Terčom zlých hackerov sa čoraz častejšie stávajú aj krajiny ako Slovensko a Česká republika. Ich cieľom je čo najjednoduchšie zasiahnuť čo najviac cieľov s maximálnym profitom. V dobe globálneho internetu je tak úplne jedno, z ktorej krajiny cieľ pochádza. Dokazujú to aj viaceré prípady napadnutí lokálnych firiem z nedávnej minulosti.
Cieľom kybernetického útoku sa dnes môže stať každý, kto využíva online služby, bez ohľadu na krajinu pôsobenia. Už dávno nie je kybernetický zločin len námetom akčných filmov, ako si u nás stále myslí časť verejnosti. Cieľom sa nestávajú len „civilisti“, ale aj webstránky, infraštruktúra a databázy komerčných spoločností. Internetoví zločinci pritom využívajú celé spektrum útočných techník.
44 % slovenských a českých spoločností má priamu alebo nepriamu skúsenosť s kybernetickým útokom. (Zdroj: prieskum Hacktrophy 2016)
Kybernetické útoky na území Česka a Slovenskej republiky
Posledným významným príkladom sa stal nedávny útok na servery internetového obchodu Mall.cz, ktorý má pobočku aj na Slovensku. Hackerom sa podarilo ukradnúť databázu s používateľskými účtami vytvorenými do roku 2014. Problémom bolo jednak slabé šifrovanie uložených hesiel, a jednak to, že heslá boli ukladané v databáze spolu s prihlasovacími údajmi a e-mailovými adresami. Napriek rýchlej a profesionálnej krízovej komunikácii spoločnosti je najväčším problémom to, že hackeri môžu zneužiť získané dáta o 750 000 účtoch nielen na Mall.cz, ale aj na iných serveroch, pokiaľ na nich používatelia používali rovnaké heslo. Použitie rovnakého hesla na viacerých službách je pritom bežným typom správania sa internetových používateľov.
Ohrozené sú aj naše mobilné zariadenia. Svedčí o tom nedávny prípad škodlivej aplikácie s názvom Pošta online, ktorá napadla používateľov na Slovensku aj v susednom Česku. Používateľom bola doručená vo forme SMS správy s odkazom na škodlivý súbor. Vydávala sa za aplikáciu Alzy a po nainštalovaní nútila vpisovať používateľov do falošných formulárov ich platobné údaje. Následne dokázala v smartfóne zmeniť aj PIN kód, aby nebolo možné kontaktovať banku a sledovať výpisy z ukradnutého účtu.
Obeťami inej hackerskej techniky – phishingu sa stali aj klienti rôznych domácich bánk či lokálnych pobočiek zahraničných bánk. Za posledný rok sme boli svedkami prípadov týkajúcich sa klientov ČSOB (aj vo forme mobilnej aplikácie), Českej pošty, ale aj Českej spořitelny. V nepriamom ohrození boli aj klienti UniCredit banky. Cieľom útočníkov bola vždy krádež platobných údajov s cieľom ich následného zneužitia.
65 % spoločností z celého sveta už má alebo plánuje spustiť do konca roka bug bounty program s cieľom lepšie sa chrániť pred bezpečnostnými zraniteľnosťami v online produktoch. (Zdroj: 2017 CISO Investment Blueprint)
Problémy s únikom citlivých dát však nemajú len inštitúcie, ktoré priamo pracujú s financiami. Častým terčom útokov sa stávajú aj operátori a internetoví provideri, pričom príčinou zlyhania býva napríklad nedostatočná zamestnanecká bezpečnostná politika. Českej odnoži operátora T-Mobile ukradol bývalý zamestnanec osobné údaje viac ako 1,2 milióna klientov. Operátor musel okrem opráv vzniknutých škôd uhradiť aj pokutu vo výške 3,6 milióna českých korún (približne 138 000 EUR). Tento prípad dokazuje, že ani medzinárodné spoločnosti nedbajú dostatočne na niektoré aspekty ich online bezpečnosti – sú nimi napríklad aj autorizácia a dôvernosť dát.
