Musíte se i vy zabývat kybernetickou bezpečností?

Všichni víme, že kybernetická bezpečnost je důležitá. Mluví se o ní, ale podobně jako u zabezpečení fyzických prostorů se zdá, že stojí za zmínku teprve tehdy, když selže.
Fyzické zabezpečení bylo po dlouhou dobu striktně analogové a jeho jediné protnutí s IT sítěmi bylo v koncovém bodě. A proto ti, kdo za fyzické zabezpečení odpovídali, se nemuseli trápit bezpečností sítí, stejně jako se IT oddělení nemusela zabývat případnými útoky ze strany kamer a podobně. Samozřejmě, že ke zneužívání docházelo i u analogových systémů (typickými příklady jsou zneužití dětských chůviček a dálkového ovládání vrat do garáží). Nyní však, když se bezpečnostní systémy na základě IP sítí stávají standardem – se všemi souvisejícími přínosy a výhodami – si obě strany musejí uvědomit, že se hra změnila.

Kámen úrazu podle našeho vnímání je v tom, že tým zajišťující fyzické zabezpečení a IT tým mají na první pohled velmi rozdílné nahlížení a priority a často si vzájemně nerozumějí. Fyzická ochranka je z Marsu a IT oddělení z Venuše! Často za to prostě může jazyková či žargonová bariéra, kdy ani jedna strana plně „neporozumí“, o čem ti druzí mluví. V mnoha případech se to však spíše podobá sporům o hranice nebo bitvám, kdo bude pečovat o nechtěné dítě – tým fyzické ochranky nepovažuje kyber bezpečnost za součást své práce a IT oddělení si ani nemusí být vědoma potenciálních zranitelných míst, která přinášejí nejrůznější zařízení, jež zdánlivě nemají žádné zjevné uživatele nebo vlastníky.

V hlavě mi uvízla věta z nedávného rozhovoru se zákazníkem o kybernetické bezpečnosti: „My přece nejsme Pentagon.“ Vlastně měla vyznít asi takto: „Jsme rádi, že se Axis těmito věcmi zabývá – a je to zajímavé – ale my se tím teď nemíníme trápit.“ A pokud dosud nebyli napadeni (nebo aspoň nevědí, že napadeni byli), obvykle tuto reakci doprovází dovětek: „O kybernetickou bezpečnost se snad má starat IT oddělení – já musím zajistit, aby byla bezpečná budova.“ A stejně tak když jsem mluvil s lidmi z IT oddělení, někdy si nebyli vědomi potenciálních rizik hrozících ze strany nezabezpečených IP kamer.

Jak tedy v našem oboru přimějeme šéfa fyzického zabezpečení, aby bral IT bezpečnost vážně? A naopak: jak otevřít cestu pro tým zabezpečení IT, aby mluvil s kolegy z fyzické ochrany jazykem, kterému by rozuměli? Není to vlastně až tak složité. Nejlepším způsobem je používat terminologii, která je srozumitelná pro obě strany:

 

IT tým Tým fyzického zabezpečení
Nepoužívejte výchozí hesla, vytvořte hesla, která bude obtížné uhádnout a často je měňte. Namontujte pořádné zámky a zajistěte, aby z klíčů nešly snadno udělat kopie.
Dohlédněte, aby byly nasazeny správné nástroje řízení uživatelských práv. Nedávejte z ruky více klíčů, než je nezbytně nutné – zajistěte naopak nějakou kontrolu přístupu.
Zajistěte, aby se zařízení sama uzamkla, když se právě nepoužívají. Zamykejte dveře!
Odhalujte narušení sítí. Odhalujte vetřelce.
Nenechávejte otevřená „zadní vrátka“ jen proto, že by se mohla hodit. Nechávejte požární schodiště dokořán jen proto, že by to přijít vhod.
Ochraňte svou síť firewallem, aby se do ní nemohl jen tak někdo dostat. Ohraďte chráněný prostor plotem, aby se do něj nemohl jen tak někdo dostat.

 

Nejsou však všechny organizace a firmy stejné – některé již dnes mají dobrou komunikaci mezi těmito dvěma odděleními a jsou si dobře vědomy hrozeb, jimž musí čelit společně. Já jsem si povšiml, že firmy mají tendenci spadat do jedné tří rámcových kategorií podle stupně jejich porozumění těmto hrozbám. Na vrcholu jsou ty, jejichž značka, obchodní činnost či důvěryhodnost je založena na důvěře a zabezpečení – například banky. Ty obecně vzato na svém seznamu priorit stavějí bezpečnost velmi vysoko, fyzickou i počítačovou – bezpečnost je prostě zakořeněna v jejich firemní kultuře. Často bývají opatrné i v přijímání nových technologií, dokud si nebudou jisté, že jejich bezpečnost neohrozí. To platí zejména o nových zařízeních připojovaných do sítě, jako jsou kamery, místa kontroly přístupu a podobné. Takže je velmi nepravděpodobné, že jejich IT oddělení povolí připojit jakékoli IP zařízení, dokud nebudou mít jistotu, že bylo zakoupeno ze spolehlivého zdroje, řádně prozkoušeno a nastaveno.

