21 minute read
Kyberzločin
from Ročenka KAUZY 2022
by aktuality.sk
NEZMIZNE, BUDE RÁSŤ A HĽADAŤ NOVÉ CESTY
Vojna na Ukrajine priniesla nárast kybernetických útokov aj na Slovensku. Čo sa podarilo v oblasti kyberbezpečnosti, akým hrozbám budú čeliť jednotlivci i firmy a čo očakávať od (pro)ruských a čínskych hackerov? Na tieto a ďalšie otázky sme hľadali odpovede s expertom Lukášom Hlavičkom.
Keď Rusko koncom februára 2022 za‑ útočilo na Ukrajinu, mnohé slovenské firmy a štátne inštitúcie si začali napl‑ no uvedomovať svoju zraniteľnosť v ky‑ bernetickej oblasti. Aj keď sa povedomie o dôležitosti kybernetickej bezpečnosti zvyšuje a zabezpečenie postupne zlep‑ šuje, Slovensko aj počas uplynulého roka zaznamenalo viacero úspešných hacker‑ ských útokov.
O stave kyberbezpečnosti u nás sme sa rozprávali s Lukášom Hlavičkom, býva‑ lým dlhoročným šéfom vládnej jednot‑ ky CSIRT.SK (Computer Security Incident Response Team Slovakia) na riešenie ky‑ bernetických bezpečnostných inciden‑ tov. Dnes je technologickým riaditeľom kyberbezpečnostnej spoločnosti IstroSec a pôsobí aj ako súdny znalec. Začnime obligátnou otázkou, ktorá je však dobrým vstupom do problematiky: čo konkrétne sa za uplynulý rok zmenilo v kyberbezpečnosti na Slovensku?
Krátko po vypuknutí vojny — alebo aby sme boli presnejší, agresie voči Ukraji‑ ne — sme aj na Slovensku zaznamenali nárast kybernetických útokov. A to nie‑ len ruských útokov voči nám, ale tiež našich útokov voči Rusku. Aktivizovalo sa veľké množstvo hacktivistov, ktorí sa snažili dať najavo svoj postoj voči ruskej agresii. Bohužiaľ, mnohokrát prekročili etické hranice.
V dôsledku kybernetických útokov za‑ čali mnohé organizácie, ako sú štátna správa, celý energetický sektor a veľké firmy, vážnejšie riešiť kybernetickú bez‑ pečnosť. Bolo to relatívne dosť viditeľné. FILIP HANKER
Aký bol pomer kybernetických úto‑ kov z ruskej strany v porovnaní s útokmi smerujúcimi opačným smerom?
Zo začiatku bolo z ruskej strany viac útokov, boli to však najmä štandardné typy útokov: DoS a DDoS (zneprístupne‑ nie alebo veľké obmedzenie dostupnosti webu alebo služby útokom hrubou silou, pozn. red.), pokusy o hackovanie a po‑ dobne. Takýchto útočníkov by sme mohli klasifikovať ako útočníkov nízkej úrovne.
Zaregistrovali sme tiež väčší počet ransomvérových útokov. Boli necielené aj cielené, čo znamená, že útočníci hackli organizácie na základe bezpečnostných zraniteľností dostupných z vonkajšie‑ ho prostredia. Zaznamenali sme tiež viac cielených spear phishingových úto‑ kov. Spravidla šlo o triviálne až banálne e‑maily — používateľom prišla správa, že majú povoliť makrá a napísať heslo. V niektorých prípadoch došlo aj na spear phishingové e‑maily, zamerané na pod‑ nikanie obete.
Spomínali ste, že všetci sa po vpá‑ de Ruska na Ukrajinu prebudili. Čo teda najviac trápi štátne inštitúcie a súkrom‑ né firmy v oblasti kyberbezpečnosti?
Momentálne ich najviac trápi súlad so zákonom o kybernetickej bezpečnosti. Týka sa to najmä prevádzkovateľov zá‑ kladných služieb (subjekty prevádzku‑ júce služby zo zoznamu podľa zákona, pozn. red.), ktorí sa snažia splniť všetky legislatívne požiadavky. Je to v poriadku a malo by to tak byť, ale mali to robiť tro‑ chu skôr a systematickejšie.
Čo sa týka samotných útokov, naj‑ častejšie čelia dvom typom — únik dát a ransomvér.
