Hlavní navigace

Richard Brulík (Safetica): Prolomení domácí Wi-Fi je většinou jen otázka času

Bezpečná práce z domova předpokládá změnu firemní kultury, RDP protokol může být bezpečný, ale je potřeba k němu přidat ještě další vrstvu, telekonference po VPN je v praxi nereálná a vyhnul bych se obloukem řešením zdarma, říká nový CEO brněnské společnosti Safetica.
Karel Wolf 14. 5. 2020
Doba čtení: 13 minut

Sdílet

Kam se od posledního velkého sběru kapitálu před čtyřmi lety bezpečnostní společnost Safetica posunula, jak firmu zasáhl koronavirus, ale také co si její nový šéf myslí o současném trendu masové práce z domova a jaké z něho vyplývají konkrétní bezpečnostní důsledky – o tom jsme mluvili s Richardem Brulíkem, ředitelem brněnské společnosti Safetica, která se zabývá bezpečností firemních dat.

Do firmy přestoupil začátkem května z Kentico Software, kde působil jako viceprezident pro globální prodej. Po sedmi letech vystřídal v čele firmy Petra Žikeše. Ten by se měl nově soustředit na rozvoj strategických partnerství firmy.

Safetica v minulosti poměrně rychle vyrostla, ale pak o ní dlouho nebylo příliš slyšet. Jak velká dnes vlastně společnost je, co se týče klientů, zaměstnanců a obratu?

Před přibližně dvěma lety jsme opravdu největší část úsilí dávali do produktu, náboru a rozvoje nových technologii především s ohledem na zahraniční trhy a z pohledu českého trhu jsme navenek byli méně aktivní. Dneska už víme, že se nám ten extra investovaný čas několikanásobně vrátil a naše produkty jsou velmi úspěšné nejenom na českém a slovenském trhu, ale hlavně v zahraničí. Celosvětově máme přes 2000 zákazníků (tzn. přes 250 000 chráněných zařízení), více jak 70 zaměstnanců a obratově jsme v minulém roce přesáhli 100 milionů korun.

Je pro vás dnes ještě významný domácí český trh, nebo se soustředíte spíše na ty zahraniční? (Případně na které.)

Domácí trh, a tím myslíme Česko i Slovensko, je pro nás velmi klíčový a naší zákaznickou bázi neustále rozšiřujeme o nové zákazníky téměř ve všech segmentech a velikostech. Co se týká zahraničního trhu, tak zde expandujeme nejenom v rámci Evropy, ale v posledních měsících také v Latinské Americe (Brazílie, Columbie), USA, UAE, Novém Zélandu a aktuálně startujeme novou spolupráci i v Japonsku.

Dotkla se vás koronavirová krize negativně, nebo jste díky ní naopak vyrostli? 

Určitě na nás aktuální krize měla i negativní dopad, firmy ze dne na den řešily vůbec svůj provoz místo bezpečnosti. Ale díky úsilí celého týmu jsme byli schopni velice rychle zareagovat na nové potřeby trhu, vydat novou verzi, která reaguje na aktuální potřeby vzdálené práce, a to má pozitivní dopad i na naše obchodní výsledky.

Určitě to není o tom, že bychom viděli jen růst a žádný propad. Několik obchodních případů se nám posunulo, ale naštěstí jenom minimum z nich bylo zrušeno. Dnes se ty posunuté obchodní případy začínají uzavírat a nové startují rychleji než kdy před tím. Meziročně aktuálně vidíme 60% nárůst oproti roku 2019 a podle aktuálních predikcí bychom se měli dostat určitě přes dvojnásobek obratu za minulý rok.

Nikdy nepracovalo z domova tolik lidí jako teď a nikdy dříve také firmy neumožňovaly práci z domova tak ochotně. Za jakých okolností tento fakt představuje zvýšené bezpečnostní riziko pro firemní sítě?

