Kyberzločinci na nás útočí neustále

Vedoucí oddělení ochrany důvěrnosti a bezpečnosti informací ČSÚ Pavel Charvát nám představil hlavní zásady, které je třeba dodržovat, chceme-li se na internetu pohybovat bezpečně.

Jakým kybernetickým hrozbám čelí webové stránky ČSÚ?

Z prostředí internetu přicházejí nějaké útoky prakticky neustále. Mezi nejviditelnější patří DoS a DDoS útoky, které zahlcují server a omezují dostupnost webových stránek nebo služeb. Jejich cílem je pouze zkomplikovat uživatelům přístup na náš web, a tím zhoršit naši reputaci. Mnohem nebezpečnější jsou útoky, které se snaží zneužít slabá a zranitelná místa webových aplikací nebo technologií a přes ně se dostat do našich systémů. Útočník tak může získat přístup do interní sítě organizace a zde může aktivně provádět různé činnosti: měnit obsah a vzhled webových stránek, odcizit nějaká data nebo převzít identitu napadeného a vystupovat jeho jménem.

Proč by někdo chtěl útočit na systémy ČSÚ? Jakou může mít motivaci?

Zahlcovací typ útoků využívají především různé hacktivistické skupiny. Na státní správu míří velmi často a hlavním záměrem bývá znevěrohodnit napadený subjekt, tedy v našem případě stát a jeho úřady. ČSÚ čelí největšímu náporu takovýchto útoků zpravidla v období voleb, protože nedostupnost volebních výsledků by mohla v lidech vyvolat pocit, že stát není schopen zajistit korektní průběh voleb.

Útoky zaměřené na proniknutí do našich systémů mohou být motivovány snahou odcizit nějaká neveřejná data, která by pak bylo možné na černém trhu zpeněžit. Nebo naše data zašifrovat, abychom je nebyli schopni číst, a za jejich opětovné zpřístupnění požadovat výkupné. Za kybernetickými útoky je zpravidla buď snaha napadeného znevěrohodnit, nebo získat nějaké finance.

Ing. Pavel Charvát

Vystudoval obor informačních technologií na Unicorn College a ČZU. V ČSÚ pracuje od roku 2004, od roku 2015 je vedoucím oddělení pro ochranu důvěrnosti a bezpečnosti informací. Od roku 2017 je certifikovaným etickým hackerem. Je členem expertní skupiny pro IT bezpečnost při evropském statistickém systému.

Můžete vyčíslit, kolik kybernetických útoků za rok na systémy ČSÚ směřuje?

Naše bezpečnostní dohledové centrum během roku řeší řádově tisíce událostí. Těch sofistikovanějších útoků bývají desítky a pouze několik jednotlivých útoků evidujeme jako kybernetické incidenty, tedy události, které nám nějak ublížily. Třeba zapříčinily dočasný výpadek našeho webu nebo nějaké aplikace.

V této souvislosti je ale třeba uvést, že zdaleka ne každý výpadek služby je zapříčiněn kybernetickým útokem. Většinou se jedná o nějakou technickou poruchu, odstávku kvůli aktualizaci a podobně. Těch útoků, které něco způsobí, je opravdu minimum.

Podařilo se někdy nějakému útočníkovi proniknout do systémů ČSÚ?

Většina z těch závažných útoků jsou DDoS a z nich většinu dokážeme odrazit, aniž by to uživatelé našich služeb nějak zásadně pocítili. Dost často se setkáváme i s útoky, kdy se útočník pokouší dostat škodlivý kód do našich systémů prostřednictvím e-mailu zaslaného někomu z našich zaměstnanců. E-mail obsahuje odkaz nebo přílohu, a po kliknutí na ni by se nežádoucí kód stáhl do počítače příjemce a z něj pak do našich systémů. I těmto pokusům se však umíme účinně bránit. Stalo se nám také, že útočník se skrz zranitelné místo v kódu dostal na server jedné z našich aplikací a pokoušel se proniknout dál. Rychle jsme ho však objevili a zastavili, aniž by napáchal nějaké vážnější škody.

Jakými prostředky jsou data a informační systémy v ČSÚ chráněny?

