Národní úřad pro kybernetickou a informační bezpečnost doplnil včerejší varování před útoky na nemocnice a další významné cíle v ČR seznamem doporučených opatření pro jejich počítačové odborníky, které více napovídají o vektoru útoku.
Nemocnice a další pracoviště by se měly připravit zejména na spear-phishing. Ten je stále častější a namísto snadno identifikovatelných a plošných phishingových e-mailových kampaní typu „drahoušek zákazník,“ které by měly každého upozornit už svoji špatnou češtinou a dalšími formálními nedostatky, spear-phishing může být cílený.
To znamená, že mohou být falešné e-maily připravené přímo pro oběť, na kterou útočí, mohou lépe zfalšovat identitu odesílatele, případně alespoň používat obsah s perfektní češtinou a obsahem, který zmiňuje třeba fakturu v (zavirované) příloze.
Běžný phishing by měl pro-aktivně odhalit každý pokročilý poštovní systém. Dnes je to samozřejmost jako pro Microsoft 365 a G Suite, tak mnohá další podniková řešení.
Pozor na makra a aktivní obrana
Dále NÚKIB doporučuje zamezit kompromitaci systému skrze povolení maker u nedůvěryhodných dokumentů MS Office – tedy právě těch v přílohách pochybných e-mailů. Spuštěné makro může do počítače stáhnout z webu další smetí, které teprve způsobí samotný útok, zašifrování dat atp.
NÚKIB také doporučuje tvorbu záloh kritických dat, segmentaci sítě, respektive pozavírání otevřených TCP portů pro přístup zvenčí, nebo třeba zajištění elementární ochrany zařízení před spuštěním škodlivého kódu – instalaci antiviru atp.
Pořád stejná písnička, pořád stejné chyby
Jelikož tato doporučení NÚKIB zpracoval na základě posledních zkušeností z napadených nemocnic a dalších institucí, je zřejmé, že ty dodnes trpí nedostatky, které patří k naprosto principiálním základům kybernetické bezpečnosti a gramotnosti v každém větším podniku – natož v prvcích kritické infrastruktury státu.
Byť se tedy mnohé oběti často brání slovy o vysoce sofistikovaném útoku, z dostupných dat spíše vyplývá, že oběti nedodržovaly bezpečností standardy adekvátní roku 2020.
Stručně řečeno, základní vektor útoku je už roky stejný a nejlepší obranou by tedy byla konečně kybernetická gramotnost těch, kteří mají přístup k pracovním stanicím připojeným do sítě. Doktor, vědec, mzdová účetní, i ředitel čtoucí e-mail jsou totiž nakonec oněmi pacienty 0, kteří rozšíří infekci do vlastní sítě. Jejich gramotnost je proto jedním z nejefektivnějších prvků kybernetické bezpečnosti.
