Webinář: Kybernetická bezpečnost pro každého od CRA

00:00:13
Dobré ráno, dámy a pánové, já vás vítám u sledování dalšího webináře Českých radiokomunikací s tématikou kybernetické bezpečnosti. Ve studiu vítám mého kolegu, experta na kybernetickou bezpečnost, Martina Pulpána. Martina, ahoj. Ahoj, dobrý den všem. Moje jméno je Martin Pavelka, pracuji v Českých radiokomunikacích jako produktový manažér na produkty kybernetické bezpečnosti a manažované služby. Náš webinář je interaktivní, v průběhu celého webináře můžete pokládat otázky do chatu, my na ně odpovíme v samém závěru. Náš webinář také natáčíme, takže vám potom nazdívíme záznamy na závěr našeho vysílání. Dnešní téma webináře je kybernetická bezpečnost pro každého. To téma jsme zvolili záměrně. Z našich průzkumů a rozhovorů s našimi zákazníky, zejména z toho segmentu malých a středních firm, vyplývá, že útoky na tyhle společnosti a organizace neustále růstají. Skoro každá druhá organizace v minulosti s nějakým útokem se seznámila a potkala. Ten důvod je poměrně prostý, jednoduchý.

00:01:37
Chybí peníze na technologie a podobně. Dalším tím aspektem, který do kybernetické bezpečnosti dneska vstupuje, je nová evropská legislativa NIS 2. Zajména ty menší firmy neví, jestli se jich dotýká nebo nedotýká. Těch témat je poměrně hodně, ale pojďme postupně. Martine, zmínil jsem formy kybernetických útoků na malých střední firmy. Jaký je nejčastější typ útoků? Jsou to nějaké ransomware, phishing, kombinované útoky? Co to je?

00:02:39
ransomwareových útoků. Často jde o plošné phishingové útoky, to znamená, není to cílený útok na určitou organizaci, ale i v rámci těch plošných phishingových útoků většinou ty útočníci jsou velmi úspěšní, protože phishingový e-mail dneska doznal už poměrně jako velkou evoluci a už dávno pryč jsou doby, kdy tam byla velmi špatná čeština nebo to byla kombinace velmi podezřelých třeba grafických prvků,

00:03:39
v rámci těch běžných plošných útoků, tak jsou to ransomwareové útoky. A ransomwareové útoky, samozřejmě už víme, jaké jsou důsledky, protože v okamžiku, kdy vám někdo zašifruje veškerá data, vy nemáte zálohy, abyste to obnovili, tak to samozřejmě stojí spoustu peněz. A samozřejmě i ti útočníci hrají na to, že čas od času nějaká firma to výkupné zaplatí, o ním pošlou dešifrovací klíč a za dva, za tři měsíce se tam můžou objevit znovu,

00:04:39
tak mohou zneužít, anebo prostřednictvím těchto mailových serverů páchají potom další trestnou činnost a využívají prostředky té napadené firmy. Dost často se snaží i vlákat prostřednictvím různých podvodných stránek přístupy třeba do internetových bankovnictví a podobně. Velmi často se také útočí na špatně zabezpečené webové servery, kde prostřednictvím různých útoků, zejména třeba na platformy z WordPressu, které jsou velmi zranitelné a pokud je ten zprávce, vlastně se nestará o to, aby tam byly aktuální záplaty, aby tam měl plug-iny, které dokáží eliminovat tyto útoky. Záleží to také samozřejmě na konstrukci toho webového serveru, jestli vlastně ten vývojář, řekněme doporučení, která omezují vlastně možnost kybernetických útoků, tak vlastně i z těchto serverů se dají potom buď získat různé hesla a přístupové údaje, které se dají zneužít databáze například zákazníků a podobně, ale dají se tam umístovat i různé skripty, škodlivé skripty, které potom tomu návštěvníkovi napadají vlastně přes browser tu interní sítě a jsou schopní se šířit.

