NEBEZPEČNÝ VÝVOJ:
NÁRŮST ZERO-CLICK EXPLOITŮ
DIGITALIZACE KONICA MINOLTA
BUDOUCNOST LIDSTVA V RUKÁCH
PŘEVRATNÝCH TECHNOLOGIÍ
BEZPEČNOST
AUTOMATIZOVANÉ VÝROBY
NEBEZPEČNÝ VÝVOJ: NÁRŮST
ZERO-CLICK EXPLOITŮ SE STÁVÁ
HROZBOU I PRO BĚŽNÉ UŽIVATELE
KYBERNETICKÉ ÚTOKY PROSTŘEDNICTVÍM
ZERO-CLICK EXPLOITŮ NEJSOU NIČÍM NOVÝM.
CO VŠAK JE NOVÝM TRENDEM, JE TO, ŽE CÍLEM SE STÁVAJÍ UŽ I BĚŽNÍ UŽIVATELÉ.
Zero-click exploit je zneužití bezpečnostní chyby v softwaru, které umožňuje útočníkovi vzdáleně provést útok na zařízení bez interakce uživatele. Tato technika může být použita k účelům jako je špionáž, ovládnutí zařízení, šíření malwaru, a dokonce vydírání. Celkově jde o velmi nebezpečnou techniku, která může mít značný dopad na bezpečnost a soukromí uživatelů. Špatnou zprávou je, že proti těmto útokům mají uživatelé jen velmi omezenou obranu.
Manager společnosti Soitron. Proto je podle něj důležité, aby nejen podniky, ale i uživatelé dodržovali metody a postupy nejlepší praxe doporučované v oblasti kybernetické bezpečnosti a starali se o ochranu svých zařízení před případnými útoky.
„Fakt, že počty skupin specializující se na tento druh útoku narůstají, je velmi znepokojivý. Útočníci si osvojili techniky, dříve využívané pouze vysoce profilovanými složkami, jako jsou například státní či vládní organizace a tajné služby. Kyberzločinci využívají modelu, kdy je prodávají za jednorázovou platbu (Exploit as a Service), pro napadení soukromého sektoru, respektive běžných uživatelů, tedy nejen vysoko postavených nebo politicky exponovaných osob, vládních organizací a dalších cílů s cennými informacemi,“ uvádí Petr Kocmich, Global Cyber Security Delivery
Jedním z nejznámějších a dobře popsaným zero-click exploitem, byl spyware ENDOFDAYS, který sloužil ke kompromitaci iPhonů, konkrétně pozvánek v iCloud kalendáři. „ENDOFDAYS je ukázkovým případem, kdy bez nutnosti jakékoliv interakce ze strany uživatele, útočník dokáže ovládnout celé zařízení. A to včetně exfiltrace nahrávek hovorů díky
přístupu k mikrofonu, ovládnutí přístupu k GPS lokaci zařízení. Útočník dále získá
přístup k přední i zadní kameře, možnost prohledávání souborů v zařízení a maskování samotného spyware, aby nedošlo
k jeho odhalení. Samotný spyware se do zařízení dostane zcela triviální cestou –a to odesláním speciálně vytvořené pozvánky do iCloud kalendáře, se staršími časovými razítky, tedy jako pozvánka, která již proběhla v minulosti,“ popisuje Petr Kocmich.
ňuje, aby exploit ENDOFDAYS běžel bez interakce uživatele a útoky byly pro cíle neodhalitelné. Zranitelnost byla v nových
verzích systému opravena, ale chyba se týkala všech verzí iOS od verze 1.4 až do verze 14.4.2 a podle informací plynoucích z výzkumu, byla aktivně zneužívána především v roce 2021.
Taková to pozvánka je automaticky přidána do kalendáře uživatele bez jakéhokoliv upozornění nebo výzvy, což umož-
Navzdory tomu se i dnes objevují pokročilé aplikace, které se umí vyhnout de -
tekci a zaměřit se na konkrétní zranitelnost. „Tady se jasně ukazuje i to, proč je nutné zařízení pravidelně aktualizovat. Zero-click exploit totiž může být přítomen v zařízení po neomezeně dlouhou dobu, aniž by si toho uživatel byl vědom. Proto je nutné dodržovat zásady kybernetické bezpečnosti a zajistit, aby byl software vždy aktuální a aby byla použita další bezpečnostní opatření,“ upozorňuje Petr Kocmich.
