Žijeme také ve fyzickém světě

Úspěšný útok není o jedné slabině. Je to o tom, že útočník musí projít přes více překážek a musí se nakupit více slabin najednou. To je teze Jiřího Vaňka. V rozhovoru také upozornil na jednu podstatnou věc, ne kterou se dnes v oblasti kyberbezpečnosti trochu pozapomíná. Jedná se o to, že žijeme primárně ve fyzickém světě. Při simulaci kybernetického útoku na nějakou organizaci od jeho teamu, byl nejúspěšnějším scénářem takový, že zkopírovali přístupové karty od zaměstnanců. Málokterá firma podle něj používá takovou technologii přístupových karet, která je odolná vůči kopírování.

„Dneska útočníci, pokud opravdu potřebují a jde to ztuha, tak jsou ochotni si do dané organizaci fyzicky zajít, překonat fyzické bariéry, splynou s davem, se zaměstnanci anebo i nějakých technik, kdy jsou schopni obejít fyzické bariéry bez toho, že by za sebou zanechali viditelné stopy. Do organizace si dojdou, nechají si tam speciální zařízení, hardware, přes který se později připojí do sítě organizace. Nemluvě o tom, že v tom fyzickém světě ty pobočky nebo centrály firem mají spoustu zajímavých citlivých informací, když se k nim dostane tato osoba, je schopen je vynést, vyfotit. Ať jsou to výpisy zá účtu, emaily apod.,“ dodává Jiří Vaněk.

Největším rizika jsou na straně zaměstnanců

Nejčastějším útokem na banky je ten, který snaží zahltit jejich sítě takovým způsobem, aby přestaly fungovat. Mnohem složitější je podle Petra Baráka proniknout zvnějšku do těchto sítí. Rizika v této oblasti vidí na straně zaměstnanců. Samozřejmě se jedná o klasické phishingové útoky pomocí e-mailu nebo dalších kanálů. 

„Umím představit a zatím tu informaci nemám, že by se něco takového v některé z členských bank stalo, ale umím si představit útok i tím způsobem, že si ti hackeři vytvoří to prostředí tím, že si do banky pošlou člověka, kterého ta banka zaměstná. On potom s tím přístup, který dostane do těch systémů, pak už má možnost překonávat a získávat ty informace, aniž by musel z toho vnějšku do té banky útočit. Protože ta banka mu sama přístupy umožní. Tady je důležité, už při náboru těchto lidí, specialistů, o nich získávat nějaké informace tak, abychom měli v bankovnictví nebo ve firmách, aby firmy měly jistotu, že si tam nenaberou někoho, kdo jim může nějakou takovou činnost začít dělat,“ říká Petr Barák.

V podcatu jsme dále rozebírali také bezpečnost outsourcingu IT činností, či zda zažijeme prověrky v rámci náboru zaměstnanců do bank. Řeč přišla také na to, zda má mít vrcholný pracovník v oblasti IT v bance mít sociální sítě jako Facebook nebo LinkedIn. Nalaďte se na nový podcast Bankast a dozvíte se odpověď na tyto otázky a mnoho dalšího.

Podcast si můžete poslechnout na Apple Podcasts a na Spotify