Faktom je, že spomínané útoky môžu súvisieť…
Áno, často spolu súvisia, ale nie vždy. Keď máte ransomvér, väčšinou máte aj únik dát, ale pri úniku dát ešte nemusíte mať ransomvér. V niektorých prípadoch zas platí, že môžete mať ransomvér, ale nemusíte mať únik dát. To isté pla‑ tí aj v prípade automatizovaných útokov, keď si obeť stiahne malvér a ten zašifruje všetko, k čomu má prístup.
Na čo ďalšie by sa mali štát‑ ne úrady a firmy zamerať v oblasti kyberbezpečnosti?
Mala by ich trápiť práca z domu a vzdialené prihlasovanie používateľov alebo externistov do firemnej infraštruk‑ túry. Taktiež aby mali dobrú segmen‑ táciu siete. Keď tvrdia, že OT (operačné technológie riadiace výrobné procesy, pozn. red.) je oddelené od IT (informačné technológie používané napríklad pri ad‑ ministratíve, pozn. red.), tak by to malo platiť.
Zároveň by mali mať prehľad o bez‑ pečnostnej situácii v sieti, pri jednot‑ livých používateľských zariadeniach a serveroch aj v cloudových službách. A staré, no stále dobré: rozumný ma‑ nažment bezpečnostných záplat.
Pristupujeme na Slovensku ku kyber‑ bezpečnosti systematicky?
Mnohé organizácie, najmä štátne, ju vnímajú ako projekt. Urobia jeden pro‑ jekt zvýšenia bezpečnosti, o rok ďal‑ ší a potom ďalší. Je to drahšie, ale tiež menej efektívne, ako keby to bol proces. Navyše do toho vstupuje verejné obsta‑ rávanie. Takže jeden projekt vyhrá jed‑ na firma, druhý ďalšia, tretí opäť iná. Vý‑ sledkom je, že dokopy to nehrá tak, ako by malo.
Jeden faktor ste zatiaľ nespomenuli — osvedčené klišé, že najslabším článkom je človek. Platí to?
Je to pravda. Pravdou je, že tento fak‑ tor už organizácie nepodceňujú, respek‑ tíve vedia, že je to problém. Snažia sa ho riešiť prostredníctvom školení, smerníc, pokút v zmluvách a iných opatrení.
Ak je celá bezpečnosť postavená na ochrane vonkajšieho perimetra (hrani‑ ce medzi vnútornou počítačovou sie‑ ťou a okolitým sieťovým prostredím, pozn. red.), posledným článkom obrany je používateľ. Práve od jeho pozornos‑ ti, schopnosti rozpoznať útoky a pred‑ pokladu obozretného správania závisí, či bude organizácia úspešne napadnutá alebo naopak. Najmä pri vysoko zabez‑ pečených organizáciách.
To neznie príliš optimisticky. Naozaj sú ľudské chyby až taký problém?
Existujú rôzne typy zamestnancov a štatisticky vždy nájdete desať per‑ cent notorických klikačov, ktorí klik‑ nú na všetko, čo im príde. Preto treba vždy predpokladať, že používateľský účet v systéme je napadnutý, infikovaný. Ná‑ sledne treba celú bezpečnosť organizácie budovať na tomto predpoklade.
Zosilnili hackeri z Ruska aktivity na Slo‑ vensku od vypuknutia vojny?
Určite áno, ale zo začiatku to boli na‑ ozaj smiešne útoky. Akurát ich bolo viac. A keď už nič nevedeli spraviť, spustili as‑ poň DDoS útok. Teda útok hrubou silou, pri ktorom sa útočník snaží zneprístupniť službu prostredníctvom veľkého množ‑ stva požiadaviek na cieľový server. Pri‑ tom sa snaží zahltiť pásmo, prístupo‑ vú infraštruktúru alebo samotný server, ktorý je cieľom. Mnohé organizácie, kto‑
Dôležitá terminológia
PHISHING je všeobecné označenie pre hromadne rozosielané podvod‑ né správy. Využívajú ich hackeri aj kybernetickí kriminálnici. Nieke‑ dy je ich cieľom zaniesť do počítača škodlivý kód, inokedy vymámiť od obete peniaze.
SPEAR PHISHING sú phishingové útoky zacielené na konkrétne obe‑ te — firmy, inštitúcie alebo vybra‑ ných ľudí. Sú postavené na znalosti faktov o obeti, napríklad akú fak‑ túru práve očakáva alebo čo práve rieši s obchodným partnerom.
WHALE PHISHING je phishing zame‑ raný na vysokopostavených ľudí — politikov, riaditeľov či celebrity. Špecifický je tým, že útočníci počí‑ tajú s výrazne vyššou ostražitosťou obetí a pokročilými bezpečnostný‑ mi opatreniami. Z uvedeného dô‑ vodu využívajú pokročilé techniky.