Pro Apple to však není první a ani poslední objevený příklad zero-click exploitu. Například v roce 2020 byla odhalena chyba v aplikaci iMessage, kterou mohli útočníci využít k vzdálenému spuštění škodlivého kódu na zařízeních uživatelů, aniž by bylo třeba kliknout na odkaz nebo otevřít přílohu. Tyto chyby se však zdaleka nevyhýbají ani konkurenčnímu operačnímu systému Android a ani jednotlivým mobilním aplikacím.
„O některých zneužitelných zranitelnostech v aktuálních verzích operačních
systémů a aplikacích ještě ani nevíme, ačkoliv mohou být již zneužívány. Dokud se na tyto zranitelnosti nepřijde, mohou být nejprve využívány pro účely špionáže a „vyšších zájmů“, posléze zpeněženy formou prodeje Exploit as a Service služby zákazníkům na Dark Webu.“ dodává Petr Kocmich. Ukazuje
se tedy, že i běžní uživatelé mohou být ohroženi zero-click exploitem.
jde jen o chyby, nebo něčí úmysl. „Čím rychleji se nový software vyvíjí, tím více roste snaha o řízení a zabezpečení kódu a celého softwarového vývojového cyklu. Automatizujeme testování, zařazujeme dodatečné bezpečnostní testy v raném stádiu vývoje (Shift-Left do CI-CD pipeline), provádíme statickou a dynamickou kontrolu kódu, využíváme umělou inteligenci k dohledání chyb v kódu, výsledný celek podrobíme automatizovanému, ale i manuálnímu penetračnímu testování, avšak bylo by pošetilé se domnívat, že všechny typy zranitelností vznikají jen běžnými chybami v kódu a pak tedy vyvstává otázka, zda nejsou některé zranitelnosti spíše záměrnými zadními vrátky, sloužícími pro konkrétní účely,“ zakončuje Petr Kocmich.
Sofistikovanost útočníků se zvyšuje Zero-click útoky jsou obvykle založeny na chybách v softwaru, a to včetně operačních systémů, aplikací a služeb. Nezodpovězenou otázkou však zůstává to, zda
SOITRON s.r.o.
DIGITALIZACE JE HOJNĚ SKLOŇOVANÉ I ZNEUŽÍVANÉ SLOVO.
DIGITALIZUJEME, PROTOŽE JE TO TREND! JE TO ZÁLEŽITOST, BEZ KTERÉ SE NEBUDE MOŽNÉ OBEJÍT. NEZŘÍDKA JSOU
VŠAK VÝSLEDNÉ POKUSY O BEZPAPÍROVOU PRÁCI
NEBO FINANČNÍ ÚSPORU MINIMÁLNĚ
DISKUTABILNÍ.
Není
aplikaci Podstatné
Není podstatné, jaký nástroj, aplikaci či platformu použijete. Podstatné je, jak digitalizace změní firemní mentalitu.
Ta se společně s ekonomickou úsporou transformuje v efektivní byznysový přínos pro vaše zákazníky.
• Rozvoj a inovace
• Jednodušší a rychlejší
• Větší přehled a kontrola procesů
• Snížení nákladů
• Silnější zabezpečení
• Legislativní soulad
• Lepší komunikace a spolupráce
• Zvýšení produktivity
• Konkurenceschopnost
Rozhodnutí provést digitalizaci je třeba podrobit úvaze, že existující papírové nebo poloautomatické procesy nejsou primárním vstupním parametrem. Přesněji řečeno, musíme eliminovat prohlášení typu: „Takto to děláme roky, a to musí zůstat zachované!“ anebo „Ten proces musí být gumový a zahrnovat všechny možné stavy!“ anebo „Tu digitalizaci nám udělejte 1:1, jak je to teď!“ Obzvláště poslední citace otevírá zásadní dotaz: „Proč tedy chcete digitalizovat?“
• Microsoft 365 & Microsoft SharePoint
• Nintex Workflow/Automation Cloud & K2 Five &RPA
• ABBYY FlexiCapture & FineReader
• Microsoft Dynamics 365 CRM
• M-Files & certifikované KM konektory pro:
• Elektronické podepisování
• Důvěryhodný archív
• Informační systém datových schránek
Digitalizace firmy z pohledu společnosti Konica Minolta spočívá ve dvou klíčových aspektech:
1. Zajištění úplného digitálního, nepřerušovaného, důvěryhodného a reportovatelného toku informací a dat. Protože data jsou a budou vaší nejdůležitější obchodní komoditou a nehmotným know-how.
