Aj malé zanedbanie bezpečnosti môže zapríčiniť nemalé problémy. Kyberzločinci sa dnes vedia dostať k akýmkoľvek informáciám, a to pri všetkých typoch firiem.
Úniky dát sú častejšie a nebezpečnejšie ako sa môže na prvý pohľad zdať. Podľa informácií portálu Social Media Today, ktorý sa zaoberá udalosťami v oblasti sociálnych médií, došlo od roku 2013 k úniku takmer 14 miliárd dátových záznamov. Nejde však len o útoky na veľké celosvetové firmy.
Dôkazom je aj najnovší prieskum globálnej kyberbezpečnostnej spoločnosti Kaspersky, do ktorého bolo zapojených 1 138 spoločností s počtom do 49 zamestnancov. Výsledok ukazuje, že obeťou úniku dát sa stalo až 36 % z týchto podnikov, pričom oproti minulému roku ide až o 6 % nárast. A aj keď môže takáto situácia firmám skutočne ublížiť, prieskum dokázal, že ani tretina zo všetkých zúčastnených nemala dostatočné bezpečnostné opatrenia.
Motiváciou útoku na dáta nemusia byť len peniaze
Firmy si často neuvedomujú, k čomu všetkému sa môžu hackeri dostať. Bezpečnostný konzultant spoločnosti Soitron Michal Šimkovič upozorňuje, že kyberzločinci môžu získať všetky informácie, ktoré sú bežne zdieľané s tretími stranami. Môže ísť o základné údaje ako mená, priezviská, telefónne čísla či mailové adresy, no nie je problém zistiť aj heslá a čísla kreditných kariet. V riziku sa podľa neho nachádzajú už aj PIN kódy, odtlačky našich prstov či tvárová biometria.
Motív útoku na firmu je väčšinou jednoznačný - obohatenie sa. Získané dáta môžu kyberzločinci jednoducho predať na „dark webe“ alebo ich zneužívajú v mene obete.
„Veľké kyberzločinecké skupiny si nechávajú platiť za sabotáže, špionáž, zničenie konkurencie,“ informuje Šimkovič. Motiváciou sa však podľa neho môže stať aj politický názor, či ľudsko-právne a environmentálne pohnútky útočníkov. Získané informácie sa potom snažia využiť na šírenie svojich názorov, viery a ideológie.
Hackeri využívajú vaše „slabosti“
Za únikmi dát stoja väčšinou kyberzločinci, no v niektorých prípadoch môže ísť aj o chybu v systéme. Prekvapiť však môže fakt, na ktorý poukazuje Social Media Today. Podľa nich má každý štvrtý únik na svedomí práve zamestnanec danej firmy. Forma útoku a aj samotná príprava sa teda líšia podľa toho, kto za týmto činom stojí.
„Je iné, ak útočník pracuje v danej spoločnosti, pozná IT infraštruktúru, ľudí, procesy, ako keď je útočník alebo skupina operujúca mimo danej spoločnosti. Pravidlo, ktoré však platí je, že čím viac informácií majú k dispozícii, tým efektívnejšie dokážu samotný útok pripraviť,“ informuje Šimkovič.
Kyberzločinci sa zameriavajú najmä na „slabé miesta“ manažérov či majiteľov firiem. Ide napríklad o ich slabé povedomie či pripravenosť. Využívajú však aj dôverčivosť tých, ktorí bez problémov kliknú na odkaz alebo prílohu v mailoch, ktoré majú zaujímavý obsah alebo sú podobné bežným správam od zamestnancov, dodávateľov či odberateľov.
Príprava útoku síce môže trvať mesiace, najmä ak ide o snahu ukradnúť dáta veľkej svetovej spoločnosti. No potom už nie je problém preniknúť do siete v priebehu pár minút. Existujú rôzne taktiky, ktoré sa na získanie dát využívajú, ako napríklad phishing alebo spear phising. Viac sa o nich dočítate v článku Kybernetické hrozby v podnikaní – aké sú a ako im predísť?
Od krádeží papierov po hacknutie elektrárne
Krádeže dát sa netýkajú len digitálnych údajov v čase moderných technológií. O ich úniku sa dalo hovoriť aj v období pred internetom, keď boli odcudzené dokumenty z kancelárií, či kufríky s dôležitými informáciami.
Podľa Šimkoviča sa však prvá väčšia krádež údajov uskutočnila v roku 1995, kedy sa skupinke hackerov s názvom Phreaks pomocou phishing podarilo získať heslá užívateľov, v tej dobe najväčšieho poskytovateľa internetového prístupu American Online (AOL).
„Následne vytvorili algoritmy, ktoré náhodne generovali čísla kreditných kariet, čo im vo veľkom počte umožnilo prístup k účtom užívateľov. Na zjednodušenie a zefektívnenie celého procesu vytvorili a použili program AOHell. Následne tieto účty zneužili na „spam“ a inú záškodnícku činnosť.“
Následky tejto udalosti našťastie neboli také rozsiahle, ako by mohli byť dnes. Spoločnosť však prijala nové bezpečnostné opatrenia a potrebu ochrany si uvedomili aj iné firmy.
V tomto období bolo hlavným cieľom hackerov len záškodníctvo, znepríjemňovanie používania internetu alebo poukázanie na chybné systémy. Útoky sa však menili v priebehu ďalších rokov s príchodom digitalizácie dát a vývojom novej technológie.