Největším rizikem je právě rychlý a nucený nástup vzdálené práce. I práce z domova jde udělat relativně bezpečně, ale musí tomu být uzpůsobena firemní kultura, procesy, nástroje, bezpečnostní znalosti a vůbec znalosti a návyky vzdálených pracovníků. A neplatí to jen pro bezpečnost, úplně stejně je to s produktivitou v takovémto prostředí a režimu práce. Toto přizpůsobení bude u většiny firem trvat více než rok a mimo jiné to bude důvod, proč se zase začne u velké části firem práce z domova brzdit a trochu omezovat.

Zpět k jádru otázky, nejlepší bude si uvést příklady problémů. Tedy kdo má doma všechny síťové prvky, počítače, mobily a aplikace aktualizované? Kdo se třikrát rozmyslí, než klikne na neznámý odkaz nebo než nějakou nevhodnou aplikaci nainstaluje? A když to dodržíme my, kdo dá ruku do ohně za ostatní členy domácnosti? Samozřejmě toto jsou mnohé situace i z firemního prostředí, ale tam nám hlídá záda celá škála bezpečnostních nástrojů na síti i na stanicích.

Pojďme dál, firemní data jsou nové digitální zlato a zaručení jejich bezpečnosti je velmi ztíženo prostředím, co nemá IT pod kontrolou. A nejde jen o jejich obchodní hodnotu, jde třeba i o regulace, co na ně platí a které jsou stále platné i v případě, že jsou na vzdáleném prostředí.

Není obecně „nebezpečnost práce z domova“ trochu přeceňovaná? Většina firem dnes provozuje alespoň část infrastruktury v cloudovém prostředí, které se vzdáleným přístupem a priori počítá.

Pomineme-li, že ani cloud není samospásný, tak z naší zkušenosti určitě víme, že většina nemá vše v cloudu a ještě dlouho mít nebude. V tu chvíli propojujete interní firemní prostředí s tím domácím. A domácí prostředí se od firemního liší, včetně míry zabezpečení, rychlosti reakce na problém, návyků uživatele, sdílení prostředků a míry nepracovních činností.

Z pohledu zisku potenciálního útočníka není navíc samostatný domácí uživatel tolik lákavý. Ale pokud bude cestou do firemního prostředí, tak se zisk po úspěšném útoku řádově zvedá. Aktuálně doma hrozilo spíš zašifrování domácích dat pomocí ransomware nebo zapojení do botnetu (distribuované sítě pro další útoky). Nově mohou hrozit cílené útoky na ovládnutí prostředí, ukradení dat, proniknutí do firemní sítě, a navíc nebudeme mít doma za zády pomocnou ruku firemních administrátorů a podnikových bezpečnostních nástrojů.

Lze uvést nějaké konkrétní odstrašující příklady, s nimiž jste se v poslední době setkali v praxi?

Setkali jsme se s několika zákazníky, kteří museli při tomto rychlém přechodu na home office udělat několik kompromisů. U jedné výrobní firmy se to sešlo tak rychle, že IT oddělení nemělo čas přechod bezpečně realizovat. Museli otevřít přístup do firmy přes remote desktop bez jakéhokoliv dalšího nastavení a firemní data tak mohla bez kontroly uniknout touto cestou. Zde jsme byli schopni zákazníkovi pomoct díky DLP politikám, které zamezí přenosu dat přes vzdálený přístup.

Kde už je ale velice těžké zákazníkovi pomoci, je případ nejmenované agentury, která na tom byla s rychlostí přechodu podobně, ale zvolila ještě horší cestu. Aby mohla firma zajistit svůj byznys, museli si zaměstnanci zkopírovat firemní data na svůj soukromý počítač. Společnost tak nyní nemá žádný dohled ani opatření, jak tato data na soukromých stanicích ochránit.

Co je podle vás největší hrozba?

Největší a nejpravděpodobnější hrozba je ohrožení firemního prostředí a firemních dat nedostatečně separovaným pracovním prostředím od prostředí domácího.

