Počet vyděračských (ransomware) útoků v Česku od roku 2015 výrazně vzrostl. Podle posledního průzkumu společnosti Kaspersky se jen 41 procent firem za poslední rok nesetkalo s žádnou formou kyberkriminality. Více si přečtěte v článku Hackeři útočí na výrobní firmy, zastavení linky vyjde na miliony na BusinessInfo.cz
„Ve Spojených státech se dokonce množí případy, kdy samy pojišťovny přesvědčují zástupce byznysu, ať zaplatí výpalné. To následně raději uhradí. Pro pojišťovny je to výhodnější než platit firmám vysoké pojistné na zotavení z ransomware útoku,“ prozrazuje v rozhovoru pro Businessinfo.cz Martin Haller.
To, že samy pojišťovny tlačí firmy k tomu, aby útočníkům zaplatili, zní neuvěřitelně. Proč to dělají?
Je to pro ně výhodnější, než vyplácet postiženým firmám náklady na obnovu dat ze záloh a škodu způsobenou odstávkou systémů. Na druhou stranu to má ten efekt, že hackerům roste chuť a s ní výše požadovaného výkupného. Dříve chtěli tisíce, dnes už jde často o více než sto tisíc korun, ve Spojených státech i statisíce dolarů.
Firmy, které se stanou terčem zmíněných ransomware útoků, nemají na výběr?
Buď můžete zaplatit výkupné, nebo data obnovit ze záloh. Podniky, které hackeři napadli, většinou nemají dobře ochráněné firemní IT, mají špatně vyřešené zálohování a přijdou o data včetně záloh. Navíc často nemají s obnovou dat zkušenosti, a když přijde na věc, tápou, trvá to dlouho a občas zjistí, že jim něco v zálohách chybí. Kdežto program na dešifrování dat, který jim poskytnou vyděrači po zaplacení, funguje okamžitě. Pojištěné firmě by pojišťovna měla uhradit veškeré škody. A je jen logické, že raději než náklady na obnovu dat či systémů, uhradí o řád nižší výkupné.
Jak zástupci firem poznají, že jde o skutečně vážnou hrozbu?
Řekněme, že jeden a tentýž program zašifruje data a zároveň pošle postižené firmě ransomware note, tedy zprávu, ve které se dočtete, na koho se obrátit a kolik zaplatit. Aby jim zástupci firem uvěřili, útočníci jim sdělí: vyberte si jeden soubor, který chcete dešifrovat, my to zdarma uděláme. Když firma zaplatí, dostane k dispozici nástroj, pomocí kterého problém vyřeší. Nikdo jiný, než útočníci ten nástroj na dešifrování zašifrovaných dat nemá – ani policie, nebo tajné služby. Útočníci bývají o krok napřed. Jsou to desítky firem, co se na nás obrátily poté, co takto přišly o data.
Takže firmy nejsou bezbranné. Jde jen o to, aby kladly důraz na vlastní IT bezpečnost?
Pokud máte dobře vyřešenou ochranu, můžete se podobným útokům vyhnout. Našim stávajícím zákazníkům se nestávají. A někdy máte prostě jenom štěstí. Známe případ firmy, kterou hackeři napadli, prolomili její bezpečnost, ale program na šifrování dat spustili špatně, a útok se nepovedl. Je to asi stejné, jako kdyby na dům spadla bomba, ale nevybuchla. Ještě bych doplnil, že většina útoků pochází ze zahraničí a firmy jsou často vybírány náhodně, aniž by o nich útočníci cokoli věděli.
Mluvil jste o bezmocnosti policie. Takže podnikatelům v boji s hackery nepomůže? Nedá se například vypátrat, kam plynou peníze z výkupného?
Útočníci samozřejmě nejsou naivní – nenechávají si výkupné posílat na bankovní účty, ani si osobně nepřijdou pro kufřík s penězi. Zmíněné vydírání začalo být populární s rozvojem kryptoměn. Pokud platíte v kryptoměnách, příjemce nemůžete nikdy vystopovat ani stopnout platbu. Také se stává, že vám místo útoku na data nainstalují do systému software, jenž kryptoměny těží. Takže spotřebovávají vaši elektřinu a využívají váš výkon, aby natěžili kryptoměny pro sebe. Často se jim to vyplácí víc – záleží na aktuální ceně kryptoměn. Že nemáte přístup k datům, zjistíte okamžitě, ale když se vám zpomalí server, může trvat velmi dlouho, než to objevíte.
Existují statistická čísla, kolik firem se nechá připravit o data a kolik naopak zaplatí výkupné? Mám pocit, že se o problému v Česku moc nepíše. Podniky to tají?
Takové statistiky neznám. Ne všechny firmy samozřejmě výkupné zaplatí. Některé společnosti data obnoví ze záloh, pro jiné není ztráta dat takový problém. Odhaduji, že v České republice může jít o tisíce firem, které se s podobnými případy setkaly. Jen na nás se obrátí přes deset firem ročně. Podniky to samozřejmě nechtějí zveřejňovat, protože to nepůsobí dobře a poškozuje to jejich renomé, takže si to řeší interně. Ne vždy také můžete výkupné zaplatit, protože se občas nepodaří s útočníky spojit.
Dá se obecně říct, jak nastavit a ochránit firemní IT, aby fungovalo spolehlivě a bylo zabezpečeno proti hacknutí či ztrátě dat?
