Hrozba kybernetických útoků je podstatně častější, než si mnoho lidí myslí. Kybernetické útoky totiž nejsou pouze o velkých společnostech a velkých únicích dat, ale mohou se týkat prakticky kterékoliv společnosti. Často mají plíživou formu, takže si jich nikdo nemusí všimnout po poměrně dlouhou dobu, dokud nedojde k úniku obchodního tajemství nebo jiné finanční ztrátě. V tomto článku bychom se rádi věnovali několika kybernetickým útokům, které jsme pro naše klienty řešili a právě řešením, která v takových případech připadají v úvahu.  

Man in the middle 

Jedním z relativně častých druhů kybernetických napadení je tzv. man in the middle útok. Jedná se o situaci, kdy je útočník za použití různých prostředků schopen číst cizí komunikaci anebo ji dokonce upravovat, případně jinak sledovat činnost na konkrétním zařízení. V těchto případech útočník nejčastěji využívá nedostatečně zabezpečenou Wi-Fi síť, ke které se připojí a přes kterou je schopen sledovat a zachytávat odesílané zprávy. Jedná se například o free Wi-Fi sítě nebo případy, kdy někdo ponechá standardní tovární nastavení na Wi-Fi modemu. Jelikož útočník po připojení k takové síti zná e-mail, který konkrétní osoba odesílá, je poté schopen e-mail upravit nebo vytvořit zcela nový e-mail, který zašle nic netušícímu adresátovi. Takové emaily se obvykle vyznačují tím, že jsou odesílány z mírně upravené domény nebo že nemají v textu přiloženou předchozí komunikaci. V takových případech by měl adresát zpozornět, jelikož se může jednat o podvržený email.  

V našem konkrétním případě útočník zastavil původně odeslaný e-mail a podvrhl jej svým, do kterého napsal falešné informace. Na jejich základě klient udělal nesprávné obchodní rozhodnutí, které ho následně stálo několik milionů korun. 

Falešný pocit bezpečí 

Další, a zároveň nejčastější, druh kybernetických útoků jsou útoky zevnitř organizace. Náš klient se na obchodním jednání od svého obchodního partnera dozvěděl, že mezi jeho konkurenty koluje obchodní tajemství klienta v podobě inženýrských výkresů jeho výrobků.  

Klient chtěl nejprve prověřit možnosti útoku zvenčí, například výše zmíněným způsobem tzv. man in the middle. Klientovi jsme proto doporučili IT experty, kteří se zabývají kybernetickou bezpečností, aby ověřili zabezpečení infrastruktury provedením penetračních a jiných testů. Ukázalo se, že zabezpečení klienta je v pořádku a pokud by byl útok veden z vnějšku klientovy organizace, musel by to být masivní, velmi sofistikovaný a cílený útok. To se jevilo jako nepravděpodobné a potvrdilo to domněnku klienta, že je dobře zabezpečen.  

Proto se pozornost IT expertů obrátila dovnitř organizace, kde hledali buď možnou nedbalost (otevření emailu se spamem, nedodržení bezpečnostních pokynů apod.) anebo úmysl vynést informace. Nakonec se ukázalo, že šlo o úmysl zhrzeného manažera, který se nedokázal smířit s ukončením spolupráce se společností  klienta. 

Prevence 

Při dnešní úrovni techniky, kdy je velmi obtížné sledovat stopu pachatele v kyberprostoru, je nejlepší obranou proti kybernetickým útokům prevence. Ta má dvě úrovně – technickou a právní, přičemž obě jsou vzájemně propojeny. Technická opatření, pokud nemohou útoku zabránit sama o sobě, mají smysl především tehdy, pokud je budou doprovázet vhodná právní opatření, která zajistí vymahatelnost dodržování opatření technických. 

Technická opatření mohou mít mnoho podob – od antivirů, přes auditní logovací systémy umožňující sofistikované sledování činností v rámci organizace po speciální hardwarová zařízení umožňující odklonění vnějších kybernetických útoků. Před přijetím technických opatření lze určitě doporučit provedení technického auditu, který zmapuje největší zranitelnosti systémů (ať už z pohledu vnější nebo vnitřní bezpečnosti) a doporučí vhodná technická řešení. Mnoho firem v poslední době prošlo podobným auditem v souvislosti s GDPR a závěry tohoto auditu lze obvykle použít jako poměrně robustní základ pro představu o technické prevenci v rámci organizace.  

Právní opatření jsou již méně variabilní, jedná se nejčastěji o interní předpisy vydané zaměstnavatelem upravující povinnosti zaměstnanců na pracovišti a doložky do smluv s dodavateli. 

Konkrétní preventivní opatření 

V případě klientů, kteří se stali obětí útoku typu man in the middle, jsme vedle základních technických opatření, jako je například změna hesla na přístupovém bodu Wi-Fi, doporučili také zavedení organizačního opatření spočívajícího v telefonickém ověřování autenticity vybraných důležitých emailů. Toto jednoduché opatření, byť technicky nijak sofistikované, mohlo být realizováno ihned a bez jakýchkoliv nákladů.  

Ruku v ruce s tímto technickým opatřením jsme pro klienta vytvořili také interní předpis, který ukládá zaměstnancům, aby u e-mailů, které obsahují definované typy informací, vždy telefonicky ověřili s adresátem e-mailu jeho e-mailovou adresu, prověřili, zda mu e-mail došel, a dále jaký byl jeho obsah. Týká se to informací, jako jsou platební údaje, pokyny k vyplacení částek, ověření identity osob nebo adresy, kam mají být zaslány důvěrné informace klienta a dalších. 

