2017

Názory, komentáře a úvahy ze světa informačních technologií

20

Kvě 2017

Braňme se! Má to smysl.

Autor / v 2017 / Dosud žádné komentáře

Přestože jsem měl původně v plánu věnovat květnový editorial úplně jinému tématu, je příliš těžké odolat pokušení přispět vlastním komentářem ke kauze, která nyní rezonuje nejen v komunitě IT expertů. Přestože pandemie agresivního ransomware nazvaného WannaCry se zatím České republiky dotkla jen okrajově, diskutuje se o ní velmi intenzivně nejen v odborných kruzích. Ransomware WannaCry totiž přitáhl pozornost i největších zpravodajských médií. Bohužel široká veřejnost si z jejich reportáží odnesla především naprosto nepodstatnou a víceméně spekulativní informaci o tom, že za pandemií stojí nějaká severokorejská hackerská skupina.

Naopak chyběly zásadní informace o metodě šíření, mechanismu nákazy i možné obrany. V žádné z reportáží o WannaCry jsem nezaslechl vysvětlení významu záplatování zranitelností softwaru, vzdělávání uživatelů nebo např. vícestupňového zálohování s otestovanou schopností obnovení. Chápu, že pro někoho je možná zajímavé znát původ klíštěte a jeho anatomii, ale užitečnější je vzít do ruky repelent a zvážit očkování.

Útok ransomwaru WannaCry totiž ukázal zásadní nedostatky v systému informační bezpečnosti mnoha organizací. Ano, přestože to pro mnohé zůstává překvapením a nepochopeným faktem, zajištění kybernetické ochrany je systém vzájemně provázaných prostředků ochrany a prevence. Jeho sestavení a nikdy nekončící proces údržby a rozvoje je složitý a nákladný, což je nejčastější výmluva nezodpovědných manažerů. Stejně jako já jste už někdy určitě slyšeli alibistické prohlášení: „Stojí to spoustu peněz a stejně nás to neochrání“. Takovému tvrzení, zvlášť když je vyslovené výše postaveným manažerem, je v první chvíli složité čelit, protože v některých případech může být i pravdivé, jenže v naprosté většině případů je to jen hloupá záminka nedělat pro bezpečnost ani to základní a relativně snadno dostupné.

Jistě, v případě sofistikovaných cílených útoků záleží na každém jednotlivém prvku celého systému zabezpečení a klasické pravidlo říká, že síla celého systému (pomyslného řetězu) bude odpovídat síle jeho nejslabšího článku. A sestavit pevný řetěz kybernetické ochrany opravdu není levné. Ovšem v případě plošných útoků, jako je WannaCry, je situace jiná. Takové útoky cílí na jednu nebo několik zranitelností a víceméně náhodně pak zkouší, kdo se do zvoleného schématu chytí. Obrana proti takovému útoku už zdaleka není tak složitá ani nákladná. V případě WannaCry se zatím jako úspěšné ukázaly zcela základní prvky obrany – aktualizace softwaru a záplatování známých zranitelností, využití běžně dostupných technologií zabezpečení, proškolení uživatelů a zálohování.

Je to podobné, jako v případě krádeže auta. Pokud bude zkušený profesionální zloděj chtít ukrást jeden konkrétní vůz s mimořádnou hodnotou, vynaloží na jeho odcizení odpovídající úsilí a prostředky a dost možná uspěje, přestože jeho ochraně věnuje majitel velkou pozornost. Půjde o cílený útok, jako je např. CEO Fraud, o kterém se mimochodem dočtete v aktuálním vydání IT Systems.

Jiná situace ovšem nastane, pokud zloděj nebude chtít ukrást na zakázku jedno výjimečné auto, ale bude cílit obecně na jakékoli dobře prodejné auto. Použije svoji oblíbenou techniku a ukradne první auto, u kterého uspěje, a přeskočí ta, která kladou odpor. V takovém případě není nutné mít zabezpečení blížící se dokonalosti. Stačí mít rozumné zabezpečení odpovídající hodnotě vozu a odolné proti zvolené technice krádeže, což se může zdát jako otázka štěstí, ale jde spíš o pravděpodobnost a v neposlední řadě také o míru způsobené škody. I přes velké vynaložené úsilí se totiž při troše smůly můžeme stát obětí ransomware nebo jiného kybernetického útoku. Pokud ale máme rozumný a otestovaný systém zálohování (přiměřený našemu byznysu a rizikům), budeme schopni systémy a data obnovit s minimálními škodami. Také se vyhneme pokušení zaplatit vyděračům, čímž bychom je jen podporovali v dalších útocích.

Mimochodem, už v úvodu jsem zmínil, že u nás WannaCry zasáhl, alespoň prozatím, jen minimální množství počítačů. Mohli bychom snad z této skutečnosti usuzovat, že úroveň zabezpečení našich podniků a organizací, nebo znalosti a uvědomělost uživatelů je u nás na vyšší úrovni než v okolních zemích? Ale kdeže. Jistě tušíte, že hlavní příčina tkví v přirozené jazykové bariéře, která nás chrání před částí plošných kybernetických útoků realizovaných právě prostřednictvím podvodných mailů. I uživatelé, kteří neprošli nějakým formálním školením bezpečného chování ve vztahu k IT, už dnes chápou, že nečekaný a nezvykle stylizovaný mail psaný lámanou (strojově generovanou) češtinou nebo jazykem, který je jim cizí, představuje bezpečnostní riziko. A s rostoucí jazykovou vybaveností většinou roste i schopnost orientovat se v nástrahách, které moderní technologie přináší.

Relativně složitá čeština je tedy štítem, který nám zatím pomáhá vyhnout se alespoň části globálních kybernetických útoků. Alespoň do té doby, než umělá inteligence rozlouskne češtinu na vyšší úrovni a než bude zase o něco těžší čelit útokům využívajícím prvky sociálního inženýrství. Pak se ukáže, jestli nejsme stejní lajdáci v přístupu k počítačové bezpečnosti, jako většina světa. Náš krásný jazyk nám dává malý náskok, který bychom měli využít.

Vyšlo v časopise IT Systems

Vyberte prosím sociální síť, se kterou chcete stránku sdílet:

Lukáš Grásgruber

Ing. Lukáš Grásgruber vystudoval elektrotechnickou fakultu VUT v Brně, obor kybernetika. Už během studií zběhl k informatice a v oblasti IT se profesionálně pohybuje od roku 1996. Nejprve jako recenzent, editor, analytik, redaktor a od roku 1999 jako šéfredaktor časopisu IT Systems se zaměřením na podnikovou informatiku. Z lásky k městu, ve kterém vystudoval a dodnes pracuje, působí také jako manažer časopisu Brno Business & Style.

PODOBNÉ ČLÁNKY
Dosud žádné komentáře

Vstupte do diskuze a napište svůj komentář