Na první pohled by se mohlo zdát, že dodavatelé bezpečnostních IT řešení s působností po celém světě zaznamenali v uplynulém roce celkem příznivý trend. Došlo totiž k mírnému poklesu kybernetických útoků prostřednictvím škodlivého softwaru (malwaru) v podobě virů, trojských koní a další „havěti“. Optimismus ale určitě není namístě, protože pohled na delší časovou osu ukazuje, že se v podstatě jen vracíme do „normálu“ po obrovském nárůstu množství malwarových útoků, zaznamenaných po lockdownech a rychlém přechodu na práci na dálku v souvislosti s koronavirovou pandemií.
Útočníkům se tím otevřela zcela mimořádná příležitost napadnout obrovské množství nových zařízení, která se začala vzdáleně připojovat do podnikových sítí. Samozřejmě tomu nahrávala i skutečnost, že rychlý přechod na práci z domu v mnoha firmách neposkytoval dostatečný prostor na pečlivé zabezpečení všech zařízení a vstupních bodů podnikových sítí. V průběhu loňského roku se situace zklidnila, firmy ošetřily největší mezery v zajištění vzdáleného přístupu ke svým aplikacím a datům a nasadily zabezpečení koncových zařízení.
Přípravy na válku
Velké obavy z hlediska kyberbezpečnosti ale v současnosti vyvolává i rusko‑ukrajinský konflikt. Už v loňském roce Microsoft uváděl, že až 58 procent kybernetických útoků tolerovaných (spíše ale přímo podporovaných) vládami národních států pochází z Ruské federace. Data z bezpečnostního systému Turris Sentinel, který v reálném čase sleduje úroveň kybernetických hrozeb a za kterým stojí sdružení CZ.NIC, správce české národní domény, odhalují, že kyberútočníci z Ruska už 36 hodin před zahájením invaze na Ukrajinu výrazně zvýšili svoji aktivitu ve vyhledávání snadno napadnutelných internetových cílů na Ukrajině.
„Podrobnou kontrolou našeho bezpečnostního systému jsme zjistili přibližně desetinásobný nárůst cíleného monitorování snadno napadnutelných internetových cílů. Zmíněná aktivita proběhla krátkodobě v úterý 22. února krátce po poledni a pocházela výhradně z ruských IP adres,“ říká Petr Palán, šéf projektu Turris. „Tato aktivita spočívá ve velmi intenzivním vyhledávání jakékoliv služby dostupné z internetu, kterou by bylo možné napadnout. Během přibližně dvou hodin zachytila asi čtvrtina našich routerů, které sdílejí data se systémem Turris Sentinel, tyto snahy pocházející z Ruska. Z našeho pohledu nešlo přímo o útoky, ale o hledání míst napadnutelných následným útokem.“
Na napadení stovek ukrajinských zařízení virem HermeticWiper těsně před vpádem ruských pozemních jednotek upozornila také společnost Eset. „První vzorky jsme zachytili ve středu 23. února v 16:52 místního času. Z analýzy malwaru vyplynulo, že vznikl již 28. prosince 2021, z čehož lze vyvodit, že útok byl připravován poslední dva měsíce,“ popisuje Michal Cebák, bezpečnostní analytik společnosti Eset. Úkolem malwaru HermeticWiper je smazat v napadených zařízeních uživatelská data – a tím je prakticky vyřadit z provozu. Před zahájením invaze čelila řada ukrajinských institucí také útokům typu DDoS (cílené zahlcení internetových služeb obrovským množstvím požadavků).
Současná situace se nutně promítá i do požadavků českých firem v oblasti kybernetické bezpečnosti, jak potvrzuje Kateřina Hůtová, manažerka systému řízení bezpečnosti informací ve společnosti SoftwareONE Czech Republic: „V souvislosti s aktuální situací vnímáme u našich zákazníků především zvýšenou poptávku po školeních a vyhotovení plánů pro udržení kontinuity činností organizace a obnovu po havárii. Společnosti chtějí být připraveny a schopny rychle reagovat na potenciální hrozby. Dlouhodobě s tím souvisí také stále větší využití cloudových služeb, což zvyšuje mobilitu zaměstnanců a možnost pracovat odkudkoliv.“ Podle Kateřiny Hůtové je současným trendem IT bezpečnosti také úspěšná prevence a detekce útoků a zálohování informací důležitých pro chod společnosti pro případ nutnosti přesunu společnosti či práce do jiné lokality.
Jedno vydírání už nestačí
Pokud bychom situaci kolem malwaru označili za „stabilizovanou“, vývoj kolem ransomwarových útoků jde neustále k horšímu. Například společnost SonicWall uvádí, že v loňském roce její bezpečnostní zařízení, umístěná u klientů po celém světě, zaznamenala 623 milionů ransomwarových útoků. To představuje nárůst o 105 procent oproti roku 2020, a dokonce trojnásobné zvýšení počtu útoků oproti roku 2019. Společnost Veeam ve své studii Data Protection Trends Report 2022 uvádí, že v uplynulém roce zaznamenaly ransomwarové útoky více než dvě třetiny (69 procent) východoevropských organizací (mezi které Veeam počítá i české podniky) a že se po těchto útocích nepodařilo obnovit v průměru 32 procent ztracených dat. Přinejmenším o nějaká data přišlo vlivem ransomwarových útoků 68 procent východoevropských organizací.
Globálně se počet ransomwarových útoků nejen rychle zvyšuje, ale současně zaznamenáváme i dva trendy, kterými se kyberzločinci vydávají. Tím prvním je zásadní snížení nezbytné vstupní úrovně znalostí pro provedení útoku. S pomocí nástrojů označovaných jako Ransomware as a Service (RaaS) může ransomwarové útoky provádět téměř kdokoliv. Stačí, když si formou služby pořídí příslušné nástroje, ke kterým jejich tvůrci poskytují dokonce i technickou podporu – tak jako to známe u běžného softwaru nebo cloudových služeb. Je nepochybné, že i kvůli RaaS a praktické nepostižitelnosti útočníků bude ransomwarových útoků jen přibývat.