Uvažujme nad těmito aspekty – je jisté, že není první bez druhého! A ten dru -
hý? Ten je nedílnou a klíčovou součástí projektu, kterému říkáme „Naše digitální firma“. Ten digitalizaci definuje, zahajuje, provází, ukončuje a vyhodnocuje.
S touto kritickou úvahou, ale i s výběrem vhodných technologických nástrojů
vám dokážeme být v Konica Minolta IT Solutions Czech nápomocni.
2. Zásadním aspektem je změna firemní kultury. Nelze digitalizovat, a současně mentálně fungovat jako před digitalizací.
Autor: Aleš Fukal Director of ECM & CRM/PP Solutions, Konica Minolta CZ & SK
V OBLASTI PRŮMYSLOVÉ AUTOMATIZACE A DIGITALIZACE DOCHÁZÍ K NEUSTÁLÉMU A INTENZIVNÍMU TECHNICKÉMU ROZVOJI VŠECH JEHO
ZAŘÍZENÍ, NÁSTROJŮ A APLIKACÍ, KTERÉ TAK
VÍCE ČI MÉNĚ NÁPADNĚ ZASAHUJÍ DO SAMOTNÉ PODSTATY VĚTŠINY BĚŽNÝCH KAŽDODEN-
NÍCH ČINNOSTÍ. ZÁKLADNÍ PRINCIPY, VÝVOJ
A TRENDY AKTUÁLNĚ PROBÍHAJÍCÍ PRŮMYSLOVÉ REVOLUCE JE VŠAK NEZBYTNÉ DŮKLADNĚ
POZOROVAT A KRITICKY VYHODNOCOVAT, ABY
BYLO MOŽNÉ TENTO PROCES LÉPE POCHOPIT
A V PŘÍPADĚ POTŘEBY ELIMINOVAT MOŽNÉ NEGATIVNÍ DŮSLEDKY PRO CELOU SPOLEČNOST.
pokročilých technologií, jako například
Z pohledu světového průmyslu je zcela zřejmé, že defi nitivně skončila doba, kdy byly výrobní a fi remní procesy nahlíženy striktně odděleně a nevytvářely dokonalý integrovaný celek promyšlených a kontrolovaných kroků až do posledního
drobného detailu. Převratné technologie vybudované pro dokonalou automatizaci a digitalizaci továren v podobě kyberfyzických systémů generují nepřebernou paletu nástrojů na cestě k úspornějšímu
zacházení se surovinami, energiemi a lidskými zdroji.
průmyslových robotů, internetu věcí nebo adiktivního tisku. Vedle toho je nezbytné, aby byla systematicky budována dostatečně rychlá a bezpečná digitální infrastruktura, bez které tyto technologie nejsou schopny využívat naplno svého potenciálu.
Některé společnosti proto zavádějí mobilní privátní 5G sítě v rámci svých továren a výrobních areálů. Náklady na výrobu produktu určuje několik hlavních parametrů, mezi které počítáme optimální nastavení montážních linek, schopnost
Výkonné procesory a pokročilé algoritmy jsou v současné době již relativně snadno dostupné, což přispívá k významnému zjednodušení mnoha aspektů fungování lidské existence.
účelného sběru a analýzy dat, dokonalé řízení zásob s minimalizací skladování a rychlost celého výrobního procesu.
Nástroje pro automatizaci a digitalizaci
Za předpokladu využití přesně navržených nástrojů automatizace a digitalizace v podobě hardwaru, softwaru a průmyslové sítě je možné ve všech aspektech ekonomické dosažení stanovených cílů.
Schopnost firem udržet krok s překotně
rychlým vývojem zcela zásadním způsobem určuje rozsah efektivního nasazení
Úspěšné zavedení těchto moderních sys -
témů má nezanedbatelný přínos v podobě celkového snížení výrobních nákladů,
zvýšené kvality, spolehlivosti a rychlosti, efektivnějšího využití výrobní plochy a nakládání se surovinami, což v konečném účtování přináší tolik skloňovanou dlouhodobou konkurenceschopnost včetně žádoucích vyšších zisků.
JE KOMPLEXNÍ PROBLEMATIKA.
