Úspěšnost hackerských útoků přes podvodné e-maily je 66 %. Nejslabším článkem je uživatel, varuje odborník na IT bezpečnost Lubomír Noga

Je pro hackera rozdíl, jestli útočí na větší nemocnici, nebo na menší ambulanci s jedním lékařem? 

Velikost ordinace či zdravotnického zařízení zpravidla nehraje roli, vždy se totiž útočí na nejslabší článek a tím je uživatel e-mailu. Tam se nachází až 90 procent všech problémů. Amatérští hackeři přitom útočí většinou plošně na firmy, zatímco profesionálové útočí už jen na skupinky anebo rozesílají konkrétní personalizované e-maily na jednotlivce.

Máte na mysli, že když mi přijde podezřelý, ale třeba pro mě i celkem běžný e-mail, ve kterém kliknu na odkaz, už se otevírá cesta pro napadení systému? 

Ano, říká se tomu phishing, kdy kybernetické útoky probíhají prostřednictvím klamavých a podvodných e-mailů a představují pro nás takové psychologické emoční spouštěče. Změnila se ale podoba. Dříve probíhal phishing tak, že se posílaly hromadné e-maily do davu a někdo se chytil. Dnes jsou takové e-maily personalizované (spear phishing – personalizovaný kybernetický útok). Jako hacker si o vás dopředu zjistím informace dostupné na internetu, obvykle na sociálních sítích, a přesně zacílím. Zjistím například, že máte bankovní účet u ČSOB, odkud vám také chodí na e-mail informace. Najednou vám přijde e-mail, že vám někdo hacknul (napadl) bankovní účet a vy musíte rychle převést peníze na jiné účty, abyste nepřišla o všechno. Takové e-maily vyžadující rychlou reakci bývají velmi úspěšné a v posledních měsících i časté.

Máte k dispozici nějaké statistiky?

Podle posledních průzkumů se 50 % organizací stalo v posledních  12 měsících cílem spear phishingu a 22 % organizací bylo v roce 2022 zneužito minimálně jedním e-mailem. Každá organizace obdrží denně až pět e-mailů tohoto typu a to je velmi vysoké číslo. Spamer přitom posílá průměrně 370 e-mailů z účtu, který nějakým způsobem zkompromitoval a využil a má tak i vaše údaje, jméno a cílí na vás s naléhavou žádostí. A při poslední analýze bylo při 50 miliardách e-mailů rozeslaných z 3,5 milionu e-mailových schránek odhaleno 300 000 e-mailů jako spear phishing. Je to sice jen 0,1 % z odeslaných e-mailů, ale úspěšnost činila 66 %.

Podobné zprávy chodívají i na firemní facebookové profily do schránky. Hrozí, že mi do 24 hodin zablokují profil, protože jsem porušila pravidla sociální sítě.

Ano, to je také jeden ze spouštěčů – časová lhůta. Identifikace, reakce a náprava e-mailové hrozby trvá organizaci v průměru 100 hodin, z čehož detekce představuje 43 hodin, reakce 56 hodin a zbytek nápravné opatření.

Jak se proti hackerským útokům chránit?

Jak lze těmto hrozbám předcházet?

Ten, kdo se zdravotnickému zařízení stará o IT, by měl zajistit víceúrovňovou ochranu e-mailů. Nestačí jen antispam. Například v České lékařské komoře používáme antispamový filtr Barracuda, který je při procesu zpracování první na řadě a odfiltrovává asi 70 % balastu, což je v řádu milionů e-mailů. To, co propustí, si pak bere na starost klientská stanice a základní antivirové řešení, jako například ESET, a konečné e-maily putují do e-mailového klienta, například Outlooku, kde ještě operuje integrovaná kontrola Microsoftu. Takto pracující efektivní víceúrovňovou kontrolu rozhodně doporučuji používat.

Obrázek: Statistika prvotního filtrování e-mailů systémem Barracuda, zablokováno 67 % příchozích e-mailů

Takže podobných hackerských e-mailů by ke mně nemělo v takovém případě dorazit moc. Jaké jsou další možnosti ochrany?

