Hlavní navigace

Česku chybí znalosti v kyberbezpečnosti, plně ji neovládají ani ajťáci

Jan Sedlák

Společnost ALEF NULA rozjela test s útoky na server a jeho závěry, byť nejsou zcela reprezentativní, jsou docela zajímavé.

Národní bezpečnost, internet věcí a kritická infrastruktura. To jsou tři nové žhavé oblasti, které v brzké budoucnosti zásadně rozšíří už tak obří a bobtnající oblast kybernetické bezpečnosti. Na tento trh neustále tečou nové peníze – jen oblast enterprise už letos spolkne 86 miliard dolarů a během příštího roku se tato suma navýší o další desítky miliard.

Roste i počet útoků – v roce 2015 byl zaregistrován meziroční nárůst kyberbezpečnostních incidentů o téměř 40 procent, a to jde pouze o odhalené případy. Čísel lze citovat mnoho, z mnoha studií všeho druhu. Jedna taková od burzy NYSE říká, že 80 procent velkých firem řeší kybernetickou bezpečnost téměř na každém zasedání představenstva a managementu.

Jenže se toho obvykle moc nevyřeší, protože v postupech a strategiích chybí sebejistota, znalosti a vědomí, jak postupovat. Studie EY k tomu říká, že zhruba 60 procent firem nemá dovednosti k tomu, aby mohly s moderními hrozbami bojovat.

Český pokus

„Je zde globální nedostatek lidí, vědomostí a dovedností v oblasti kybernetické bezpečnosti, narážíme na to neustále. Tyto nedostatky zabraňují širší a strategické debatě,“ řekla na konferenci CPX 2016 pořádané firmou Check Point v Nice šéfka kyberbezpečnosti v IBM Shamla Naidoo. Podobně mluví mnoho dalších subjektů.

Zajímavý pohled nabízí také česká společnost ALEF NULA. Ta nedávno rozjela soutěž – vzala v podstatě dva roky vyřazený server, který se dříve používal v produkčním prostředí, a chtěla po zájemcích, aby se do něj na dálku dostali. Technickou konfiguraci serveru společnost příliš nekomentuje, protože s ním chce nadále podobnou cestou pracovat, zmiňuje pouze, že to byl Linux ve virtuálním prostředí a že systém nebyl dobu záplatovaný.

„Zaznamenali jsme pokusy z nižších stovek IP adres denně,“ říká pro Lupu Jan Kopřiva z ALEFu. „K valnějším výsledkům se nedopracoval nikdo. Některé útoky nebyly tak mimo, ale žádný nedošel tam, kam měl. Čekali jsme, že to zvládne alespoň pět až deset lidí.“ Objevil se zajímavý pokus o phishing, jinak ale často byla vidět kombinace Kali Linuxu, Nmap, OpenVAS a OWASP skenování, SQL mappingu či třeba využití Metasploitu.

Zajímavé je to z toho důvodu, že se o útoky pokoušeli lidé z IT prostředí, kteří se v reálné praxi starají o určité části infrastruktury – servery, sítě a podobně. „Zjistili jsme, co lidé na vyšší úrovni v oblasti bezpečnosti zvládnou,“ říká Kopřiva. „Je důležité podotknout, že to nebyli přímo specialisté na kyberbezpečnost. Závěr každopádně je, že administrátorů, kteří by skutečně rozuměli bezpečnosti, je menší procento. A to i těch, kteří mají na starost routing, switching a podobně.“

Kdybyste jen věděli

Do oblasti kyberbezpečnosti zároveň vstupují nové trendy, které vše dále rozvíjí. Hodně lidí se nyní shoduje na tom, že bude důležité pracovat s daty, strojovým učením a tak dále. 

„Část budoucnosti bezpečnosti je postavená na reagování a prevenci. Ale především bude postavena na predikování a učení na datech,“ věří Daniel Burrus, který mimo jiné působí jako takzvaný futurista a výzkumům se věnuje i ve svých knihách a firmě. „Data jsou historie, popisují minulost. Ta pravá hodnota bude v real-time přísunu informací,“ doplňuje na konferenci CPX.