Další kategorií jsou společnosti, které si sice uvědomují, že mohou být vůči kybernetickým útokům zranitelné, ale možná nemají vlastní konkrétní znalosti, aby provedly důkladnou analýzu svých rizik, ani nevědí, jak dopady takových rizik zmírňovat. Jsou však alespoň ochotné nechat si poradit, i když to pro ně není kritická priorita. Takové firmy jsou pravděpodobně ohroženy nejvíce – mají již dost složité sítě, aby jejich správa byla prací na plný úvazek, ale nemusejí mít dostatečné zdroje, jež by dokázaly řádně ohlídat každé zařízení, které se do jejich sítě připojí.
A konečně zde jsou obvykle menší firmy, které kybernetické bezpečnosti nerozumějí prakticky vůbec a ještě méně vědí o tom, že zařízení jako třeba kamery musí být řádně zabezpečena dříve, než se připojí do sítě. Málokdy mají správce sítě na plný úvazek, o někom, kdo by byl výhradně zodpovědný za fyzické zabezpečení ani nemluvě. U těchto firem je ideální velmi jednoduché automatizované nastavení, které se provede samo ihned po vybalení. Například platforma Axis Companion obslouží v jednom balíku kamery, úložiště, paměťové karty a systém pro správu video dohledu najednou.

V konečném důsledku se však IT oddělení i oddělení fyzického zabezpečení musejí o problém dostatečně zajímat, musí mít vůli spolupracovat a ne jen si přehazovat horký brambor do chvíle, kdy k útoku skutečně dojde. Jak to udělat? Bohužel, neblahé případy jsme již zažili, a to několikrát. Před pouhými několika měsíci předvedl útok Mirai BotNet, jak mohou být zranitelná zařízení tzv. internetu věcí (IoT), jak všudypřítomná jsou a jak tyto dvě skutečnosti vytvářejí velmi lákavou příležitost pro hackery. V průběhu několika měsíců nakazili kyber zločinci mnoho milionů zařízení, včetně IP kamer, digitálních videorekordérů, domácích routerů, apod. V září 2016 je následně použili pro spuštění masivního útoku distribuovaného odepření služby (DDoS – Distributed Denial of Service) na web prominentního serveru o zabezpečení KrebsOnSecurity.com. O měsíc později následoval největší DDoS útok v historii, který byl namířen proti společnosti Dyn.com, která zajišťuje jednu z klíčových částí americké páteřní internetové sítě využívanou službami, jako jsou Netflix, Spotify a Amazon.

Někdo by teď mohl říci, že když se někdo nemůže zrovna podívat na poslední díl seriálu „Oranžová je nová černá“, asi to západní civilizaci až tolik neohrozí, ale jde tu o něco jiného: ukazuje to potenciál, čeho je možné dosáhnout, když zařízení pro fyzické zabezpečení nejsou před kybernetickými útoky řádně chráněna. Většina nakažených zařízení měla výchozí hesla, která lze snadno uhádnout a která nebyla nikdy změněna – nebo ještě hůře: která vůbec nebylo MOŽNÉ změnit. Nebo šlo o zařízení, která měla vestavěná „zadní vrátka“, aby je výrobce mohl snadněji aktualizovat během vývoje, ovšem tato vrátka nebyla při samotné výrobě zavřena. V prosinci 2016 se ukázalo, že více než 80 modelů kamer od velkého výrobce má účty s otevřenými zadními vrátky. O měsíc později přišel deník Washington Post se zprávou, že washingtonská policie nemohla po tři dny ukládat video záznamy svých bezpečnostních kamer, protože 70% jejích zařízení pro ukládání dat bylo napadeno hackery.

Víme, že to nebyl poslední případ. Internet věcí je v současné době snadným cílem – ještě více kvůli tomu, že do smyčky jejich zapojení vstupuje jen velmi málo reálných lidí, takže si prakticky nikdo nemá možnost všimnout, že k útoku došlo – dokud není příliš pozdě. Jak ukázal útok Mirai BotNet, útok nemusí přímo ohrozit samotného hostitele, a proto šance rozpoznat infekci je ještě o to menší – pokud nedáváte opravdu dobrý pozor.