Co se to s námi stalo, přestali jsme se bát?

Nejsme náhodou nějak často odtrženi od reality tváří v tvář nebezpečí? V prosinci roku 1941 se japonská vojska vylodila v Malajsii a zahájila svůj postup směrem na Singapur, v té době držený Velkou Británii. Britský generální štáb se domníval, že japonská armáda je slabá, nedostatečně a nemoderně vyzbrojená, neschopná projít džunglemi malajského poloostrova. Jakmile byla britská vojska rychle zatlačována k Singapuru, začal se ve štábech tento názor měnit. Bohužel britská veřejnost (a to i v Malajsii a Singapuru) si stále myslela, že to zase tak vážné není. Dalo by se říci, byla odtržena od reality. Například, když jedna z britských jednotek chtěla využít výhodného postavení a opevnit se na golfovém hřišti, bylo její velení důrazně odmítnuto s tím, že o takové věci jako je opevnění klubovny a vykopání zákopů na fervejích, musí napřed rozhodnout Výbor golfového klubu a bylo by lépe, kdyby se opevnili někde jinde….

Negativní výsledky phishing testu ukazují, že se stále necháváme nachytat. Můžeme hovořit o tom, jak je test více či méně zákeřný, že jsme využili náhodu, jaké aktuálně probíhají změny, které situaci ještě vyostřily, jaké jsme měli štěstí, že jsme neměli štěstí. Výsledek je špatný, co to o nás vypovídá? Všichni teorii známe, všichni víme, kde se máme podívat, kam link vede, než na něj klikneme. V praxi, ale stejně podvědomě na něj automaticky klikneme. Někde se dopouštíme chyby v budování obrany, protože nám naše „lidské firewally“ nefungují, selhaly. Trochu to vypadá, jako by nepřítel útočil na naše levé křídlo, mezitím my usilovně posilujeme naše pravé křídlo.  O co hrozivěji vypadá naše situace, o to víc přesouváme síly na pravou stranu bojiště. Zdá se, že prohráváme, ale nerozumíme tomu proč, přestože naše úsilí je větší a větší (ale na špatném místě :-().

Kladu si otázku. Je to tím, že spoléháme na technologii, která nás ochrání a nepustí k nám nic nepatřičného? Možná ano. Člověk obecně má tendenci špatně vyhodnocovat rizika a to i v situaci, kdy má k dispozici odpovídající metriky. Příklad? Máme strach letět letadlem, protože letadla občas havarují, bojíme se létání. A tak se bojíme, když jedeme autem na letiště, zrovna té části cesty, kterou absolvujeme letadlem. Pravděpodobnost smrtelné nehody v letadle je 1:11.000.000, zatímco pravděpodobnost smrtelné nehody v automobilu je 1:5.000! Stejně tak špatně vyhodnocujeme hrozby. Jedeme k moři a slyšeli jsme, že tam jsou žraloci, jakmile pak jdeme do moře, máme obavy. Možná bychom se však měli více bát komára, který žije ve stejné oblasti. Žraloci zabili za 100 let (do roku 2016) 1.035 lidí, komáři způsobí za jediný den smrt asi 1.470 lidí (statistika za rok 2016)!

Informace máme, proč tedy selháváme? Možná proto, že jich je moc a protože nedokážeme vybrat ty správné rizika a hrozby. Příklad? Každý rok je identifikováno cca 5 až 6 tisíc nových hrozeb, což dělá v průměru 15 nových hrozeb každý jeden den. Na kterou se zaměříme? A co zranitelnosti? Zhruba 25-30% všech nově identifikovaných zranitelností označeno jako kritické. Co s tím? Dokážeme ošetřit všechny? Nedokážeme, a tak se nám může asi velmi snadno stát, že posilujeme naše pravé křídlo, zatímco nepřítel se valí na naše levé.

Jinými slovy, na jednu stranu se objevují nové a nové hrozby a zranitelnosti, na další stranu nám do toho vstupují prodejci a média se svými příběhy, které mohou, ale nemusí být zaměřena na prodej (čert, aby se v tom vyznal), z další strany nám vstupují projekty, máme jich hodně, máme je v různém stádiu a stavu, dále máme omezený rozpočet a priority, to je občas boj, a v neposlední řadě má každá organizace nějaký práh tolerance rizik. Takže máme pěkný zmatek v týlu a navíc se na nás valí nepřítel. Co s tím?

Samozřejmě můžeme s tím udělat hodně. Zamysleme se bez emocí nad tím, co máme to nejcennějšího a co by se mohlo stát to nejhoršího. „Podívejme se do zrcadla“ a upřímně si řekněme, kde může být kořenová příčina všech možných incidentů a zranitelností, jak se vlastně útočník nebo malware může dostat k našim „pokladům“ a na kolik jsou jednotlivé scénáře reálné.

Co jsou dne vlastně největší hrozby? Ransomware, červi, krádež dat, krádež přihlašovacích údajů, špatná konfigurace, škodlivé weby, uživatelé atd. A co jsou nejčastější zranitelnosti, které tyto hrozby mohou zneužít? Asi to bude neschopnost odolat sociální manipulaci a pak samozřejmě nevhodný patch management. Ponechám teď stranou patchování, ale jak probíhá vlastně bezpečnostní školení, tréning uživatelů? Tak nějak předpokládáme, že téměř každý, kdo pracuje s počítačem má nějaké ponětí, má nějaké bezpečnostní povědomí a tak se nám tréning mění ve formalitu (náš tým ví, že má „šít bomby k tyči“ a tak to netrénujeme, v zápase však trefujeme střed branky a brankáře :-(). Zkusme to vzít vážně, skutečně povídejme našim uživatelům o hrozbách a rizicích, opakujme jim, co mají a nemají dělat (neb opakování je matka moudrosti) a samozřejmě zkoušejme je. Věřím, že čas a energie se nám vrátí v tom, že nebudeme muset aktivovat havarijní plány…

Nakonec si dovolím parafrázovat Marcuse Porciuse Cata: „Ostatně soudím, že nejslabším článkem je uživatel“ (originál Carthago delenda est :-)).

Pokud nevíte, kde je největší nebezpečí, co byste měli udělat hned a co počká, jaký bezpečnostní systém je vhodný pro vás s ohledem na váš business a velikost, klidně se obraťte na AutoCont. Rádi vám poradíme a jak se říká za zeptání, nic nedáte :-). AUTOCONT ví jak.