00:06:33
na různé sítové služby, včetně volumetrických útoků s cílem zabránit možnosti komunikovat té organizaci. Zmínil jsi ransomwareový útok. Já si pamatuju, není to tak dlouho, co jsme mluvili o jednom konkrétním případu výrobního podniku. Možná by naše diváky a posluchače zajímalo, protože to je krásný use case toho, jak to vlastně celý vypadá. Můžete si nám to popsat? Já samozřejmě nebudu jmenovat tu konkrétní společnost, ale je to velmi hezký příklad toho, co se může stát a v podstatě, jak se to nemá dělat z pohledu kybernetické bezpečnosti.

00:07:38
to šifrování a vůbec celá ta aktivita toho ransomwareu funguje na základě nějakého algoritmu, v podstatě roboticky. A pak jsou typy ransomwareu, které jsou řízené nějakou skupinou hackerů a vyloženě ručně. Ty často bývají, řekněme, nebezpečnější, protože i v tomto případě vlastně došlo k penetraci do sítě zákazníka. Zákazník, protože neměl dostatečně dobře nastavená například pravidla na firewall, neměl tam žádné systémy, které by byly,

00:08:37
která tam získá, která jsou zajímavá, dostat z té sítě pryč. Takže exfiltrace dat, ta se dělá let, kdy třeba i pomalu, trvá to týden, dva, a postupně ten útočník buď odleje všechna data, anebo jenom část těch dat. Dělá to kvůli tomu, jednak ta data ho zajímají, to znamená on v případě, kdy to je třeba nějaká společnost, která se zabývá nějakým výzkumem, nebo je to farmaceutická společnost a tak dále,

00:09:37
docházek šifrování dát. Většinou se to dělá v noci nebo v době třeba víkendu, kdy ta aktivita sítě a aktivita uživatelů je minimální, tak, aby nemohlo dojít, řekněme, k nějakému zásahu ze strany administrátorů, což se stalo i v tomto případě. A vlastně byla odeslána téměř veškerá data mimo síť zákazníka a následovalo vlastně šifrování.

00:10:12
Ten zprávce sítě zjistil, že má zašifrované počítače a zašifrované servy. Pak následuje vlastně fáze toho vydírání, kdy útočník hrozí s tím, že data zveřejní, což se dost často stane. V tomto případě si zákazník řekl o poměrně vysokou, teda si útočník řekl o poměrně vysokou částku v kryptoměně. Často se dneska používá ne Bitcoin, ale třeba Monero, což je vlastně kryptoměna, která se velmi těžce dá potom vytrakovat zpátky.

00:10:58
A nastala vlastně obnova, kde se zjistilo, že vlastně zákazník měl zálohy pouze na NAS serverech, které byly přímo připojené do sítě, což byla poměrně tragédie, protože to byla výrobní firma a vlastně oni měli spoustu programů pro NC stroje. Ty programy byly na různé výrobky, které vyráběly a tak dále. A je to poměrně náročné vlastně tyto programy pro ty NC stroje vytvořit.

00:11:32
Neměli v podstatě žádné zálohy a tím, že ta NASka byla přímo připojená k páteři sítě a vlastně ten NAS server je v podstatě Linuxový server, tak došlo k kompletnímu zašifrování. Neměli offline zálohy. Trvalo zhruba týden, než se podařilo obnovit nějakých. 50-60 počítačů u toho zákazníka a oni na základě toho nebyli schopni vyrábět řekněme více jak 14 dní až měsíc a došlo k poměrně velkým ztrátám, což byly různý penále od odběratelů, dále prostě spousta práce na to, aby to dali dohromady, spousta práce na to, aby si vytvořil vlastně novou sadu těch ovládacích programů pro NC stroje a majitel to odhadl na přímou škodu zhruba nějakých 5 milionů,

