Nejdůležitějším článkem kyberbezpečnosti jsou lidé

Tomáš Plesník z Ústavu výpočetní techniky MU říká, že kroky k bezpečnosti v kyberprostoru by si lidé měli zautomatizovat jako každodenní hygienu.

„Kvestor chce přistup do složky...“ I na takový e-mail můžete narazit ve své poště. A přesně takový přišel na začátku akademického roku i mně. Zdálo se mi to zvláštní, protože jsem s kvestorem žádné jednání neměla, a tak jsem na odkaz neklikla. Když se po chvíli ptaly kolegyně, co mají dělat, když jim píše kvestor, začalo to být podezřelé. Shodly jsme se tedy, že na nic klikat nebudeme... a prošli jsme testem.

Byla to ukázka typického phishingu, snahy získat prostřednictvím podvodného e-mailu přihlašovací údaje. „Takové testy děláme opakovaně. I když před podobnými útoky průběžně varujeme a lidé tuší, na co si mají dávat pozor a jak se v takových situacích chovat, reálná zkušenost a zážitek ze simulovaného napadení má mnohem větší vzdělávací efekt. Cvičný phishingový útok funguje podobně jako požární cvičení. Něco jiného je myslet na zásady bezpečnosti v kyberprostoru, když sedíte v klidu na školení, a něco jiného je reagovat na konkrétní věc pod tlakem pracovních či studijních úkolů, “ říká Plesník k bezpečnostnímu testu, kterým si nedávno prošli zaměstnanci Rektorátu MU.

V Ústavu výpočetní techniky Plesník zodpovídá za IT provoz a vývoj a zdůrazňuje, že zásady bezpečného pohybu v kyberprostoru by si měl každý člověk zautomatizovat. V současnosti totiž nejsou nejzranitelnějším článkem ochrany dat univerzitní IT služby, ale jednotlivci.

O osvětu, ochranu a řešení útoků se na Masarykově univerzitě stará kyberbezpečností tým CSIRT-MU, který vznikl už v roce 2009 a má nejvyšší mezinárodní certifikaci. „Tým Ústavu výpočetní techniky má dvě složky, reaktivní, která je denně v pohotovosti pro řešení útoků, a proaktivní, která se snaží neustále snižovat rizika, jimž je univerzita v digitálním prostředí vystavena.“

Každý člověk má pro útočníka cenu

Kyberbezpečnostní tým nastavuje pravidla, pořádá školení a především dělá osvětu v této oblasti. „Lidé často neberou IT bezpečnost příliš vážně, protože se nepovažují za vhodný cíl a mají pocit, že jim útočník nemůže moc uškodit. Jenže útočníci, kteří využívají pracovní a studijní maily a další komunikační kanály k útokům, to vidí jinak. Zajímá je identita a data jednotlivce, která mohou zcizit a otevřít si tak cestu dovnitř univerzity,“ podotýká odborník na kyberbezpečnost.

A co kyberzločinci na univerzitě vlastně hledají? „Když začneme tím, co lidi napadne jako první, tak jsou to finance. Rozpočet MU je přes 13 miliard, a to je určitě lákavé. Ale jsou tady i další zdroje, které mohou být pro útočníky ještě lákavější, třeba obrovská výpočetní kapacita zneužitelná pro těžbu kryptoměn nebo pro útoky na jiné instituce. A pak jde o útoky směřující k vydírání instituce, například zašifrováním osobních, provozních nebo výzkumných dat s tím, že přístup se obnoví po zaplacení.

700 útoků denně

A že je o zdroje MU zájem, dokládají také čísla. Od ledna do října loňského roku čelila univerzita asi 220 tisícům méně závažných útoků, s nimiž si do velké míry poradí automatizované systémy. Ve stejném období pak pracovníci bezpečnostního týmu CSIRT-MU řešili na 2300 závažnějších útoků, které již vyžadují jejich přímou intervenci. Mezi nejzávažnější incidenty patří například útoky specializovaných skupin, kterým se říká advanced persistent threats čili APT.

„Takové akce se pečlivě připravují několik měsíců, kdy útočníci mapují organizaci, zjišťují celou řadu informací a pak se teprve pokusí o průnik do systémů. Jejich cílem totiž je dostat se dovnitř nenápadně, setrvat tam co nejdéle a využívat zdroje organizace či krást informace,“ vysvětluje Plesník s tím, že k průniku využívají APT velmi často právě zcizené identity zaměstnanců, studentů či absolventů.

Bezpečnostní tým univerzity má zkušenosti s různými typy útoků. „Řešili jsme APT útoky, které se v řádu let snažily získávat z univerzity data nebo je šifrovat, odhalili jsme těžbu kryptoměn, samozřejmě řešíme také klasické DDoS útoky snažící se zahltit naše systémy nebo paralyzovat nějaké služby a také přechovávání a šíření nevhodného obsahu, například pornografie. Musím ale zdůraznit, že to není nic výjimečného, čelí tomu v podstatě řada subjektů – od nemocnic přes úřady až po soukromé firmy.”

Kromě toho, že zločince Masarykova univerzita přitahuje významnými zdroji, může být navíc zranitelnější. Jde především o velkou fluktuaci lidí, kteří dostávají přístup k univerzitním systémům, každoročně je to na deset tisíc nových studujících. „Snažíme se proto také vylepšovat jejich informovanost i uspořádání systémů tak, aby citlivé údaje byly více chráněné,“ zmiňuje Plesník. 

Přiznání chyby a nahlášení problému si vážíme

K lepší ochraně tak přispívá každý jednotlivec. Nejen klasickými věcmi jako je silné heslo, ale často i jen nahlášením útoku, který sám zažil.

O to víc to pak platí pro incidenty, kdy byl například phishing úspěšný, nebo když jde o případ vydírání. „Vydírání je velmi časté. Útočníci zpravidla požadují výkupné. Chci tady zdůraznit, že kyberbezpečnostní tým nikoho nesoudí, prostě nám to řekněte, my vám pomůžeme, a ještě si vysloužíte pochvalu,” dodává Plesník.

Každá informace o pokusu o průnik do kyberprostředí MU totiž může pomoci odhalit nové postupy a metody, které útočníci začali používat. „Každého bezpečáka totiž nejvíc trápí to, co neví. Když nebudeme mít informace, nebudeme vědět, co nového se nám děje v systémech, jaký nový typ útoku se zdařil a jaká data si už našla cestu z MU ven.”