Druhým, a snad ještě nepříznivějším trendem je dvojí, či dokonce trojí vydírání. Nový způsob vydírání spočívá v tom, že si kyberzločinci během ransomwarových útoků podniková data ještě před jejich zašifrováním zkopírují. Následně svým obětem vyhrožují, že ukradená data obsahující citlivé osobní informace nebo obchodní tajemství firmy publikují na internetu. Tím samozřejmě zvyšují tlak na své oběti, aby zaplatily výkupné. Mimochodem, společnost PurpleSec uvádí, že průměrné výkupné v roce 2021 meziročně vzrostlo o 82 procent na 570 tisíc dolarů.
Ale to ještě bohužel není konec špatných zpráv. Stále častěji dochází k trojímu vydírání, kdy se kromě požadavku na výkupné za dešifrování a nezveřejnění dat primární oběti ransomwaru obracejí kyberútočníci také na její zákazníky a obchodní partnery, které by mohlo zveřejnění odcizených dat rovněž poškodit. Opět jde o zvýšení tlaku na oběti, aby zaplatily výkupné, v tomto případě navíc s devastujícími následky na pověst a partnerské vztahy napadené firmy.
Konec proplácení výkupného
Vypadá to, že se zatím nedaří proti ransomwaru najít účinnou zbraň. Jen v loňském roce byly z celosvětově známých firem ransomwarem úspěšně napadeny například společnosti Accenture, Nvidia, Swissport, Puma, MediaMarkt a mnoho dalších. Trpělivost s kyberútočníky dochází už i pojišťovnám a vládám. Takže například pojišťovna AXA ve Francii oznámila, že nově uzavřené pojistné smlouvy na kybernetická rizika nebudou pokrývat výkupné zaplacené ransomwarovým útočníkům. O všeobecném zákazu proplácet náklady na výkupné z pojištění firem uvažuje nizozemská vláda. Omezení finančních zdrojů na zaplacení výkupného ale samo o sobě problém s ransomwarem nevyřeší.
I společnosti z oblasti kybernetické bezpečnosti a ochrany dat si uvědomují, že asi nebude možné absolutně zabránit proniknutí ransomwaru do podnikových sítí. Na počátku takových útoků totiž stojí zpravidla velmi promyšlená strategie, využívající sociální inženýrství a cílené útoky na uživatele, kteří nechtěně otevřou ransomwaru dveře do podnikové infrastruktury IT. Proto je nutné zaměřit se kromě detekce škodlivého softwaru a odvrácení útoků také na zmírnění následků a rychlou obnovu po úspěšném ransomwarovém útoku. Společnost Venafi přitom uvádí, že dvojité nebo trojité vydírání je dnes součástí až 83 procent úspěšných ransomwarových útoků. To znamená, že pro nápravu po takových útocích bohužel už nestačí obnovit data ze zálohy, protože vydírání bude hrozit i nadále.
Přidejte offline zálohu a šifrování
Firmy často sázejí na zálohy dat jako na spolehlivý nástroj pro rychlé obnovení provozu po ransomwarovém útoku. V praxi to ale tak jednoduché zase není – a nejde jen o výše zmíněnou třetinu dat, která se podnikům v průměru nepodaří obnovit. Veeam totiž ve své studii dále uvádí, že až 15 procent dat východoevropských organizací není zálohováno vůbec. A navíc ani existence zálohy ještě neznamená, že se podaří obnovit všechna data – a také v přiměřeném čase. Plných 85 procent východoevropských organizací podle společnosti Veeam trpí disproporcí mezi tím, jakou rychlost návratu k produktivitě očekávají a jaké ve skutečnosti dosahují.
Stáhněte si přílohu v PDF
Zálohu dat je v případě ransomwarového útoku, který se nepodaří odrazit nebo zastavit, nutné vnímat až jako poslední linii obrany. Aby byla účinná, doporučuje Veeam rozšíření klasického modelu zálohování, spoléhajícího se na tři kopie dat na dvou úložných médiích s jednou kopií uloženou na geograficky vzdáleném místě, o další dva prvky. Model 3‑2‑1‑1‑0 přidává jednu offline kopii (tedy zálohu nepřístupnou z podnikové sítě, kterou nemůže ransomware napadnout) a nulovou chybovost při obnově dat ze zálohy (dosažitelnou především opakovaným testováním různých scénářů obnovy dat).
Zálohování ale samozřejmě nemůže posílit ochranu proti vícenásobnému vydírání. Účinným nástrojem je zde nasazení šifrování v maximální možné míře, stejně jako posílení ochrany přístupu k citlivým datům. Mezi účinná opatření patří především striktní kontrola přístupu uživatelů k datům, včetně omezení přístupových oprávnění jen na nezbytně nutnou míru a nasazení dvoufaktorového ověřování přístupu. Na vzestupu je také přístup k síti na principu nulové důvěry (zero trust network access), kdy jsou oprávnění jednotlivých uživatelů a jejich zařízení redukována na nezbytné minimum a současně je jejich přístup do podnikové sítě a ke zdrojům neustále ověřován.
Jakkoli nemůžeme vědět, jaký vývoj kybernetických útoků nás v budoucnosti čeká, kombinace existujících nástrojů na detekci, zastavení a nápravu kyberútoků dává více než slušnou šanci útočníkům odolat – nebo alespoň minimalizovat škody.
Článek byl publikován ve speciální příloze HN ICT revue.
