Jaký typ hrozeb a útoků dnes nejvíce hrozí běžným podnikům?

Setkáváme se se širokou škálou typů útoků a bezpečnostních hrozeb, ale tou nejzávažnější a nejrozšířenější stále zůstává ransomware, tedy zašifrování dat a následné vymáhání výkupného útočníkem za jejich opětovné zpřístupnění. S ransomwarem do určité míry souvisí i další z velmi silných trendů, kterým je výhrůžka, že útočník ukradená data prodá nebo je zveřejní. Uvědomme si, že pro řadu organizací tento scénář představuje výrazně horší variantu, než kdyby o data „pouze“ přišly. Bez ohledu na typ útoku pak obecně platí, že kyberzločinci používají stále pokročilejší technologie, přičemž v posledních letech navíc evidujeme i značný narůst lépe cílených, lidmi řízených útoků. Dosud většina útoků probíhala automatizovaně, nyní ale nastává doba změny, kdy se útočníkům v některých případech vyplácí osobně do útoku zasahovat a výrazně tím zvyšovat šance na úspěch. A na to by měly organizace reagovat.

Může být důvodem pro tuto změnu v chování útočníků i rostoucí úroveň zabezpečení?

Z pohledu dodavatele bezpečnostních řešení v to doufám. Historicky mezi útočníky a námi jako obránci probíhá závod, kdo bude lepší – jedni něco vymyslí, druzí na to reagují. Pokud narůstá, jako že narůstá, sofistikovanost bezpečnostních řešení, musí na to útočníci reagovat a hledají nové způsoby, jak tato řešení obejít.

Zastavme se u ransomwaru, jak rozšířená tato hrozba ve skutečnosti je?

Čísla hovoří jasně. V první polovině letošního roku vydal Sophos svou studii The State of Ransomware 2021, která se zaměřila právě a jenom na ransomware a bohužel to není moc příjemné čtení. Budeme-li hovořit jen o České republice, tak zde došlo k napadení 30 % oslovených organizací, přičemž více než polovina těchto útoků vedla k zašifrování jejich dat. Pro srovnání můžeme uvést, že v Polsku bylo za stejné časové období zasaženo 13 % organizací, zatímco v Německu to bylo 46 %, a v Rakousku dokonce 57 %. Můžeme tak dedukovat, že čím bohatší země, tím vyšší šance na dobré výkupné.

Víme, jak reaguje průměrná firma na ransomwarový útok, případně na kolik ji to vyjde?

Většina ze zasažených organizací zatím neplatí výkupné, nicméně podíl těch, které útočníkům peníze pošlou, výrazně roste. V roce 2020 to bylo 26 %, letos už 32 %, přičemž průměrné výkupné se pohybuje okolo 10 000 dolarů, čemuž v přepočtu odpovídá asi 220 tisíc korun, které útočníkům v průměru platí české organizace. Vidíme ale i případy s mnohem vyšším uhrazeným výkupným. Rekordní suma, kterou jsme v rámci studie zjistili, byla 3,2 milionu dolarů, a celkem deset respondentů zaplatilo milion dolarů nebo více. To jsou ale globální data, ne pouze od firem z České republiky.

Jaké je vaše doporučení? Platit, nebo ne?

Data nám ukazují, že jen 8 % firem, které zaplatí, dostane zpět všechna svá ukradená data, zatímco zbývajícím 92 % se vrátí jen část, případně vůbec nic. Útočníci zpravidla po zaplacení výkupného pošlou dešifrovací klíč, ale už vám nikdo nedá záruku, že bude fungovat. Proto nedoporučujeme výkupné platit, nevyplácí se to, navíc výše výkupného představuje jen malou část hodnoty celkových škod způsobených útokem.

Jakou částku z celkových škod tedy výkupné představuje?

U českých organizací činí průměrné výkupné 200 tisíc korun, průměrná výše celkových škod je ale 8,25 milionu korun. A je nutné dodat, že v České republice jsme na tom zdaleka nejlépe ze všech sledovaných zemí. Globální průměr celkových škod po ransomwarovém útoku je přes 40 milionů korun. Bez zajímavosti není ani fakt, že v roce 2020 to bylo „jen“ 16,5 milionu korun, tedy ani ne polovina.

Abychom si to správě představili, co všechno se do těchto škod počítá?