Nedostatočná aktualizácia zariadení patrí k ďalším formám zlyhaní, ktoré môžu viesť k realizácii hackerského útoku. Napríklad, slovenský Orange doplatil na starý firmvér routerov, ktoré rozdáva zákazníkom k DSL internetu. Situáciu musel riešiť vzdialenou aktualizáciou routerov, ktorá však bola časovo aj finančne náročná.
Router TP-Link TD-W8951N, ktorý obsahoval firmvér s bezpečnostnou chybou.
Často vyhľadávanými terčmi sú aj internetové obchody. Svoje o tom vie český e-shop Xzone, ktorý po roku zistil, že mu hackeri odsudzili osobné údaje približne 108 000 klientov pomocou zraniteľnosti v systéme 3. strany. Problémom bola aj zastaralá technológia hashovania MD5. Bezpečnostné incidenty však neobišli ani e-commerce systémy ShopSys a Magento, ktoré sú u nás pomerne populárne medzi prevádzkovateľmi e-shopov.
Samostatnú pozornosť si zaslúži aj šírenie škodlivých kódov a ransomvéru na území v Európy. Len v tomto roku išlo o známe medzinárodné kauzy WannCry či Petya. Tie postihli aj slovenských a českých obyvateľov. Populárnym sa stal aj útok na HBO, po ktorom žiadali neetickí hackeri výkupné vo výške 6 miliónov dolárov, či útok na Yahoo, v ktorom hackeri ukradli viac ako 1 miliardu účtov.
Z oblasti Česka a Slovenska je známe aj napadnutie ransomvérom ExPetr, ktorý sa šíril nakazenou aktualizáciou ekonomického softvéru. Napadol viaceré spoločnosti v našej oblasti. V spoločnosti Mondelez International, ktorá v Bratislave prevádzkuje čokoládovňu Figaro, dokonca zlyhal na jeden deň celý počítačový systém.
Špecifickou kategóriou hackov sú aj útoky s politickým pozadím. Tento typ hackovania sa nazýva hacktivizmus a jeho obeťou sa pred niekoľkými rokmi stal aj aktuálny premiér Róbert Fico. Jeho web napadli hackeri počas volebnej kampane na prezidenta. Tento rok sa terčom hackerov stal aj český minister zahraničných vecí Lubomír Zaorálek a jeho námestníci. Z e-mailových schránok im hackeri mesiace kradli dokumenty obsahujúce citlivé informácie.
Text z hacknutej webstránky Roberta Fica.
Dôsledkom hackerského útoku nie sú len finančné, ale aj reputačné a právne škody
Finančné škody
Ak podnikáte v online biznise je potrebné si uvedomiť, že hackerské a kybernetické útoky akéhokoľvek typu môžu mať na vašu spoločnosť tri rôzne dopady.
Prvým z nich je priamy aj nepriamy finančný dopad. Ten sa netýka len nutnosti zaplatenia pokuty vyplývajúcej zo zákona na ochranu osobných údajov, ale aj náhrady vzniknutých škôd.
Ich súčasťou je napríklad priama oprava bezpečnostnej zraniteľnosti vo vašom systéme, odmena pre zamestnancov (či dodávateľov), ktorí pracujú na odstránení problému a platba za krízový manažment a PR komunikáciu.
Zabudnúť netreba ani na uniknuté možnosti zárobku počas trvania opráv – stačí si predstaviť následky, keď k takémuto útoku dôjde voči e-shopu v predvianočnom období, či poplatky za zvýšenie bezpečnosti vášho systému, aby ste predišli podobným kybernetickým útokom v budúcnosti.
Priemerná výška škôd spôsobených kybernetickým útokom predstavuje pre malé a stredné podniky v priemere 86 000 EUR. A to nezahŕňa možné pokuty v budúcnosti, vyplývajúce z nariadenia GDPR.
