Důležité orgány státní správy a nemocnice jsou ohroženy vlnou hackerských útoků, které mohou mít fatální následky. V tomto článku se podíváme, jak vlastně probíhají a co je umožňuje.
Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) nedávno vydal varování před hrozbou nových kyberútoků na nemocnice a jiné cíle. Tyto útoky mohou narušit či zcela ochromit jejich běžný chod. Například Fakultní nemocnici v Brně vznikla při nedávném kybernetickém útoku škoda v desítkách milionů korun. Otázka zabezpečení veřejných institucí a jejich citlivých dat se tak stala tématem debat většiny lidí, nejen IT odborníků.
Jak vlastně dochází ke kyberútokům?
Každý útok je vždy spojen s internetem. Pokud si však myslíte, že musíte nejdřív otevřít „zavirovanou“ přílohu z podvodného e-mailu, jste na velkém omylu! Existují ještě dva, stejně nebezpečné způsoby, jak mohou hackeři infikovat důležitý systém. A oba se týkají práce s přihlašovacími údaji, jak zjistili odborníci z firmy MONET+, specializující se na ochranu dat a kyberbezpečnost.
Používání stejného hesla pro soukromé i pracovní účely
Této chyby se alespoň občas dopustil každý z nás. Vytvořil si nějaké univerzální heslo, které je samo o sobě velmi silné, ovšem používá ho na nejrůznějších portálech. Mimořádně nebezpečná je především kombinace jeho použití na sociálních sítích či neověřených e-shopech a zároveň ve firemních systémech.
„Základním problémem důležitých systémů uvnitř úřadů a nemocnic není to, že jsou špatné, ale to, že se do nich přistupuje většinou jen pomocí jména a hesla. A to se dá snadno ukrást či prolomit.“ Martin Rakušan, MONET+
“Uloupení“ přihlašovacích údajů z veřejných WiFi sítí
Druhým, stejně nebezpečným (a poměrně běžným) způsobem je nabourání do firemních dat. Co je vám platné, že používáte silné a jedinečné heslo, když se do firemních systémů přihlašujete z veřejných a nijak nezabezpečených WiFi sítí? Prakticky všechny veřejné sítě (v kavárnách, vlacích, hypermarketech apod.) jsou velmi snadno napadnutelné a vaše údaje z nich mohou být kdykoliv zkopírovány.
Toto nebezpečí znásobuje i současná situace, kdy většina zaměstnanců (kteří důležité systémy využívají) pracuje z domova s přihlášením do VPN většinou z nezabezpečených veřejných sítí.
Ne že by úřady či nemocnice používaly „slabé“ systémy na zabezpečení. Různé registry a spisové služby vždy žádají ověření totožnosti. Ve většině případů však jen formou jména a hesla. To je jejich zásadní problém – ale zároveň to vede i k řešení, jak je zabezpečit.
O účinných způsobech zabezpečení se dozvíme více v druhé části článku.
Autor: Ivo Vrána, MONET+