Musíme započítat všechny přímé náklady na obnovu dat a revizi dalších dopadů na aktivity dané organizace, ať už mluvíme o odstávkách systémů nebo nevyřízených objednávkách či ušlých příležitostech. S pokračující digitalizací, a čím více organizací spoléhá na IT a data jako na kritickou součást byznysových procesů, musíme bohužel očekávat, že výpadky po útocích a náklady na nápravu budou pro firmy stále bolestivější. Logicky nám z toho pak vyplývá, že náklady na bezpečnostní řešení, které by pomohly těmto výpadkům zabránit, jsou řádově nižší.

Jakou úroveň zabezpečení podnikových dat považujete v dnešní době za standard?

Z praktického hlediska je de facto jakákoliv úroveň zabezpečení dobrá. Z průzkumů víme, že bohužel řada, zejména těch menších organizací stále bezpečnost podceňuje. Namísto, aby proaktivně předjímaly a předcházely možným rizikům, věří, že budou z těch šťastnějších, kterým se útočníci vyhnout. Toto chování považuji za velmi riskantní. Podíváme-li se ale na opačný konec spektra, tedy na organizace, které mohou zcela oprávněně říct, že udělaly maximum, co mohly, aby se zabezpečily, tak se dostáváme ke komplexním ekosystémům, které zahrnují vzájemně propojená ochranná řešení pro sítě, koncové body a cloudová prostředí, analytické a monitorovací nástroje, technologie využívající umělou inteligenci, kvalifikovanou lidskou obsluhu a samozřejmě obrovské množství referenčních dat z celého světa. V Sophosu tento koncept označujeme jako Adaptive Cybersecurity Ecosystem.

Jak konkrétně probíhá sběr a zpracování zmíněných dat v rámci adaptivního cybersecurity ekosystému Sophosu?

Vytvořili jsme globální síť, která sbírá tzv. threat intelligence, jinými slovy analytická data z řešení nasazených v prostředích tisíců našich zákazníků po celém světě. Všechna tato data tečou k nám, vytváří obrovský data lake, my je centrálně analyzujeme v našich laboratořích a v reálném čase v nich pátráme po podezřelých signálech, které naznačují hrozící útoky.

Adaptive Cybersecurity Ecosystem obecně stojí na pěti pilířích, kterými jsou threat intelligence, next-gen technologie, data lake, otevřené API a centralizovaná správa. Díky tomu, jak je celý ekosystém nastaven, je velmi přizpůsobivý a využívá získané informace k tomu, aby se neustále učil a zlepšoval. Zároveň je velmi flexibilní, nabízí zákazníkům řadu různých prvků, které si mohou poskládat do řešení, jež vyhovuje jejich potřebám.

Z pohledu malé firmy, není takovýto ekosystém nedosažitelný? Zní to jako velmi sofistikované bezpečnostní řešení, na které ale mnoho organizací nemá prostředky. Vždyť často už jen samostatná pozice bezpečnostního specialisty je nereálná.

Ano, musím souhlasit. A právě proto jsme za poslední rok zaznamenali 67% nárůst v oblasti MSP, tedy poskytovatelů řízených služeb. Drtivá většina organizací si opravdu nemůže dovolit zajistit si špičkové zabezpečení vlastními silami, protože to vyžaduje určité investice do technologií i zaměstnanců. Na trhu však působí mnoho partnerů, kteří se na tuto oblast specializují, provozují vlastní SOC (Security Operations Center), zaměstnávají špičkové experty a jsou schopni nabídnout své kapacity zákazníkům formou služby. V Sophosu se držíme zásady, že žádný zákazník není příliš malý, a snažíme se nastavit naši nabídku bezpečnostních nástrojů tak, aby byla přístupná skutečně všem firmám bez ohledu na velikost a zaměření.

Vstříc potřebám firem, které nedisponují potřebnými zdroji, vycházíme i službami Sophos Managed Threat Response, která nabízí schopnosti moderního SOC poskytované formou plně spravované služby, nebo Sophos Rapid Response, v rámci které bezpečnostní experti eliminují právě probíhající útok a v délce trvání 45 dní dále monitorují síť zákazníka a přijímají adekvátní opatření pro minimalizaci dopadů.

Segment menších zákazníků považujeme za jednu z našich priorit, a není proto úplnou náhodou, že Sophos získal ocenění 2021 ChannelPro SMB All-Star právě za pozitivní vliv na oblast SMB.

