Riziko, že aj vašu firmu napadne black-hat hacker sa každým rokom zvyšuje. Na Slovensku a v Českej republike sa v priemere stane obeťou hackerského útoku každá šiesta spoločnosť. Ciele kyberzločincov bývajú rôzne – vyradenie systémov z prevádzky, obohatenie sa alebo krádež citlivých údajov. To však ani zďaleka nie sú jediné dôsledky úspešného hackerského útoku. Takéto útoky vedú k vysokým finančným nákladom, ktorým sa často dalo predísť.
Krádež a zneužitie firemných dát
Každý jeden deň spoločnosti z celého sveta prídu vďaka chybe vo svojom systéme alebo zlyhaním ľudského faktora o približne 5 miliónov záznamov obsahujúcich citlivé dáta. Len 4 % z uniknutých dát sú pritom chránené dostatočne silným šifrovaním a nie je ich možné zneužiť.
Drvivú väčšinu ukradnutých dát je možno dešifrovať, a v konečnom dôsledku aj využiť na získanie financií alebo vykonanie nelegálnej činnosti. Ide o prihlasovacie údaje, platobné údaje, účtovné či zdravotné záznamy, ale aj o informácie o produktoch a projektoch, objednávkach, či partneroch…
Na akú sumu si tieto dáta ceníte vo vašej firme?
O možných dôsledkoch zneužitia ukradnutých firemných dát hovorí čerstvý prípad výrobcu smartfónov OnePlus. Jeho servery napadli zlí hackeri, ktorí priamo z internetového prehliadača zákazníkov kradli platobné údaje. Tie zákazníci zadávali na webe výrobcu pri kúpe niektorého z ich produktov.
Takýmto spôsobom dokázali útočníci odcudziť približne 40 000 údajov z platobných kariet. Hoci výrobca ihneď zaslal informačný e-mail dotknutým zákazníkom, stovky z nich už nahlásili zneužitie ich platobných kariet. Zneužitie ďalších ukradnutých dát je pritom len otázkou času.
S krádežou platobných údajov a nelegálnym výberom hotovosti či nákupu na internete majú skúsenosti aj Slováci a Česi. Najčastejšie to je kvôli zadávaniu platobných údajov do formulárov nezabezpečených webstránok, ktoré dokáže sledovať zlý hacker. Často však útočník dokáže získať platobné údaje aj z účtu, ku ktorému získal nelegálny prístup.
Strata dobrého mena a klientov
Okrem finančného dopadu môže mať krádež dát z databáz firiem ešte horší dôsledok. Je ním poškodenie reputácie a dobrého mena, ktoré môžu vyústiť v stratu obchodných partnerov a zákazníkov.
Negatívnym príkladom je hacknutie českej hostingovej spoločnosti Banán s.r.o., ktorú napadli v roku 2010. Okrem straty dát utrpela aj veľké poškodenie svojej reputácie. Útočníci najprv na napadnutých serveroch a weboch zobrazovali správu o svojom úspešnom útoku a neskôr zákazníkom spoločnosti zaslali aj e-mail. V ňom varovali klientov pred nedostatočným zabezpečením ich hostingu.
Výsledkom bola strata množstva zákazníkov, ktorí sa rozhodli využívať služby lepšie zabezpečenej konkurencie. Situácii nepomohlo ani zlé krízové PR, ktoré hovorilo o „minimálnych škodách aj napriek krádeži dát“.
Náklady na krízové PR
Prieskumy ukazujú, že až 29 % zákazníkov firmy, u ktorej došlo k úniku citlivých dát, prestane využívať jej služby. Ide o obrovské číslo – preto komunikácia so zákazníkmi bezprostredne po odhalení bezpečnostného incidentu je jedným z najdôležitejších krokov pri náprave vzniknutých škôd. Je dôležité vysvetliť, ako problém vznikol a čo sa spravilo pre to, aby sa ukradnuté dáta nedali zneužiť a útok sa neopakoval. Jej cieľom je opätovné získanie dôvery u zákazníkov.
Krízová komunikácia ale nie je lacná ani jednoduchá – aby bola úspešná, patrí do rúk profesionálnej PR agentúry. Aj v prípade, že si ju trúfne firma zvládnuť sama s vlastným komunikačným oddelením, predstavuje vysokú položku na účte vzhľadom na to, že zamestnanci robia niečo iné, ako sa pôvodne plánovalo a musia sa platiť veľké sumy za krízové PR výstupy. V zahraničí sa celková suma za krízovú PR počíta v stovkách tisícov dolárov, u nás sa odhaduje minimálne na niekoľko tisíc eur.
Opravou bezpečnostnej diery to rozhodne nekončí
O tom, že úspešný hackerský útok môže spôsobiť firmám naozaj dlhodobé problémy, hovorí napríklad aj útok na jednu nemenovanú slovenskú vývojársku firmu (1). Tú napadli kybernetickí útočníci len niekoľko mesiacov pred spustením nového projektu.