RANSOMVÉR je typ škodlivého kódu, ktorý využívajú kybernetickí krimi‑ nálnici. Zašifruje obeti všetky dáta na počítači, smartfóne či dokonca v celej počítačovej sieti vo firme. Za ich opätovné sprístupnenie žiadajú útočníci výkupné.
DEEPFAKE VIDEÁ sú falošné vi‑ deá vytvorené pomocou pokroči‑ lých softvérov využívajúcich prvky umelej inteligencie. Dokážu naprí‑ klad vytvoriť tvár známeho človeka a vložiť mu do úst niečo, čo nikdy nepovedal. Falošné videá sa ťažko odhaľujú a môžu byť nástrojom ší‑ renia dezinformácií.
ré neboli dobre zabezpečené alebo v tom čase niečo menili, mohli byť cieľom. Nie‑ ktoré organizácie mohli byť aj cieľom komplikovanejších útokov.
Znamená to, že teraz sú už na útoky lepšie pripravené?
Videli sme zaujímavé pokusy o útoky na kritickú infraštruktúru.
V akom štýle zaujímavé — boli inovatívne?
Išlo o spear phishingové útoky z vý‑ chodných adries, ale naštudovali si, čo organizácia robí a od koho by moh‑ la očakávať dáta — zrejme už bol niekto hacknutý.
Takže už tam bola určitá miera prípravy.
Presne tak. Napadnutá organizácia mala vtedy vyslovene šťastie, aj keď patrí medzi tie lepšie pripravené.
Keby ste mali porovnať, aká bola miera rizika pred vojnou a po začiatku vojny?
Útoky boli aj dovtedy. Možno ich bolo menej, mali iné ciele a útočníci nemu‑ seli chcieť robiť priamo nepriateľské ak‑ cie, ale útoky boli stále a dlhodobo. Mno‑ hé organizácie boli vykompromitované (úspešne napadnuté, pozn. red.) a stále môžu mať nejakých botov (aktívne auto‑ matizované systémy v pozadí, pozn. red.) alebo zadné vrátka, ktoré môžu útočníci využiť v prípade potreby.
Aká je situácia z hľadiska kyberbezpečnosti v zdravotníctve a energetickom sektore?
Zdravotníctvo je u nás finančne pod‑ dimenzované. To sa prejavuje vo všet‑ kom — nielen na výške platov zdravot‑ níkov, ale aj v kybernetickej bezpečnosti.
Drasticky?
Dosť drasticky. Podkladový systém je stále deravý a veľa nemocníc má z in‑ ternetu prístupné aj mnohé zraniteľné služby, takže viaceré nemocnice nie sú v dobrom stave. No lepší sa to.
Mnoho ľudí si myslí, že štát nič nerobí, ale štát robí v mnohých smeroch dob‑ ré veci. Alebo sa aspoň snaží. Kľúčové je však systematické financovanie. V ko‑ nečnom dôsledku to padá na nedostatku ľudí, peňazí alebo času.
Ako by ste zhodnotili prácu slovenských CSIRT‑ov, tímov určených na boj proti kybernetickým hrozbám?
Robia veľa dobrých vecí a stále sa sna‑ žia zlepšovať. Myslím si, že všetky orga‑ nizácie vedia, čo robia — a robia si svoju prácu. Možno nie na sto percent, možno len na osemdesiat, ale robia. Ako hodnotíte prácu NBÚ v oblasti kyberbezpečnosti?
NBÚ ide dosť rýchlo dopredu — čo sa týka odbornosti, ale aj spolupráce s ex‑ ternými partnermi. A pokuty, ktoré môže dávať, nútia organizácie, aby to brali as‑ poň trochu vážne — aj tie, ktoré nechcú. Môže ich udeliť za nedodržanie zákon‑ ných povinností, teda aj neodstránenie zistených slabín z auditov kybernetic‑ kej bezpečnosti. Čiže ak nejaký manažér kalkuluje riziko, musí počítať aj s rizikom pokuty. Viem, že niektoré organizácie s tým rátajú a snažia sa naplniť aspoň li‑ teru zákona.
Ministerstvo investícií, regionálneho rozvoja a informatizácie (MIRRI) zaviedlo prostredníctvom zákona o informačných technológiách verejnej správy požiadav‑ ky na organizácie a ich informačné sys‑ témy. Výsledkom je, že minimálne do ur‑ čitej miery sa tieto veci plnia a zlepšuje to bezpečnosť.
Čo je najväčšou slabinou štátu v oblasti kybernetickej bezpečnosti?
