„Úkol pro top manažery je zamyslet se nad tím, kolik prostředků jejich firma věnuje do fyzické ostrahy zboží a objektů a kolik věnuje do ostrahy počítačových systémů,“ říká expert na počítačovou bezpečnost Jiří Nápravník.

Před časem jsme se na tomto blogu věnovali kybernetickým hrozbám, kterým mohou čelit dodavatelské řetězce. Vzhledem k tomu, že to je široké a komplikované téma, oslovili jsme specialistu na počítačovou bezpečnost s prosbou o dopovědi na některé otázky.

Jaké největší elektronické hrozbě v současnosti mohou čelit dodavatelské řetězce?

Paradoxně je jednou z velkých hrozeb obrovský a nekontrolovaný rozvoj informačních technologií (ICT). Tedy přesněji rozvoj ICT ve spojení s chybějící odpovědností tvůrců operačních systémů, databází a dalších programů za své aplikace. S obrovským rozvojem ICT souvisí i rychlá výměna zkušeností mezi podvodníky na různých kontinentech. Podobně jako v reálném světě, tak i v prostředí ICT má předávání zkušeností mezi „slušňáky“ zpoždění proti tomu, jak rychle si zkušenosti vyměňují podvodníci. Jenže to, co v non-IT prostředí trvalo měsíce a roky, trvá v prostředí ICT týdny a měsíce.

Další hrozby jsou ukryté v přechodu od papírové k elektronické komunikaci. Na počátku 90. let byly „populární“ falešné faktury zaslané do různých firem. Dnes tuto podobu může mít ISDOC nebo jiný formát faktury zaslaný do firmy elektronickou formou. Pokud ve firmě nefungují základní kontrolní mechanismy a spoléhá se na dokonalost ICT, tak se taková firma může stát obětí podobných podvodů s fakturami jako před 20 roky.

Jak se mohou řetězce kyberútokům bránit? Jaká jsou základní opatření?

Jedna rovina je technologická a druhá je manažerská neboli podnikatelská. V rovině technologické si dovolím tvrdit, že jsou informatici jednotlivých dodavatelských řetězců kontaktováni obchodními zástupci dodavatelů bezpečnostního software a hardware a jsou informováni o nových úžasných zařízeních.

Druhá a vážnější je rovina manažerská. Naprosto postrádám v Česku i v EU kritický pohled majitelů a top manažerů na kvalitní fungování ICT a především na ICT bezpečnost. Pokud se objeví podezření na škodlivé látky v potravinách, kosmetice nebo hračkách, tak firmy v naprosté většině případů mají připravené postupy, jak vzniklou situaci řešit. Naproti tomu si v minulosti málokdo dovolil otevřeně kritizovat chyby v operačních systémech a dalším software.
Chyby v operačních systémech, které jsou v systémech bez opravy ukryty klidně deset a více let, jsou základem naprosté většiny útoků počítačových podvodníků na informační systémy kvalitu software neprosadí technici, to je úkol pro manažery a politiky. Úkolem pro top manažery je zamyslet se nad tím, kolik prostředků jejich firma věnuje do fyzické ostrahy zboží a objektů a kolik věnuje do ostrahy počítačových systémů. Bezpečnost ICT nákupem technologií teprve začíná, pak musí někdo tyto technologie nainstalovat a hlavně každý den používat a vyhodnocovat výsledky.

Jaké bezpečnostní počítačové programy by logistické společnosti měly používat?

Jedno doporučení se týká základů technologie, tedy operačního systému, databází atd. Na této úrovni je nutné používat všechny osvědčené typy bezpečnostních programů. Tedy antivirový program, program pro aktualizaci používaného software atd.

Další je bezpečnost na úrovni vlastní vnitrofiremní aplikace (ERP, sklad atd.). Na této úrovni je dobré – či spíš nutné – mít možnost používat audit prováděných operací. Tedy sledovat kdo kdy schválil fakturu, vydal dodací list atd. Další je nastavení pravomocí uživatelů podle konkrétních pracovních pozicí. Bez funkčního auditu nezjistíte, kdo a co prováděl ve vašem informačním systému.

Další oblastí, ve které by firmy měly být připravené, je testování odolnosti ICT na výpadek systému nebo například na DDoS útok. Dále také testování postupů zaměřených na objasnění podezřelých operací a testování spolupráce mezi pracovníky, kteří jsou zodpovědní za fyzickou ochranu a za ICT bezpečnost. Rozhodně pro vyřešení problémů neexistuje jeden program nebo jedna ISO norma.

Existují speciální skupiny, které provádějí útoky na dodavatelské řetězce?