Zmínil jste partnery, jaký je přístup Sophosu k partnerské síti a jak klíčová je role partnerů ve vašem byznysu?

Dlouhodobě fungujeme na principu „channel first“ a veškeré aktivity a investice Sophosu směřují k tomu, aby naši partneři měli ideální zázemí pro rozvoj jejich byznysu. V základu samozřejmě poskytujeme technickou, obchodní i marketingovou podporu, ať už přímo, nebo prostřednictvím našich VAD distributorů. Máme rozvinutý i vzdělávací program a řadu možností, v rámci kterých si partneři mohou budovat nové dovednosti. Letos jsme spustili portál Sophos Trust Center, který nabízí užitečné materiály od obecných doporučení až po plány reakcí na incidenty, zásady životního cyklu bezpečného vývoje, návody na odpovědné zveřejňování informací a mnoho dalšího. Tyto informace však mohou posloužit nejen k edukaci partnerů, ale také zákazníků a širší veřejnosti.

Podobně jako pro nás není příliš malý zákazník, tak pro nás není příliš malý ani partner. V našem ekosystému je místo jak pro skutečně velké a zkušené hráče, kteří znají naše technologie podobně dobře jako naši vlastní inženýři, tak pro drobné lokální partnery, jejichž hlavním přínosem je znalost místního prostředí, zákazníků a jejich problémů. Zároveň platí, že investujeme čas a prostředky do toho, aby se zejména tito menší partneři mohli vzdělávat, získávat certifikace a rozvíjet své znalosti. Vzdělaný partnerský kanál je pro nás jako bezpečnostního vendora jasnou prioritou.

Za velkou přidanou hodnotu pak považuji to, že nabízíme nejen velmi široké portfolio bezpečnostních produktů, mezi kterými si partner může vybírat, ale také efektivní nástroje pro jejich správu. V tomto ohledu bych vyzdvihl zejména platformu Sophos Central, která partnerům umožňuje centrálně řídit produkty nasazené u jejich zákazníků přes jednotnou cloudovou konzoli, svými funkcemi přispívá ke zvýšení retence a přináší nové příležitosti pro up-sell a cross-sell. Nabízíme její vyzkoušení zdarma, stačí si založit účet na https://central.sophos.com/.

Sophos je vnímán jako globální hráč na poli bezpečnostních řešení, jak se vám daří ve světě a jak u nás?

Naše globální pozice je dlouhodobě silná, což mimo jiné dokládá i fakt, že se pravidelně umisťujeme mezi lídry v Magic Quadrantu společnosti Gartner pro oblast ochrany koncových bodů a mezi vizionáři v oblasti síťových firewallů, čerstvě jsme se stali i bezpečnostním vendorem roku v rámci European IT & Software Excellence Awards 2021.

Naši stabilitu a sílu k dalšímu rozvoji dokládají i dvě čerstvé akvizice. Letos v červenci Sophos převzal společnost Capsule8, která vyvinula zajímavou technologii pro zabezpečení linuxových serverů a cloudových kontejnerů, a o měsíc později koupil společnost Refactr a její platformu pro automatizaci DevSecOps. Od obou dohod očekáváme další posílení našeho ekosystému.

Na českém trhu se globální pozice zrcadlí, čistě lokální novinkou z poslední doby je pak příchod nového kolegy Ondřeje Hubálka na pozici senior sales inženýra. Ondřej má na starost předprodejní podporu distributorů, partnerů a jejich zákazníků, předprodejní analýzy potřeb zákazníků a navrhování řešení. Přijali jsme ho především v reakci na obrovský nárůst obchodních příležitostí, čímž vlastně odpovídám na otázku, jak se nám daří v Česku a na Slovensku.

Podělíte se s námi o výhled do následujících let v oblasti IT bezpečnosti?

Žijeme v turbulentní době, kdy predikovat cokoliv je nevyzpytatelné. Nicméně očekávám pokračování trendu, o kterém jsme hovořili na začátku, tedy rostoucí sofistikovanost nástrojů jak pro vedení útoků, tak pro obranu před nimi. Je pravděpodobné, že vlivem toho bude nutné navázat ještě užší spolupráci a sdílení informací mezi námi, partnery a zákazníky, aby celý ten řetězec zůstal silný. Klíčovou prioritou přitom bude, aby zákazník nezůstal stranou. Za předpokladu, že dialog nebude probíhat i se zákazníkem, se výrazně sníží šance na to, že bude spolehlivě ochráněn.