Na řešení bezpečnosti není žádná kouzelná formulka. Nejde o to, že si pořídíte jednu věc, která se nějak nastaví, a bude vše v pořádku. Ti, co nabízejí nějaký produkt, se snaží zákazníkům namluvit, že jedna krabička vše vyřeší, ale tak to samozřejmě není. Manažeři se zeptají ve svém IT oddělení: Máme antivirus? Máme firewall? Zálohujeme? Pokud je na všechno odpověď ano, nabydou dojmu, že jsou proti kyberútokům ochráněni. To ale zdaleka nestačí. Nastavení bezpečnosti je komplexní záležitost.
Je klíčové zálohování dat?
Obecně se dá říct, že je důležitá prevence, zálohování dat, i aktivní ochrana proti kyberútokům. Některé firmy tvrdí, že zálohují, ale v podstatě jen vykopírují data ze svého počítače na druhý disk. V případě, že dojde k nějaké havárii, musí si opět všechno nainstalovat, nahrát všechny programy, aby s nimi mohl pracovat. Vrátí to do původního stavu, ale nepozná, v čem byl problém. Ještě hůře jsou na tom firmy, které mají zastaralé informační systémy. Málokdo ví, jak fungují. Nemají k dispozici žádné instalační soubory, nikdo to ale neřeší. V momentě, kdy to zhavaruje, musejí si zavolat na pomoc experty. Takže místo toho, aby problém vyřešili za dvě hodiny vlastními silami, řeší to týden a stojí to více peněz.
Většina českých podniků tedy nemá zabezpečení dostatečné?
Je to tak, i když pozorujeme postupné zlepšování. Zabezpečení serverů a sítí bylo před deseti lety na mnohem nižší úrovni. Na druhou stranu jsou nástroje, které používají útočníci, sofistikovanější a jednodušší na používání, takže složitost toho nějakou firmu hacknout zůstala stejná. V mnoha českých firmách je nicméně počítačová gramotnost stále na nízké úrovni. Minulý týden se nám ozvala firma, která přišla o data hned třikrát a předminulý společnost, jež je ztratila poprvé, ale kompletně i se zálohami. Laika by napadlo, že IT správci jsou hloupí, když si to správně nenastaví, jenže oni často nevědí, co útočník dokáže, a když to zjistí, je už pozdě.
Doporučoval byste firmám najmout si externího experta, případně si nechat udělat digitální audit?
Každý podnik, který nemá jistotu, by to měl s externí kontrolou zkusit. Jen by bylo dobré, aby ti, kteří to budou kontrolovat, nebyli ve střetu zájmů. Například firma, co dělá IT outsourcing, může neprávem pošpinit někoho z vašeho IT oddělení, aby u vás získala zakázku na správu IT. Ideální je nezávislý poradce zvenčí, nezainteresovaný na žádné konkrétní zakázce v kontrolované firmě.
S kybernetickou bezpečností se potýkají zejména menší podniky. Je to tak?
Větší firmy mívají dostatečný budget a vlastní specialisty. Čím menší společnost, tím méně má prostředků a tím je to pro ni komplikovanější. Taková firma měla vycházet z toho, co jí nejvíce ohrožuje, když se něco pokazí, a určit si priority. A to je samozřejmě individuální. Některé firmě nevadí, když jí tři dny nebudou fungovat počítače, jiná ví, že dvě hodiny nefunkčních počítačů nebo internetu pro ni budou znamenat obrovské peníze na smluvních pokutách. Pro některou firmu je zase klíčové, aby se jim ani na okamžik nezastavila výroba. Někomu vadí, že o data přijde úplně, jiný zase nesmí dopustit, aby mu unikla citlivá data a stala se veřejně dostupnými. To, co je pro společnost klíčové, by měla chránit primárně.
Co může IT firma v tomto smyslu podnikům poradit. Jaké jim nabídnout konkrétní řešení?
Společnost, která nabízí zákazníkům podobné služby jako my, by měla umět problémům především předcházet. Říkáme, že se postaráme se o vaše firemní IT tak, aby fungovalo spolehlivě a podporovalo vaše podnikání. Našim zákazníkům pomůžeme se bránit proti útokům tak, že spolupracujeme s interními IT pracovníky. Zároveň jim nabízíme technologie, které máme k dispozici. „Ajťáci“ ve firmách bývají jako praktičtí lékaři, kteří o všem něco vědí, vyřeší většinu problémů, ale ve specializovaných případech se musejí obrátit na specialisty. A my jim je poskytneme. Nejsme firma, která vytváří a vyvíjí informační systémy. Když si vyberete informační systém, my přijdeme a řekneme, že se k němu bude hodit tento server, na kterém to poběží, ideální bude taková síť a taková konektivita. Následně to celé poskládáme, aby ta mozaika byla funkční.
Kdysi jste řekl, že děláte IT jako Baťa cvičky. Jak tomu rozumět, neevokuje to spíše jakousi nedbalost?
Zpětně jsem si uvědomil, že to nebylo řečeno úplně šťastně, že to může mít pro některé lidi negativní konotace a evokovat ledabyle odvedenou práci. V tu chvíli jsem to tak necítil, spíš řekněme, že jsme si vybudovali naši pověst na standardizaci, která je obecně základem úspěchu. To znamená, že se snažíme nabízet všem zákazníkům stejné produkty a služby, a to ty, u kterých jsme si časem ověřili jejich kvalitu. Chceme, aby byly kompatibilní a fungovaly co nejlépe. Ještě bych dodal, že v našem oboru už to dnes není tak, že můžete umět všechno – to jednoduše nejde. Musíte se specializovat, ne každý rozumí všemu, když se budete učit jednu technologii do hloubky, je to lepší, než když se naučíte deset povrchně. Specializace je klíč.
Jakub Procházka