Cieľom útoku bolo využívanie serveru firmy na iné, nelegálne účely. V dôsledku napadnutia musela firma odložiť štart pripravovaného projektu. Priama škoda bola na úrovni 30 000 €, nepriama škoda v dôsledku poškodenia reputácie bola približne 15 000 €. Spoločnosť musela spustenie projektu odložiť o 3 mesiace, pričom 1 mesiac venovala iba oprave objavených bezpečnostných nedostatkov.
Po získaní prístupu do vášho systému dokážu útočníci zneužiť firemnú infraštruktúru hneď niekoľkými spôsobmi. Najčastejšie ide o rozposielanie spamu alebo reklamných e-mailov (pokiaľ získajú prístup k e-mailovému serveru), no pomerne častým je aj zneužitie zariadení na DDoS útoky. Bežnou taktikou je aj predaj prístupových údajov k serverom na čiernom trhu.
Najnovšie sú napadnuté servery využívané aj na ťaženie kryptomien, alebo na dlhodobé špehovanie komunikácie a získavanie ďalších citlivých údajov, prípadne na manipuláciu s prenášanými údajmi. Nebezpečnou praktikou je infikovanie serverov vírusom s tzv. zadnými dvierkami, ktoré útočníkom umožnia prístup do systému aj po oprave škôd spôsobených napadnutím a aktualizovaním bezpečnostnej politiky.
Finančný dopad útoku black-hat hackera
Z dlhodobého hľadiska treba po kybernetickom útoku počítať aj so zvýšenými priamymi finančnými výdajmi. Tie sú potrebné na opravu napadnutého hardvéru a softvéru, ale aj na zaplatenie bezpečnostných špecialistov, ktorí vám pomôžu s vylepšením vašej online ochrany.
Zatiaľ čo suma potrebná na opravu hardvéru a softvéru predstavuje v prípade väčších spoločností v priemere zhruba 170 000 dolárov, na plat bezpečnostných expertov a zamestnancov minú celkovo asi o 200,000 dolárov viac než počas bežnej prevádzky. Pri malých a stredne veľkých podnikoch sa tieto výdavky počítajú v tisícových sumách.
Okrem toho musíte počítať aj s hroziacimi pokutami zo strany štátu. Nariadenie GDPR stanovuje od mája 2018 aj pokuty za nedostatočnú ochranu citlivých dát, a to až do výšky 20 miliónov EUR alebo 4 % vášho ročného obratu. Zmluvná pokuta vám môže hroziť aj od vašich obchodných partnerov. Napríklad, ak im nedokážete dodať vopred dohodnutý tovar alebo služby kvôli pozastaveniu vašej činnosti v dôsledku napadnutia zlými hackermi.
Spoločnosť Accenture urobila prieskum medzi 254 svojimi klientmi, ktorí boli obeťou kybernetického útoku. Okrem iného prieskum hovorí aj o priemernej celkovej „cene kybernetického útoku“ za rok 2017, ktorá je na úrovni 11,7 milióna dolárov. Trendová krivka nákladov pritom rastie pomerne rýchlym tempom.
Náročný je aj návrat do bežného režimu
Po úspešnom kybernetickom útoku je častým problémom aj obnovenie útočníkom poškodených dát a opätovné spustenie bežnej prevádzky spoločnosti. Štatistiky hovoria, že až 66 % spoločností napadnutých zlými hackermi nevie, či sa ešte dokáže opäť postaviť na vlastné nohy.
Následkom hackerských útokov častokrát nedokážu čeliť ani medzinárodné spoločnosti so silným zázemím. Jeden príklad z mnohých môže byť americká finančná spoločnosť Equifax, ktorá v minulom roku utrpela kybernetický útok, ktorý pre ňu znamenal stratu citlivých údajov o 143 miliónoch klientov. Trhová cena spoločnosti okamžite klesla o 6 miliárd dolárov a odborníci odhadujú celkovú výšku strát až na úrovni 20 miliárd. Pre spoločnosť to môže byť likvidačné.
Ako sa chrániť?
Ak chcete svoje dáta a spoločnosť ochrániť od kybernetického útoku a veľkej finančnej straty, musíte pravidelne investovať do svojej bezpečnosti. Zamestnať vlastného bezpečnostného experta má zmysel, ale je pomerne nákladné, pričom predstavuje len prvý krok k vyššej bezpečnosti.
Ideálny prístup spočíva v kombinácii jednorazového penetračného testu s dlhodobým testovaním tzv. etickými hackermi pomocou bug bounty programu. Tí ovládajú odbornú problematiku podobne ako zlí hackeri, no pracujú podľa etického kódexu – a najmä pre vás. Nájdenú zraniteľnosť vám nahlásia, vy si ju opravíte a hackerom za to vyplatíte odmenu. Výsledkom je menej zraniteľný web či aplikácia.
Chcete sa o testovaní bezpečnosti cez Hacktrophy dozvedieť viac? Prečítajte si ďalšie blogy alebo rovno prejdite do sekcie Ako to funguje.