Doma máme my i zbytek rodiny úplně jiné zájmy než udržet pracovní data v bezpečí. Při nepracovních aktivitách máme zájem více o zábavu a rychlá řešení našich aktuálních potřeb. Ať instalací neověřených aplikací, návštěvou méně důvěryhodných či nevhodných webů, čtením řetězových mailů, kliknutím na neznámý odkaz, připojování různých domácích zařízení. To vše může vést k nechtěné nákaze, která by nám za jiných okolností maximálně ohrozila domácí fotografie – a na to stačí zálohovat.

Za zmínku taky stojí právě domácí mentalita při řešení problémů a prolínání osobního a pracovního času. Doma tíhneme k tomu použít, co známe, a proto se více využívají soukromé messengery, soukromé maily, weby pro sdílení dat. To jsou všechno nástroje, které nejsou vhodné pro firemní data a komunikaci, a často vedou k veřejnému vystavení věcí, které mají zůstat ve firmě.

Nemůžeme ale po nikom doma chtít, aby se v tu chvíli choval jinak. Jediné, co proto můžeme udělat, je snížit rizika edukací, a hlavně snížit potenciální dopady separací firemního prostředí.

Zaměstnanci mimo korporace často pracují na vlastních koncových zařízeních, na druhé straně BYOD je od příchodu chytrých telefonů ve firemních sítích prakticky samozřejmostí, zejména u managementu. Kde leží hlavní nebezpečí uživatelských zařízení a jaký je podle zkušeností z praxe nejrozumnější bezpečnostní kompromis? Předpokládám, že nelze asi úplně aplikovat všechny bezpečnostní politiky firemní sítě a omezovat uživatele na jeho vlastním přístroji.

Než se budeme bavit o kompromisu, je třeba si uvědomit, že nejde o žádnou šikanu uživatelů, ať jsou doma pod kontrolou a chovají se doma jak v práci. Jde například o legislativu, která platí pro firmy a jejich data. Jako příklad si můžeme vzít GDPR, kdy firma ručí za osobní data zákazníků a zaměstnanců, a to platí i v případě, že se data dostanou na domácí pracovní prostředí. Dokonce se v některých případech ani ze zákona na toto prostředí dostat nemohou, například z důvodu regionality dat.

Proto nelze říct jeden univerzální model pro jakoukoliv firmu, záleží to na aplikovaných regulacích, pracovní náplni, pracovním režimu a míře cloudových nástrojů. Ty vhodné možnosti jsou obecně následující.

Za prvé: samostatné firemní zařízení (notebook) s VPN, ideálně podpořený separovaným pracovním profilem. Výhodou je, že ho má pod kontrolou firemní IT, mentálně se tam oddělí i pracovní náplň od domácího využití a je reálné zde garantovat firemní bezpečnost při zachování základní míry soukromí.

Za druhé: práce z domácího zařízení přes Remote Desktop (RDP), vždy ale podpořena VPN. Jde o poměrně bezpečný systém práce, ale je náročný na internetové připojení. Hůře se ale například řeší telekonference, která je po VPN nerealizovatelná a už to může vyžadovat složitější konfigurace na domácích zařízeních. U VPN a vzdáleného přístupu ještě upozornění: vždy segmentujte role a přístupy, abyste omezili dopad problému.

Za třetí: využití cloudových služeb může vypadat jako řešení, ale je vhodné zakázat stahování dat na soukromé zařízení a vynutit práce jen online. A obecně, cloudové služby lze taky řídit z pohledu bezpečnosti. Například cloudové office platformy jsou standardně integrovány s firemními bezpečnostními nástroji.

Za čtvrté: data podléhající legislativním regulacím je vhodné detekovat a nepustit na domácí prostředí, pokud to není nezbytně nutné, a samozřejmě je-li to legislativně možné. Lze to dnes řešit jak u fyzických zařízení, RDP přístupu, tak například i u cloudových platforem. Tomu mohou pomoci nástroje, jako jsou například Data Loss Prevention systémy.

A za páté: s mobily je to vždy složitější, ty uživatel většinou nechce mít dva. Doporučením je využít separovaný pracovní profil, který je dnes podporovaný u obou dvou moderních mobilních platforem. Jeho integrovanou správu zase podporují mnohé firemní bezpečnostní řešení a uživatel má k dispozici jednoduché bezpečné pracovní prostředí při zachování soukromí.

