Vedeli ste, že drvivá väčšina kybernetických útokov je zapríčinená práve ľudskou chybou a nedostatočnými vedomosťami zamestnancov? A incidentov neustále pribúda. Iba za prvý polrok 2023 vzrástol počet podvodných phishingových e-mailov na Slovensku trojnásobne.

Kým donedávna sa dali hrozby pomerne jednoducho odhaliť, a to aj vďaka zlej gramatike či nezrozumiteľnému kontextu, nástup umelej inteligencie spôsobil nárast kvalitnejších podvodných správ, s ktorými má čoraz väčšie problémy aj skúsený IT profesionál.
Produkty spoločnosti ESET len za 6 mesiacov odhalili a zablokovali tri často sa vyskytujúce hrozby:

• Falošné prihlasovacie okno HTML/Phishing.Agent, ktoré sa e-mailom distribuovalo ako HTML príloha a po otvorení v prehliadači imitovalo služby Microsoft Office ako je Outlook či SharePoint.
• E-mail DOC/Fraud sextortion, v ktorom útočník predstieral vlastníctvo chúlostivej sexuálnej nahrávky obete a žiadal sumu 1 500 EUR v bitcoinoch, aby video nezverejnil, pričom podľa ESET zaznamenal tento útok až 277 % nárast.
• A phishing, zneužívajúci značku Slovenská pošta, kde e-mailová správa informovala o vymyslenom doručení balíka po vyplatení fiktívneho colného poplatku. Podvod sa objavoval tento rok až o 275 % častejšie a postúpil tak v rebríčku phishingových hrozieb o sedem priečok vyššie.

O kybernetických nástrahách a z toho vyplývajúcej dôležitosti vzdelávania a osvety v oblasti kyberbezpečnosti firiem sme hovorili so špecialistom spoločnosti ESET Júliusom Seleckým, ESET Senior Technical Pre-Sales Representative.

Július Selecký, Senior Technical Pre-Sales Representative, ESET

Kybernetická bezpečnosť firiem je dnes v rukách nielen IT administrátorov, ale aj zamestnancov a vedenia firmy. Prečo sú osveta a vzdelávanie v tejto oblasti tak dôležité?

Bezpečnosť firmy stojí na troch hlavných pilieroch: ľuďoch, technológiách a procesoch. O dôležitých bezpečnostných otázkach vo firme by mali byť informovaní všetci – od pomocného personálu až po vrcholový manažment a odolnosť celej firmy sa tým značne zvýši. Ľuďom vo firme treba venovať rovnakú pozornosť ako bezpečnostnému softvéru či hardvéru a politikám. Ich vzdelávanie sa neraz zanedbáva, pritom práve ľudia sú najčastejším vektorom útokov.
ESET svojich zamestnancov pravidelne interne školí napríklad aj v odhaľovaní podvodných phishingových e-mailov. Ak si pozrieme štatistiky, tak phishing, e-mail, ktorý sa snaží vylákať prístupové údaje alebo bankové údaje, je na popredných priečkach kybernetických hrozieb. Zamestnancov preto pravidelne testujeme odosielaním správ, ktoré sa tvária ako legitímne, avšak nie sú, a úlohou zamestnanca je podobnú falošnú správu odhaliť. Klientom zase ponúkame ESET tréning kybernetickej bezpečnosti, e-learningové kurzy, ktoré slúžia na všeobecné zvýšenie povedomia.

Kladú slovenské firmy dostatočný dôraz na kybernetickú bezpečnosť? Ako často je potrebné sa preškoľovať?

Život okolo nás je úzko naviazaný na informačné a komunikačné technológie a kybernetické incidenty oslabujú firmy, štát, respektíve celú ekonomiku a aj dôveru ľudí v tieto inštitúty. Bez posilnenia kyberbezpečnosti nie je možné napredovať, preto sa na ňu kladie stále väčší dôraz. Jednorazové školenie však veľký význam nemá, vzdelávať treba pravidelne, pretože ľudia potrebujú mať bezpečnosť stále na očiach, aby si ju zautomatizovali.

Vhodným formátom školenia je raz ročne základné, všeobecné školenie pre každého, kto vo firme používa PC. Plus počas roka potom ďalšie doplnkové školenia, napr. na jednotlivé témy IT bezpečnosti alebo zamerané na zamestnanecké role (IT administrátori, developeri, účtovné oddelenia, manažment atď.).

A najmä na čo by sa mali firmy v rámci vzdelávania zamestnancov v oblasti IT bezpečnosti zameriavať?

Spoločnosť vyvíjajúca softvér sa bude sústreďovať na bezpečný vývoj, sieť hotelov zase na prevenciu fakturačných podvodov, priemyselné zariadenie na bezpečnú obsluhu OT atď. Riadenie ľudských rizík firmy by malo pozostávať zo súhrnu aktivít založených na dátach individuálnej organizácie a na odbornej analýze rizík, nie z kontextu vytrhnutých a chaotických reakcií na aktuálne buzzwordy.
Školenie je však iba jedna časť vzdelávania! Druhá, ešte dôležitejšia, je praktická skúsenosť. Je dokázané, že teória bez praxe je nanič. Napríklad aj zamestnanci, čo počuli o podvodných e-mailoch a vedia, že obsahujú podozrivý odkaz, doň pri prvom teste napíšu svoje údaje. Alebo pracovníci, ktorí počuli o manažérovi hesiel a vedia, že je vhodné ho využívať, ale iba tretina z nich to reálne robí.

