Kyberútoky přes externí dodavatele jsou stále nebezpečnější, stojí firmy miliony

Kybernetické útoky, které zasáhly firmy přes jejich dodavatele, se pro podniky staly v roce 2021 vůbec největší hrozbou a stály je nejvíce peněz. Průměrný finanční dopad takové události na jednu firmu dosáhl v roce 2021 1,4 milionu dolarů.

Pro firmy je spolupráce s dodavateli stále riskantnější a týká se to i českých subjektů. Kybernetické útoky na externí dodavatele loni stály ve světě za největšími úniky firemních dat. Ukázal to nedávný průzkum společnosti Kaspersky IT Security Economics.

Ilustrační fotografie

V zemích Evropské unie přišel v roce 2021 každý podnik (kvůli zmíněným útokům) průměrně dokonce o dva miliony dolarů. Jde tedy o vůbec nejnákladnější typ incidentu ve firmách.

Od roku 2016 sledujeme podle společnosti Kaspersky výrazný nárůst kybernetických útoků na firmy i veřejné instituce. Počet těchto kriminálních činů během pandemie covid-19 ještě narůstá. 

„Nárůst vnímáme, jak na poptávce po pomoci, tak i při sledování událostí ze světa a reportů jiných firem. Osobně bych ale řekl, že útoků by přibývalo, i kdyby koronavirus nepřišel. Útočníci se zlepšují a daří se jim z obětí tahat čím dál větší částky. Například skupina Netwalker si přišla za pět měsíců na 25 milionů dolarů. To je obrovská suma,“ prozrazuje výkonný ředitel společnosti PATRON-IT Martin Haller.

„Stejně tak se tu začaly objevovat skupiny, které si začaly za cíle vybírat největší světové korporace a vyžadují výkupné ve výši milionů dolarů. Soudím, že kyberzločinnost v dalších letech ještě poroste,“ domnívá se Haller.

Rizikoví partneři firem

Firemní data se často distribuují ke třetím stranám, ať už jde o poskytovatele služeb, dodavatele či dceřiné společnosti. Organizace proto musejí brát v úvahu nejen rizika kybernetické bezpečnosti, která ovlivňují jejich IT infrastrukturu, ale i ta, jež přicházejí zvenku.

Podle zmíněného průzkumu byla třetina (32 %) velkých organizací vystavena útokům, které byly cíleny na data sdílená s dodavateli. Toto číslo se od zprávy z roku 2020 výrazně nezměnilo, finanční ztráty byly ale výrazně vyšší.

U ostatních typů útoků je finanční riziko nižší. Fyzické ztráty zařízení ve firemním vlastnictví stály loni společnosti průměrně 1,3 milionu dolarů, na podobné sumy vyšly útoky pro těžbu kryptoměn či nesprávné využívání IT zdrojů ze strany zaměstnanců.

Ransomware útoky: Zaplaťte statisícové výkupné, nebo přijdete o data

„Ze závažnosti kybernetických útoků vyplývá, že organizace musejí při posuzování kybernetické bezpečnosti svého podnikání zohlednit především riziko jejího narušení prostřednictvím sdílení údajů s dodavateli. Pandemie změnila podmínky působení hrozeb a organizace by měly být připraveny se tomu přizpůsobit. Firmy by měly své dodavatele posuzovat podle typu práce, kterou vykonávají, a úrovně přístupu, který dostávají (zda pracují s citlivými údaji a infrastrukturou, nebo ne), a podle toho uplatňovat bezpečnostní požadavky,“ říká výkonná viceprezidentka pro korporátní obchod společnosti Kaspersky Evgeniya Naumova.

Firmy by měly zajistit, aby sdílely data pouze se spolehlivými subjekty, a rozšířit svoje stávající bezpečnostní požadavky na dodavatele. V případě předávání citlivých údajů nebo informací to znamená, že by od partnerů měly vyžadovat veškerou potřebnou dokumentaci a certifikaci (například SOC 2), aby bylo zajištěno, že fungují na potřebné úrovni zabezpečení.

„Ve velmi citlivých případech doporučujeme firmám provést před uzavřením jakékoli smlouvy předběžný audit, zda dodavatel splňuje příslušné podmínky,“ doplňuje Naumova.

Útoky nutí firmy k větší opatrnosti

Firmy jsou nicméně poslední dobou stále opatrnější a investují do opatření pro prevenci a zmírnění potenciálních následků více peněz. Postupně tak přibývá podniků, které jsou proti útokům dobře chráněny. O to hůře jsou na tom ovšem ti, kteří prevenci podceňují.

Společnosti loni méně často ohlašovaly narušení bezpečnosti dat – dokázalo se mu vyhnout 34 % firem, zatímco v roce 2020 to bylo jen 28 % subjektů.

Finančně zranitelné firmy se mohou zdráhat věnovat čas a náklady na vyšetřování trestného činu nebo riskovat poškození pověsti, pokud by informace o narušení jejich bezpečnosti pronikla na veřejnost.

Evgenyia Naumova, Kaspersky

„Subjektivně mi přijde, že po medializaci různých kauz jsou zákazníci skutečně ochotni více naslouchat a do bezpečnosti investovat. Občas dokonce vidím, že se do bezpečnosti investuje možná až moc. Abych to vysvětlil: některé firmy se snaží dohnat bezpečnost jednorázovým nákupem drahých technologií. Jenomže bezpečnost není jen o technologiích, ale i o lidech, co je nastavují a spravují. Je potřeba aby investice do lidí i technologií byly v rovnováze,“ popisuje Martin Haller.

