Čo sa môže stať, ak nemáte chránené systémy podľa zákona o kybernetickej bezpečnosti
Hackeri sa dokážu nepozorovane pohybovať v nezabezpečených systémoch aj mesiace. V prípade, že využijú vašu zraniteľnosť, môžete prísť o veľa – peniaze, reputáciu aj klientov.
Nemocnica v Nitre čelila pred dvomi rokmi hackerom, ktorým sa podarilo infikovať počítače vírusom „WannaCry“. Išlo o ransomware, teda vírus, ktorý za odblokovanie údajov požadoval výpalné. Nemocnici trvalo niekoľko dní, kým sa jej podarilo počítače opätovne naštartovať. Začiatkom roka 2019 ich informačné technológie opäť podľahli. Vedenie síce odmietlo, že by išlo o hackerské útoky, priznali však, že ich server napadol počítačový vírus. Nemocnica sa bránila, že spravila všetko pre to, aby útokom zabránila a dala nainštalovať najnovší antivírový program. „Antivírový program je potrebný. Zastaví veľa útokov, ale stále je priveľa takých, ktoré tieto programy neuvidia,“ upozorňuje Pavol Draxler, bezpečnostný analytik Binary Confidence. Nemocnica tak môže prísť o dáta pacientov, ale taktiež môže byť pozastavená prevádzka dôležitých prístrojov.
Smernica NIS (smernica Európskeho parlamentu a rady o opatreniach na zabezpečenie vysokej spoločnej úrovne bezpečnosti sietí a informačných systémov v Únii), respektíve zákon o kybernetickej bezpečnosti má za cieľ zabrániť práve takýmto problémom. Stanovuje požiadavky na technické zabezpečenie, ktoré musia splniť firmy či inštitúcie zabezpečujúce citlivé údaje alebo služby pre plynulý chod domácností, firiem či krajiny.
Svoje o tom vie aj dodávateľ energií
V roku 2015 čelil útokom hackera ukrajinský dodávateľ energií Kyivoblenergo. Zamestnancom firmy rozposlal mailom škodlivý dokument, cez ktorý sa nabúral do internej siete. Až šesť mesiacov sa mu podarilo nepozorovane pohybovať vo vnútri a naučiť sa ako funguje prostredie, vďaka čomu mohol spraviť viacstupňový útok. Naučil sa komunikovať so systémom pre správu dokumentov (DMS systém) a napísať vlastný škodlivý firmware.
Nedošlo síce k žiadnemu blackoutu, ale útočníkovi sa podarilo dostať k zoznamu infraštruktúry a klientov. Firma nemala žiadne komponenty na monitorovanie bezpečnosti, pričom im chýbal aj dostatok špecialistov vo vnútorných radoch.
Ak by spoločnosť zaviedla kontrolné mechanizmy na každej vrstve ochrany digitálnej infraštruktúry (použila by aktívny bezpečnostný monitoring), útočníci by boli zastavení oveľa skôr. Ochrana cez všetky vrstvy zabezpečenia dát môže zabrániť alebo minimalizovať poškodenie aj v takých citlivých prípadoch.
Takto to na vás doľahne, ak sa nezabezpečíte
Presne vyčísliť dopady hackerského útoku nie je jednoduché. Tie sa totiž môžu prejaviť postupne. Ak má podnik zničenú reputáciu, môže mať problémy so zháňaním klientov. K finančným dopadom treba zarátať aj možné žiadosti o finančné odškodné, ak v dôsledku hackerského útoku dôjde k znefunkčneniu ďalších firiem. Napríklad v prípade výpadku elektriny na dlhšie obdobie, kedy nebudú postačujúce záložné generátory (ktoré podľa NIS či zákona o kybernetickej bezpečnosti musia mať všetky firmy poskytujúce základné služby), môže prísť k zastaveniu výroby.
