Pavlína Volková, Regional Account Manager společnosti Trend Micro, výrobce IT bezpečnostních řešení:
„Útočník mohl být v síti delší dobu.“
Jak těžké může být dostat se do slovenské sítě GOVNET?
Dá se předpokládat, že to je velmi těžké. Je však třeba vzít v úvahu, že útočník má neomezené množství času a v podstatě neomezené množství zdrojů. Nedávno jeden z našich obchodních partnerů přirovnal situaci, ve které se nacházíme, k obraně hradu. My jsme uzavření v hradu a bráníme ho, ale máme omezené množství peněz, tudíž i obránců a zbraní. A samozřejmě v okamžiku, kdy dojde k útoku i velmi omezený čas. Útočníci oproti tomu mohou čekat a zkoušet různé typy útoků, nové zranitelnosti, na které není ještě patch, nepozornost nebo neznalost zaměstnanců, social engineering a další cesty. Nedá se počítat s tím, že jakákoliv organizace či instituce je zabezpečena tak, že se do ní nikdo nedostane, ale je třeba být připraven útočníka co nejrychleji odhalit a dopadnout. Samozřejmě mít aktualizované všechny systémy nebo používat nástroje, které síť zabezpečí ještě dříve, než patch výrobci operačních systémů a jiného softwaru vydají a než je možné je implementovat. A opět se dostáváme k tomu, že to mohou být i měsíce, kdy je v systému bezpečnostní „díra“, které je útočníkům již známá.
„S největší pravděpodobností se jednalo o cílený útok.“
Jak mohl útok probíhat?
Jak jsem již popsala, útok mohl být veden různými prostředky, to bychom pouze spekulovali. Ale i z vyjádření, které ministerstvo vydalo, to vypadá, že útočník uvnitř nějakou dobu byl. Cílené útoky tak obvykle probíhají a u takovéto instituce se o cílený útok s největší pravděpodobností jednalo. Je proto pravděpodobné, nikoliv jisté, že škodlivý kód byl uvnitř sítě delší dobu. Mohou to být i měsíce, než se aktivuje. Musí najít přístupy, dokumenty, které jsou cílem a pak také cestu cen. Musí postupovat pomalu, aby nebyl odhalen dříve než dokončí svou misi. To není na pár minut či hodin. Je třeba v síti mít zařízení, která monitorují abnormality a dokáží na ně reagovat a samozřejmě informovat i ostatní zařízení v síti, jako jsou například firewally, aby podezřelou komunikaci dokázali včas zastavit.
Jak složité je podobný útok vytvořit?
Složité to je nebo by alespoň mělo být. Na internetu lze za relativně malé náklady pořídit mnoho nástrojů, které mohou útočníkovi pomoci. A pokud využije neznámou zranitelnost, může to být i velmi rychlé a někdy i velice snadné. Záleží na prostředcích, kterými disponuje oběť a také na aktuální situaci a někdy i štěstí. Pokud má útočník dostatek informací o oběti a ta nemá například proškolené zaměstnance, stačí jedno odložené USB na parkovišti. Anebo to naopak může být práce na měsíce či roky. To je velice individuální.
„Útok hackera byl úspěšný. Otázkou je, do jaké míry.“
Byl útok úspěšný?
Dá se předpokládat, že ano. Už vzhledem k tomu, že Ministerstvo zahraničních věcí svolalo i mimořádnou tiskovou konferenci. Otázkou je, do jaké míry.
Co mohlo být cílem útoku? Co mohl útočník získat?
To by byly spekulace, ale všichni si umíme představit, že takováto instituce disponuje velmi citlivými a tajnými informacemi. Dle jejich vyjádření se jednalo útok z jiného státu. Války se v současné době nevedou jen na bitevních polích a špionáž už také získala jiná rozměr. Války, a nejen ty opravdové, ale i obchodní a politické, se čím dál tím častěji přesunují do kyberprostoru. Anebo jen jejich část, které je ale čím dál tím důležitější. Umíte si představit, jak by vypadal svět, kdyby Napoleon měl možnost si stáhnout se serveru římského císaře informace o jeho armádách a plánech?
„Aktualizovaný software i proškolení zaměstnanci.“
Jak se lze podobným útokům bránit?
Je především nutné minimálně snížit jejich pravděpodobnost. Je třeba v první řadě školit a testovat zaměstnance. V síti využívat nejnovější verze všech systémů i dalších SW, používat zařízení, které ochrání prostředí ještě dříve, než je výrobcem vytvořen patch, soustředit se na automatizaci bezpečnostních postupů. Získat přehled nad tím, co se v síti děje být schopen na to reagovat. Firmy i vládní organizace bojují s nedostatkem finančních prostředků, ale hlavně s nedostatkem lidí. Je čas začít využívat služby a servisy, které nabízí renomovaní výrobci bezpečnostních SW. Služby jsou garantované, nebolí je zuby ani nemají dovolenou, nejsou nemocné a nestane se, že je jiná firma přeplatí.