Máme vaše data, zaplaťte v bitcoinech. Jak probíhá reálný kyberútok a co vám hrozí
Kybernetickým bezpečnostním incidentům čelí stále víc podnikatelů, podle nejnovějšího barometru českého podnikatelského prostředí se s ním setkala téměř třetina mikro- a malých podniků (31 %). Právě ti nejmenší ale mají tendenci podceňovat zabezpečení. Co jim hrozí? Asociace malých a středních podniků přišla s konkrétním příkladem.
Povědomí o významu kybernetické bezpečnosti mezi českými podnikateli sice roste, často jí však nepřisuzují dostatečnou prioritu; jen 39 % dotázaných mikro- a malých podnikatelů uvádí, že jsou ochotni do zabezpečení své firmy investovat víc než 500 korun měsíčně. Vyplývá to už ze čtvrtého barometru podnikatelského prostředí, který vznikl v rámci programu Mastercard Strive.
Nejvíc se podnikatelé obávají ztráty dat, což uvádí hned 54 % dotázaných. Druhou největší obavou je krádež identity a osobních údajů (44 % podnikatelů). „Ale deset procent dotázaných se kybernetických hrozeb neobává vůbec. To je pro nás dost alarmující, protože 31 % už kybernetický incident zažilo,“ komentuje výsledky vedoucí výzkumu Jana Fišerová z CARE Česká republika.
Podceňovat hrozby podle ní mají zejména podniky, které útok ještě nezažily. Odpovídá tomu i výše investic do zabezpečení, které zůstávají velmi nízké: 42 % mikro- a malých podniků je ochotných do kybernetické bezpečnosti investovat maximálně 500 korun měsíčně, 11 % uvádí limit na dvou tisících korun a pětina dokonce nechce do zabezpečení investovat vůbec.
„Podnikatelé si stále více uvědomují, že zabezpečení je nedílnou součástí jejich podnikání. Přesto mnozí zatím nedoceňují plný rozsah rizik ani možnosti, jak se jim efektivně bránit,“ říká ale přesto Jana Lvová, generální ředitelka společnosti Mastercard pro Česko a Slovensko.
Běžné podvody i vydírání
Fišerová dále dodává, že ochotnější investovat do zabezpečení jsou firmy, které už nějakému útoku v minulosti čelily. „Dosavadní vývoj naznačuje, že se podniky budou s hrozbami setkávat stále častěji. Frekvence kybernetických útoků totiž dlouhodobě stoupá,“ konstatuje.
Do celkového počtu útoků se podle ní zahrnují běžné podvody typu falešných faktur, podvodných snah o vylákání citlivých bankovních údajů, ale i sofistikované kybernetické útoky. Jak takový útok na běžnou malou firmu může vypadat, přiblížila při představení průzkumu Eva Svobodová, generální ředitelka Asociace malých a středních podniků a živnostníků ČR.
„Jde o případ strojírenské firmy z jižní Moravy. Má zhruba 65 zaměstnanců, není ničím neobvyklá, nedluží, podniká eticky, a má zdravé a dlouholeté vztahy i se svými zaměstnanci. Jednoho pondělí přišli do práce a zjistili, že se jim ztrácejí soubory a všichni mají na obrazovce oznámení, že byli napadeni a mají 24 hodin na reakci,“ uvádí s tím, že firmy se takovými incidenty samozřejmě nechtějí chlubit, a proto jméno společnosti nemůže uvést.
S firmou se následně přes chat spojil útočník, který ji informoval, že veškerá její data – a to včetně těch, které má u dodavatele IT systému – byla zašifrována. „Pokud prý do 24 hodin nezareagují, útočník data zveřejní nebo je prodá.“ Nastala velká panika, protože zatímco firmy běžně mají evakuační plány, plány pro případ kybernetického útoku často zcela chybí.
Právě tak to bylo i v tomto případě. „Začali hledat kontakty a narazili na platformu sdružující takzvané etické hackery. Jenže ti byli samozřejmě vytížení,“ líčí Svobodová. Na odborníka čekali celé dva dny. Po tu dobu dál komunikovali s útočníkem, ale firma byla paralyzována. „Výpalné se běžně pohybuje na úrovni deseti až patnácti procent ročního obratu, což je dost peněz.“
Uzavřete rejstříky
Eva Svobodová během představení průzkumu upozornila na nešvar českého obchodního rejstříku, ve kterém jsou veřejně dostupné účetní závěrky firem. Ty se kvůli tomu stávají pro hackery snadnou kořistí. „Jako asociace to říkáme už spoustu let, a bohužel marně: že není dobré účetní závěrky firem mít ve veřejném rejstříku. Dlouhá léta říkáme, že by obchodní rejsřřík měl mít neveřejnou část, kde by tato data mohla být k dispozici pro případ, že mám oprávněný zájem je znát,“ říká s tím, že volně dostupná data hackerům slouží k tomu, aby snadno zjistili, jak na tom konkrétní firma je. „Podnikatelé se tam – v uvozovkách - vysvlíknou do naha a hackeři mají data jak na stříbrném podnose,“ uvedla Svobodová s tím, že dosavadní snahy narážejí na argument ministerstva spravedlnosti, že by taková úprava rejstříku byla příliš nákladná.
