aj analytické myslenie
Riešenie incidentov je náročná oblasť. Tu nastupuje špecializovaný tím reakcie na incidenty – CSIRT. Cieľom je identifikovať, obmedziť a minimalizovať náklady na kybernetický útok alebo incident.
Nie každá organizácia si však môže dovoliť takýchto špecialistov vychovávať a zamestnávať a ani technologické vybavenie nie je nezanedbateľné. Preto koordinácia národných, vládnych a komerčných CSIRT jednotiek pri riešení incidentov je bežnou praxou na lokálnej aj medzinárodnej úrovni.
„Tento synergický efekt dokáže byť jedným z kľúčových prvkov pri zvládnutí rozsiahlych koordinovaných útokov napríklad na prvky kritickej infraštruktúry,“ upozorňuje Jozef Bálint, bezpečnostný špecialista Alison Slovakia.
Opora tímu
Ako odpoveď na rastúci počet útokov sa v súčasnosti kladie dôraz na prevenciu. Rôzne typy útokov a škodlivé aktivity sú detegované a mitigované automatizovane.
Stredisko bezpečnostných operácii (SOC) je zamerané na bezpečnostný dohľad nad infraštruktúrou zákazníka. Počas automatizovanej a manuálnej analýzy prebieha investigácia aktuálnych ako aj historických dát z monitorovaného prostredia.
Marek Madžo, technický riaditeľ Void SOC Soitron za najvyššiu pridanú hodnotu považuje členov tímu SOC. Postupujú podľa schválených postupov a majú vysoko odborné znalosti a praktické skúsenosti, keďže riešia bezpečnostné udalosti a incidenty v režime 24/7. Spôsob detekcie a riešenia incidentov je oveľa efektívnejší v porovnaní s riešením napríklad zamestnancami organizácie, ktorí sa v danej situácii ocitli prvýkrát.
Verili by ste?
Na základe množstva vyšetrovaní viceprezident pre digitálnu forenznú analýzu a reakciu na incidenty LIFARS a SecurityScorecard Company, Ondrej Krehel, jednoznačne konštatuje: „Dôvodom väčšiny úspešných útokov je nedodržiavanie elementárnych pravidiel kybernetickej bezpečnosti.“
Najčastejšími príčinami incidentov je nedostatočná politika hesiel, neaktualizované informačné systémy či nevšímaví správcovia systému, alebo dokonca dohľadového centra. Zarážajúce je, že klienti majú aktualizáciu zaplatenú, aj k nej majú prístup, ale v čase útoku proste nebola implementovaná, lebo nebola nastavená automaticky.
Bezpečnostné prvky, ktoré mohli útok odvrátiť, boli zakúpené a používané, ale neboli zapnuté ich funkcie. „Niekto proste funkciu vypol, keď implementoval iný produkt alebo pre zvýšenie pohodlia používateľov,“ neveriaco krúti hlavou Ondrej Krehel.
Ak to máte za sebou
Nepoľavujte. Najčastejšou slabinou podľa Jána Doboša je, že mnoho organizácií vykoná len reaktívne opatrenia a obnoví pôvodný stav. Nehľadajú a neriešia však príčinu vzniku incidentu. Môže to byť zraniteľnosť, nesprávna konfigurácia zariadenia alebo aj chybné zadanie pre programátora. „Ak neidentifikujeme a neodstránime prvotnú príčinu, je len otázkou času, kedy sa incident zopakuje,“ dodáva.
Trendová predpoveď Mareka Madža totiž hovorí, že vektorom útoku zostane aj naďalej email. Preto je doležité zvyšovať povedomie o kybernetickej bezpečnosti, zabezpečiť emailovú komunikáciu podľa najlepšej praxe a zároveň monitorovať podozrivé aktivity.
Pripravujte sa až posadnuto
Odpoveď, ako sú slovenské organizácie pripravené na profesionálny manažment incidentov, sa podľa Jána Doboša nedá zovšeobecniť. „Stretli sme sa so subjektmi, ktoré mali problém preposlať vzorku mailovej komunikácie, až po tie s ukážkovým procesom. Za posledné dva roky však pozorujeme posun správnym smerom.“
Vysoko však hodnotí veľkých poskytovateľov digitálnych služieb a nadnárodné spoločnosti.
Najhoršie na tom sú malé subjekty, organizácie zo štátnej správy a obce, ktoré nemajú vypracovaný ani zoznam aktív a používaných technológií. Pre útočníkov je zaujímavá práve táto skupina.