Ve Windows se stále často využívá ke vzdálenému přístupu Remote Desktop Protokol, který je z minulosti proslulý řadou bezpečnostních děr a na řadu z nich se přišlo až po letech. Představuje stále ještě problém? 

Jakýkoliv otevřený vzdálený přístup představuje riziko. Za použití VPN a se správnou konfigurací je však možné i toto rizika minimalizovat nebo úplně eliminovat. Remote Desktop (RDP) není vhodný protokol k použití na internetu. To samé však platí třeba i o SMB protokolu ke sdílení dat a dalších. Proto vždy kombinujme s VPN a nasaďme firemní bezpečnostní nástroje, které nám se zabezpečením a s detekcí útoku pomůžou.

Wi-Fi co do zabezpečení urazila za poslední roky pořádný krok kupředu, podíl na tom má i fakt, že ji dnes nalezneme prakticky v každé domácnosti. Jak závažný vektor útoku dnes představuje?

Wi-Fi technologie je dnes v poměrně důvěryhodném stavu, ale kamenem úrazu je právě domácí praxe. Většina uživatelů má doma takzvané domácí SOHO routery, které se nevyznačují nejvyšší bezpečností, a hlavně je koupí, zapne a nikdy už na ně nesáhne.

Základ bezpečnosti u Wi-Fi je právě ve správné konfiguraci, tedy například nepoužívat již prolomené šifrování. Dále v pravidelné aktualizaci, která se u většiny levných a domácích routerů musí dělat manuálně, a tedy se nedělá. A v silných heslech, které ale chceme říct i návštěvě, a proto tam máme často jen jednoduché slovo.

Prolomení domácí Wi-Fi je většinou jen otázka času.

Jak se díváte na využívání volně dostupných nástrojů, často s otevřeným přístupem, pro firemní videokonference?

Toto je velmi důležité téma. Jedna z největších bezpečnostních výzev pro firemní IT je právě boom těchto nástrojů. Nejsou špatné, ale jde o firemní bezpečnostní proces, který se většinou nedodrží. Každá firma by měla mít nějakou standardizaci a snažit se, aby se při nové potřebě vybral nový nástroj, IT ho prověřilo, zavedlo se best practice kolem jeho použití a opravdu jsme pak nepoužívali každý ve firmě jiný nástroj.

Doporučení je taky použití striktně firemních konferenčních aplikací podle preferované firemní platformy (Microsoft, Google, Cisco, …), např. MS Teams, Skype for Business, Google Suite Meet, Webex apod., které lze integrovat s firemními procesy a bezpečnostní platformou. Důvodem není jen míra zabezpečení, ale i licenční podmínky, kterou jsou u business variant těchto nástrojů správně nastaveny vůči GDPR.

Použití ostatních nástrojů, jakými jsou Skype, WhatsApp nebo Telegram (a samozřejmě Facebook Messenger), by mělo být na firemních zařízeních buď zakázáno úplně, nebo alespoň omezeno v pracovním použití. A obecně tady platí zlaté pravidlo, že nejdražší věci jsou zdarma.

Dá se nějak smysluplně kvantifikovat, kolik firem v Česku ročně čelí datovému úniku, případně jak velkému a jak velkou ztrátu pro firmu skutečně představují? 

To se těžko odhaduje, protože o mnoha případech se nedozvíte. Ty největší, medializované úniky jsou jen špičkou ledovce. Spíše je zajímavé, že mnohdy i zdánlivě „neškodný únik dat“ je opravdu nákladnou záležitostí. Například studie Ponemon Institutu, který má data ze stovky firem z celého světa, uvádí, že průměrná cena jednoho úniku firemních dat činila v roce 2018 3,86 milionu dolarů. V ČR takovouto statistiku sice nemáme, ale u bezmála třetiny našich klientů vidíme, že jedním z jejich rozhodnutí pro koupi bezpečnostního řešení Safetica je právě únik dat, který se jim ve firmě stal.