Štát by potreboval robiť tieto veci sys‑ tematickejšie. Na druhej strane musím povedať, že jednotlivé organizácie si ro‑ bia svoju prácu. A robia aj niečo navy‑ še, ako napríklad súťaž CyberGame, za čo musím NBÚ pochváliť. Alebo projekt Achilles vládneho CSIRT‑u, s ktorým de‑ tegujú zraniteľnosti a sami to organizá‑ ciám zasielajú. Zároveň nútia organizá‑ cie, aby minimálne robili inventár aktív a posielali im informácie, aby vedeli, čo majú testovať.
A čo energetický sektor — aká je tam situácia?
Zlepšujú sa.
Má verejnosť dôvod na obavu?
Myslím si, že nie. Keď robíme audit v kritickej infraštruktúre a pýtame sa, ako by zabezpečili službu klientom, keby im vypadol systém, táto časť je väčši‑ nou v poriadku alebo minimálne na veľ‑ mi dobrej úrovni. Zákon o kybernetickej bezpečnosti donútil všetky príslušné or‑ ganizácie, aby si aspoň spravili audit. Ve‑ denie si potom uvedomí, čo všetko treba riešiť — a väčšina to aj rieši.
Objavili sa tento rok nové trendy v kyberbezpečnosti?
Posilnili sa kryptopodvody — investí‑ cie do rôznych typov virtuálnych mien, ktoré sú v skutočnosti podvod. Tak‑ tiež sú prevalentné ďalšie typy sociál‑ neho inžinierstva, ako napríklad pod‑ vodné hovory — napríklad akože od Microsoftu alebo Europolu. Tie asi za‑ chytila väčšina Slovákov. A prehlbujú sa aj schopnosti deepfake a masívne sa ší‑ ria dezinformácie.
Aký vývoj predpokladáte na poli kyberbezpečnosti v ďalšom roku?
Očakávam hŕbu rôznych zraniteľností, pretože útočníci ich vyhľadávajú — to je štandard. Takisto predpokladám zvýše‑ ný počet ransomvérových útokov, ktoré sa ukazujú ako najrýchlejšia cesta k pe‑ niazom na poli kybernetických zločinov. To bohužiaľ nezmizne, hoci by som si to želal.
Zvýši sa tiež počet sociálnych úto‑ kov prostredníctvom SMS správ a mes‑ sengerov. Ľudia si už zvykli, že e‑mai‑ ly môžu obsahovať škodlivú prílohu, ale ešte im nejaký čas potrvá, kým si zvyknú, že niečo také môžu mať aj v messengeri. Rásť môžu aj podvodné telefonáty.
Pokiaľ ide o firmy, naďalej sa budú zneužívať prístupy externých zamest‑ nancov a, samozrejme, neznalosť inter‑ ných zamestnancov, chyby segmentácie siete a neaktualizované systémy.
Bude sa situácia celkovo skôr zlepšovať či zhoršovať?
Situácia sa nemá prečo zlepšovať, skôr sa bude zhoršovať. Očakávam, že veľa fi‑ riem nebude mať najmä v prvom polro‑ ku 2023 dostatok financií na implemen‑ táciu bezpečnostných opatrení. Budú to odďaľovať, čím sa iba zvýši riziko. Tak‑ tiež predpokladám, že dôjde k pozasta‑ veniu náboru nových zamestnancov, resp. redukcii pracovných miest. V prí‑ pade, že sa to dotkne IT alebo oddele‑ ní kyberbezpečnosti, hrozí, že systémy nebudú dostatočne spravované alebo zabezpečené.
Vojna na Ukrajine bude zrejme pokračovať. Môžu ruskí hackeri spôsobiť dramatické zhoršenie stavu z hľadiska kyberbezpečnosti? Alebo ide o novodobý stav a treba si naň zvyknúť?
Bohužiaľ, musím povedať, že je to nový normál. Treba si uvedomiť, že Rus‑ ká federácia nás zaradila na zoznam ne‑ priateľských krajín — a preto je pre nich zaujímavé, aby nám vykompromitova‑ li (úspešne napadli, pozn. red.) systémy a urobili maximálnu škodu.
Súčasne však ruskí hackeri nie sú je‑ diní, ktorých by sme sa mali obávať. Mo‑ mentálne sa bojím inej veľkej krajiny na východe, pretože Rusko má ekonomiku na úrovni Talianska. Je však niečo úpl‑ ne iné, keď hovoríme o krajine, ktorá má vyše miliardy obyvateľov a nemusí rie‑ šiť demokraciu. Mám, samozrejme, na mysli Čínu.