„Zároveň je nutné si uvědomit, že je bezpečnost stejně jako třeba domácí úklid nikdy nekončící prací. I když v sobotu odpoledne vyluxujete, utřete prach a vyperete prádlo, za dva dny jste tam kde předtím. Tak je to i se zabezpečením sítě – je třeba vše neustále kontrolovat a udržovat,“ dodává odborník.

Lidumilní zločinci?

V posledních letech rezonuje ve veřejném prostoru především nebezpečí útoků na zdravotnická zařízení, kde je závažnost útoků potenciálně nejvyšší. Teoreticky je tak výraznější i vyděračský potenciál a útočníci mohou požadovat více peněz.

Ilustrační fotografie

Nevyužívají útočníci koronavirové krize a nenapadají nemocnice stále častěji? „Možná vás překvapím, ale myslím, že opak je pravdou. Už v počátku pandemie se řada kyberzločineckých skupin distancovala od útoků na zdravotnická zařízení včetně laboratoří. S tím, že pokud by náhodou nějaké takové zařízení napadli, data navrátí bezplatně,“ prozrazuje Martin Haller.

Nedávno napadla skupina DoppelPaymer Univerzitní Nemocnici v německém Düsseldorfu, přičemž měl být útok veden na tamní univerzitu. Když útočníci zjistili svůj omyl, poskytli zástupcům nemocnice zdarma klíč pro dešifrování dat.

Úniky dat z cloudu

Zásadním problémem bývá také únik dat z cloudového úložiště, které už má dnes skoro každá firma.

„Firmy si dnes cloudová úložiště pořizují i jako ochranu před ztrátou dat. Přitom právě z cloudového úložiště útočníci data občas kradou (tuším, že během času to bude ještě běžnější) a následně oběti vydírají s tím, že ukradená data zveřejní,“ připomíná zástupce PATRON-IT.

Výhodou kradení či kopírování z cloudového úložiště je podle experta vyšší rychlost přenosu dat. Cloud je totiž k internetu připojen rychlostí alespoň v řádu gigabitů.

Firma Altron dodává na Blízký východ odolné cloudové kontejnery

„Zároveň jsem se ještě nesetkal s firmou, která by pracovala s logy cloudového úložiště tak, aby krádež dat vůbec detekovala. Je pravda, že znám i některé cloudové služby u kterých by to ani možné zjistit nebylo – takové logy či přehledy neposkytují,“ dodává Haller.

Na zveřejňování ukradených dat a „pranýřování“ svých obětí mají navíc útočníci vlastní webové stránky, tzv. shaming weby.

Prevence není nikdy stoprocentní, ti, kteří útoky páchají, bývají napřed. Například služba DDS Safe (Ransomware Bites Dental Data Backup Firm“) slibovala zákazníkům cloudové zálohy dat odolné vůči ransomware. Skončilo to tak, že hackeři danou službu prolomili.

„Nejen že pak zašifrovali samotné cloudové zálohy, ale i veškerá data přímo u zákazníků díky tomu, že měl poskytovatel vzdálený přístup k jednotlivým zákazníkům,“ připomíná Martin Haller.

Budu trochu sarkastický. Ze zkušenosti víme, že si firmy často nevšimnou úniku dat ze serveru ani z cloudu. Popravdě nejčastěji detekují úspěšný útok tak, že jim přestanou fungovat systémy (protože dojde k zašifrování dat) a až zpětně se snaží zjistit, zda došlo i k úniku dat.


Martin Haller, PATRON-IT

Pro úspěšnou detekci úniku dat je podle experta potřeba mít v síti již dopředu nachystané správné technologie: Opravdu to nelze dohánět až potom co se nějaký incident stane. Analogií může být kamerový systém – jeho instalace až potom co Vás vykradou Vám zpětně nepomůže.“

Útoky zvládneme, myslí si podniky. Často se pletou

Firmy se ještě dnes často domnívají, že je jejich kybernetické zabezpečení lepší, než je tomu ve skutečnosti.

„Je to pro nás výzva přesvědčit firmy o skutečném stavu jejich zabezpečení, zvlášť pokud žijí v omylu, že je kvalitní. Podle našeho průzkumu pouze osm procent evropských manažerů s rozhodovacími pravomocemi uvádí, že využívají externí zdroje a odborníky k urychlení reakce na bezpečnostní incidenty,“ popisuje zástupce společnosti Kaspersky Michal Lukáš.

Poptávka po externích odborných znalostech v oblasti kybernetické bezpečnosti by měla být ze strany firem mnohem vyšší, protože jedině tak se firmy dobře ochrání před kybernetickými hrozbami.

„K automatizované ochraně je třeba přidat lidské odborné znalosti – a to je klíčová výzva pro všechny organizace bez ohledu na jejich velikost,“ dodává Lukáš.

Rizik pro firmy podle výkonného ředitele společnosti IDG Boba Bragdona přibývá v souvislosti se stále složitějšími interními systémy, snahami o digitální transformaci a také se změnami způsobu práce, které vyplynuly z probíhající pandemie

„Organizace, které se snaží reagovat na bezpečnostní rizika, musí počítat s investicemi do dobrého zabezpečení. Potřebují se soustředit na základní prvky, jak udržovat svoje technologie aktuální, správně nakonfigurované a musí počítat s modelem založeným na rizicích, kdy se třeba neustále investovat do nových technologií. Vzhledem k tomu, že většina útoků míří na koncové body, vyplatí se jim využít mixu EDR, MDR a externích odborných znalostí,“ dodává Bragdon.

Jakub Procházka

• Teritorium: Česká republika
• Oblasti podnikání: Bezpečnost | Software a ICT služby

Doporučujeme