Bezpečnostních opatření máme nastaveno velmi mnoho. Jsou jak technického, tak organizačního charakteru. Od fyzického zabezpečení budov a datacentra, přes nástroje k ochraně kyberprostoru až po školení zaměstnanců a požadavky na dodavatele. Jsou to stovky různých opatření na různých místech a v různých vrstvách. Vzhledem k tomu, že jsme součástí státní správy, musíme dodržovat zákon o kybernetické bezpečnosti a řadu dalších předpisů týkajících se bezpečnosti dat a informačních systémů. Tyto předpisy jsou hodně přísné a v podstatě nám nedovolí nějakou oblast podcenit.

Překonat lze samozřejmě asi jakoukoliv překážku, ale naším cílem je nastavit laťku tak vysoko, aby se útočníkům nevyplatilo ji překonávat. Abychom je odradili od pokusu nás poškodit, protože by to pro ně bylo příliš náročné nebo drahé.

Jak rychle se vyvíjejí nové metody používané kyberzločinci?

Celé kyberprostředí je velmi dynamické. Jde o trvalý souboj útočníků s obránci. Útočníci na něco přijdou a snaží se to využít. Obránci to zaregistrují a cestu útočníkům zkomplikují. Ti pak hledají další nové možnosti, jak nastavené překážky obejít, a celý cyklus se neustále opakuje. Problém je, že útočníci se mnohdy specializují na úzký okruh metod, zatímco my na druhé straně se musíme účinně bránit všem.

Kolik lidí se ochraně před kyberútoky v ČSÚ věnuje?

Záleží, z jakého pohledu se na to díváte. Máme tady oddělení, které se primárně stará o kybernetickou bezpečnost, a to se skládá z pěti specialistů. Dále tu ale pracují desítky lidí v odboru IT, kteří se starají o to, aby všechna bezpečnostní opatření byla řádně implementována. I oni se tedy na zajištění kyberbezpečnosti zásadně podílejí. Ovšem ani u nich to nekončí. Bezpečnost se týká každého jednotlivého zaměstnance. Každý by měl vědět, že může být cílem útoku, a že je třeba dodržovat nastavená pravidla. Pro zajištění bezpečnosti celého úřadu je důležité, aby se bezpečně chovali všichni naši zaměstnanci. Těch pět specialistů umí nastavit systém řízení bezpečnosti a dohlíží nad jeho fungováním. Ale kdyby se ostatní zaměstnanci chovali nezodpovědně a podceňovali by rizika, asi bychom celý systém ochránit nedokázali.

Jak jsou běžní zaměstnanci ČSÚ na případné pokusy narušit kyberbezpečnost úřadu připravováni?

První školení absolvují hned při nástupu na úřad. Teprve potom dostanou pracovní počítač. Stávající zaměstnanci se pak na téma kyberbezpečnosti školí každé dva roky. Další, úžeji zaměřená školení si zaměstnanci mohou vybrat z našeho interního katalogu vzdělávání. Samozřejmě, že tato školení neudělají ze zaměstnanců odborníky na kyberbezpečnost, ale lidé se během nich dozvědí, na co si mají dávat pozor a co mají dělat, když se s nějakým pokusem o narušení kybernetické bezpečnosti setkají. Jak se chovat tak, aby případným útočníkům neusnadňovali provedení nekalých záměrů.

Co konkrétně zaměstnancům na těchto školeních doporučujete?

Jedno z nejdůležitějších pravidel je nenechat se vmanipulovat do situace, kdy se musím rozhodovat ve stresu, pod tlakem. Obvyklý scénář útoků bývá, že útočníci vyžadují okamžitou reakci, aby oběť neměla čas uvažovat a přijít na to, že v té komunikaci není něco v pořádku: „Máme pro vás zajímavou nabídku, ale musíte se rozhodnout hned! Na váš účet se někdo naboural, rychle se přihlaste! Rychle, rychle, rychle, vaše peníze jsou v nebezpečí!“ To jsou typické příklady. Důležité je nepodlehnout nátlaku a jednat s rozmyslem.

Další často využívanou metodou bývá, že útočník zneužije cizí identitu a vydává se za našeho známého nebo za nějakou firmu či instituci. Tím se snaží zneužít naši důvěru. Když nám tento domnělý známý něco doporučí nebo nás k něčemu vyzve, jsme méně ostražití, než kdybychom stejnou zprávu dostali od někoho cizího. Proto je důležité prověřovat, kdo to doporučení nebo žádost skutečně poslal a zda je pro uvedené důvody skutečně nutné vyplňovat požadované údaje. Obezřetnost je při komunikaci na internetu vždycky namístě a jedním z projevů obezřetnosti je ověření, že ten, s kým komunikuji, je skutečně tím, za koho se vydává.

