facebook LinkedIN LinkedIN - follow
IT SYSTEMS 3/2021 , Banky a finanční organizace , IT Security

Ransomware v sektoru finančních služeb

Vanover Rick, Martin Štětka


RansomwareOdvětví finančních služeb je dnes pro počítačové zločince lákavým cílem. Je pravděpodobné, že informace o finančních, bankovních, obchodních a penzijních fondech spotřebitelů jsou dnes jedním z nejdůležitějších údajů, které organizace uchovávají. Pro odvětví finančních služeb je proto obrovsky důležité tato data správně chránit a zabezpečit. Neúspěch na této frontě by měl za následek nepředstavitelné poškození reputace společnosti a ohromné finanční náklady.


Ze Zprávy o stavu kybernetické bezpečnosti České republiky za rok 2019 Národního úřadu pro kybernetickou a informační bezpečnost vyplývá, že český bankovní sektor je poměrně dobře zabezpečený, i když zde stále existují rozdíly ve vyspělosti jednotlivých finančních institucí, především ve smyslu ochrany proti pokročilým kybernetickým hrozbám. Za největší zranitelnost v bankovním sektoru v roce 2019 NUKIB identifikoval samotné uživatele bankovních služeb ve spojitosti s neschopností identifikovat phishing.

Zpráva však zmiňuje i obecnou hrozbu v podobě ransomwarových útoků, se kterými, nebo pokusy o ně, se setkalo 32 % šetřených organizací, přičemž čtvrtina jej hodnotí jako nejzávažnější, závažný nebo středně závažný typ útoku. NUKIB označuje kyberkriminální aktivity využívající malware, který zablokuje přístup k datům a žádá výkupné, v roce 2020 a 2021 téměř jistě (pravděpodobnost 90–100 %) za jednou z nejvýznamnějších hrozeb.

I když je ransomware neuvěřitelně složitý a pro organizace představuje obrovskou odpovědnost, existují kroky, které lze podniknout ke zmírnění rizik od samého počátku.

Pochopení hrozby

Mezi hlavní vstupní body ransomwaru do jakékoli firmy patří protokol RDP (Remote Desktop Protocol) nebo jiné mechanismy vzdáleného přístupu, phishingové e-maily a zranitelnosti softwaru. Když si uvědomíme, že se jedná o tři hlavní mechanismy, velmi to pomůže při zaměření oblastí, kam investovat největší úsilí pro získání odolnosti proti vektoru útoku.

Většina IT administrátorů používá RDP při své každodenní práci a mnoho RDP serverů je připojeno přímo k internetu. Skutečností je, že k internetu připojené RDP je nutné zastavit. Správci IT mohou být kreativní při vytváření speciálních IP adres, přesměrovávání RDP portů, ve složitosti hesel atd., ale data jasně hovoří o tom, že více než polovina ransomwaru přichází prostřednictvím RDP. To nám říká, že vystavení RDP serverů do internetu není v souladu se strategií odolnosti proti ransomwaru, která myslí na budoucnost.

Dalším častým způsobem průniku jsou phishingové e-maily. Všichni už jsme viděli e-mail, který vypadal podezřele. Správné je takovou zprávu rovnou smazat. Společně s tréninkem, který zaměstnancům pomůže identifikovat phishingové e-maily nebo odkazy, mohou být nástroje na sebehodnocení účinným způsobem obrany první linie.

Třetí oblastí, která vstupuje do hry, je riziko zneužití zranitelností. Udržovat systémy v aktuálním stavu je prastarou odpovědností IT oddělení, která je dnes důležitější než kdy dříve. I když to není atraktivní úkol, může se rychle ukázat jako dobrá investice, pokud by ransomwarový incident zneužil známou a opravenou chybu v zabezpečení.

Zálohování dat

S takto vysokým rizikem se organizace v odvětví finančních služeb musí také připravit na nejhorší scénář a zajistit si ultra-odolné zálohovací úložiště. Pro obecnou strategii správy dat je dobrým výchozím bodem pravidlo 3-2-1, které doporučuje, aby existovaly alespoň tři kopie důležitých dat na alespoň dvou různých typech médií, přičemž alespoň jedna z těchto kopií by se měla nacházet mimo podnikovou síť. Nejlepší na tom je, že toto pravidlo nevyžaduje žádný konkrétní typ hardwaru a je dostatečně univerzální pro řešení téměř jakéhokoli scénáře selhání.

Neplaťte výkupné

I přes tyto techniky musí být podniky stále připraveny napravit následky hrozby, které se podaří překonat obranu. Náš přístup je jednoduchý. Neplaťte výkupné. Jedinou možností je obnova dat. Organizace si navíc musejí naplánovat svoji reakci, když bude zjištěna hrozba.

Při katastrofách jakéhokoli typu se komunikace stává jedním z prvních problémů, které je třeba překonat. Připravte si plán, jak komunikovat se správnými osobami, které budou mimo dosah. Plán může zahrnovat skupinové textové seznamy, telefonní čísla nebo jiné mechanismy, které se běžně používají ke sladění komunikace napříč rozšířeným týmem. V tomto adresáři kontaktů nesmí chybět ani odborníci na bezpečnost, reakci na incidenty a správu identit, ať už ti interní, nebo externí.

Rovněž je potřeba se domluvit na rozhodovacích pravomocech. Ještě než dojde k incidentu, je nutné ve firmě určit, kdo v případě incidentu rozhodne o obnovení nebo přechodu na zálohu. Jakmile bude učiněno rozhodnutí o obnovení, musí organizace před opětovným uvedením systémů do provozu provést další bezpečnostní kontroly. Současně je třeba učinit rozhodnutí, zdali je nejlepším postupem obnovení celého virtuálního počítače, nebo zda má větší smysl obnova na úrovni souborů. A konečně, i samotný proces obnovy musí být bezpečný. Je nezbytné, aby proběhly kompletní antivirové a antimalwarové kontroly napříč všemi systémy a rovněž je třeba donutit uživatele, aby si po obnovení zadali nová hesla.

Přestože se ransomware v odvětví finančních služeb pravděpodobně stane dominantní hrozbou, je určitě možné podniknout kroky ke snížení rizika a přípravě na nejhorší scénář. Pro všechny podniky je dnes zavedení úplného plánu zálohování obrovsky důležité pro zajištění přežití a prosperity firmy – navzdory potenciálním útokům kyberzločinců.

Rick Vanover Rick Vanover
Autor článku je senior director Veeam Software pro oblast produktové strategie.
Martin Štětka Martin Štětka
Spoluautor článku je regionálním ředitelem Veeam Software pro střední a východní Evropu.
Chcete získat časopis IT Systems s tímto a mnoha dalšími články z oblasti informačních systémů a řízení podnikové informatiky? Objednejte si předplatné nebo konkrétní vydání časopisu IT Systems z našeho archivu.