Lukáš Hlavička
Foto: Branislav Wáclav/Aktuality.sk
Podoby kyberútokov a kyberbezpečnosti
Kybernetická bezpečnosť sa týka všetkých odvetví priemyslu a spoločnosti. Ohrozuje štátne inštitúcie, súkromné firmy aj jednotlivcov. Líši sa len jej vnímanie a riziká, ktoré vyplývajú z hroziacich kybernetických útokov. Rozdielne sú tiež techniky a metódy útočníkov aj možnosti obrany. Ako vnímajú kyberbezpečnosť odborníci na jednotlivé oblasti?
1. PODVODY CEZ E‑MAIL A TELEFÓN
Hoci robia jednoduché podvody, inter‑ netových podvodníkov netreba podce‑ ňovať, upozorňuje bezpečnostný analy‑ tik Pavol Sokol.
Kto sú a odkiaľ pochádzajú interne‑ toví podvodníci? Sú to jednotlivci ale‑ bo organizované skupiny? Ako fungu‑ jú? Postupujú podľa vopred stanovených manuálov alebo náhodne? Aj na tieto otázky odpovedá bezpečnostný analytik CSIRT‑u Univerzity Pavla Jozefa Šafári‑ ka v Košiciach, ktorý skúma internetové, e‑mailové a telefonické podvody a od‑ halil viacero trikov podvodníkov.
Slovákov často atakujú podvodníci, ktorí rozposielajú podvodné e‑maily a snažia sa im telefonovať pod rôznymi zámien‑ kami. Kto sú títo podvodníci?
Sú to jednotlivci, ktorí to skúšajú na vlastnú päsť, aj organizované skupiny. Spravidla platí, že útočníci sa držia istého postupu. Zaznamenali sme však aj situá‑ cie, keď dotyčný postupoval mimo ne‑ jakého rámca. Vo všeobecnosti sa však dá ťažko povedať, či títo podvodníci na pozadí nejakým spôsobom komunikujú alebo nekomunikujú. My vidíme len to, akým spôsobom interagujú s obeťou.
Kedysi chodili podvodné e‑maily takmer výhradne v angličtine, neskôr v lámanej slovenčine. Ako je to dnes?
Šíria sa už podvodné e‑maily, ktoré sú napísané nielen gramaticky, ale aj štylis‑ ticky správnou slovenčinou. To je pokrok. Podvodníci často používajú krátke vety, takže ich odhalíte iba ťažko. Problémy so štylistikou zistíte až pri dlhšej komunikácii.
Ako vyzerá komunikácia s podvodníkmi?
Na začiatku je automatizovaná sprá‑ va a útočníci neodpovedajú na všetko. To znamená, že odpovede vyhodnocujú. Skúšali sme na rovnakú podvodnú sprá‑ vu odpovedať rôzne a pozerali sme, ako reagujú. Oni si vyberajú, s kým budú ko‑ munikovať. Priebeh je takmer vždy rov‑ naký. Na začiatku chce človek len komu‑ nikovať, potom potrebuje malú pomoc, neskôr väčšiu a tak ďalej.
Majú podvodníci nejakú metódu, ako vyfiltrujú tých, ktorí si z nich robia žarty?
Predpokladám, že majú. Netreba si myslieť, že keď robia jednoduché podvo‑ dy, môžeme ich podceniť. Treba predpo‑
kladať, že útočník je niekto rozumný, kto vie, čo robí. Takíto ľudia majú nastavené systémy a sofistikované postupy, majú to premyslené.
Počas roka atakovali podvodníci Slová‑ kov aj prostredníctvom podvodných te‑ lefonátov, dokonca v niekoľkých vlnách a s rôznymi zámienkami. Aký je ich cieľ?
Podrobne sme skúmali telefonic‑ ké podvody typu „technická podpora Microsoftu“. Pointou podvodu bola re‑ gistrácia do služby, ktorá vedela zmeniť klasické peniaze na bitcoiny. Potom spá‑ rovali číslo účtu s kartou, z ktorej môžu robiť pravidelné obraty. Cieľom podvod‑ níkov bolo finančné obohatenie sa. Uro‑ bili prevod podľa limitu na karte.
Na začiatku však vôbec nebolo vidieť, čo robia. Po celý čas podvodu hovoria iba o kontrole počítača, ktorá stojí len päť dolárov. Aj to je zaujímavé — nik vám ne‑ bude ponúkať službu zadarmo, keďže ľu‑ dia skôr dôverujú podvodníkovi, ktorý si vypýta za službu peniaze, ako niekomu, kto chce pomôcť zadarmo. Väčšina ľudí si povie, že to asi bude dobré, keď už to niečo stojí a zároveň je to lacné.