Ako teda vysvetliť vedeniu spoločností nevyhnutnosť IT bezpečnosti podniku?

Rovnako ako sa používa uzamykanie dverí, nastavenie alarmu a kamery na ochranu fyzického priestoru, je kybernetická bezpečnosť to isté, len v digitálnom svete. Ak som ešte neinvestoval do týchto virtuálnych zámkov, budem vyzerať akoby som uviazol niekde v minulom storočí. V mnohých prípadoch ale zaberie až nepríjemná osobná skúsenosť, pričom obeťami útokov sa stávajú nielen bežní zamestnanci, ale aj vrcholový manažment.

Nedávno si útočníci cez platformu LinkedIn vytipovali konkrétnu spoločnosť a zamestnancovi ponúkli atraktívnu pracovnú pozíciu, pričom ak sa o ňu chcel uchádzať, musel vyplniť test, ktorý mu poslali v určitom súbore. Keď ale súbor v práci otvoril, obsahoval nebezpečný škodlivý malvér a ten sa hneď po spustení dostal do firemnej siete, oskenoval ju, zistil koľko je zraniteľných počítačov a rozšíril sa ďalej. Týmto spôsobom sa útočníci dostali k firemným údajom. Keby bol dotyčný zamestnanec vyškolený, vedel by, že tento typ súboru nemá spúšťať na pracovnom počítači, ale v izolovanom priestore, a k podobnému incidentu by nedošlo.

Vieme teda pomenovať najväčšie súčasné kybernetické hrozby, na ktoré by si firmy mali rozhodne dávať pozor?

Prax ukazuje, že najčastejšie riziká, čo by malo zohľadniť aj vzdelávanie, sú sociálne inžinierstvo a phishing, neúmyselné úniky dát či slabé autentifikačné mechanizmy. Každý typ organizácie má iné riziká vyplývajúce z ľudského správania sa.

ESET na svojom informačno-vzdelávacom portáli Bezpecnevofirme.eset.com publikoval 10 najväčších kybernetických hrozieb, pričom na prvých priečkach sa umiestnili nástrahy ako nedôsledná správa firemných systémov, phishingové a iné podvodné správy, ransomvérové útoky a riziká spôsobené nárastom hybridnej práce. Pre bežných ľudí a domácnosti zriadil ESET portál Bezpecnenanete.eset.com.

Firmy často využívajú viacero rôznych serverov, ako napríklad poštový server, webový server, DNS, VPN ap. Ako ochrániť takéto zariadenia, resp. včas odhaliť ich slabiny?

Tu je dôležité implementovať systém na automatizované skenovanie zraniteľností, tzv. Vulnerability Assessment, ktorý aj ESET ponúka ako službu na ich vyhľadávanie a správu. Možno tak včas odhaliť slabiny v systémoch (serveroch), ktoré útočníci zneužívajú a snažia sa tak poškodiť firmu. Zákazník dostane správu s popisom zistených nedostatkov s ohodnotením ich závažnosti. Následne, po konzultácií s odborníkmi z ESET, odporučíme kroky na odstránenie zistených slabých miest. V tomto sa firmy môžu obrátiť aj na dedikovaného partnera ESET, akým je GAMO.

Tak, aby sa táto dodatočná vrstva ochrany dostala čo k najširšiemu počtu zákazníkov, rozhodli sme sa v ESET implementovať riešenie Vulnerability a Patch management aj do našich riešení na ochranu. Dokáže aktívne sledovať zraniteľnosti v operačných systémoch a bežných aplikáciách a umožňuje aj automatizované nasadenie záplat na koncových zariadeniach, ktoré sú spravované cez našu jednotnú platformu PROTECT.

Hybridná práca predstavuje po pandémii nový fenomén. Povedzme si ešte na záver niečo viac o hlavných rizikách, ktoré prináša.

Pre špecialistov na IT bezpečnosť ide o skutočnú výzvu. Hybridná práca, teda jeden deň práca v kancelárii, ďalší zas doma, so sebou prináša viaceré riziká ako sú problematická ochrana firemnej siete, zle zabezpečená sieť v domácnosti, či zlé zabezpečenie prístupov do firemných systémov z home-office. Vzniká tu aj vyššie riziko straty alebo krádeže zariadení, používanie súkromných zariadení na prácu, alebo vyššia pravdepodobnosť, že zamestnanec naletí phishingu. Pomôcť by mohlo napríklad šifrovanie celého disku na firemných zariadeniach, spoľahlivý bezpečnostný softvér na koncových zariadeniach s funkciou Anti-Theft, a opäť aj vzdelávanie zamestnancov.

Samozrejme, neexistuje nejaké 100 % riešenie, ktoré keď sa implementuje, tak môžete prehlásiť, že ste chránení. Väčšinou ide vždy o súbor komplexných opatrení, ktoré dokážu významnou mierou znížiť kybernetické riziká.