Kyberzločin: školit se, bránit se a hlásit policii

Počet útoků na firemní počítačové sítě se od vypuknutí pandemie covid-19 rapidně zvýšil. „Podle dostupných statistik došlo v roce 2020 k nárůstu ransomware útoků celosvětově o 62 procenta na 304 miliony. Jako hlavní směr pozorujeme v 54 procentech případů spam nebo phishing e-mail,“ upřesňuje Milan Bortel, odborník z Počítačové školy Gopas, společnosti zaměřené na školení na obranu a prevenci proti počítačové kriminalitě.

Podle statistik společnosti Kaspersky došlo od března 2020 také k extrémnímu nárůstu útoků na RDP (síťový protokol, který umožňuje využívat nebo ovládat vzdálený počítač). „Za období od ledna do listopadu 2020 to bylo 3,3 miliardy útoků, o 71 procento více než za stejné období 2019,“ říká Milan Bortel.

Ransomware je vnitřní nákaza. Znamená to, že se dostane do firmy zvenku, ale pracuje uvnitř a potřebuje ke své činnosti práva správce. „Je tedy důležité chránit účty a přihlašovací údaje správců sítě a počítačů. V prostředí Microsoft se k tomu využívá metodika nazvaná tiering,“ říká Ondřej Ševeček z Počítačové školy GOPAS.

Při obraně proti kyberzločinu je potřeba z hlediska uživatele důsledně dodržovat základní bezpečnostní hygienu. „Dávat pozor na útoky pomocí phishingu a sociálního inženýrství. A hlavně – při brouzdání internetem neklikat bezhlavě na všechny odkazy,“ dodává Milan Bortel.

Bezpečnost je potřeba stavět na analýze rizik. Co jednu organizaci poškodí, nemusí ohrožovat jinou. Je samozřejmě obvyklé, že rizika jsou z velké části společná všem prostředím, ale i tak mají mnohdy jiné dopady, nebo pravděpodobnost, že se projeví. „Zavádět opatření bez toho, abychom nejprve zjistili, jak a proti jakému riziku nás chrání, je nesmysl. Každé opatření také funguje jen částečně a rizika vždy jen minimalizuje,“ vysvětluje O. Ševeček. „Je tedy důležité kombinovat více různých opatření, skrze která by útočník následně musel projít.“

Kybernetické vydírání je jedním z možných rizik. Nejprve by si firma měla uvědomit, jestli, kde a jak je vůbec vydíratelná. Opatřením proti zničení dat je zálohování a funkční metody obnovy. „Jelikož rizika se dají vždy pouze minimalizovat a vždy ještě něco zbývá, je potřeba počítat s tím, že vždy se něco stát může, a je tedy potřeba se připravit na situaci, kdy nás bude útočník vydírat,“ dodává Ondřej Ševeček.

Odpojit počítače od sítě a vše hlásit policii. Ilustrační foto: Gopas

Podle Milana Bortela pomohou obvyklé techniky: „Segmentace sítě (počítače jsou fyzicky odděleny, není možné z jednoho počítače napadnout celou firmu), aktualizovaný software (útoky zneužívají zranitelné systémy), používání efektivních monitorovacích nástrojů (včasná identifikace kompromitace je nutná k zabránění rozšíření útoku), zákaz používání privilegovaných účtů pro běžnou práci, offline zálohování – to jsou metody, které je třeba zvládnout. A pokud již ransomware útok proběhne, můžeme data obnovit.“

Pokud přece byla firma napadena, je nutné zašifrované počítače izolovat, odpojit od sítě, nerestartovat ani nevypínat – zničily by se tak důležité stopy pro vyšetřování. Zajistit veškeré důkazy, vyšetřit komplexně celý incident. Zamezit opakování útoku a zasažené systémy přeinstalovat, data obnovit ze záloh. „Kontaktovat specializovanou firmu, která má zkušené odborníky a vybavení – menší firma bude těžko zaměstnávat profesionály na kyberbezpečnost a běžný ajťák to bude dávat dohromady jen velmi těžko. V případě vydírání neplatit žádné výkupné, co nejdříve oslovit odborníky a řešit bezpečnostní incident,“ doporučuje M. Bortel. „A útok hlásit policii, protože vydírání je zločin,“ dodává Michael Grafnetter.