00:12:50
Určitě, určitě jsou takové případy a není jich zrovna málo. Dost často v okamžiku, kdy tato firma je třeba součástí nějakého subdodavatelského řetězce, já nevím, třeba v Automotive, tak dneska i právě normy, jako je třeba TySax nebo NIS2, tak ti definují to zabezpečení vlastně toho subdodavatelského řetězce. Takže pak samozřejmě ta firma se stane neduvěryhodnou a vlastně ten velký odběratel,

00:13:44
Ono v podstatě to není zastatně složitého. Těch pravidel je pár a jsou v podstatě naprosto zásadní nejenom pro firmu, která třeba pracuje s nějakými citlivými informacemi, ale v podstatě pro každou společnost, která potřebuje fungovat jako v dnešním moderním světě a být někam připojená. Důležité je mít, řekněme, nějaký kvalitní antivirový nebo antimalware systém. Dost často stačí, řekněme,

00:14:44
Spousta firewallů v dnešní době má vlastně detekci malwareu, ale samozřejmě to znamená, že musíme mít koupená určitá subscription, to znamená, musíme mít možnost stahovat si od výrobce různé aktuální takzvané fingerprinty, to znamená popisy těch aktuálních útoků, aby ten firewall dokázal velmi rychle reagovat potom na případné problémy. Dost často se to dá spojit i s takzvaným EDR systémem,

00:15:45
Velmi častý problém jsou různé privilegované účty a admin účty na stanicích. Když přijdete třeba do menších firm, tak vidíte, že všechny stanice mají administratorská práva na tu stanici a tam v okamžiku nějaké nákazy. Samozřejmě pokud máte admin práva, tak dokážete s tím počítačem dělat vlastně cokoliv. Takže to je velký problém. Takže omezit práva jenom na to nejnutnější,

00:16:44
Vyinstallujeme tyto updaty a záplaty, tak vlastně chráníme celý ten náš komunikační systém a dost často hekři využívají pouze známé zranitelnosti, které nejsou opraveny a tak vlastně penetrují do sítě a dostávají se k citivým datům. V neposlední řadě je toho zálohování. Zálohování by se zdálo je jasná věc, ale úplně tak jasné to není, protože aby ta záloha byla účinná, tak nemůžete mít tu aktivní zálohu připojenou do sítě,

00:17:41
My vlastně přijdeme o veškerý hardware a tím pádem přijdeme i o data, takže není to jenom z důvodu kybernetických útoků, ale ta záloha mimo tu hlavní kancelář třeba v jiné pobočce nebo na nějakém jiném místě dává velký smysl. A nebo zálohovat do cloudu, to samozřejmě je také řešení. Bezva, občas ty peníze ale přece jenom potřeba jsou, zmínili jsme například firewall nebo různé EDR systémy. Pojďme se podívat na to, jestli dneska existuje

00:18:22
Od června je velmi zajímavá příležitost využít dotační program, který vypsalo Ministerstvo průmyslu a obchodu. Ten se nazývá digitální podnik a ta první výzva má půdnázev virtuální podnik. V rámci této výzvy lze žádat na dotaci na technologie a na služby spojené s technologií, které se týkají kybernetické bezpečnosti.

00:19:22
protože ta dotace se pohybuje někde kolem 30-40%. A vlastně my jsme schopni v rámci Českých radiokomunikací vám pomoci tuto žádost vyřídit, udělat nějaký první scoring, jestli máte nárok na tuto žádost, protože tam jsou samozřejmě limity. Ta žádost je pro opravdu střední a menší firmy a je to limitováno počtem zaměstnanců, případně velikostí firmy.