„S hackery se dá sice vyjednávat, ale má to své limity. Tato firma začala u výzvy na úhradu deseti tisíc dolarů (asi 220 tisíc Kč, pozn. red.), případně adekvátní částky v bitcoinech. Nakonec zaplatila osm tisíc dolarů (asi 175 tisíc Kč),“ dodává Svobodová s tím, že jinou možnost firma neměla.
Jak zabezpečit firmu
Pozitivní stránkou popsaného incidentu podle Svobodové bylo, že útočník odkryl karty, jak na danou firmu přišel; cesta podle něj vedla skrze externí účetní. Zásadní proto podle ní je dbát alespoň na základní bezpečnostní pravidla, jako jsou silná hesla, maximální využívání dvoufázových ověření a pravidelné aktualizace softwaru (pozor: Konec podpory Windows 10 se blíží, v ohrožení jsou statisíce firemních počítačů).
„A taky maximálně omezit přístup přes vzdálené plochy. Musíte si také umět ocenit vaše data: co se stane, když ztratíte týdenní, měsíční data, a co to pro vás znamená. A v dané frekvenci svá data také zálohovat na externí disk a ten bezpečně uložit pod zámek. A když už útok nastane – což zjistíte poměrně rychle – nejjednodušší a nejrychlejší obrana je vyškubat všechno ze zásuvek.“
Problém ale je, že nejčastěji takové útoky probíhají o víkendu, kdy jsou provozy přirozeně omezené. I proto je důležité školit zaměstnance, protože v lidech se často skrývá největší bezpečnostní „díra“. Následně je ale potřeba jejich obezřetnost i testovat. „A to ideálně v době, kdy jsou vytížení, dokončují nějaký projekt, jsou pod tlakem – tehdy se nejvíc chybuje.“
Výsledkem uvedeného příkladu napadení také podle Svobodové je, že některé výrobní firmy už oddělují administrativu od výroby a budují dvě na sobě zcela nezávislé sítě. „Aby to nepostihlo celou firmu,“ dodává Svobodová s tím, že součástí zabezpečení firem dnes může být například i pojištění kybernetických rizik.
Kybernetická bezpečnost je pro tisíce firem tématem číslo jedna nejen kvůli rostoucímu počtu útoků, ale také vzhledem k chystané regulaci v podobě evropské směrnice NIS2. Ta se do české legislativy propíše skrze nový zákon o kybernetické bezpečnosti, který se se dotkne až deseti tisíců firem a institucí. Ty nově budou muset hlásit bezpečnostní incidenty Národnímu úřadu pro kybernetickou a informační bezpečnost (NÚKIB) pod hrozbou vysokých pokut.
🔐 Co vám hrozí, když podceníte NIS2?
Směrnice NIS2 se týká tisíců českých firem a institucí – a její dopady budou větší, než se zdá. Pokud už brzy nechcete být tím, kdo zůstane stát s prázdnou tabulí u auditu, připravte se včas.
👉 Podívejte se na speciál Finmagu:
Praktické rady, přehled povinností, rozhovory s odborníky i chytré tipy, jak na NIS2 bez paniky.
Zaujali jsme vás? Pokračujte...
Změna větší než GDPR. Koho se týká směrnice NIS2 a jaké hrozí sankce?
Neuniká vám něco? Nová regulace s obrovským dopadem se blíží, hrozí milionové sankce
NIS2 není jen nutné zlo, ale pomoc nám všem. Náš čas začít konat se krátí, varuje šéf NÚKIB
Nový Finmag právě na stáncích. Podnikatelské příběhy i speciál k NIS2
V čase, kdy se se zdá, že nic už není tím, co bývalo, neztrácejí optimismus. Chuť vymýšlet a podnikat by mohli rozdávat. Příběhy, které určitě stojí za to znát.
Zdroj: FinmagBYZNYS JE UMĚNÍ
Jan Nepomuk Langhans byl mladý a nezkušený venkovan, brzy ale vybudoval největší fotografický ateliér v Praze. • Ondřej Kuchař vedl největší jazykovou školu, dnes spoluvlastní pekárnu Zrno zrnko a 10 kaváren a bister v Praze. • Podnikatelské příběhy dělí 140 let, mají ale mnohé společné.
BYZNYS JE TAKY VĚDA
Žijeme v nové éře (kyber) bezpečnosti. • Jak se ubránit útokům hackerů? • Proč jsou malé firmy nejzranitelnější? • A jak se směrnice NIS2 zapíše do české legislativy i do podnikání tisíců firem?
Další články autora
Související témata
Související články
Nejčtenější články
Aktuální číslo časopisu
Nový Finmag právě na stáncích. Podnikatelské příběhy i speciál k NIS2