Reputačné a morálne škody
Druhou kategóriou výdavkov sú výdavky spojené s nápravou reputácie vašej spoločnosti. V mnohých prípadoch je poškodenie reputácie spoločnosti trvalé a nevratné. Strata dôvery zákazníkov a presun ich dopytu ku konkurencii, ktorá ponúka lepšie zabezpečenie osobných a platobných údajov, môžu byť pre niektoré spoločnosti likvidačné.
Ako dobrý príklad môže poslúžiť kybernetický útok na spoločnosť Sony Pictures Entertainment z roku 2014. Zlí hackeri vystupujúci pod menom Guardians of Peace zo Severnej Kórei vtedy ukradli zo serverov spoločnosti film The Interview. Keď prenikla správa o napadnutí na verejnosť, akcie spoločnosti klesli okamžite o približne 10 % (celková škoda v desiatkach miliónov dolárov) a značne utrpela aj reputácia spoločnosti. Zatiaľ čo pred hackom produkty spoločnosti Sony odporúčalo svojim známym 79 % ich zákazníkov, po napadnutí to bolo len 12 % klientov, hovorí táto prípadová štúdia.
Právne náklady
Tretím druhom škôd, ktoré vzniknú spoločnosti po kybernetickom útoku, sú právne škody. Ide o kroky, ktorých vykonanie ihneď po napadnutí prikazuje legislatíva danej krajiny. Napríklad v Českej republike tieto povinnosti zhŕňa nový Kybernetický zákon č. 104/2017 Sb., zatiaľ čo na Slovensku sa nový kybernetický zákon ešte len pripravuje.
Od mája 2018 však bude vo všetkých členských krajinách EÚ platiť nové nariadenie GDPR. To hovorí napríklad aj o tom, že bezpečnostný incident je nutné bezprostredne nahlásiť aj na príslušnom orgáne štátnej správy, ktorý bude zastrešovať ochranu osobných dát.
Za porušenie IT bezpečnosti tak spoločnosti nebudú zodpovedať len finančne a morálne, ale aj z hľadiska legislatívy. A to ich po novom môže vyjsť poriadne draho – až na 20 miliónov EUR či 4 % z ich ročného obratu.
Základom bezpečnosti je kontinuálne testovanie
Alarmujúcim údajom je fakt, že podľa nášho prieskumu z roku 2016 sa až 48 % slovenských a českých spoločností vôbec nezaujíma o svoju IT bezpečnosť. V roku 2016 pritom len národná Jednotka pre riešenie počítačových incidentov (CSIRT) riešila na Slovensku 346 kybernetických incidentov a v Českej republike išlo až o 1121 bezpečnostných incidentov. V Česku už od roku 2014 počítajú škody spôsobené kybernetickými útokmi v miliardách českých korún.
Odporúčania týkajúce sa zvýšenia bezpečnosti a nastavenia nových bezpečnostných štandardov sa líšia v závislosti od typu projektu. Pokiaľ vytvárate nový online projekt, tak vám odporúčame počiatočný pentest s následným zapojením spoločnosti do bug bounty programu. Vďaka tomu by ste mali objaviť všetky zásadné bezpečnostné nedostatky vášho online projektu.
Bug bounty program pritom predstavuje vhodný spôsob testovania bezpečnosti aj v prípade, že váš rozpočet na IT bezpečnosť je obmedzený. Jeho výhodou je aj kontinuálne testovanie, či možnosť nastavenia hornej hranice rozpočtu pre testovanie bezpečnosti.
Prečítajte si, prečo by ste mali vytvoriť bug bounty program aj pre vašu spoločnosť a presvedčte sa o kvalitách tohto riešenia na základe príkladov 5 veľkých spoločností, ktoré používajú bug bounty programy. Stiahnite si náš e-book a zistite, čo všetko musíte vo vašej spoločnosti zabezpečiť pred kybernetickými útokmi a na čo by ste si mali dávať v rámci online bezpečnosti pozor.
