Kybernetická (ne)bezpečnost

Kybernetická (ne)bezpečnost

Co o nás ví provozovatelé nejrůznějších serverů, aplikací a sociálních sítí, co na sebe sami prozradíme a jak je možné tato data využít a zneužít. Téma, které v poslední době hýbe světem, a to nejen v souvislosti s kauzou Facebook a Cambridge Analytica. Oblast kybernetické bezpečnosti ovšem zahrnuje mnohem více rizik, než jsou úniky dat, a Česko v datech se na ni zaměřilo ve svém dalším článku.

Slyšeli jste někdy o tzv. hrozbách 5. generace? Tak specialisté označují současné útoky a škodlivé kódy šířící se kyberprostorem. Jejich společným znakem je často kombinace několika druhů útoků a zaměření - kromě klasických počítačů - i na chytré telefony, routery a další zařízení.

Znamená to, že se kyberzločinci opět posunuli a jejich metody jsou daleko propracovanější, než tomu bylo dříve. Sofistikovanější nejsou jen útoky na organizace a instituce, ale i na jednotlivce. I přes rizika, která hrozí každému z nás, je ovšem situace nejkritičtější právě u organizací, z nichž řada není na současné možnosti internetových zločinců vůbec připravena.

Sílu umělé inteligence objevují i hackeři. Tato situace bude ještě více tlačit organizace na využití kognitivních systémů pro prevenci před útoky.

Adrian Demeter, Cyber Security expert, Deloitte

Podle výsledků nedávno zveřejněného průzkumu Check Point 2018 Security Report není až 97 % firem, úřadů, nemocnic a dalších organizací vybaveno řešeními, která by jim umožnila čelit hrozbám 5. generace.

Dalibor Šrámek, SAS

„Hlídači” kybernetické bezpečnosti v Česku

V souvislosti s „dozorem” nad kybernetickou bezpečností se můžeme setkat se zkratkami CERT (Computer Emergency Response Team) a CSIRT (Computer Security Incident Response Team). Každá z nich má trochu jiný význam a jiný historický vývoj, v dnešní době ale za oběma chápeme prakticky stejný typ týmu, který je ve svém poli působnosti zodpovědný za řešení bezpečnostních incidentů a na který se mohou uživatelé nebo jiné týmy obrátit s incidenty nebo podezřeními.

CSIRT týmy vznikají na různých úrovních v organizacích zprostředkovávajících chod internetu nebo v organizacích používajících prostředí internetu ke své hlavní činnosti. Jsou zapojené do světové bezpečnostní infrastruktury, se kterou také sdílí své informace. Speciální formou jsou pak národní a vládní CSIRT týmy, jejichž role spočívá ve zprostředkovávání kontaktu mezi napadeným a původcem problému nebo v koordinaci postupu jednotlivých řešitelů incidentu. Vládní CSIRT se také zaměřuje na oblast státní správy a samosprávy a na řešení incidentů, které ohrožují bezpečnost státu a jeho služeb.

Poskytování informací pro týmy CSIRT/CERT by nemělo být viděno jenom jako povinnost vyplývající z některých zákonů, ale hlavně jako součinnost společnosti za účelem prevence kyberkriminality. Včasné informování může například zamezit šíření škodlivých programů a ochránit další systémy před napadením.

Adrian Demeter, Cyber Security expert, Deloitte

V Česku v současnosti působí několik týmů typu CERT/CSIRT. Zákon účinný od 1. ledna 2015 v ČR oficiálně ustanovil dva vrcholové CSIRT týmy. Vládní CERT začal v roce 2013 oficiálně provozovat Národní centrum kybernetické bezpečnosti, které bylo zřízené jako součást Národního bezpečnostního úřadu (NBÚ). V srpnu 2017 se Národní centrum kybernetické bezpečnosti vyčlenilo z NBÚ a vznikl nový Národní úřad pro kybernetickou a informační bezpečnost. V srpnu 2015 pak bylo sdružení CZ.NIC vybráno jako provozovatel Národního CERT týmu.

Dalibor Šrámek, SAS

Jaké hrozby řeší národní CSIRT

Ve spolupráci se sdružením CESNET provozuje národní CSIRT systém IDS detekující podezřelé chování systémů připojených k internetu. V případě, že zaznamená podezřelé pokusy o připojení z konkrétních IP adres, informuje o takové události zodpovědné administrátory. Z pohledu CSIRT se ovšem nejedná o klasický bezpečnostní incident. IDS pouze upozorňuje administrátora dané sítě na nestandardní chování jeho systému, které může být jedním ze symptomů bezpečnostního incidentu.