Další možností preventivní ochrany jsou tzv. sandboxy na e-mailových serverech, respektive na páteřních routerech. Ty pracují tak, že otevřou e-mail, jako by to udělal uživatel, otevřou nebo spustí přílohu a kontrolují přítomnost ransomwaru, který by vám mohl data zašifrovat nebo jakkoli ovlivnit vaše IT okolí. Pokud hrozbu nezjistí, e-mail vám doručí. Sandboxy jsou novinkou posledních let a moc se nevyužívají, což je podle mě škoda, protože by se tím zamezilo spoustě problémů, zejména zašifrování všech dat.

Proč nejsou tak využívané?

Protože se o nich příliš neví a stojí dost peněz. Každý rok je potřeba funkčnost licencovat. Hrozbu ale nepředstavují jen e-maily. Dalším typem phishingu je podvodné volání, kdy vám volám, jako bych byl bankéř z vaší banky, a zkouším na vás emoční nátlak, abyste mi prozradila heslo. Případně ještě existuje smishing, což je mix slov SMS a phishing – dostanete SMS s návodem „klikněte zde“, a jakmile tak učiníte, nasměruje vás to na podvodné stránky a už tím otevřením si můžete načítat kód, který je časem zneužitelný. Obzvláště na Androidu mají tyto podvodné SMS velkou účinnost.

Pomáhá si hesla pravidelně měnit, když většina napadení přichází z vnějšku? Přece jen je náročné si pak všechna hesla zapamatovat.

V principu existují dva směry, jakým způsobem na vás mohou útočníci útočit. Jeden je zvenčí a druhý zevnitř. Jakmile již u sebe máte nějakou infiltraci, tak začínáte negativně působit na organizaci zevnitř. Hesla přitom bývají velkým problémem, protože jsou často slabá. Lidé si je mezi sebou mnohdy i říkají, a ještě často své soukromé heslo používají i v práci. Nechtějí si pamatovat více hesel. V současnosti se navíc téměř všude vyžaduje minimálně 10 znaků včetně čísel a symbolů. Je to těžké. Běžně vídám hesla napsaná na lístečcích na stole, nebo když přijdu jako správce, uživatelé mi často sami od sebe heslo sdělí, například i do internetového bankovnictví.

Aby si člověk nemusel pamatovat tolik složitých hesel, existují dnes jejich správci, například i v rámci Googlu, který i sám nabízí silná hesla. Jak se díváte na tuto možnost?

Moc těmto platformám nedůvěřuji, protože opět předáváte své citlivé informace třetí straně, která sice šifruje, je certifikovaná, ale data má.
Zmínil bych ještě jednu zajímavost, a tou jsou dark weby, kde kolují stamiliony prolomených hesel a vy si sama můžete ověřit, zda se o vašem používaném hesle ví a jestli ho hackeři používají. Pokud totiž probíhá útok zvenku, tak prostřednictvím generátorů se hackeři zkouší přihlásit například na váš facebookový účet, aniž byste to věděla. Proto nejlepší ochranou je používání dvoufaktorového ověření, kdy vedle hesla máte ještě třeba Google Authenticator. Dnes již známou metodou je přístup do elektronického bankovnictví, kdy nestačí jen heslo, ale musíte potvrdit přihlášení ještě SMS nebo v aplikaci. I když jde o dost spolehlivou ochranu, tak zaprvé se mnoha lidem nechce dvoufaktorovým ověřováním zdržovat a zadruhé to také musí vyžadovat zaměstnavatel, respektive správce systému, což jsou opět další náklady navíc.

Co je tedy podle vás vedle toho nejlepší prevencí?

Úplně nejlepší prevencí je edukace a školení uživatelů. Ukazovat, vysvětlovat, jak útoky probíhají v jiných firmách. Účastníci školení jsou z těch příkladů někdy doslova v šoku. Může vám třeba přímo na vaše jméno přijít e-mail od vašeho kolegy z IT oddělení, který vás informuje o potřebě instalace nového VPN certifikátu, vy kliknete na odkaz, spustíte instalátor a malér je na světě. Podobné e-maily mají obrovskou účinnost.