00:20:22
dávalo i to, že třeba ta dotační výzva byla předčasně ukončena z důvodu vyčerpání prostředků na tu dotaci a tak dále. Ta příprava té dotace taky není úplně rychlá, i když to vypadá relativně jednoduše, tak my musíme vlastně společně s vámi z důvodní tu dotaci je potřeba napsat podrobnou zprávu pro Ministerstvo průmyslu a obchodu, kde vlastně říkáte nejenom, co kupujete, proč kupujete, ale je to vstaženo třeba i na business model té firmy,

00:21:22
nebo na webových stránkách, poprosil bych reži, aby se nám ta adresa perfektně už vidíte. Tímto způsobem kontaktovali a můžeme se domluvit na dalším postupu. Na začátku jsem zmínil taky zásadní změnu v oblasti legislativy Evropskou směrnici NIS 2. Celá řada firm, tak jak se potkáváme, sice tuší, že nějaká změna je, ale netuší, jestli se jich ta změna týká nebo ne. Mluví se o šestitisících subjektů, slyšel jsem i vyšší čísla. Jak to ta firma zjistí? Týká se mě to, netýká se mě to? Co se s tím dá dělat? Jednak já bych možná vás pozval na webinář, který děláme příští týden, myslím, že to je 28.6., kde vlastně tuhle tu problematiku budeme dopodrobna rozebírat. Já tady nebudu zacházet do detailů, protože opravdu je to nadlouho, ale v podstatě velmi jednoduše,

00:22:50
to znamená, je to nějaký dopad na obyvatelstvo, ten limit je tam nějakých 50 tisíc obyvatel a v okamžiku, kdy jste třeba dodavatel pitné vody nebo nějaká energetická firma, tak se vás to týká automaticky, ale zároveň jsou tam třeba i poskytovatelé digitálních služeb, pokud poskytují, řekněme, určité služby, třeba klaudové služby a tak dále, které mohou být třeba kritické pro chod státu nebo jejich odběratelé jsou právě ty subjekty

00:23:32
Jak počty zaměstnanců, to znamená od 50 zaměstnanců výš, tak je tam potom další obratový ukazatel. Ta klasifikace není úplně tak jednoduchá. O tom, jak to celé probíhá, tak si řekneme na tom příštím webináři. Ale opravdu se to týká širokého spektra firm, třeba i z potravinářství nebo ze zemědělské výhroby a podobně. Můžete si to zjednodušeně představit, pokud jste větší firma, která má obrat větší jak 250 milionů a více jak 50 zemědělství,

00:24:32
Ta směrnice není samoučelná, ta je v podstatě velmi prakticky napsána a vlastně rozšiřuje stávající kybernecký zákon, který platí teď, o různé, řekněme, praktické věci, jako je třeba logování incidentu, jako je schopnost vlastně popsat ten incident, odreportovat ho dál, reagovat na něj a podobně. Takže to jsou věci, které vlastně ty organizace musí splňovat tak, či tak a tady se tomu dává určitý legislativní rámec, což je dobře. A v podstatě těmi zásadami, které vyplývají z té novely kybernetického zákona, která by měla platit od října příštího roku, tak jsou to věci, které by měly dodržovat všechny firmy. Není to nic jako speciálního. Takže z mého pohledu je to dobrý krok dopředu. Je to o tom, že Evropská unie se snaží standardizovat ochranu kybernetické bezpečnosti v rámci členských států

00:25:39
Kromě té samotné NIS2 budeme mluvit i o juzdních juzkejsech, jak čerpat konkrétní dotace. Ono to spolu samozřejmě souvisí. Martin, já ti děkuju za rozhovor. Věřím, že naše diváky zaujaly všechny témata, které jsme tady zmínili. Znova bych chtěl teda pozvat všechny, kteří mají zájem o ty témata čerpání dotací NIS2 na další webinář. Poprosím režit případnou registrační stránku. Pozvu i ty, kteří se nemůžou zúčastnit fyzicky vysílání a k registraci, protože samozřejmě potom se můžou dostat k záznamu natáčení a pustit si to teda ze záznamu. Ještě jednou děkuju a těšíme se s vámi 27.6. v 10 hodin u dalšího webináře. Naschledanou. Já také děkuju, mějte se krásně a hlavně vám přeju svět bez kybernetických útoků. Děkujeme.