Druhy internetových útoků

Phishing

Podvodné stránky vytvořené nejčastěji za účelem získaní citlivých informací od uživatelů (uživatelská jména, hesla nebo třeba přihlašovací údaje do internetového bankovnictví).

Spam

Nevyžádané e-mailové zprávy (evidují se jako nahlášené jako podnět k řešení).

Malware

Škodlivý kód, který se může šířit různými způsoby, například prostřednictvím přílohy v e-mailu, nakaženými webovými stránkami, chybou v programu apod.

Trojan (Trojský kůň)

Škodlivý program, který se tváří jako užitečný/legitimní (např. hry nebo nejrůznější editační nástroje). Na rozdíl od virů a počítačových červů se trojany samy nereplikují - nemohou tedy infikovat další počítače svou kopií. Trojany se odlišují typem akcí, které vykonávají. Mohou sledovat akce uživatele počítače, rozesílat z napadeného počítače spam nebo odposlouchávat uživatelská jména a hesla.

DOS

Typ útoků, jejichž cílem je znepřístupnit konkrétní službu dalším uživatelům. Adresy, které se na útoku podílejí, bývají součástí tzv. botnetu. Často se jedná o špatně zabezpečené serverové služby, které jsou pak zneužity k DoS útokům na další cíle.

Probe

Na rozdíl od skenování portů hovoříme v případě Probe o hledání konkrétního otevřeného portu napříč určitým IP rozsahem. Útočník tak skenuje celý IP rozsah přidělený určité instituci a hledá na jejích serverech například přístupnou službu SSH.

Virus

Škodlivý program, který může být nechtěnou součástí programu nebo dokumentu a negativně ovlivňuje výkon zařízení.

Botnet

Síť nakažených strojů, tzv. botů. V současné době je termín nejvíce spojován s malwarem, kdy botnet označuje síť počítačů infikovaných speciálním softwarem, který je řízen z jednoho centra. Botnet pak provádí nežádoucí činnost, jako je rozesílání spamu, útoky DDoS a podobně.

Portscan

Způsob zjišťování informací o službách, které jsou provozovány na jednotlivých portech. Často jde o přípravu na útok nebo zneužití služby.

Pharming

Útok využívající nejčastěji podvodné webové stránky k získávání citlivých údajů, podobně jako je tomu v případě phishingu. Pharming je však mnohem záludnější. Podstatou útoku je nejčastěji napadení DNS a následně změna IP adres u služeb, které vyžadují přihlašovací údaje nebo zadání údajů např. pro internetové bankovnictví.Podle csirt.czPrim hrají podvody, přibývá ale hlavně hackerských útoků

Policie ČR sleduje vývoj trestných činů spáchaných v kyberprostoru (tedy především v rámci sítě internet) od roku 2011. Případů kybernetické kriminality od té doby setrvale přibývá (z cca 1 500 trestných činů v roce 2011 na více než 5 650 trestných činů v roce 2017), tempo růstu se ale v posledních letech zpomaluje. Důležité je také to, že čísla v následujícím grafu nepojednávají o skutečném počtu případů, ale o počtu trestných činů, které byly kvalifikovány. Běžná kriminální statistika přitom eviduje počty skutků (tedy trestněprávně relevantních jednání, která mohou být kvalifikována jako jeden nebo více trestných činů).

Od začátku sledování mají nejvyšší zastoupení podvodná jednání (kolem 60 %), jejichž počet do roku 2016 stabilně rostl (z 917 v roce 2011 až na 3235 v roce 2016). V roce 2017 jejich počet poprvé meziročně poklesl (na 55 %), významněji však narostl počet jiných trestných činů, oproti roku 2011 především hackingu (z 4,4 % na 10,8 %).

Jak jsou na tom weby státních institucí?

HTTPS (Hypertext Transfer Protocol Secure) je v protokol umožňující zabezpečenou komunikaci protokoly HTTP a SSL/TLS mezi prohlížečem uživatele a vzdáleným serverem státu. HTTPS zajišťuje nejen utajení (šifrování) přenášeného obsahu, ale zejména prokazuje identitu serveru, tj. dává uživateli jistotu, že komunikuje skutečně se správným serverem, a nikoli se serverem, který se za ten pravý pouze vydává. Je nezbytností nejen na webech, na které mají uživatelé zadávat citlivé údaje, ale i na webech, které publikují jakékoliv veřejné informace.

Zdrojem dat o ratingu státních webů v ČR je Hlídač státu.

Mohlo by vás zajímat