Už nějakou dobu platí mimořádná opatření a mnoho firem nechává své zaměstnance pracovat z domu. Náš CTO, Ing. Vladimír Sedláček, disponuje bohatými zkušenostmi správce ICT, firemních systémů, správy kybernetické bezpečnosti a v neposlední řadě je i zkušeným programátorem. Virtuální týmy a práce na dálku mu nejsou cizí.
Zeptali jsme se na jeho zkušenosti a názory na aktuální dění.
Všude se teď řeší dopady šíření koronavirové nákazy, ale málokdo si, zahlcen informacemi o fyzických virech uvědomuje, že nás stále ohrožují i ty virtuální. Jak se na situaci díváte vy a co vnímáte v současné době jako největší riziko z hlediska virtuální nákazy a dopadu takové události na fungování firem?
Bylo by naivní se domnívat, že během nějaké celosvětové krize se množství kybernetických útoků sníží, nebo že dokonce opadnou zcela. Naopak — každý oslabený kus v přírodě je snadnější kořistí. Bez ohledu na nějaké už dříve zveřejněné “deklarace o neútočení” vidíme nárůst v počtu útoků a jejich cílení na situaci kolem SARS-NCov‑2.
Už i do mé schránky přistály phishingové maily, abych si určitě koupil roušky s nanostříbrem. Jistě se dají očekávat výzvy falešných inspektorů zdraví a finančních sbírek. Kromě útočení na nejslabší článek kybernetické bezpečnosti — uživatele — vidíme i nárůst množství skenů, hledání zneužitelných počítačů a bezpečnostních děr ve firewallech i narychlo zřízených přístupových bodech VPN a bran vzdálené plochy.
V konečném důsledku tak může dojít k latentnímu vynesení firemních tajemství, výrobní a patentové dokumentace nebo osobních údajů. Při infiltraci vyděračským programem pak hrozí kompletní zastavení provozu, jak jsme mohli pozorovat během uplynulého roku, a nedávno i na příkladu nemocnic v ČR.
Co jsou nejčastější chyby, kterých se zaměstnavatelé a vedení firem dopouští v souvislosti s únikem firemních dat; a jak se riziko zvyšuje, když se hromadně doporučují a dodržují karanténní opatření a řada zaměstnanců má home office?
Ke zvyšování rizika v současnosti nemalou měrou přispívá to, že velké firmy ukončují kontraktory, často v infrastruktuře, zavádějí rotující neplacené volno a nechávají své administrátory pracovat z domu. V takové situaci může dojít ke zpoždění důležité bezpečnostní aktualizace, případně prodloužení reakce na incident. Také ad hoc pozastavení uživatelských účtů může mimo jiné ponechat otevřenou možnost pozdější neoprávněné obnovy přístupu.
V neposlední řadě některé firmy umožnily zaměstnancům pracovat z domu na jejich soukromých počítačích. VPN se tak stalo branou volného přístupu přímo do firemních sítí, k interním firemním systémům a to pomocí domácích strojů s nejasnou bezpečnostní anamnézou, potenciálně zastaralým operačním systémem, neaktualizovaným software, případně spoustou her plných spywaru a snad s funkčním antivirovým balíkem. U nich sedí uživatelé Internetu, brouzdající sítí s právy místního administrátora.
Jedná se o situaci podobnou přinášení vlastních zařízení pro práci (BYOD) a jejich připojování přímo do vnitřní, nikoliv návštěvnické sítě. Řada firem se ovšem k této situaci nestaví adekvátně příslušným rizikům a neseznámila své zaměstnance s odpovídajícími bezpečnostními politikami.
Bez důkladného poučení zaměstnanců a respektování základních pravidel kybernetické hygieny se interní data mohou dostat zcela mimo kontrolu osob, které s těmito daty pracují.
Čemu zatím není věnována dostatečná pozornost je možnost odcizení pracovních strojů a jejich vzdáleného vymazání. Částečně díky tomu, že zaměstnanci “jsou doma” a domnívají se, že mají větší dohled nad fyzickým prostředím. To ale pomine a také tento bezpečnostní pohled jednou bude nutné spolehlivě řešit.
Pro mě je ale téměř nepochopitelné, že poměrně málo správců se v souvislosti se zpřístupňováním vnitřních sítí zajímá o dění uvnitř těchto sítí, a v dohledu nad provozem sítě se spoléhají na nástroje, které jsou zapojeny i v běžném provozu, a jsou tedy samy potenciálním cílem útoku.
Za svou profesní kariéru jste se potkal se spoustou přístupů k počítačovým sítím a viděl už hodně — můžete se s námi podělit o nějaký příklad z praxe, kdy došlo k opravdu významnému průniku do firemní infrastruktury a jaká opatření bylo potřeba udělat, aby byla síť zabezpečena?
Pro malé firmy bývalo kdysi běžné, že na perimetru LAN byl umístěný nějaký generický stroj s veřejnou adresou a několika funkcemi včetně firewallu. V době routerů s pořizovací cenou, srovnatelnou s cenou zánovního auta, to bývalo prakticky jediné dostupné řešení.
Uvedu vám příklad takového řešení. Tento konkrétní stroj měl Linux, pro vzdálenou správu povolený SSH přístup z veřejné sítě a kromě firewallu sloužil ještě pro odesílání a příjem pošty do poštovních schránek. Kromě toho, že operační systém ani aplikace už dlouho nebyly aktualizované, obsahoval seznam uživatelů s přístupem do operačního systému. Ten zahrnoval též všechny uživatele pošty. Tehdy poštovní klienti posílali do serveru nezabezpečeným kanálem nezašifrovaná hesla. Stačil tedy jakýkoliv odposlech cestou a heslo ke schránce a k operačnímu systému bylo vyzrazeno. Po přihlášení uživatele přes SSH pak měl kdokoliv volný přístup k datům pošty a dále do vnitřní sítě.