2. SKRESLENÉ ŠTATISTIKY O KYBERZLOČINOCH
S intenzívnou prevenciou počítačo‑ vej kriminality treba začať už v škôlkach a na základných školách, upozorňuje ex‑ pert na kybernetickú bezpečnosť Ivan Makatura.
Pri pohľade na policajné štatistiky by sa mohlo zdať, že počítačová kriminalita na Slovensku takmer neexistuje. Riaditeľ Kompetenčného a certifikačného cen‑ tra kybernetickej bezpečnosti zriadené‑ ho Národným bezpečnostným úradom však oponuje, že Slovensko nie je vý‑ nimkou. Za nízke čísla môže to, ako po‑ licajní vyšetrovatelia klasifikujú jednotli‑ vé skutky.
Je na Slovensku rozšírená počítačová kriminalita?
Na základe štatistík ministerstva vnút‑ ra by sa mohlo zdať, že Slovensko nemá problém s počítačovou kriminalitou. A podľa čísel by to bolo pravda. Prob‑ lém je, že vyšetrovatelia si zjednodušujú prácu a pri klasifikácii skutkovej podstaty trestného činu použijú iné paragrafy než tie, ktoré prináležia počítačovej krimina‑ lite. Takže na konci vám vyjde, že tu bolo množstvo podvodov či krádeží nehmot‑ ných aktív, ale paragrafy z počítačovej kriminality použité neboli. Zrejme preto, aby policajti nemuseli robiť úkony, v kto‑ rých sa sami necítia úplne doma.
Zároveň máme z prvej ruky informáciu, že vnímanie toho, čo je vlastne kyberne‑ tická bezpečnosť, je značne skreslené cez Trestný zákon. Namiesto uplatnení patričných ustanovení Trestného zákona z časti počítačová kriminalita majú vy‑ šetrovatelia tendenciu klasifikovať skut‑ kovú podstatu trestného činu ako pod‑ vod alebo krádež. Samozrejme, je to ich absolútna právomoc. Keď však nepouži‑ jú príslušné paragrafy počítačovej krimi‑ nality, výsledkom je skreslená štatistika.
Prečo je to tak?
Polícia trpí výrazným nedostatkom vyšetrovateľov, ktorí by boli dostatočne kvalifikovaní pre oblasť trestných činov počítačovej kriminality. Našťastie sa to hýbe správnym smerom. Ľudia z odboru počítačovej kriminality a odboru metodi‑ ky sú otvorení komunikácii.
O čom ešte s políciou diskutujete?
Osveta. V jednej veci sa nemýlia — v rámci prevencie počítačovej krimina‑ lity treba podporovať kampane na zvy‑ šovanie povedomia rôznych skupín, teda škôlok, základných a stredných škôl, laickej verejnosti atď. Robia to už dnes a nerobia to zle.
3. ŽIVNOSTNÍCI AKO OBETE HACKEROV
Keď sa hovorí o kybernetickej bezpeč‑ nosti, zväčša sa spomínajú veľké firmy. Bežné sú však aj hackerské útoky na menšie firmy a živnostníkov, varuje Veronika Krajčovičová.
O väčšine útokov na živnostníkov a malé firmy sa verejnosť nedozvie a ne‑ dostanú sa ani do policajných štatis‑ tík. Konzultantka zo spoločnosti Bugino upozorňuje aj na špecifiká kybernetic‑ kej a dátovej bezpečnosti v prostredí živ‑ nostníkov a malých firiem.
V súvislosti s kyberkriminalitou sa hovorí hlavne o útokoch na veľké korporácie. Sú pre útočníkov zaujímaví aj živnostníci a malé firmy?
Sú vhodnou a veľmi zaujímavou obe‑ ťou. Útočníci vedia, že malé firmy nie sú pripravené — nemajú zaškolených za‑ mestnancov, zavedené bezpečnostné politiky a nastavenú úroveň ochrany. Vo finále je tak veľmi jednoduché zrealizovať útok a dostať od obete peniaze, keďže malé podniky sú vyňaté zo zákonnej po‑ vinnosti nahlasovať útoky podľa zákona o kybernetickej bezpečnosti. Hoci verej‑ nosť a médiá sa o tom dozvedia máloke‑ dy, pravdou je, že malé firmy a živnos‑ tníci sú bežne terčom útokov.
S akou úrovňou a typom ochrany sa najčastejšie stretávate v malých firmách a u živnostníkov?
