Ondřej Ševeček

Produktový manažer kurzů oblasti Microsoft servery a systémy Počítačové školy Gopas

Že nejde o vzdálenou hrozbu, ukázal loňský případ značky Ecovacs v USA, kdy se hackerům podařilo převzít kontrolu nad několika modely robotických vysavačů. Incident vzbudil pozornost nejen kvůli bizarním projevům strojů, ale hlavně kvůli tomu, že přístup útočníků umožnila kombinace softwarové chyby a nedostatečného zabezpečení bezdrátového rozhraní.

Pokud je podobný scénář možný v domácím prostředí, o to vyšší je riziko v provozech, kde roboti pracují s citlivými daty nebo jsou propojeni s vnitropodnikovými systémy. Firmy, které uvažují o zavedení nebo rozšíření robotického úklidu, by měly věnovat bezpečnosti stejnou pozornost jako u jiných prvků své IT infrastruktury.

Základem je výběr zařízení s jasně deklarovanými bezpečnostními standardy, pravidelné aktualizace, silná hesla a oddělení provozní sítě robotů od zbytku firemní infrastruktury.

Důležitou roli hraje i školení personálu, aby nedocházelo k běžným chybám - například používání sdílených přístupů nebo neautorizovaných aplikací.

Řada hackerů nyní přechází na model využívání hackerského nástroje jako služby. Kyberzločinci si tak mohou koupit celou infrastrukturu ransomwaru. Ransomwarové skupiny jsou nyní součástí širšího ekosystému kybernetické kriminality.

K dispozici mají široké spektrum zdrojů, se specializací např. na počáteční přístup do podnikových IT prostředí, pověření, útoky na soubory cookie pro aplikace SSO (Single Sign-On) a včetně infrastruktury pro distribuci.

Zároveň mají tyto skupiny odborníky zaměřené na rekrutování pomocníků z řad osob, které mají přístup do interního systému. Riziko pro firemní data a celkovou bezpečnost, které přichází od zaměstnanců je stále velmi vysoké.

A phishingové útoky, které hackeři vedou přes zaměstnance jsou velmi účinné. Firmy mají stále ve vzdělávání svých zaměstnanců zejména v bezpečném chování na internetu rezervy.

K pojmům jako aktivní a pasivní bezpečnost se tedy u automobilů oficiálně přidává i kybernetická bezpečnost. Předpis 155 OSN požaduje, aby výrobci automobilů a jejich dodavatelé zavedli systém řízení kybernetické bezpečnosti (CSMS), který zajistí, že kybernetická bezpečnost je integrována do životního cyklu vozidla. CSMS by měl zahrnovat procesy pro identifikaci, analýzu, hodnocení a řízení kybernetických rizik, stejně jako opatření pro prevenci, detekci, odezvu a obnovu po kybernetických incidentech.

Většina moderních automobilů je vybavena internetovým připojením, které umožňuje cestujícím a řidiči snadný přístup k zábavě, navigaci a informacím. Připojení auta k internetu ho ale vystavuje většímu nebezpečí vzdálených útoků.

Stále více zařízení obsahuje čipy, které shromažďují a odesílají informace nebo jsou dokonce zapojené do firemních sítí a cloudových řešení, a jejich zabezpečení je velkou výzvou pro odborníky na kybernetickou bezpečnost.

Evropská směrnice NIS2 navazuje na současnou legislativu, ale klade mnohem vyšší nároky na zabezpečení interních systémů také na celý dodavatelský řetězec dotčených organizací, takže v důsledku bude mít dopad i na řadu menších subjektů. Významně se rozšiřuje počet organizací a systémů státní zprávy i soukromých společností, na které nově dopadají povinnosti řídit prokazatelně svoji informační bezpečnost.

A nejen to, součástí je také požadavek na sledování bezpečnostních událostí a řízení incidentů, zvláště pak i hlášení incidentů. Vyplývají z ní dokonce osobní odpovědnosti, za jejichž porušení hrozí citelné pokuty tedy i konkrétním zaměstnancům.

Proto jsme připravili zbrusu nový kurz NIS2 a Zákon o kybernetické bezpečnosti, jehož cílovou skupinou jsou zejména manažeři i technici s povědomím a odpovědnostmi v oblasti informační technologií.

60 % všech úniků dat dnes způsobují vlastní zaměstnanci, ne hackeři snažící se prolomit systém. V drtivé většině případů jde o neúmyslné chyby pramenící z neznalosti či nepozornosti v letních měsících, kdy jsou pro to ideální podmínky. Pro předcházení těmto vnitřním hrozbám jsou klíčová tři základní opatření - správně nastavené firemní systémy, informovanost zaměstnanců a kvalitní bezpečnostní software.

Firmy by se měly soustředit na takové aktivity, které minimalizují potenciální rizika - oddělení firemních a osobních účtů, nastavení práv na úrovni přístupu k souborům, šifrování a dvoufaktorové ověřování přístupů.

V neposlední řadě zodpovědný přístup k okamžitému řešení zjištěných bezpečnostních incidentů.