Interní předpis je následně vymahatelný vůči zaměstnancům klienta a ten se může na zaměstnancích domáhat náhrady škody v případě, že vznikne v důsledku jejich porušení takového předpisu. K dodržování takového interního předpisu lze smluvně zavázat i obchodního partnera. Například, aby vás kontaktoval ještě před tím, než provede platbu na číslo účtu, které mu posíláte. Pokud by to neudělal, porušil by smlouvu a vystavoval by se tak smluvní pokutě, pokud byla sjednána, vždy však povinnosti k náhradě škody.  

Jak interní předpis, tak dohoda s dodavatelem, má zejména motivační charakter. Tedy vést dané osoby, aby se chovaly s určitou mírou obezřetnosti a tím jako vedlejší produkt vytvářely vyšší míru zabezpečení aktiv klienta.  

I přes veškeré technologické pokroky, je prostý telefonát, na rozdíl právě od e-mailu, stále dobrý způsob k ověření pravdivosti informací. 

V případě klienta, u kterého informace vynesl zaměstnanec, jsme doporučili hned několik technických opatření. Předně instalaci systému umožňujícího sledování vkládání USB disků do počítačů (administrátor systému dostane upozornění, pokud někdo vsune USB disk do počítače), dále zavedení elektronického systému pro logování přístupu uživatelů ke konkrétnímu obsahu (například DMS systémy apod.) a systému pro blokování přístupu k některým internetovým stránkám (jako například sociální sítě, platformy pro sdílení obsahu apod.). Zároveň jsme klientovi navrhli přijetí interní směrnice, která upravuje chování zaměstnanců na pracovních zařízeních a ukládá zaměstnancům povinnost vkládat obchodní tajemství klienta do elektronického systému, viz výše.  

Ve vztahu k úniku obchodního tajemství ze strany zaměstnanců se vedle výše doporučených opatření také nabízí zavedení systému monitorujícího aktivitu zaměstnanců na pracovních zařízeních. Takové systémy mají své limity, zejména v oblasti soukromí zaměstnanců – pokud by se například jednalo o systém monitorující odchozí e-maily, neměl by takový systém zachytávat soukromou korespondenci a podobně. Rovněž mohou být poměrně nákladné, ovšem nabízejí řešení v provozech, kde je natolik unikátní know-how, že jeho únik by mohl znamenat ohrožení celého podnikání daného subjektu.     

Přijatá opatření vůči útočníkovi 

Jak již bylo zmíněno výše, nejúčinnějšími opatřeními jsou ta preventivní. Jakákoliv následná opatření již tak účinná nejsou, neboť ke škodě již došlo. Na útočníky ze zmiňovaných případů bylo podáno trestní oznámení.  

V případě útoku man in the middle jsme ovšem toho názoru, že trestní řízení nikam nepovede, neboť najít konkrétní osobu a postavit ji před soud bude téměř nemožné. U druhého případu a zhrzeného zaměstnance je situace již lepší. Ovšem jelikož klient nedisponoval ani jedním z výše uvedených opatření, bude pro policii problematické prokázat, že obchodní tajemství skutečně vynesl konkrétní zaměstnanec. Pokud by klient doporučenými technickými prostředky již disponoval, mohl mít dostatek důkazního materiálu, který by předal policii. Vedle trestního stíhání je rovněž ze strany klientů uplatňována náhrada způsobené újmy, která bude uplatněna v adhezním řízení.  

Audit kybernetické bezpečnosti 

Se zaváděním preventivních opatření souvisí znalost kybernetických hrozeb klienta a jejich pokrytí technickými a právními opatřeními. Jak už jsme zmínili, audit kybernetické bezpečnosti se vyplatí zejména organizacím, u kterých únik vnitřních informací může znamenat značné škody. Mnoho organizací má významnou část takového auditu již za sebou v souvislosti s GDPR a jeho závěry lze obvykle použít jako dobré východisko pro audit kybernetické bezpečnosti. Nejdůležitější je vždy zjistit odkud a kam v organizaci putují data, jakými cestami, jaké hrozby existují ve vztahu k takovým datovým tokům, jak je řešit a kolik takové řešení bude stát.  

V podobných případech spolupracujeme s IT experty v oblasti kybernetické bezpečnosti, kteří provedou analýzu rizik a doporučí konkrétní technická opatření, spolu s vyhodnocením přínosu pro klienta a se zohledněním výše vstupních nákladů (value for money). V návaznosti na taková doporučení je třeba formulovat příslušná právní opatření (např. směrnice chování zaměstnanců) a uvést je do života. V případě, že subjekt podléhá regulaci zákona o kybernetické bezpečnosti, budou tato opatření zpravidla obsahovat celý balík interních a dalších předpisů, které bude nezbytné přijmout.   

Shrnutí 

Elektronizace podnikání s sebou přináší podstatně vyšší efektivitu, zároveň však také řadu hrozeb, se kterými je třeba se vyrovnat. Bohužel jednou z největších slabin kybernetické bezpečnosti zůstávají nedostatečně poučení nebo nedostatečně důslední zaměstnanci. Kybernetických útoků z vnějšku organizace ovšem také není nezanedbatelné množství a je nezbytné s nimi počítat při obchodní komunikaci.  

V návaznosti na výše uvedené bezpečnostní výzvy je třeba přijímat opatření, která rizika minimalizují. Přestože taková opatření musí být vždy šitá na míru konkrétní organizaci, lze obecně doporučit, aby každá organizace disponovala alespoň vnitřním předpisem, který bude shrnovat chování zaměstnanců a dodavatelů na pracovních zařízeních. Vedle právních opatření je rovněž důležité přijmout odpovídající technická opatření, neboť pouze při jejich kombinaci je možné organizaci účinně chránit. 

JUDr. Jan Diblík, partner HAVEL & PARTNERS s.r.o., advokátní kancelář 

JUDr. Samuel Král, advokát