S rovnakou, akú majú doma jednotliv‑ ci. Keby som to zjednodušila, tak si ná‑ vyky aj riešenia nosia z domu. Základom býva nejaké Google alebo iCloud konto, na ktorom majú e‑maily aj všetky os‑ tatné súbory. Málokedy majú nastave‑ né dvojfaktorové overovanie a nieke‑ dy jeden e‑mail (e‑mailovú schránku, pozn. red.) s jednými prístupovými údaj‑ mi zdieľajú viacerí.
Stále sa tiež boríme s heslami. Napí‑ salo sa už veľa rád o tom, ako si nasta‑ viť silné heslá a prečo nepoužívať rov‑ naké heslo do všetkých služieb. Napriek tomu sa takmer na dennej báze stretá‑ vam s tým, že heslá sú meno a dátum narodenia, názov firmy a 12345. Ľudia neprikladajú heslám takú dôležitosť, akú by si zaslúžili.
Problémové bývajú často mobilné za‑ riadenia, ktoré používajú súčasne na sú‑ kromné i pracovné účely. Majú tam pra‑ covné aplikácie, hry a prezerajú obyčajné stránky, kde môžu ľahko kliknúť na vy‑ skakovacie okno vytvorené útočníkom.
Stále hovorím klientom, že mobil by nemali používať na surfovanie po inter‑ nete, na to je počítač. Ak si potrebujú niečo rýchlo vyhľadať, tak áno, ale nemal by to byť primárny prostriedok na surfo‑ vanie po webe.
Aké je povedomie o premyslených tech‑ nikách útočníkov a možných ľudských
Národný bezpečnostný úrad. Foto: TASR/Jaroslav Novák
Kyberzločin: Vojna na Ukrajine priniesla nárast kybernetických útokov. Ilustračné foto: TASR/Pavel Neubauer
chybách, ktoré sú spúšťačom kyberne‑ tického incidentu?
Spúšťačom kybernetického inciden‑ tu sú väčšinou práve ľudské chyby. Celý systém je totiž len taký bezpečný, ako je jeho najslabšia časť. A najslabším člán‑ kom sme my ľudia. Nie je to otázka, či sa útok podarí, ale kedy sa podarí a ako sa podarí. Čím viac vie útočník o obeti, tým sofistikovanejšie môže nasmerovať útok.
Z hľadiska početnosti útokov me‑ dzi živnostníkmi a malými podnikateľ‑ mi je stále číslom jeden phishing. Avšak kobercový nálet už nebýva taký účin‑ ný, ustupuje do úzadia. Skôr nastupu‑ jú cielené útoky. Do popredia sa dostá‑ va spear phishing alebo whale phishing, ktorý je cielený na vyšší manažment spoločnosti. Útočníci vyslovenie cielia na ľudí, ktorí majú rozhodovacie právo‑ moci a môžu poslať peniaze, prípadne autorizovať platbu. Alebo vykonať zme‑ ny v systéme, aby sa útočník vedel ľah‑ šie dostať dnu.
Kyberbezpečnosť: Týka sa aj ochrany zdravotníckych databáz. Foto: TASR/Michal Svítok
4. NOVÉ PRIORITY KYBERÚTOČNÍKOV
Techniky hackerov sa vyvíjajú a my musíme reagovať. Skôr sa mení cielenie ako metódy, hodnotí riaditeľ NBÚ Roman Konečný.
Niektoré útoky sú kvalitnejšie, ale často sme svedkami obyčajných, koor‑ dinovaných aj nekoordinovaných, kyber‑ netických bezpečnostných incidentov formou zneprístupnenia služby. Takýto útok pritom dokáže vykonať aj začínajú‑ ci alebo technicky menej zdatný útočník, dodáva šéf NBÚ. Zaznamenal NBÚ v roku 2022 na Slovensku nárast kybernetických útokov na poskytovateľov základných služieb? (Ide o firmy či organizácie, ktoré prevádzkujú niektorú zo služieb podľa zoznamu v zákone a vzťahujú sa na ne špeciálne pravidlá z hľadiska kybernetickej bezpečnosti.)
NBÚ evidoval v roku 2022 nárast úto‑ kov. To však automaticky nezname‑ ná, že sa viac útočí. Znamená to tiež, že sa zlepšuje aj všeobecná úroveň detek‑ cie. Po vypuknutí vojny na Ukrajine sme často dostávali otázky, či sa útočí viac. Zjednodušene sa dá povedať iba toľko, že útočníci zmenili priority. Nič to však nemení na tom, že prevádzkovatelia zá‑ kladných služieb musia ďalej pracovať na budovaní bezpečnosti. Útočníci sa vyví‑ jajú a my na to musíme reagovať.