V souladu s modernějším doporučením o rozdělení úkolů a segmentaci jsem do sítě přidal samostatný firewall stojící v té době asi tisíc korun a celou elektronickou poštu přemístil do demilitarizované zóny. Pro přenos pošty jsem nastavil šifrování komunikace. V systému virtuálních uživatelských účtů jsem zavedl oddělené účty pro odesílání a přístup do poštovních schránek a zvláštní účty pro přístup k operačnímu systému. Celá realizace tedy byla finančně nenáročná a časově zabrala asi tři dny, z čehož dva dny trvala migrace poštovních zpráv jednotlivých uživatelů a změny v nastavení. Ale od okamžiku vypnutí starého serveru někteří konkurenti “záhadně” ztratili schopnost poskytovat výhodnější nabídky.
Co bystedoporučil vedení firem a zaměstnavatelům z hlediska zabezpečení jejich dat v době home office a co vnímáte jako nejkritičtější místa a slabiny v této době, kdy mnoho firem v podstatě ze dne na den přešlo na fungování na dálku? Existuje nějaké jednoduché řešení, nebo je nutné nástroje kombinovat?
Upřímně, jednoduché řešení, nějaká stříbrná kulka, v oblasti bezpečnosti neexistuje. Vždy záleží na konkrétní situaci, dále způsobu, jakým firma zachází se svými daty, a v neposlední řadě na tom, jakou má infrastrukturu. Kdo včas rozdělil vnitřní sítě do segmentů a vyřešil omezení prostupnosti k citlivým systémům v rámci segmentace vnitřní sítě, je na tom lépe než ten, kdo má jediný segment pro všechny stroje a funkce. Ale kromě technických opatření záleží i na proškolování zaměstnanců. To jde udělat i narychlo, stejně jako je možné dočasně pronajmout “čisté” notebooky od prodejců, kteří zápůjčku zařízení nabízeli již dříve. A když už firmy ze dne na den umožňují zaměstnancům používat jejich privátní počítače pro práci s daty, která chtějí udržet ve vnitřní síti, musí přijmout odpovídající opatření. Kromě možnosti zavést VPN na poslední chvíli by měly zvážit například “bezklientský” systém přístupu ke vzdálené ploše prostřednictvím webového prohlížeče — například guacamole.apache.org, který je zdarma a lze jej nakonfigurovat pro zabezpečený přenos dat.
Ať už zavedou jakýkoliv systém pro podporu vzdálené práce, účty k VPN nebo systému vzdálené plochy by měly být jiné než běžné pracovní účty, nebo alespoň mít jiná hesla. A kromě omezování přístupu z VPN k prostředkům ve vnitřní síti podle přihlášeného uživatele bych důrazně doporučil zavést nějaký sofistikovaný systém monitorující a zviditelňující provoz v síti.
Z toho, jak sledujete situaci ve světě, jakým směrem se podle vás bude práce, vzdělání a business na dálku vyvíjet a na jaké potenciální hrozby se budeme připravovat?
Myslím, že v některých firmách se urychlí nebo nastartuje proces informatizace a internetizace. Tam, kde to je možné a osvědčí se způsob práce na dálku, v něm budou pokračovat. Možná tyto trendy přetrvají pouze v omezené míře, ale jsem optimistou.
Snad také dospějeme k přesvědčení, že namísto čtyř hodin strávených na cestě na hodinovou schůzku a zpět chceme raději využívat zasedací místnosti vybavené drahou a kvalitní telekonferenční technikou, a že takové místnosti budou časem dostupné veřejnosti za cenu srovnatelnou s cenou jízdenky v druhé vlakové třídě na čtyřhodinovou cestu.
Své výhody ukážou cloudové služby, které usnadňují online spolupráci. Na jejich základě vzniknou nové platformy, orientované na propojování nabídky a poptávky v drobném, místně omezeném měřítku. Ale cloudové platformy už dnes také naráží na některé své limity, zejména konečnou výpočetní a přenosovou kapacitu. A tak se v delším horizontu můžeme těšit na přesun ze vzdálených datacenter do struktur bližších uživatelům služeb. Ale kybernetické hrozby? Změní se obsahy phishingových kampaní, výkonný kód malware bude intenzivněji hledat přístupové údaje VPN a vzdálené plochy. Zaměří se také více na kolaborační platformy a cloudové služby. Tím se změní vektory útoku. Ale to, co dnes chápeme jako hlavní pilíře kybernetické bezpečnosti, nejspíš zůstane beze změny:
- Každé jednotlivé zařízení má vlastní perimetr, v rámci kterého se musí umět ochránit samo
- Ochrana mého perimetru chrání i ostatní účastníky v síti
- Síť organizace, i té nejmenší, je třeba segmentovat podle citlivosti zpracovávaných dat
- Nikomu a ničemu nelze věřit, zejména ne jednoduchému heslu
- Služby nelze libovolně sdružovat a přístup k nim je třeba omezovat a kontrolovat
- Každý přenos musí být šifrovaný a protistrany ověřené
- Na útok a řešení jeho následků je třeba se plánovaně připravovat
- Zálohovat je nutné, ale bez kontrol obnovitelnosti zbytečné
- Je nezbytné trvale vzdělávat uživatele
- Aktivity zařízení a uživatelů je třeba nezávisle logovat
- Dění v síti je třeba monitorovat a analyzovat systémem stojícím mimo provozní vrstvu
Děkujeme za rozhovor
Kategorie
- Novinky (17)
- IT/OT bezpečnost (19)
- Webináře (5)