Jak poznám, že e-mail není opravdu od vás, ale od podvodného IT specialisty? 

Obvykle to poznáte podle e-mailové adresy odesílatele, která se ale snaží být velmi podobná. Stejně tak e-maily z vaší banky. Mám tady dokonce dva printscreeny, kde uvidíte ten nepatrný rozdíl na vlastní oči.

Obrázek: Ukázka originální a podvodné stránky k přihlášení do bankovnictví u ČSOB. Působí velmi věrohodně, ale ve skutečnosti je rozdíl ve webové adrese. (Zdroj: prezentace Lubomír Noga)

Děláte test odolnosti uživatelů, jak moc dokážou případným hackerským útokům odolat?

Testy odolnosti uživatelů děláme, a právě podobné e-maily jsou součástí takového testu. Pošleme několik e-mailů a zjišťujeme, kolik z testovaných uživatelů zareaguje, s jakou úspěšnosti a jestli si například ověří instalaci certifikátu u administrátora nebo ne. Vhodné je také zajistit označení e-mailů, pokud jsou doručeny zvenčí, tedy mimo vaši organizaci.

A kolik procent test úspěšně absolvuje? 

Skoro nikdo. V záplavě e-mailů hodně lidí kliká bez rozmyslu a kontroly. Zvlášť pokud ještě nemáte osobní zkušenost s phishingem, resp. jeho důsledky.

Nepodceňte zálohování, ale i u něj lze udělat chyby

Jakou máte zkušenost, když už se některému z uživatelů něco takového stane, poučí se? Je opatrnější? 

Většinou je obezřetnější. Mám ale ordinace, kde přišli absolutně o všechno, o všechna data za posledních 20 let, protože útočník je zašifroval. Proto je důležitá odolnost uživatelů, pravidelný servis, jak aktualizace počítačů, notebooků nebo mobilů, tak i péče o aktivní síťové prvky. Dalším důležitým krokem je řešení záloh, které musí být oddělené od primární sítě. Protože bohužel když ransomware zašifruje celou síť, kde máte i zálohy, přijdete i o ně.

Kde tedy zálohy uchovávat? Disk, nebo cloudové řešení?

Jednou z možností zálohování pro malé ordinace je například provádět pravidelné zálohy na externí disk, který po zálohování uložíte do trezoru. Otázkou je, jak budete svědomití a vydržíte tuto činnost periodicky provádět. Cloudové řešení je také možné, ale nesmí být umožněn sdílený přístup ze sítě, která pak může být zašifrovaná a útočník se z ní dostane i do toho cloudu.
Nedávno ČLK ve spolupráci s Aliancí pro telemedicínu a digitalizaci zdravotnictví a sociálních služeb vypracovala průzkum mezi téměř 3000 lékaři a vyšlo z něj, že 20 procent lékařů neví, zda zdravotnickou dokumentaci v nemocnici zálohují, a celých 7 procent dokumentaci nezálohuje vůbec. Není asi snadné v nemocnici z hlediska pravidel dávat do počítače pevné disky k zálohování.

V nemocnici to samozřejmě nejde. Ta by měla mít vlastní zálohovací systém. V menších ordinacích to ale možné je a stačí si jen rutinně nastavit, že vždy v pátek odpoledne nebo v pondělí ráno budu zálohovat. Mnohokrát jsme pozváni k případům, kdy došlo k útoku a firmy či ordinace přišly o všechna data a při dotazu, kde mají IT odborníka, který by se měl o systém starat, zjistíme, že žádného takového člověka nemají. Kdybych to připodobnil k automobilu, tak zodpovědný řidič si zajede, například před dovolenou nebo aspoň jednou za rok, na servisní prohlídku. Podobné by to mělo být u počítačů a všech periferií. Jenže tady je spousta uživatelů zvyklých, že si koupí počítač a 10 let to nějak funguje. Doba je ale jiná a bez pravidelného servisu a odborného dohledu je to velmi rizikové.