Ak zaútočia hackeri na tepláreň, môžu ľudí na dlhšie obdobie odstaviť od tepla. Stať sa to môže v prípade, že zničia technológie, odstavia senzory kotlov, ktoré sa následne pretlakujú, pričom výmena tlakových ventilov môže trvať aj niekoľko dní.
Prečo je outsourcovanie finančne výhodnejšie
Ukrajinská elektráreň dala odpoveď na to, prečo nie je dobré kúpiť si iba jeden produkt a nechať sieť bez ďalšieho zabezpečenia. Až šesť mesiacov sa hacker pohyboval v internej sieti bez toho, aby si ho ktokoľvek všimol. Na to, aby bola firma bezpečná, musí mať celý súbor opatrení, vrátane technológií a vyškolených ľudí, ktorí bdejú nonstop 24 hodín sedem dní v týždni. Mať však takýto tím na interný pracovný pomer je veľmi nákladné.
Zákazník s 5000 konfiguračnými položkami, ktorý si zakúpi produkt na manažovanie bezpečnostných informácií a udalostí (SIEM) zaplatí za ročnú licenciu 80-tisíc eur. Na to, aby zabezpečil nonstop monitoring vo vlastných radoch by potreboval 15 analytikov, čo by ho vyšlo na ďalších 580-tisíc eur ročne. Celkové náklady by tak mal na úrovni 660-tisíc eur.
Outsourcovanie týchto služieb prináša úsporu aj viac ako 80 percent ročne. „Konečná suma, ktorú by takýto zákazník u nás zaplatil, by bola 70-tisíc eur ročne,“ konštatuje Pavol Draxler z Binary Confidence.
Dôvodom je, že firma využíva odborníkov pre viacerých klientov, ktorí sa na jeho plat zložia.
Okrem toho je tu ešte jeden aspekt, ktorý hovorí za externé služby. Špecialisti, ktorí sa venujú veľmi úzko špecializovanému prostrediu a nemajú pravidelné tréningy, začínajú mať po čase problém s udržaním kvality. „Naša spoločnosť disponuje tímom TOP kvalitných expertov s mnohoročnými skúsenosťami pre vysoko odborné a náročné bezpečnostné projekty pre korporácie, Európsku úniu a národnú bezpečnosť.
Naša služba spočíva v zapojení zariadení (serverov, routrov, firewallov, IDS/IPS, SIEM a pracovných staníc) a odosielania logov z nich do SOCu. Vďaka tomu dokážeme hlásiť útoky na webové aplikácie, phishingové útoky v rôznom štádiu, krádež dát insidermi, porušenie bezpečnostnej politiky firmy a podobne.
Ako si zabezpečiť NIS, respektíve povinnosti podľa zákona o kybernetickej bezpečnosti
⦁ V prvom rade sa treba prihlásiť do registra prevádzkovateľa základnej služby.
⦁ Do dvoch rokov od zaradenia do zoznamu treba vybudovať a udržiavať informačnú bezpečnosť.
⦁ Ako prvé naši experti vykonajú analýzu technickej a procesnej pripravenosti vášho prostredia na súlad s bezpečnostnými štandardami. Spoznajú tak jeho slabé miesta, ktoré treba odstrániť.
⦁ Na základe analýzy medzier vypracuje naša spoločnosť postup opatrení, procesov a technológií, ktoré je potrebné implementovať. Podľa priorít zabezpečujú naši experti na jednotlivé oblasti zosúladenie so štandardami.
⦁ Po implementácii je potrebné prejsť auditom, ktorý potvrdí zhodu úrovne bezpečnosti s nariadením NIS a národnou legislatívou. Audit podľa národnej legislatívy robí poverená zodpovedná osoba, ktorú určí úrad.
⦁ Firmy musia monitorovať a hlásiť bezpečnostné incidenty zodpovedajúcej autorite podľa národnej legislatívy, a to buď národnej jednotke alebo zodpovedajúcemu rezortnému CSIRT tímu (tím pre krízovú reakciu). Na Slovensku je to Národný bezpečnostný úrad. Incident treba okamžite nahlásiť.