„Podľa svetového ekonomického fóra (World Economic Forum) patria kybernetické útoky medzi top 3 hrozby pre celosvetovú stabilitu,“ informuje Šimkovič. Tvrdí, že dnes už vďaka vyspelej technológii nie je problém hacknúť čokoľvek. Napríklad aj elektráreň.
Tri úniky dát, ktoré sa zapísali do histórie
- Pravdepodobne najväčších únikov dát sa dodnes považuje prípad spoločnosti Yahoo. Hackeri sa v roku 2013-2014 dostali k údajom až 3 miliárd užívateľov tejto služby. Odcudzené boli mená, e-mailové adresy, heslá, dátumy narodenia, telefónne čísla a bezpečnostné otázky aj s odpoveďami. Jej trhová hodnota tak klesla až o 350 miliónov dolárov.
- Do veľkých
problémov sa dostala aj spoločnosť Anthem, Inc., ktorá je druhým najväčším
poskytovateľom zdravotného poistenia v USA. 4. februára 2015 sa hackeri
dostali na jej servery a získali 37,5 miliónov záznamov s osobnými
údajmi. O necelé tri týždne už spoločnosť informovala, že hackerský útok
môže mať dopad až na takmer 80 miliónov zákazníkov.
Za útok mala byť zodpovedná skupina hackerov z Číny s názvom Deep Panda. Jej členovia využili formu phishingu. Vytvorili falošnú stránku s názvom we11point.com, ktorá bola podobná bývalému menu spoločnosti - Wellpoint. Následne rozposlali e-maily piatim zamestnancom, ktorí si mysleli, že sa prihlasujú do skutočnej stránky spoločnosti. Vďaka tomu sa útočníci dokázali dostať do jej systému a obohatili sa o osobné údaje zákazníkov od mien, e-mailových adries, dátumov narodenia, až po čísla poistenia, informácie o zamestnaní a výške príjmov. V roku 2017 spoločnosť zaplatila 115 miliónov dolárov ako odškodné v rámci hromadnej žaloby za únik dát. - Pravdepodobne najväčším zisteným kyber útokom v histórii v USA je séria útokov pomenovaná podľa jednej skupiny hackerov z Ruska a Ukrajiny. Útočníci sa počas rokov 2005-2012 zameriavali na banky a firmy, medzi ktoré patrí 7-Eleven, JetBlue, či Nasdaq. V tomto období sa im podarilo získať údaje o 160 miliónoch kreditných kariet, ktoré potom predávali na čiernom trhu.
Ceny, za ktoré sa tieto informácie dali kúpiť boli odlišné podľa pôvodu karty - najlacnejšie boli americké (10 dolárov), nasledovali kanadské (15 dolárov) a najdrahšie boli karty z Európy (až 50 dolárov), pretože mali najvyššiu mieru zabezpečenia - bezpečnostný čip. Spoločnosť ESET uvádza, že tieto útoky spôsobili dokopy škody vo výške 300 miliónov dolárov.
IT bezpečnosť by nemali podceňovať ani slovenskí podnikatelia
Domnienka, že Slovensko kyberzločincov nezaujíma, už Dávno to už neplatí. Michal Šimkovič upozorňuje na štatistiky vládnej jednotky pre riešenie počítačových incidentov v Slovenskej republike (CSIRT.sk), ktoré dokazujú, že už v roku 2015 bolo evidovaných 1 459 000 hlásení o možnej škodlivej aktivite z IP adries v SR.
V celosvetovom trende sa počet kybernetických útokov zvyšuje a rovnako to platí aj na území Slovenskej republiky. Zároveň v štatistikách sú len zistené kybernetické útoky, reálny počet môže byt niekoľkonásobne väčší.
S tvrdením, že slovenskí podnikatelia by nemali podceniť bezpečnosť, sa stotožňuje aj spoločnosť Hacktrophy, ktorá sa zaoberá bezpečnosťou webových stránok a aplikácií. Tá uvádza, že až 44 % organizácií na tomto území už má skúsenosť s kybernetickým útokom.
Šimkovič ešte dodáva: „Veľkému riziku vystavené aj malé a stredné firmy, webové portály a priemyselné podniky z dôvodu slabej alebo žiadnej vedomosti na strane zamestnancov, ako aj vedenia jednotlivých spoločností. Keď k tomu pridáme minimálne alebo žiadne technické zabezpečenie, otvára sa tu obrovský priestor pre kyberkriminalitu.“ Takýmto spôsobom môžu prísť o nemalé peniaze a ročné úsilie aj malé či rodinné firmy.
Za najnebezpečnejšie považuje práve fakt, že aj dnes mnoho top manažérov, riaditeľov a majiteľov firiem neprikladá kybernetickej bezpečnosti dostatočnú pozornosť a podceňujú jej komplexnosť. Inšpirovať sa a zistiť, ako si svoju firmu dostatočne zabezpečiť môžete v článku Ako sa chrániť pred kyberhrozbami? Antivírus nestačí.
Tento článok vznikol v spolupráci s projektom Kry-sa, ktorý zvyšuje povedomie v oblasti internetovej bezpečnosti. Viac informácií o možných rizikách na internete a o tom, ako sa pred nimi chrániť nájdete na stránke www.kry-sa.sk.