S akými najčastejšími kybernetickými udalosťami musel ESET v tomto roku pomáhať firmám na Slovensku?
Vieme to zhrnúť do dvoch oblastí. Prvou boli udalosti súvisiace so škodlivým kódom, napríklad napadnutie počítača alebo celej siete. Išlo primárne o pomoc s viacerými druhmi ransomwaru. Teda škodlivého kódu, ktorý zablokuje obsah infikovaného zariadenia a za jeho odblokovanie vyžaduje od firmy výkupné. Druhou oblasťou bolo nastavovanie našich bezpečnostných produktov tak, aby efektívnejšie chránili danú firmu.
V prípade firiem to teda nie je tak, že si zaobstarajú nejakú ochranu, nasadia ju a už ju ďalej neriešia?
Nie, pri firmách by princíp nainštalujem a zabudnem vôbec nemal existovať. Malo by to byť skôr v poradí nainštalujem, potom to ladím na základe toho, ako funguje sieť a firma, a až potom môžem zabudnúť. Bohužiaľ, v niektorých firmách to funguje tak, že kúpia produkt, nasadia ho a vidia, že to nejako funguje aj bez toho, aby sa venovali pokročilým nastaveniam. Túto chybu vedia útočníci veľmi dobre zneužiť. Základné nastavenia akéhokoľvek IT produktu totiž vôbec nemusia zodpovedať vašej firemnej sieti. Prípadne si firma povie, že povypína dôležité funkcie, o ktorých si myslí, že ich nepotrebuje a potom je zle.
O čo konkrétne môže ísť?
Naše riešenia majú napríklad funkciu, vďaka ktorej dostávajú z cloudu najaktuálnejšie informácie o šíriacich sa hrozbách. Ich reakčný čas je vďaka tomu v niekoľkých minútach. Ak si to vypnete, ochudobňujete sa o najnovšie informácie, ktoré vás vedia lepšie chrániť. Prípadne si informácie z cloudu zablokujete nechtiac vlastným firemným firewallom. Produkt potom dostáva tieto informácie s oneskorením aj niekoľkých hodín. Na tieto vyladenia a nastavenia sa často zabúda.
Aké chyby robia najčastejšie firmy, ktoré sa chcú lepšie chrániť napríklad pred spomínaným ransomwarom?
Firmy by mali myslieť na viacero oblastí. Ak odhliadnem od toho, že by mali mať bezpečnostné riešenie a aktualizované systémy, tak by sa mali viac zaujímať o koncového užívateľa. Teda o svojich bežných zamestnancov. Toto sú napríklad účtovníci alebo personalisti, ktorí s IT sférou neprichádzajú veľmi do kontaktu alebo IT bezpečnosť neriešia na dennej báze. Z môjho pohľadu vo firmách často absentuje základné vzdelávanie práve týchto radových zamestnancov v oblasti IT bezpečnosti.
Majú sa teda z firemných ítečkárov stať učitelia?
Je to dvojsečná zbraň. Mali by ste mať systém alebo človeka, ktorý sa bude starať o vzdelávanie. Vysvetlí zamestnancom, ako majú reagovať v podozrivých situáciách. Ako spoznajú pokus o útok, alebo komu sa majú ozvať, ak už je zle. Ak aj toto všetko zamestnancov naučíte, nič ich ešte neviaže k tomu, aby sa tým riadili. Preto je potrebné podchytiť kybernetickú bezpečnosť vo firme aj internou smernicou, ako je to napríklad u nás v ESETe.
Smernica má teda zamestnancov viac prinútiť k tomu, aby sa vo firemnej sieti správali zodpovednejšie?
Presne tak. Smernica im má jasne povedať, čo sa smie, ako aj to, že budú niesť zodpovednosť za to, ak niečo vyvedú. Napríklad si k sieti pripoja switch alebo sťahujú kradnutý obsah z internetu, ktorý môže byť infikovaný. Je potrebné, aby medzi osvetou a smernicou existovala istá symbióza.
Predstavme si teraz, že firma sa infikovala. A je jedno, či to bolo chybou zamestnanca, alebo vinou naozaj sofistikovaného škodlivého kódu. Ako dokáže ESET už infikovanej firme pomôcť?