JE
AUTOMATIZACE VÝROBY S SEBOU PŘINÁŠÍ MNOHÁ BEZPEČNOSTNÍ RIZIKA, KTERÝCH SI MAJITELÉ VÝROBNÍCH LINEK ANI NEMUSÍ BÝT VĚDOMI. BEZPEČNOST TAKOVÝCH PROVOZŮ JE POTŘEBA SVĚŘIT
DO RUKOU ODBORNÍKŮ, KTEŘÍ JSOU SCHOPNÍ SE
NA CELOU PROBLEMATIKU PODÍVAT KOMPLEXNĚ.
„Z MÉ ZKUŠENOSTI TO ROZHODNĚ PŘINÁŠÍ NEJLEPŠÍ VÝSLEDKY,“ ŘÍKÁ V NÁSLEDUJÍCÍM ROZHOVORU PŘEDSEDA PŘEDSTAVENSTVA SPOLEČNOSTI COLSYS – AUTOMATIK JIŘÍ KASNER.
Dlouhodobým trendem v průmyslu je automatizace a robotizace, méně se však mluví o bezpečnostních rizicích těchto aspektů výroby. Můžete zmínit, v čem spočívají největší bezpečnostní hrozby v automatizaci průmyslu? Směr automatizace a robotizace je jistě správný, ale je třeba si uvědomit, že každý krok, který společnost jako celek udělá, s sebou nese nějaká rizika. Jedním rizikem, které s sebou automatizace nese, je právě požadavek na smysluplnou bezpečnost. Co si pod tímto pojmem můžeme představit? Mám tím na mysli bezpečnost, která je složena z moha částí - například provozuschopnost, obnovitelnost, spolehlivost, apod. To je bezpečnost v komplexním pohledu. Hrozbou a častým kamenem úrazu je proto právě nekomplexní pohled na bezpečnosti. Zejména k němu dochází u průmyslových podniků, kde často kulhají vazby mezi technologií, výrobou, managementem, ekonomikou a dalšími týmy v rámci firmy.
Uvědomují si tato rizika firmy, se kterými se v České republice setkáváte, nebo je to pro ně spíše okrajová záležitost? Ti,
kteří si uvědomují důležitost fungování a spolehlivosti průmyslového segmentu, si rizika uvědomují. Jak se k nim dále chovají, je ovšem často věc druhá. Jistě také existuje i skupina, pro kterou je stále bezpečnost okrajovým tématem a vnímají ji jen jako nutné a drahé zlo. Otázkou je, jak dlouho tento pohled vydrží, protože otázka vzniku nějakého incidentu není zda, ale kdy.
Pokud chce výrobní podnik přistoupit k automatizaci, jak by měl postupovat, co se týče bezpečnosti a eliminace rizik?
Existují nějaká pravidla, kterými by se měl řídit? V prvé řadě je potřeba, aby si příslušný podnik reálně přiznal, co má, co ví a kam chce dospět. Oficiálně se to nazývá přehled aktiv, hodnocení rizik a business continuity plán. Ač tyto názvy zní honosně, dá se to zjednodušeně shrnout do zametení si před vlastním prahem a následně střízlivým pohledem do blízké a střední budoucnosti.
Jak je to s údržbou nebo updatem automatizovaných systémů, stačí je dobře nastavit a pojedou už samy nebo je potřeba z hlediska bezpečnosti nějaká
další údržba či aktualizace? Zde je zásadní sledování rizik a zranitelností v rámci bezpečnostního cyklu. Každý systém je nějakým způsobem živý a zranitelný, to ale neznamená, že je potřeba se z toho hroutit. Bohatě stačí si riziko uvědomit a solidně s ním pracovat. Nejhorší stav je domněnka, že je vše bezchybné a stoprocentní. To je typický první krok k následnému incidentu.
Je lepší, když se tato problematika svěří do rukou odborníků, nebo je možné, že si to každý podnik dokáže ošetřit sám
v rámci svých kapacit? Zde hodně záleží na znalostech a odbornosti konkrétních lidí v podniku. U průmyslových systémů je ale potřeba si uvědomit, že onen odborník může být konzultantem, průvodcem, poradcem, ale rozhodně ne zpracovatelem bezpečnosti. V průmyslových systémech je obrovská vazba na technologii, vlastnosti, výrobní cyklus, apod., a to je z vnějšího pohledu typicky obtížně prohlédnutelné. Z mé
zkušenosti plyne, že ideální stav je velmi
úzká spolupráce podniku s odborníkem, což přináší zatím prokazatelně nejlepší výsledky.