Podle amerických agentur FBI a CISA mohou každoročně svátky a dny kolem nich za zvýšený počet útoků – a to nejen ty spojené s oslavami Vánoc a Nového roku. „Agentury naznačují, že kyberzločinci se strategicky zaměřují na svátky a večerní hodiny (tzv. OOBH – outside of business hours), aby narušili integritu podnikových sítí. Hackeři vědí, že v kancelářích se v této době pohybuje velmi málo zaměstnanců zodpovědných za fungování infrastruktury a bezpečnosti. Ačkoliv pověřené osoby většinou drží IT pohotovost, schopnost reagovat na bezpečnostní incident se razantně prodlužuje, a to vše v závislosti na kvalitě a dostupnosti hlášení z monitorovacích systémů. A právě proto větší společnosti investují do non-stop bezpečnostního monitoringu,“ odhaluje Petr Kocmich, expert na kyberbezpečnost ze společnosti Soitron.

Výsledkem je, že útočníci získají více času na své zločinecké plány. Ve srovnání s všedním dnem firmám po víkendech a dnech volna trvá daleko déle vyhodnotit rozsah případných útoků.

Během dovolených jsou zaměstnanci mimo své kanceláře nebo firemní počítače a mohou snadněji podlehnout sociálnímu inženýrství nebo phishingovým útokům. Mnoho uživatelů e-maily a pracovní záležitostí řeší i v rámci dovolené ve smartphonu a jejich ostražitost tímto dále klesá. „Je na čase si uvědomit, že pro nadělání škodlivých věcí už dnes nemusí sedět u počítače. Příkladem jsou například naléhavé e-mailové žádosti o schválení, respektive odeslání finančního obnosu nějakému subjektu,“ zmiňuje Petr Kocmich. Tyto e-maily se tváří jako by byly odeslány společností, případně vedením. Dalším příkladem jsou e-maily s požadavkem na nastavení nového hesla (např. z důvodu údržby ICT infrastruktury, nasazování nové aplikace, kybernetického útoku apod.). „Co považujeme za velký problém je to, kdy někteří uživatelé až chronicky potvrzují požadavky z vícefaktorové autentizace, aniž by je vyvolali svou aktivitou, čímž mohou potenciálně např. vpustit útočníka do aplikace pod svým účtem. Útočníci jsou vynalézaví a je potřeba být neustále na pozoru. Koneckonců, kybernetické hrozby si neberou dovolenou,“ poukazuje Petr Kocmich.

Posilte odolnost proti útokům

Prevencí by nemělo být udržování plného počtu zaměstnanců starající se o firemní kybernetickou bezpečnost v dobách volna, ale postarat se o důkladné zabezpečení firemní infrastruktury, dat a minimalizovat riziko pocházející ze sociálního inženýrství. Mezi standardní bezpečnostní procesy by tak měl patřit plán s rozpisem toho, kdo a kdy bude držet pohotovostní službu a jak reagovat v případě bezpečnostního incidentu (definované komunikační kanály a RACI matice, zdroje dat a nástroje pro analýzu). „Aby se dalo předcházet útokům, je nutné myslet komplexně. Každá společnost by měla znát svůj aktuální bezpečnostní stav, tedy úroveň hrozících rizik v závislosti na velikosti a oboru, ve kterém působí. Každá společnost má zároveň jinou úroveň bezpečnostní vyspělosti, tudíž některá bezpečnostní doporučení by měla mít potřebné pre-rekvizity,“ uvádí Petr Kocmich.

Tedy než se společnost například vrhne do implementace SIEMu, měla by nejprve investovat do potřebné konfigurace existujících bezpečnostních prvků případně je doplnit o další bezpečnostních technologie, které budou schopny zvýšit viditelnost v dané oblasti, a právě dodávat potřebná data ke korelaci v rámci SIEMU.

Analýza rizik a bezpečnostní strategie pro zvládání a minimalizování nalezených rizik je tedy dobrým startem. Externí, interní penetrační testy, zase pomáhají detekovat a odhalit chyby v zabezpečení organizací a dávají tedy nutný vhled na oblasti, na které je třeba se zaměřit. „Dobře nastavený monitoring pomáhá s detekcí podezřelých aktivit a potenciálních bezpečnostních incidentů a vhodně zvolené školení zaměstnanců (včetně těch v IT odděleních a managementu) zase pomáhá k celkové odolnosti proti běžným typům útoků, jako je právě například Phishing,“ uvádí Petr Kocmich a dodává, že rovněž preventivní vyhledávání hrozeb dokáže odhalit slabá místa, a hlavně předejít větším problémům, pokud k odhalení dojde včas.

Oproti penetračním testům, které prozradí, jak útočníci mohou vniknut do firemní infrastruktury, preventivní vyhledávání hrozeb identifikuje aktéry, kteří již mohou být přítomni v síti a trávit čas zkoumáním firemních systémů a aplikací. V nich hledají slabá místa, umožňující útok a exfiltraci dat.

Pomoc nabízejí dohledová centra

Přitom je potřeba stále pamatovat na to, že dobře navržený podnikový bezpečnostní systém sice umí upozornit, že ve firemní IT infrastruktuře dochází k nějakému problému, potom však musí nastoupit odborník. Problematiku je totiž třeba řešit 24 hodin denně, 365 dní v roce, a proto má odborník práci velmi ztíženou. V případě, že jde o jednoho experta na organizaci (v některých se dokonce nenachází žádný), tak prakticky nemá nikdy volno.

Řešením je služba centra kybernetické bezpečnosti (SOC), propojující technologické řešení s týmem zkušených bezpečnostních analytiků a specialistů. Toto bezpečnostní dohledové centrum pracuje 24 hodin denně, monitoruje IT prostředí podniků a neustále sleduje aktuální dění ve světě kybernetické bezpečnosti. V případě nebezpečí aktivuje předem nastavený plán. „Firmy tato služba vyjde podstatně levněji než náklady na tým bezpečnostních specialistů, kteří by pracovali non-stop. Navíc díky tomu, že je využita automatická analýza, lze podezřelé incidenty prověřit a vyřešit během krátké doby,“ prozrazuje Martin Lohnert, další odborník na kybernetickou bezpečnost ze společnosti Soitron.

V kyberbezpečnosti nelze polevit ani o svátcích

Firmy by neměly čekat a doufat, že jim se útoky vyhnou. Kybernetická bezpečnost je během svátků totiž stejně zásadním tématem, jako kdykoliv jindy v roce. S aktuálně blížícím se obdobím vánočních dovolených a před koncem roku se pro organizace opět stává velkým strašákem, kterého není radno podceňovat. A to se samozřejmě týká i těch českých.