Ideálna je prevencia. Ak firma narazí na veľký problém, je veľmi ťažké ho riešiť. Ak sa bavíme napríklad o ransomwari, ktorý na blokovanie firemných dát používa šifrovanie, tak my hlavne hľadáme chyby vo využití šifrovania v tom konkrétnom ransomwari. Útočníci ho totiž mohli do škodlivého kódu nasadiť chybne. Ak však boli šikovní, môžeme nielen my, ale celá bezpečnostná komunita len vyčkávať. Vieme napríklad o prípade, keď si tvorca jedného ransomwaru rozmyslel svoju mafiánsku podnikateľskú kariéru a z biznisu so škodlivým kódom odišiel. Jeden kolega z ESETu sa vydával za obeť, útočník mu poslal dešifrovací kľúč, vďaka čomu sme vedeli ľuďom pomôcť. Ak si teda niekam odložíte zašifrované údaje, možno sa k nim oveľa neskôr dostanete aj vďaka náhode. Firmy však majú veľké množstvo dát a ich záloha môže niečo stáť. Po infekcii ešte vieme firme spraviť kompletnú analýzu toho, ako sa infikovala, cez čo alebo koho to prišlo a čo to robilo. Máme taktiež bezplatné dešifrovacie nástroje na ransomware, v ktorom sme my alebo bezpečnostná komunita našli chybu, a vďaka tomu vieme zašifrované údaje odblokovať. Ja by som sa však viac spoliehal na prevenciu.
Čo je okrem bežnej antivírusovej ochrany vhodnou prevenciou?
Je to napríklad zálohovanie. Pri zašifrovaní firemných údajov sa totiž viete dostať k ich predchádzajúcej verzii. Nie je to ale všeliek a firma by mala vedieť, ako zabráni tomu, aby jej ransomware nezašifroval aj zálohu. A taktiež by si mala zálohy pravidelne testovať.
Občas sa v médiách objavia správy, že niektoré vlády alebo vládne agentúry by chceli, aby šifrovanie obsahovalo takzvané zadné dvierka. Bezpečnostná komunita je dosť proti. Nevyriešilo by to však práve problémy s ransomwarom?
Šifrovanie je dobrý sluha, ale zlý pán. Keď vám niekto zašifruje firemné účtovníctvo, ste, samozrejme, nešťastný. Myslite však na to, že šifrovanie využíva celý bankový sektor, sú ním chránené vaše reálne peniaze. Chráni komunikáciu a citlivé dáta. Asi by ste nechceli, aby boli niektoré vaše správy, alebo nebodaj zdravotné údaje len tak k dispozícii k nahliadnutiu a skopírovaniu. Zadné dvierka by mohli vytvoriť právny precedens, naštrbili by ste dôveru používateľov v niektoré služby, ktoré šifrovanie používajú. Vytvorili by ste tým nevyčísliteľné finančné škody nielen bankám, ale aj technologickým gigantom. Je to komplikovaný a sofistikovaný domček z karát. Zadné dvierka v šifrovaní by spôsobili jeho zrútenie.
Šifrovanie sa spomína aj v európskom nariadení o ochrane osobných údajov, ktoré aj na Slovensku začne platiť od mája 2018. Hovorí o tom, že ak z firmy uniknú napríklad osobné údaje jej zákazníkov v zašifrovanej podobe, môže sa teoreticky vyhnúť pokute a nemusí únik oznamovať svojim zákazníkom. Čo jej istým spôsobom ochráni meno. Prečo je šifrovanie takouto poistkou?
Vyplýva to zo samotného princípu šifrovania. Je to obdoba toho, akoby som v slovenskej kaviarni vyzrádzal štátne tajomstvá, ale hovoril by som ich v mandarínskej čínštine. Nik by mi nerozumel. Tak je to aj pri zašifrovaných údajoch, ku ktorým nemáte dešifrovací kľúč. Keď si ich otvoríte, neuvidíte žiadne telefónne čísla alebo dátumy narodenia, ale chaotický zhluk všetkých možných znakov bez zjavnej logiky. Nie je síce v poriadku, že z nejakej firmy takéto údaje uniknú. Ak ich však šifrujete, chránite tým ľudí, ktorých vedia tieto údaje identifikovať. Je dobré, že to tvorcovia nariadenia vzali do úvahy.