Existuje podle vás nějaký ideální kompromis mezi bezpečnostními politikami firmy, tak aby zaměstnance neomezovaly natolik, že se je budou snažit obcházet, a dostatečnou bezpečnostní firemní sítě?

Jak již bylo jednou zmíněno dříve, kompromisy vycházejí také z pohledu povinností zaměstnavatele vůči různým standardům a nařízením, které je povinný dodržovat. Spousta společností podléhá povinným standardům. K již zmíněnému nařízení GDPR pro ochranu osobních údajů zde můžeme zmínit také standardy jako PCI-DSS chránící platební informace, HIPAA pro ochranu lékařského tajemství nebo standardy bezpečností, síťové či klasifikační, jakými jsou kupříkladu ISO nebo ISMS.

Jakýkoliv funkční kompromis musí dále respektovat tři základní uživatelské aspekty: jednoduchost, efektivitu práce a rozumnou míru mimopracovního soukromí. Určitě nelze chtít stejnou míru kontroly firemního IT na soukromých zařízeních uživatele a vzít vzdálenému pracovníkovi polovinu nástrojů a dat, které potřebuje k práci.

Proto se vraťme k základním stále omílaným bodům:

1. Separujme pracovní prostředí od soukromého. Buď dedikovaným firemním notebookem, nebo pracovním profilem (například na mobilním zařízení), nebo alespoň pomocí RDP (vždy přes VPN).

2. Pro vzdálený přístup vždy používáme VPN a segmentujeme role a jejich práva.

3. Edukujeme, edukujeme, edukujeme. Bezpečnost, ale taky tipy pro domácí pracovní prostředí, jako je aktualizace, včetně síťových prvků. Vhodné je to lidem připomínat.

4. Visibilita a kontrola: do sítě, na pracovní zařízení, do cloudových služeb, do pohybu dat.

5. Standardizujme pracovní prostředí tím, že budeme lidem naslouchat a budeme vybírat řešení ze strany IT. Nezakažme jim nové nástroje, ale vyberme s nimi ty vhodné, ideálně integrovatelné s firemními bezpečnostními prvky a procesy.

Jaké jsou při práci z domova nejzrádnější vektory útoku? 

Těch vektorů je tolik, že jde spíše o návyky chování, plošná řešení a snižování dopadu útoku, než abychom s uživateli vyřešili každý vektor zvlášť. Ale pro ilustraci, ty nejrizikovější a nejčastější budou e-maily, dále neaktualizované prohlížeče a operační systémy, stahování neznámých aplikací, sociální inženýrství (cílený útok na neznalost), použití nevhodného nástroje či webové služby pro firemní účely, použití stejných přihlašovacích údajů ke všem webovým a cloudovým službám a podobně.

Často mají spojitost s péčí o bezpečnost prostředí, se znalostmi uživatele a s lidskou chybou. A ten největší problém není v tom, že nastanou, ale že zde chybí druhá linie ve formě IT a firemních bezpečnostních systémů, které dokáží včas zareagovat, zjistit problém a omezit jeho dopad.

Jak často se ve své praxi setkáváte s netechnickými útoky, třeba v podobě cíleného sociálního inženýrství?

CIF20-tip-firmy

Sociální inženýrství je běžná praxe, jen se změnilo z lidského kontaktu například telefonem nebo příchodem na recepci na strojově řízené. Dnes je jeho doménou cílený personalizovaný spam a webové podvodné stránky. Velmi se to překrývá s phishingem, jen v rozměru využití personalizovaných dat posbíraných ze sociálních sítí či úniků dat z velkých služeb.

Hlavním faktorem v boji se sociálním inženýrstvím zůstává edukace uživatele. Až 85 % úniků dat se děje kvůli lidské chybě. Pravidelná, a především praktická školení jsou tedy na místě a velmi důležitá. Druhým faktorem v boji je eliminace dopadu, ať segmentací prostředí, rolí anebo nástroji, které útok či nevhodnou činnost zachytí.