ČSÚ na začátku roku spustil Portál respondenta. Jsou na něj z hlediska bezpečnosti kladeny nějaké zvláštní požadavky?

Portál respondenta je z hlediska bezpečnosti další z řady webových aplikací, které ČSÚ provozuje. Na bezpečnost se myslí během celého jeho životního cyklu od vývoje přes nasazení až do konce provozování. Všechny procesy i použité nástroje musejí splňovat stanovené standardy a před vlastním nasazením probíhá několik různých testů. Jako jakákoliv jiná aplikace musí její ochrana pro potenciální útočníky představovat tak vysokou překážku, že ztratí zájem ji překonávat.

Stal jste se vy osobně někdy cílem kyberútoku?

Na internetu se s různými pokusy o zneužití našeho soukromí nebo odcizení osobních údajů setkáváme všichni téměř neustále. Denně na nás útočí mnoho podvodných e-mailů a zpráv, z nichž naštěstí velkou část zachytí provozovatelé služeb už po cestě, takže se k nám ani nedostanou. Ale i toho, co pronikne do našich e-mailových schránek nebo účtů na sociálních sítích je pořád mnoho. Tyto útoky nebývají cílené, útočníci je rozesílají automatizovaně ve velkém množství a doufají, že se najde někdo, kdo se nechá nachytat.

Mně se před lety stalo, že nějaký útočník získal přístup k mému účtu na Skype a mým jménem pak rozeslal zprávu se škodlivým kódem osobám, které jsem měl uložené v adresáři. Naštěstí tam těch kontaktů bylo málo a nikdo si nic závadného nestáhl. Poučení z toho plyne, že musím používat dostatečně silná hesla pro přihlašování, a hesla mít pro každou službu originální. Útočník se k mým přihlašovacím údajům dostal ukradením z jiné služby, a pak je zkusil na Skype. To je poměrně častý postup. Když se útočníkům podaří získat přihlašovací údaje oběti, vyzkouší se jimi přihlásit na více službách. Pokud požíváte stejné heslo, jsou pak ohroženy všechny. Doporučuji proto volit hesla rozdílná a dostatečně silná. Máte-li služeb víc, pak se vyplatí používat nějakého spolehlivého správce hesel, který generuje hesla náhodná a pamatuje si je za vás. Nebo používat k přihlášení způsoby bez využití hesla, třeba pomocí biometrických údajů.

Zároveň je nutné pamatovat na to, že ani silné, dobře zvolené heslo vás nemusí před kyberútočníky ochránit. Žádné bezpečnostní opatření není stoprocentní a nebrání všem typům útoků. Útočníci jsou velmi vynalézaví, a i když poctivě dodržuji nějaká bezpečnostní opatření, neznamená to, že se mi nemůže nic stát. Vždycky je důležité přemýšlet a snažit se vyhodnotit, co mi hrozí, jaké mám možnosti to řešit a jaké opatření nejlépe vyhovuje mým potřebám.

Jaké hlavní zásady by měl dodržovat běžný člověk, aby riziko, že se stane obětí kyberpodvodu, snížil na minimum?

Těch zásad je hodně. Mám-li vypíchnout jednu, tak doporučuji zejména udržovat si pořádek a přehled o tom, jaké služby a aplikace využívám, a zda je pravidelně aktualizuji. Lidé mají v počítači, telefonu nebo tabletu často aplikace, které použili kdysi v minulosti, a nyní je už nepotřebují. Když je ale nevyužívají, nemusí docházet k jejich aktualizacím, a tím se otvírá brána potenciálním útočníkům. Téměř v každé aplikaci se po čase najde slabé místo, které výrobce při aktualizaci opraví. Když ale aplikaci neaktualizujete, oprava se neprovede a vaše zařízení se stane snadným cílem pro kyberzločince. Aplikace, které delší dobu nepoužíváte, byste proto měli odinstalovat. A ty, co máte, pravidelně aktualizujte.

Rozhovor vyjde v únorovém vydání časopisu Statistika&My.