Za vším stojí lidský faktor

Zkušenosti ukazují, že za většinou úspěšných útoků stojí lidský faktor, který poskytl informace anebo přístup útočníkovi. Pro představu se jedná třeba o otevření nebezpečné přílohy elektronické pošty, podlehnutí útoku na vrstvě sociálního inženýrství, případně může jít o bezpečnostní incident způsobený nedbalostí neboli porušením bezpečnostní politiky bez zlého úmyslu – příkladem jsou špatně chráněné či spravované přístupové údaje. Mezi bezpečnostní incidenty spojené s lidským faktorem patří i ty způsobené zaměstnanci. Ti se ze svých osobních důvodů mohou cítit nedoceněni nebo mají další pohnutky, proč způsobit škodu svému zaměstnavateli potažmo kolegům. I když poslední jmenovaný příklad bývá nejnebezpečnějším, stále zůstává nejčastější příčinou úspěšného útoku nepozornost nebo pohodlnost vlastních zaměstnanců.

Bezpečnostní politiku řada lidí vnímá jako tzv. „nutné zlo“, případně se s ní vůbec nemusí ztotožňovat. Bohužel toto vnímání obvykle platí nejen pro běžné zaměstnance/uživatele IT systémů, ale dokonce i pro jejich administrátory. Není proto překvapením, když se uživatelé snaží bezpečnostní opatření obcházet. Výsledkem je celkové snížení bezpečnosti systémů, ke kterým přistupují. Útočníci pak mohou využít situace a pomocí technik sociálního inženýrství cílit na zaměstnance a získat přístup do vnitřní sítě, který by za jiných okolností nebyl dostupný. Nejběžnějším způsobem bývá rozesílání škodlivých zpráv elektronickou poštou, vytipování a cílení obětí na sociálních sítích a rovněž vydávání se za zaměstnance technické podpory. Jinými slovy, útočník se snaží vystupovat jako důvěryhodný účastník komunikace, potažmo se často pokouší vyvolat nátlak a zmanipulovat oběť tak, aby provedla operaci či rozhodnutí, které by za normálních okolností neučinila. Konkrétně se může jednat o poskytnutí přístupových údajů, vyzrazení důvěrné anebo osobní informace o svém okolí, spuštění škodlivého kódu či neuvědomělé poskytnutí přístupu.

Jak se (ne)stát obětí

Nejčastěji uváděným příkladem útoku bývá tzv. „ransomware“ – v tomto případě se jedná o aplikaci škodlivého kódu, který je spuštěn jako škodlivá příloha elektronické pošty rozesílané útočníkem. Ransomware následně zašifruje obsah datového úložiště, čímž znemožní přístup k datům/používání počítače, dokud oběť nezaplatí výkupné útočníkovi. Popsaný problém se může týkat jak jednotlivých uživatelů, tak napadení celé podnikové sítě.

Vytipování oběti lze provést náhodně – útočník bez specifických parametrů rozešle škodlivé zprávy a pouze bude čekat, kdo z nepozornosti spustí přílohu. Anglicky se průběh popisuje jako „phishing“ – lidově lze termín vyložit jako „rybka která se chytí“. Tento útok může snadno cílit na domácí uživatele. Variantou je tzv. „spear-phishing“, kdy se útočník snaží využít osobní informace z okolí oběti s cílem působit důvěryhodně. Takováto činnost se provádí, jestliže se osoba dostane do zájmové oblasti útočníka, anebo pokud útočník cílí na vyšší zisk ze své činnosti. Nezřídka jsou takové útoky cílené na podnikové sítě.

V případě úspěšného útoku může dojít ze strany oběti k zatajení dané skutečnosti – u firemních zaměstnanců mohou být důvodem obavy z reakcí zaměstnavatele nebo domnělý pocit, že zaměstnanec danou situaci vyřeší sám. Skutečností však zůstává, že pokud došlo nebo mělo dojít k útoku, je potřeba situaci řešit konzultací s odborníky a ujistit se, že po útoku nehrozí či nepřetrvává žádné další nebezpečí – jak uživatelům, tak cíleným systémům.

Další skupinou uživatelů, kterou je třeba zmínit, jsou ti, kteří se stali cílem útoku a v podstatě o něm neví. Příkladem je oběť vytěžená útočníkem o důvěrné informace anebo uživatel, od kterého útočník přístup k důvěrným informacím získal (elektronická pošta, sociální sítě). Pokud by útočník cílil na firemní systémy a sítě, získává přirozeně dlouhodobou výhodu ve formě přístupu k citlivým informacím bez jakékoliv detekce.

Rada na závěr

Výše popsané problémy je možné řešit efektivně bez vynaložení značných finančních či technických prostředků. Klíčem jsou pravidelná školení, a především spolupráce a komunikace s uživateli. Obezřetní uživatelé, kteří nevnímají bezpečnostní mechanismy jako „komplikaci“, mají větší šanci předejít bezpečnostním incidentům.

Zároveň by se nemělo zapomínat, že i když je lidský faktor klíčem k zajištění kybernetické bezpečnosti, existují i další možnosti, které mohou posloužit útočníkovi k realizaci jeho cílů. Jedná se o SW/HW vybavení IT systémů a sítě, jejichž konfigurace a dohled je doménou odborníků. Pokud tyto nejsou efektivně navrženy a spravovány, může dojít k bezpečnostnímu incidentu technicky zdatným útočníkem bez účasti lidského faktoru.

Filip Štěpánek Autor článku působí jako Security Architect ve společnosti Accenture.