Nikdo není v kybernetickém bezpečí
Motto: „Ve stále větším počtu případů se oběti dnešních kybernetických útoků nevybírají podle toho, čím se zabývají. Jsou to jen špatně zabezpečená místa, kde se útočníci mohou usídlit, aby mohli zlo šířit dál.“ Jack Danahy, bezpečnostní expert, Barkly
Nikdo není v kybernetickém bezpečí
Mají-li manažeři malých podniků a organizací pocit, že kybernetická kriminalita se jich netýká, protože jim nemá kdo, co ukrást, hluboce se mýlí. Právě malé a střední podniky se stávají stále častěji preferovanými cíli kybernetických útočníků. A není to proto, že by z nich koukaly až tak lukrativní zisky. Ale proto, že dnešní automatické robotizované kybernetické útočné zbraně je umožňují jednoduše napadat rovnou po tisících. A taky proto, že jsou to ve většině případů cíle, které lze snadno dobýt.
Žádní troškaři
Podívejme se pro začátek na statistiky. V roce 2015 zaplavilo internet odhadem 430 milionů nových typů malwaru, což představuje nárůst skoro o 40 % oproti roku předchozímu. Studie Symantec ukazují, že za posledních pět let počet útoků vedených na firmy do 250 zaměstnanců vzrostl více než dvojnásobně, z 18 % v roce 2011 na 43 % v roce 2015. Zlí hoši si prostě nevybírají. Malá, velká, tlustá nebo tenká firma, hlavně když z toho něco kápne. Podle studie CFO Magazine v průběhu posledních dvou let každá pátá malá nebo střední firma ohlásila kybernetický útok na svoji počítačovou síť a Centrum pro kybernetickou kriminalitu amerického Ministerstva spravedlnosti registrovalo v roce 2014 přes čtvrt milionu stížností na kybernetické útoky. Ve srovnání s rokem 2 000 jde o exponenciální nárůst o 1 500 %.
Malé ryby, dobré ryby
Proč to dělají? No samozřejmě pro peníze. Jen ve Spojených státech si podle údajů Národní asociace malých podniků kybernetičtí lapkové odnesli z účtů napadených firem v průměru 32 000 dolarů. A když peníze nelze získat přímo, zkoušejí to nepřímo, oklikou. Vycházejí ze skutečnosti, že malá firma sice toho, co by se dalo ukrást, nemá tolik, zato má povětšinou mnohem horší zabezpečení, než mají velké firmy nebo korporace. Malých firem je taky mnohem víc, mají různorodé a často neobvyklé oblasti působení a dá se tu nalézt ledacos zajímavého a zpeněžitelného. Nezřídka to rovněž bývají subdodavatelé či partneři větších firem nebo státu, na kteréžto se tudíž dá jejich prostřednictvím lépe zaútočit, než když se na ně jde přímo. A nakonec, byznys malých firem zdaleka není tak pevný v kramflekách jako u nadnárodních gigantů. Pár dní výpadku spolu se ztrátou důvěry zákazníků a partnerů mnohé dokáže položit na lopatky tak dokonale, že už se nevzpamatují. Než by zkrachovaly, raději hezky rychle zaplatí kulantní sumičku třeba kybernetickým vyděračům. A když se vůbec nic z toho nezdaří, dá se aspoň přes jejich účet vyprat pár špinavých peněz, z webových stránek učinit semeniště malware či základna pro DDoS útoky, email zneužít k rozesílání spamů nebo si v jejich informačním systému vytvořit úkryt pro další kybernetickou zločinnost. A našlo by se i pár dalších oblastí využití.
Pštrosí politika
Firmy, především ty menší, se často spoléhají na rozšířená a obvykle i renomovaná bezpečnostní řešení. Po jejich nasazení nabudou vrcholoví manažeři firmy konejšivého přesvědčení, že za „ty peníze“, co do bezpečnosti investovali, je jejich IT proti kybernetickému zločinu dokonale a na věky obrněno, že se tím dál zabývat nemusejí a že se konečně mohou věnovat věcem, které je živí. Mohli by, jenže. Implementace osvědčeného bezpečnostního řešení ještě zdaleka není zárukou ideální bezpečnosti. Zkušenosti přitom ukazují, že za posledních deset let se zejména v malých firmách podobný ledabylý nebo spíše lehce samolibý přístup k IT bezpečnosti prakticky nezměnil. Systematické zajištění a rozvoj IT bezpečnosti se většinou dlouhodobě neplánuje a ani se s ním nepočítá v rozpočtech. V mnoha firmách i organizacích neexistuje kompetentní osoba nebo oddělení, které by určovalo bezpečnostní politiky, zajišťovalo rozvoj IT bezpečnosti, vzdělávání a osvětu. Chybí analýza aktiv a rizik i základní povědomí zaměstnanců o bezpečnosti. Vyhodnocování systémových záznamů se neprovádí, a když už se uskutečňuje, tak povětšinou velmi nesystematicky. Nezřídka je IT bezpečnost svěřována externím spolupracovníkům nebo lokálním firmám bez naprosté znalosti jejich kvalifikace, kompetence a skutečných schopností. Systémy zabezpečení, bezpečnostní appliance, firewally ba i antiviry na pracovních počítačích mnohdy léta běží samy o sobě často i bez nezbytných aktualizací a modernizací. Změny a úpravy podnikového IT se zapomínají promítat do jeho zabezpečení a počet nezalátaných bezpečnostních děr v podnikových systémech roste a roste. A zatímco vrcholoví manažeři žijí v přesvědčení, že všechno je v pořádku a mají to pod kontrolou, tisíce výkonných robotů doslova adresu po adrese a port po portu prohledávají internet a hledají v IT zabezpečení známé i nové skulinky. Najdou-li je, zaručeně je využijí. Nenajdou-li, zaútočí na člověka. Cílí přitom na základní lidské vlastnosti: dobrotu, ochotu pomoci, zodpovědnost, ale i také na potřebu ušetřit nebo na chamtivost. Ale o tom už v dalších dílech seriálu.