Válka na Ukrajině se dotkla i kybernetické bezpečnosti v České republice. „Stalo se tak ale naštěstí v pozitivním smyslu. Došlo ke zvýšení pozornosti v této oblasti a celkově se Česká republika zaměřila na lepší připravenost pro budoucí útoky,“ vysvětluje Tomáš Luňák, odborník na kybernetickou bezpečnost a jednatel společnosti Alphaserver.
Celý magazín |
Jsme tedy nyní jako ČR už v bezpečí?
V kybernetické bezpečnosti nikdy nemůžeme říci, že jsme zcela v bezpečí. Organizace v České republice čelí denně nějakému druhu kybernetického útoku.
Přijaly úřady dostatek protiopatření? Co mohly udělat lépe?
Pokud bych mohl za sebe říct, co by úřady mohly udělat lépe, bylo by to jednoznačně sdílení informací směrem k odborné veřejnosti. Za posledních několik let jsme zaznamenali v ČR řadu velkých útoků, ze kterých bychom se mohli poučit. Bohužel oficiální informace o těchto útocích nejsou veřejnosti dobře dostupné.
Kybernetické útoky ohrozily i nemocnice v době covidu - připomeňme Benešov a Brno. Ví se, co se tehdy stalo a kdo za těmito útoky stál?
Tyto případy byly v médiích hojně diskutovány, proto nebudu zabíhat do detailů, ale raději bych dal do souvislosti několik faktů. Útoků na zdravotnická zařízení bylo ve skutečnosti daleko více, jen nejsou tolik medializovány. Můžeme zmínit například útok na Psychiatrickou nemocnici Kosmonosy, FN Olomouc nebo útok na tři soukromé polikliniky v Praze. Škoda v nemocnici Benešov se odhaduje na 59 milionů korun a ve FN Brno přes 150 milionů korun. Tyto částky nám ukazují, jak obří ztráty může kybernetický útok způsobit. Původ útočníků se většinou nepodaří vypátrat. I výše zmíněné incidenty FN Brno a Nemocnice Benešov policie odložila, protože nezískala dostatek informací potřebných pro dopadení pachatele. Tento fakt zvyšuje sebedůvěru útočníků, a proto můžeme očekávat další podobné akce. Rád bych také upozornil, že nemocnice jsou pouze jedním z prvků kritické infrastruktury státu, mezi které patří i elektrárny, vodárny, ministerstva a tak dále.
Dokážou se nemocnice nyní už lépe ochránit? Jak by to měly dělat?
Stav se za poslední tři roky jednoznačně posunul k lepšímu. Přesto se v praxi často setkáváme se zjištěním, že kybernetická bezpečnost v některých nemocnicích nebyla dosud řešena. Toto však neplatí pouze u nemocnic. Tento dluh v kybernetické bezpečnosti doháníme až v posledních letech. Stát poskytuje značné finanční prostředky v této oblasti, posun vpřed ale není jednoduchý. Potýkáme se celosvětově s velkým nedostatkem odborníků, kteří by bezpečnostní opatření dokázali rychle, efektivně a především kvalitně implementovat.
Kybernetickým útokům, jak už jste řekl, čelí nejen stát a jeho instituce, ale i jednotlivé firmy. Co byste jim poradil, aby se před nimi ochránily? Je nějaký základní standard?
Každá organizace je zcela jiná a neexistuje jeden univerzální postup pro zabezpečení všech organizací. Oblast kybernetické bezpečnosti je velmi rozsáhlá a je třeba ji řešit koncepčně na mnoha vrstvách. Doporučil bych vždy začít základní analýzou, co je pro danou organizaci nejdůležitější, jaké provozuje informační systémy a kde jsou její největší slabiny. Na ně následně můžeme zacílit přesná a efektivní opatření.
Jak se pozná špatná analýza od té dobré? Mají firmy šanci to poznat?
Doporučil bych každé organizaci, aby se vždy ptala svého dodavatele, jak bude analýza probíhat a zda bude potřebovat součinnost od jejích zaměstnanců. Pokud dodavatel bude tvrdit, že pro tvorbu analýzy nepotřebuje žádné vstupní informace od dané organizace, je celkem jisté, že taková analýza bude mít minimální vypovídající hodnotu. S největší pravděpodobností se bude jednat o obecný kompilát z dříve provedených analýz u jiných zákazníků.
Jistě existují technologické trendy ve vašem oboru. Co je nyní nejvíce v kurzu?
Aktuálně se soustředíme především na oblast Incident response, tedy co má organizace dělat, když u ní vznikne kybernetický incident. Je třeba si uvědomit, že není možné žádnou organizaci uchránit na 100 procent. Vždy bude existovat riziko cíleného a sofistikovaného útoku. Proto je nutné se soustředit také na včasnou detekci incidentu a minimalizaci následných škod.
Co přesně znamená Incident response?
Jedná se o určení postupů, jak reagovat v případě kybernetických incidentů. V první řadě je třeba útok zastavit, následně sesbírat důkazní materiály a co nejrychleji zahájit obnovu dotčeného prostředí. Pro každý typ kybernetického incidentu je třeba vytvořit specifický postup.
Ing. Tomáš Luňák je odborníkem na kybernetickou bezpečnost.
Například u odcizení přihlašovacích údajů zaměstnance budeme reagovat jiným postupem než u nákazy organizace počítačovým virem (ransomware). Kvalitně nastavené postupy pro Incident response, nastavené na míru dané organizaci, umožňují včasnou a správnou reakci a tím minimalizují způsobené škody. Dalším krokem je automatizace Incident response úkonů, aby byla reakční doba co nejkratší, jednotlivé kroky bezchybné a také aby zatěžovaly dané zaměstnance co nejméně.
Jakým způsobem se dá Incident response automatizovat?
U našich zákazníků využíváme v rámci Incident response řešení IBM Security QRadar SOAR. Tento nástroj umožňuje přesně definovat postupy, které má odpovědný zaměstnanec při řešení incidentu dodržet. Každý zaměstnanec je jimi veden, a proto přesně ví, jak a kdy reagovat na vzniklou situaci. Nemůže se tak dopustit chyb, které při těchto stresových situacích často vznikají. Navíc umožňuje některé z kroků Incident response automatizovat a tím zkrátit reakční dobu. Jedná se skutečně o technologii, kterou bych doporučil každé organizaci, která chce být na kybernetické útoky dobře připravena.
