Zabezpečení nejen českých úřadů je tristní

5. 10. 2021

Sdílet

Zabezpečení firem i úřadů v České republice je jedním slovem tristní. Devět z deseti institucí nemá správně vyřešenou ochranu proti napadení zvnějšku. Autor: Depositphotos
Zabezpečení firem i úřadů v České republice je jedním slovem tristní. Devět z deseti institucí nemá správně vyřešenou ochranu proti napadení zvnějšku.
Počty kybernetických útoků rostou, cílem jsou jednotlivci, komerční firmy i veřejné instituce. A právě zabezpečení úřadů je podle bezpečnostní analytické firmy XEVOS katastrofální. Z jejích dat vyplývá, že se 90 procent orgánů státní správy a samospráv neubrání kyberútokům.

Na vině přitom není nedostatek peněz, ale digitální negramotnost uživatelů a nedostatečné vzdělání IT správců.

„Prakticky každý místní úřad, kde jsme kdy realizovali nějaký audit, měl nedostatky. Zejména v případě kyberbezpečnosti jsou vážné nedostatky prakticky standardem,“ uvedl Adam Koudela, odborník firmy XEVOS na zabezpečení systémů institucí. „Přibližně v 70 procentech případů se nejedná o to, že by organizace do zabezpečení nedostatečně investovala, ale o nedostatečné vzdělání správců sítí. Ti často nemají pocit, že jsou jejich technologie zastaralé, protože jiné neznají.“

NÚKIB doporučuje k zabezpečení i využití takzvaných penetračních testů, tedy autorizovaných simulací hackerského útoku. Ty umožňují správci systému odhalit slabá místa sítě dřív, než je odhalí skutečný hacker. Penetrační testy jsou jedním z nástrojů takzvaného etického hackingu. Za zdánlivým oxymórem se skrývá čím dál častěji poptávaná kyberbezpečnostní služba. Etičtí hackeři využívají stejné nástroje jako klasičtí hackeři, ale jejich útok nenaruší strukturu systému firmy.

Například XEVOS poskytuje kromě penetračních testů i netradiční metody odhalování slabin na straně zaměstnanců, například takzvané sociální inženýrství. „Námi vyslaný člověk se vydává za pracovníka IT úřadu a pokouší se ze zaměstnanců dostat například hesla. V takovém případě dosahuje úspěšnost útočníka hrozivých 90 procent. Téměř polovina takto oslovených zaměstnanců pak cizímu člověku dobrovolně napíše heslo pro přístup do systému firmy,“ varuje Koudela. Obáváme se ale, že podobně je to i ve firmách: hesla uložená na papírku pod klávesnicí, napsaná na štítku, který je nalepen na monitoru, heslo obsahující jméno dětí nebo přítelkyně, to vše jsou chyby, kterých by se nejen státní zaměstnanci, ale i pracovníci firem neměli dopouštět.

bitcoin_skoleni

Závažným bezpečnostním problémem byly v loňském roce takzvané ransomwarové útoky na nemocnice. Ransomware neboli vyděračský software je škodlivý program, který při proniknutí do počítače blokuje v něm uložená data a požaduje od uživatele výkupné za jejich odblokování. „Nejčastější příčinou závažnosti útoku bývá lidská chyba. Ve čtvrtině případů sice organizace má antivirový program, ale roky ho neaktualizuje, přičemž staré verze nedokážou rozpoznat nové typy útoků,“ upřesňuje Koudela.

Podle Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB) roste nejen počet podobných útoků, ale i jejich závažnost. Zatímco v roce 2019 firmy a úřady nahlásily 217 takových útoků, o rok později jich bylo už 468 a jejich počet i nadále roste.