Dokud se nic nestane, nic se nezmění

Častým argumentem bývá, že pravidelné zabezpečení systému je finančně náročné. Možná lidem chybí představa, na kolik přijde případný útok a ztráta dat, tedy porovnání rizik s náklady a výnosy. 

Většinou dokud se něco nestane, nic se nezmění. Nedávno jsme řešili jednu ordinaci, kde jim předchozí IT společnost nabízela nejrůznější možná řešení, ale odmítali. Jakmile ale pak došlo k útoku a veškerá data byla ztracena, byli okamžitě ochotni objednat cokoli. To je běžná praxe. 

Důležité je také nesdílet pracovní věci doma. Jakmile dopracujete, zavřete počítač a soukromé věci řešíte na jiném přístroji. Když navíc k počítači pustíte děti, máte zaděláno na další problém. Ony nevědí, co přesně dělají, a klikají i na věci, kam nemají. Ministerstvo zdravotnictví letos vydalo Kybernetickou příručku pro lékaře, obsahující 10 bodů, na které si dávat pozor. Tu příručku vřele doporučuji prolistovat.

Tuto příručku sdílela i Česká lékařská komora, ale jinak i na webu ministerstva zdravotnictví je dosti těžko k nalezení. Obecně mi přijde, že edukace tímto směrem dosti vázne. Vy sami pořádáte kurzy kybernetické bezpečnosti pro firmy. Zapojují se i ordinace?

Minimálně, spíše mám dojem, že to považují za nutné zlo. Není to ani povinné ze zákona, takže kybernetická bezpečnost pro ně tvoří okrajové téma. Často si řeknou: „Kdo by na nás útočil? My jsme malí, nezajímaví.“

Jaký je na to váš argument?

Finanční zisk útočníků. Průměrně požadují od 100 000 po miliony korun podle velikosti zdravotního zařízení, respektive organizace. Standardně přes e-mail uživateli pošlou nějaký prostředek, kterým zašifrují veškerá data. Pošlou odkaz, na který uživatel klikne. Ono se ale v ten daný moment zdánlivě nic neděje, tak si uživatel oddychne a pracuje vesele dál. Jenže hacker už se mezitím do systému narouboval a sbírá informace. Pak už jen záleží, jestli spustí zašifrování všech dat na klik, nebo automaticky prostřednictvím nastaveného programu. V ten moment uživateli přijde e-mail s částkou a číslem bitcoinového účtu, kam peníze poslat. Obvykle zároveň posílají vzorek dat, aby dokázali, že neblufují. Ani policie, ani Útvar pro odhalování organizovaného zločinu nedoporučují s útočníky vyjednávat, ale pokud přijdete o všechno, tak spousta ordinací nakonec požadovanou sumu zaplatí. Bohužel pravděpodobnost, že pak skutečně obdrží svá data zpět, je pouhých 50 %.

Není pak ale pro hackery vlastně výhodnější se zaměřit na menší zdravotnická zařízení a ordinace, protože je větší šance, že peníze dostanou?

Přesně tak, navíc se na těch menších subjektech obvykle učí.

Podíváme se nyní na takovou situaci více prakticky. Když už zjistím, že byl můj systém v ordinaci napaden a všechna data jsou zašifrována. Co bych měla jako první udělat? Na koho se obrátit?

Nejdříve doporučuji vše vypnout, kontaktovat vaši IT podporu a případně kontaktovat svého manažera kybernetické bezpečnosti. Následně posoudit, o jak velký bezpečnostní incident jde, zda došlo k narušení bezpečnosti informací, kontaktovat PČR. Povinnost hlásit kybernetické bezpečnostní incidenty Národnímu úřadu pro kybernetickou a informační bezpečnost (NÚKIB) se vás týká, pokud jste orgánem či osobou, která je správcem nebo provozovatelem kritické informační infrastruktury, významného informačního systému nebo informačního systému základní služby.

A vedle finančního zisku? Jsou i další motivační prvky?

Existuje ještě tzv. dark hacker, který to celé dělá pro zábavu a pro zviditelnění se. Když například napadli telekomunikační společnost Skylink z Ruska, nešlo jim primárně o výkupné, ale o diskreditaci a schopnost zablokovat na několik hodin skutečně velkou společnost s miliony klientů. Jsou také hackeři placení firmami, a to v rámci konkurenčního boje.