„Nedávno jsem se bavil s lidmi ze CIA. Nemohli mi říct všechno, co ví a co řeší, jedna hláška od nich ale byla zajímavá – kdybyste věděli, co víme my, nezapojili byste ani toustovač do elektřiny,“ uzavírá Shwed.

Našli jste v článku chybu?

29. 4. 2016 18:09

Dělám IT admina přes 10 let a čím dál více mi přijde, že čistě bezpečnost v IT je přeceňována.

Pamatuji se, jak jsem si četl článek o tom, jak se pomocí připojení na router dá zjistit jméno a heslo na VoIP telefon a získat k němu účet. Ta představa byla asi taková, že parta matfyzáků hackne síťové zařízení, pak bude odposlouchávat zařízení a nakonec to zneužije k odposlechu.

Proti těmto útokům jsou penetrační testy a tzv. rádoby security experti.

A teď realita. Ve firmě dal někdo uklíz…

29. 4. 2016 10:37

Tomáš2 (neregistrovaný)

nemyslím si, že penetrace do nějakého prostředí je přímo úměrná schopnosti administrátora udržovat bezpečný systém.

Vědět X a vědět Y, abych tomu X zabránil neimplikuje totiž, to X umí sám zneužít.

Po několika stážích v zahraničích společností si nemyslím, že naše jsou znalosti horší, já osobně spíše narážím na problém svázaných rukou, pro řadu i velkých českých firem je nepředstavitelné, aby platili bezpečnostního experta nebo naopak spolupracovali s takovou firmou.

Měšec.cz: Air Bank zruší TOP3 garanci a zdražuje kurzy

Air Bank zruší TOP3 garanci a zdražuje kurzy

Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

Vitalia.cz: Cena stejného léku se liší i o tisíce

Cena stejného léku se liší i o tisíce

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

120na80.cz: Co všechno ovlivňuje ženskou plodnost?

Co všechno ovlivňuje ženskou plodnost?

Root.cz: Mirai má nový cíl 5 milionů routerů

Mirai má nový cíl 5 milionů routerů

Vitalia.cz: Když přijdete o oko, přijdete na rok o řidičák

Když přijdete o oko, přijdete na rok o řidičák

120na80.cz: Pánové, pečujte o svoje přirození a prostatu

Pánové, pečujte o svoje přirození a prostatu

120na80.cz: Rovnátka, která nejsou vidět

Rovnátka, která nejsou vidět

Podnikatel.cz: Daňové úlevy s EET nestačí. Budou zdražovat

Daňové úlevy s EET nestačí. Budou zdražovat

Root.cz: Telegram spustil anonymní blog Telegraph

Telegram spustil anonymní blog Telegraph

DigiZone.cz: Rádio Šlágr má licenci pro digi vysílání

Rádio Šlágr má licenci pro digi vysílání

Vitalia.cz: Jmenuje se Janina a žije bez cukru

Jmenuje se Janina a žije bez cukru

Podnikatel.cz: K EET. Štamgast už peníze na stole nenechá

K EET. Štamgast už peníze na stole nenechá

Podnikatel.cz: 3, 2, 1..EET startuje. Na co nezapomenout?

3, 2, 1..EET startuje. Na co nezapomenout?

Vitalia.cz: To nejhorší při horečce u dětí: Febrilní křeče

To nejhorší při horečce u dětí: Febrilní křeče

DigiZone.cz: ČT má dalšího zástupce v EBU

ČT má dalšího zástupce v EBU

Vitalia.cz: Analýza letáků: Na co lákají do prodejen?

Analýza letáků: Na co lákají do prodejen?

Vitalia.cz: Spor o mortadelu: podle Lidlu falšovaná nebyla

Spor o mortadelu: podle Lidlu falšovaná nebyla