Útok na Microsoft Exchange Server postavil tuzemské firmy před výzvu, jak minimalizovat škody a jak se chránit před hrozbou dalších útoků. Hackeři využívají stále sofistikovanější postupy a cílí na nejslabší část ochrany – na lidský faktor. AEC proto poskytuje firmám služby security awareness kombinující nejnovější technologie s poznatky z pedagogiky a psychologie.

Počet útoků a hrozby s nimi spojené stoupají. Důvodem je pokračující digitalizace a narůstající složitost systémů, které jsou pro fungování společnosti stále důležitější. Oblast kybernetické bezpečnosti v České republice se přitom dlouhodobě potýká jak s nedostatkem zkušených IT expertů, tak s velice nízkým povědomím firem a institucí o reálných hrozbách a jejich dopadech.

Hackeři si rádi vytvářejí zadní vrátka

Nedávný masivní útok na Microsoft Exchange Server názorně ukázal, na jak tenké hraně balancuje hojně rozšířené mínění tuzemských společností o vlastní imunitě vůči takovým nebezpečím. V případě zmíněného incidentu se většina zdejších soukromých i státních organizací ocitla náhle a bez varování před zcela konkrétními a neodkladnými výzvami. Zahájení útoku na Microsoft Exchange Server, který slouží k výměně e-mailových zpráv a sdílení zdrojů, se datuje k 3. lednu 2021. Než došlo k jeho odhalení, měli útočníci více než dva měsíce času kompromitovat systémy uživatelů po celém světě, především v Evropě a Americe. Jen v tuzemsku byly napadeny tisíce firem a institucí, mnohé z nich přišly o data, další se toho pořád ještě musí obávat.

Uživatelé jednoho z nejrozšířenějších softwarových produktů na světě, a to i ti, kteří mají za to, že přímo kompromitováni nebyli, by měli mít na paměti, že hackeři si v napadených systémech běžně vytvářejí zadní vrátka, která v budoucnosti téměř vždy využijí k dalším útokům.

Součástí školení je i intenzivní a specifické přezkušování zaměstnanců, včetně kontrolovaných phishingových nebo vishingových útoků nasměrovaných na konkrétní pracovníky.

Security awareness aneb není školení jako školení

Co z toho plyne? Pokud chcete zabezpečit svoji společnost, můžete vystavět sebedokonalejší technologickou hradbu, ale najde-li útočník její nejslabší místo a překoná ho, je vám to na nic. A věřte, že první věc, na níž se zkušený útočník zaměří, budou vaši lidé.

Dříve či později, často právě pod vlivem událostí, jako byl útok na Microsoft Exchange Server, dojde každé zodpovědné vedení firmy k poznání, že nejlepší způsob ochrany je vyškolit své lidi. Stačí jediné nevinné kliknutí unaveného, roztržitého nebo nepoučeného zaměstnance, jediný neověřený e-mail a veškeré nákladné bezpečnostní bariéry jsou k ničemu.

Nejefektivnější prevencí proti útokům založených na sociálním inženýrství jsou proškolení zaměstnanci. Proškolení ale neznamená, že lidé jednou do roka někdy v pátek po obědě „odzívají“ klasickou přednášku s legračními obrázky o možném nebezpečí otevírání nevyžádané pošty v podobném duchu, v jakém se dnes pracovníci běžně školí při BOZP.

IT bezpečnost jako součást firemní kultury

Současným interaktivním trendům ve školení není nic vzdálenějšího než standardizovaná jednorázová sezení. AEC poskytuje v rámci služby security awareness řešení, které obnáší komplexní učení zahrnující nejenom propracovaný e-learning a podrobné on-line školení, ale především řadu metod, jejichž účelem je školeného zaměstnance maximálně zaujmout.

Jedná se o sérii promyšlených a zajímavě podaných kroků, které mají za cíl v průběhu určitého období intenzivně a opakovaně atakovat pozornost zaměstnanců tak, aby se jim dané téma dostalo pod kůži. Aby považovali kybernetickou bezpečnost za poutavý námět k hovoru, řešili ji se svými kolegy, bavili se o ní při běžné konverzaci.

Využívají se k tomu nejrůznější metody, postupy a nástroje. Součástí školení je i intenzivní a specifické přezkušování zaměstnanců, včetně kontrolovaných phishingových nebo vishingových útoků nasměrovaných na konkrétní pracovníky. Ti se učí správně reagovat a čelit jak falešným e-mailům, tak i podvodným telefonátům.

Není nad zkušenost vlastním prožitkem

Některé atraktivní postupy spojují originálním způsobem testování zaměstnanců s dalším učením. Příkladem může být špičková americká platforma KnowBe4, která umožňuje přesně zjistit, co dělá konkrétnímu zaměstnanci největší problém, a zaměřit se na individuální řešení jeho nedostatků.

Lektoři nabízejí svým klientům workshopy, během nichž jim – pokud s tím dotyční souhlasí – pouštějí falešné telefonáty, jimiž byli zaměstnanci v rámci testování oklamáni. Cílem není daného pracovníka zesměšnit, ale zaujmout, překvapit, vtáhnout jej do dané situace. Nejde jen o rozbor chyb, smyslem je ozřejmit postupy útočníků, ukázat, jak snadno lze pod tlakem udělat chybu a jak se takovému útoku bránit.

Poznatky lektorů potvrzují, že není nad zkušenost vlastním prožitkem. Pokud vám tedy dorazí do firmy věrohodně působící e-mail s nenápadnou poznámkou: Dobrý den, tak tady je ta faktura, o které se bavíme, jenom Vás ještě pro jistotu upozorňujeme na změnu čísla našeho účtu…, vězte, že absolvent školení security awareness od AEC rozhodně zpozorní.

Pozor na to, s kým komunikujete

Než se ale ke školení dostanete, nabízíme aspoň základní rady. V důsledku nejen zmiňovaných útoků se totiž mohly k útočníkovi dostat důvěrné informace, například takové, které si firma přeposílá se svými obchodními partnery. A nejen to. Pokud si hacker informace stáhnul, tak nyní ví, jak daná společnost s okolím komunikuje, a může na tuto komunikaci navázat. Následný útok pak může být o to zákeřnější.

Každá firma využívající poštu od Microsoftu by proto měla zcela rozumně předpokládat, že její server byl kompromitován. A to i kdyby pro to zatím nebyly jasné důkazy. Musí kalkulovat s variantou, že útočník disponuje jejími citlivými daty a kontakty a že zná veškeré podrobnosti o tématech, o nichž se píše v e-mailech. Zároveň nelze mít nikdy jistotu, že útok nezasáhl některého z partnerů, s nímž nadále komunikujeme.

Hrozí-li, že jste mohli být kompromitováni, poskytněte tuto zprávu zaměstnancům, dodavatelům a upozorněte každého, koho se to může týkat. Dávejte si následující dny a měsíce pozor na to, kam klikáte, jaké přílohy otevíráte, s kým komunikujete. Neposkytujte informace lidem, o kterých nic nevíte, čísla účtů u obdržených faktur si ověřujte telefonicky. Jakoukoli podezřelou aktivitu hlaste svým adminům – vždy je lepší ztratit pár sekund konzultací nebo dotazem e-mailem, než statisícové částky nepozorností.