Zmenil sa charakter útokov — sú sofistikovanejšie, používajú sa iné typy útokov?
Niektoré metódy útokov sú kvalitnej‑ šie, ale často sme svedkami obyčajných, koordinovaných aj nekoordinovaných, kybernetických bezpečnostných inci‑ dentov formou zneprístupnenia služby. Dokáže ho vykonať aj začínajúci alebo technicky menej zdatný útočník. Vla‑ ni sme evidovali niekoľko útokov od ak‑ tivistov, ktorí však nespôsobili žiad‑ ne škody. Do detailov ísť nemôžem, ale skôr by som povedal, že sa mení cielenie ako metódy.
Vníma NBÚ, že v roku 2022 začali slovenské firmy a štátne inštitúcie venovať viac pozornosti témam spojeným s kybernetickou bezpečnosťou?
Najmä prax a negatívne dôsledky po útokoch ukázali, že spoločnosti preja‑ vujú väčší záujem o kybernetickú bez‑ pečnosť — od vzdelávania cez investície až po personálne otázky. Vnímame seg‑ menty, kde je úsilie kontinuálne a dô‑ sledné, ale aj odvetvia, kde si to ešte bude žiadať veľa práce.
Rád by som zdôraznil, že aj v správe o kybernetickej bezpečnosti pravidel‑ ne komunikujeme zanedbanie predpi‑ sov napríklad v sektore informačných systémov verejnej správy. Nerád by som však bol iba negativistom. Veľa firiem urobilo po našich auditoch kybernetic‑ kej bezpečnosti veľké pokroky. A de‑
Potenciálny cieľ: Jadrová elektráreň sa tiež môže ocitnúť v hľadáčiku kyberútočníkov. Ilustračné foto: TASR/Radovan Stoklasa
klarovali dlhodobý strategický záujem zlepšovať sa a to si z môjho pohľadu za‑ slúži zmienku.
5. BEZPEČNOSŤ PRIEMYSELNÝCH
SIETÍ A TEPLÁRNÍ
Teplárne sú kyberneticky chránené neporovnateľne lepšie než pred rokom. Pri priemyselných sieťach panuje kyber‑ netická naivita, upozorňuje Martin Fábry, konzultant v oblasti prevádzkovania kri‑ tickej infraštruktúry. Zlepšila sa bezpečnostná situácia v oblasti OT sietí, teda s riadiacimi systémami pre priemysel?
Vnímam isté zlepšenie, najmä vďa‑ ka povinným kyberbezpečnostným au‑ ditom. Veľa poskytovateľov základných služieb sa trochu zobudilo a začalo nie‑ čo robiť. Ide to však pomaly. Často po‑ čúvam od IT aj OT špecialistov, že nemajú na bezpečnosť peniaze. Veľké firmy však často majú financie, chýba však vôľa a razancia veci uchopiť.
Ako by ste v skratke charakterizovali súčasný stav?
Kybernetická naivita. Prevláda aj po vypuknutí vojny na Ukrajine.
Prebiehajú útoky na OT siete na Slovensku?
Dejú sa kontinuálne, len zatiaľ nebo‑ li také úspešné, aby sme to pocítili na vlastnej koži.
Teplárenské firmy na Slovensku dopadli v auditoch veľmi zle — uvádza to sprá‑ va NBÚ o kyberbezpečnosti za rok 2021. Keby hackeri veľmi chceli, mohli by u nás spôsobiť výpadok dodávok tepla?
Jasné. Malo by to veľký dosah, najmä ak by to prišlo vo vykurovacej sezóne. V niektorých teplárňach však podľa mojich informácií došlo k zlepšeniu. Nasadili za rok mnoho opatrení. Predbežné odhady hovoria, že bezpečnosť vzrástla najmenej na 50 percent zhody s požiadavkami zá‑ kona o kyberbezpečnosti.
Došlo k útoku na tepláreň na Slovensku?
Áno, už sa nejakí hackeri realizovali. Podľa informácií z kyberkomunity bolo zasiahnuté aj OT prostredie, išlo o váž‑ ny incident.
Je reálne, že by na Slovensku mohol v dôsledku kyberútokovl nastať masívny výpadok dodávok elektrickej energie?
Nemyslím si, že až masívny blackout, skôr prichádzajú do úvahy regionálne výpadky energetickej sústavy s hrozbou sabotáže.
Rozšírené verzie rozhovorov budeme postupne zverejňovať na webe Živé.sk.
