Hackeri môžu o firme zistiť viac, ako si jej majitelia vôbec vedia predstaviť. Spoločnosti často podliehajú mylnému dojmu, že pre útočníkov nie sú zaujímavé. Opak je pravdou, hovorí expert v oblasti kybernetickej bezpečnosti.
Na konferencii Metro ON Line sme sa rozprávali s Pavlom Draxlerom, ktorý zastáva pozíciu bezpečnostného manažérav spoločnosti Binary Confidence. Niekoľko rokov pôsobil ako vedúci Komisie pre boj s extrémizmom na Ministerstve vnútra SR, kde zaviedol prvé nástroje pre pátranie a odhaľovanie trestnej činnosti páchaných za pomoci internetu.
Kriminalita preniká do virtuálneho sveta čoraz intenzívnejšie a zasahuje firmy i bežných užívateľov internetu. Ako sa možno brániť proti hackerským útokom?
V prípade súkromnej osoby je to jednoduchšie. Používať dvojfaktorovú autentifikáciu a silné heslá, šifrovať disk aj komunikáciu, neotvárať a neinštalovať nič podozrivé, aplikovať záplaty a zálohovať. Znie to jednoducho a verím, že väčšina ľudí tieto pravidlá pozná, ale umenie je v tej rutine ich aj dodržiavať.
V prípade spoločnosti je to komplikovanejšie. Ak by som to mal zjednodušiť, v prvom rade musia mať dobrú politiku informačnej bezpečnosti, teda čo a ako chcú chrániť, a samozrejme, kvalifikovanú osobu bezpečnostného manažéra, ktorý ju vie presadiť a kontrolovať jej dodržiavanie. Pre malé organizácie máme k dispozícií spísané minimum, ktoré ich prevedie procesom implementácie bezpečnosti.
Aké služby ponúkate svojim klientom?
Naša spoločnosť prioritne rieši monitorovanie informačného prostredia v reálnom čase a obranu. Ponúkame služby od analýzy IT prostredia, cez dizajn, implementáciu kontrol až po pripojenie do nášho strediska dohľadu nad bezpečnosťou. Pre našich pracovníkov máme pravidlo, že na to, aby niekto bol schopný efektívne brániť, musí vedieť hlavne útočiť a poznať problém do detailov.
Sú vašimi klientami malé a stredné firmy alebo aj veľké korporácie?
Sú to predovšetkým veľké firmy a korporácie. Je to spojené s povedomím o hodnote informácií, ktoré firma má a alokovaním primeraných zdrojov na ich ochranu. Malé firmy, žiaľ, aj minimálnu bezpečnosť často veľmi podceňujú.
Dôvodom je neznalosť rizika či príliš drahé služby?
Je to kombinácia týchto príčin. Malé firmy poznajú službu bezpečnosti len ako nákladové stredisko. Preto skôr akceptujú riziko a spoliehajú sa na šťastie, že práve im sa nič nestane. Pritom, dobre implementovaná bezpečnosť, ako sa ju snažíme dodávať klientom, často zníži ajoperačné náklady na IT prostredníctvom automatizácie, ktorá ide s bezpečnosťou ruka v ruke.
Aké sú najčastejšie „diery“ v programoch vašich klientov? S akými „najderavšími“ systémami ste sa počas svojho fungovania stretli?
Na túto otázku sa nedá odpovedať jednoducho. Najčastejší problém je zanedbanie a podcenenie bezpečnosti. Ale problémy pri ochrane prostredia sú veľmi rôzne a nie vždy je to chyba klienta. Niektoré špecializované služby ako ICS (Industrial Control Systems) napríklad môžu stále bežať len na Windows XP a nie je ich možné migrovať na novší operačný systém. Dôležitá je ale ochrana okolo tohtozraniteľného systému.
Inde sme sa stretli s podceneným manažmentom záplat v celom prostredí bez väčších následkov, čo bolo skôr šťastie. Niekde stačilo na úspešný útok nájsť iba jednu kritickú zraniteľnosť v ináč dobre staranom prostredí. Je to naozaj rôzne. Platí ale pravidlo, že chrániť treba všetky úrovne bezpečnosti, zatiaľ čo útočníkovi stačí nájsť len jednu dieru.
Aké sú príznaky toho, že niekto spoločnosť „hackol“?
Momentálne nás väčšina klientov vyhľadáva po útoku ransomware. To znamená, že útočník zašifroval ich disk a za rozšifrovanie požaduje odmenu. Klientom poskytujeme analýzu, ktorá ukáže ako k prieniku došlo a zároveň zavedieme opatrenia, ktoré minimalizujú riziko zopakovania útoku. Tiež sa nám ozývajú klienti, ktorý prišli na to, že sa im stal nejaký kritický bezpečnostný incident spojený so stratou dát.
Ktoré web stránky je najťažšie hacknúť?
Také, ktoré neexistujú J. V podstate ale platí zásada, že čim komplikovanejší web, tým je väčšia pravdepodobnosť, že sa tam nachádza nejaká zneužiteľná zraniteľnosť.
Čo všetko môžu útočníci o mne a firme kde pracujem zistiť, ak sa mi nahackujú do môjho počítača alebo mobilu?
V podstate čokoľvek, často aj viac, ako si človek sám uvedomuje. Môžem to uviesť na príklade. Pri bezpečnostnom tréningu jednej firmy bola požiadavka nezahrnúť asistentky, pretože podľa majiteľov neprichádzali do kontaktu s citlivými informáciami. Nechali sme si schváliť nainštalovanie keylogger programu do počítača jednej z nich. To je program, ktorý len zaznamenáva údery do klávesnice a odosielal nám ich mailom. Za tri dni sme vedeli o organizácií viac ako jej majitelia.
Nemajú firmy pri objednávke vašich služieb obavu z toho, že narábate s ich citlivými údajmi? Sú tejto službe ľudia v súčasnosti otvorení?
My obchodujeme v prvom rade s našou reputáciou. Pri menších klientoch, alebo pri tých, ktorý bezpečnosti nerozumejú sme sa stretli s takýmto názorom „náhle prebudenej bezpečnostnej odbornosti“. Je to pre nás indikátor, že nechceme, aby sa stal naším klientom. Každý ma v počítači, na serveri alebo v mobile množstvo kódu, o ktorom nevie, čo presne robí alebo ktorého pôvod ani netuší. Preto je zvláštne, že sa tento záujem prebudí akurát, keď má využiť služby bezpečnostnej firmy s reputáciou.
Pracujete s osobnými údajmi a iste musíte dodržiavať tajomstvo mlčanlivosti. Ovplyvnilo do istej miery vašu prácu GDPR?
Áno, i keď naši klienti sa o bezpečnosť starali aj pred platnosťou GDPR. Vzhľadom na to, že klienti sa na nás spoliehajú v tom, že ich problémy riešime celkovo, muselisme prijať nového experta špeciálne pre procesné záležitosti okolo ochrany osobných údajov podľa GDPR. Taktiež sme museli doplniť do portfólia nástroje pre mapovanie a narábanie s osobnými údajmi podľa GDPR. Bezpečnostné štandardy, ale ako také GDPR veľmi nezmenilo a kto ich implementoval pred platnosťou GDPR mal o problém menej.