V kolika případech se podaří hackery odhalit? 

Pokud rozumíte celé infrastruktuře a systémům, můžete za sebou velmi snadno zamést stopy a jste velmi těžko dohledatelní. Není zde dostatečně početný expertní tým ani v Národním úřadu pro kybernetickou a informační bezpečnost, ani u Policie ČR, který by se této problematice aktivně celosvětově věnoval v potřebném rozsahu.

Statisíce útoků na web ČLK

Přesuňme se nyní k České lékařské komoře, kde jste na webové stránky nasadili nové bezpečnostní řešení Radware. Probíhalo zhruba tříměsíční testování. Jak dopadlo?

Z dat vyplývá, že útoky na web probíhají z celého světa a za poslední tři měsíce z celkem 240 000 událostí bylo 21 000 událostí zcela zastaveno.

O jaký typ útoku nejčastěji šlo? To lze také ze statistik vyčíst?

Útočníci zkouší vícero možností, přičemž nejčastější je klasický DDoS útok, kdy se vás snaží zastavit silou. Posílají na vás takové množství falešných a nevyžádaných požadavků, že daný systém, webovou stránku nebo síť přetíží. Pak jsou časté útoky typu OWASP, což funguje tak, že si vyberou webové stránky a pustí si skenery zjišťující jejich zranitelnost a jestli jsou některá data k něčemu využitelná. Další možností je využití vyhledávacího pole, přes které se vhodnou kombinací řetězce snaží dostat přímo do databází. Případně se snaží pomocí robotických programů vytěžit ze stránek informace o lékařích. Ve veřejně dostupných stránkách je uloženo téměř 50 000 lékařů a takovou databázi jen tak jednoduše neseženete a má svou cenu. I proto máme nastavené blokace, které zamezují opakovanému přístupu na stránku.

Proč jste se nakonec rozhodli pro tento nový Radware? Původní nestačil?

Útoků neustále přibývalo a už jich bylo příliš mnoho. Zdravotnictví je zajímavý obor, a kdyby došlo k diskreditaci České lékařské komory, nedělalo by to celospolečensky dobrý dojem. Navíc mnoho jiných spolehlivých řešení není. Letos došlo k velkému útoku na banky a obstála například ČSOB, která také využívá tento Radware. Je to víceméně unikátní světové řešení, a dokonce všechny ukrajinské informační weby jsou jím kryté. Ochrana je důležitá, a samozřejmě kdyby nejel pár dnů náš firemní web, tak se svět nezboří, ale pokud nejede několik dní bankovní systém, pak je to velký problém. 

Očekávané novinky přijdou s novelizací zákona o kybernetické bezpečnosti. Co bude zahrnovat a jaké konkrétní změny nás čekají? 

Především se sjednotí pohled na kybernetickou bezpečnost celoevropsky. Doposud se používají standardy decentralizovaně, každý stát si je vykládá tak nějak po svém a novelizace pravidla sjednotí. Samozřejmě svoji roli sehrají i prováděcí vyhlášky a v praxi to může vypadat zcela jinak. 

Máte tedy nějaké podrobnosti, jak novela dopadne na jednotlivé uživatele?

Spousta firem bude muset mít od roku 2025 kybernetické zabezpečení povinně, což teď nemají. Odvíjet se to bude od jejich velikosti a oboru. Mělo by se týkat celkově až 6000 subjektů. Na druhou stranu, času i IT expertů je málo a zavedení těchto opatření v praxi bude finančně nákladné, čeká nás zajímavé období.

Ing. Lubomír Noga, Ph.D., MBA (zdroj fotografie: užito se souhlasem Lubomíra Nogy)

Podnikatel, IT specialista a manažer kybernetické bezpečnosti s 26letou praxí, jednatel IT společnosti ISSA CZECH s.r.o., majitel Heřmanického pivovaru. Věk 48 let, ženatý, dvě děti.

Autorka: Pavlína Zítková

Foto: Shutterstock