Existují skupiny, které se zaměřují na „hotové“ peníze. Peníze mají výhodu, že je možné je převádět na zahraniční konta, s platební kartou vyzvednout v zahraničí a podobně.

Druhou skupinou jsou, případně mohou být,vyděrači – „Zaplaťte nebo vám zničíme servery, znepřístupníme e-shop, přerušíme spojení mezi pobočkami apod.“ To může mít podobu DDoS útoku nebo hlubšího proniknutí do vašeho informačního systému. V takovém případě je důležitá prevence, tedy být připraven pracovat i v okamžicích částečného nebo úplného výpadku informačního systému. „Útok“ v podobě výpadku počítačové sítě nemusí provést počítačový podvodník, ale i nepozorný bagrista, který překopne kabel, nebo třeba povodeň…

Úplně samostatnou kapitolou jsou skupiny zaměstnanců distribučních firem, kteří znají firmu zevnitř. Znají pracovní a kontrolní postupy, a pokud najdou způsob, jak kontrolu obcházet, tak jsou v případě krádeží zboží velmi nebezpeční. Paradoxně, k tomu může pomoci i IS, protože pokud podvodníci najdou skulinku v postupech v informačním systému, tak z pohledu ostatních zaměstnanců, včetně auditorů, se vše tváří naprosto v pořádku.

Jeden příklad. V době papírových faktur bylo běžné, že se kontrolovalo číslo bankovního účtu, na který má být zaplaceno s číslem, které je uvedeno v informačním systému u dodavatele. S nástupem elektronických faktur se v ČR několikrát stalo, že faktura byla ověřena a zaplacena na jiný účet. Chyba byla v tom, že místo původní kontroly čísla účtu dodavatele tak počítače ověřily elektronický podpis přijaté faktury, ale číslo účtu se již neověřovalo.

Víte o nějakém dalším útoku na dodavatelské řetězce, který byl zaznamenán v Česku či okolních státech?

Útoky na počítačový základ e-shopů nebo DDoS jsou nepříjemné, ale jsou relativně méně nebezpečné než zneužití oprávnění při schvalování faktur nebo při vydávání dodacích listů. V loňském roce jsem zaznamenal případ, kdy pachatelé vyvezli ze skladu dovozce náhradních dílů zboží za více než 20 milionů. Princip byl velmi jednoduchý a spočíval v opakovaném vystavení stejného dodacího listu a jeho následném zničení. Podvodníci jednou zboží vyvezli oficiálně pro svůj servis a podruhé „na černo“, i když s platným dodacím listem. V centrálním skladě, kde byl velký pohyb zboží a málo lidí, kteří uměli pracovat s počítačem, tak bylo možné provést podvod celkem snadno.

Měly by se tedy těmito hrozbami zabývat vlády jednotlivých států?

Rozhodně, a to vážněji než v současnosti. V případě léků existuje SÚKL a dále hygienická služba… Někdo může namítnout, že v případě léků nebo potravin jde o zdraví obyvatel. Ano, ale útok na počítačový řídící systém zásobníku s chlórem může mít také vliv na zdraví obyvatel. Hovoří se o přijetí zákona o kybernetické bezpečnosti, ale je jasné, že tento zákon podstatu problémů s ICT bezpečností nevyřeší. Snadno se tedy může po přijetí takového zákona stát, že dojde k určitému rozčarování – Přijali jsme zákon o kybernetické bezpečnosti a ono to nestačí? Proč, jak je to možné?

Stát se bude muset začít aktivně zajímat nejenom o ICT bezpečnost, ale především o řešení prevence v celém prostředí ICT.

Současná legislativa a další bezpečnostní opatření v této oblasti v Česku a Evropě tedy nejsou dostatečné?

To záleží na úhlu pohledu a na chápání míry odpovědnosti za jednotlivé části ICT. Hovoří se o zákonu o kybernetické bezpečnosti a možná skutečně bude přijat a bude platit. Jak jsem ale zmiňoval, tento zákon základní a největší problémy ICT bezpečnosti nevyřeší.

Dokud zde budou dostávat prostor „odborníci“, kteří říkají, že hlavní odpovědnost je na běžném uživateli, na běžné firmě, kteří si mají zabezpečit svůj počítač, tak se nepohne tato problematika z místa. Bohužel se to netýká pouze Česka, ale i dalších zemí EU a celého Internetu.

Musí se začít od základů ICT, tedy u tvůrců operačních systémů a aplikací. Pokud se nastaví v oblasti vývoje software podobná pravidla jako v oblasti léků nebo potravin, tak během dalších několika let zmizí většina problémů s počítačovými viry.

V budoucnosti, v době,kdy budou operační systémy a aplikace mnohonásobně bezpečnější než dnes, ale zůstane potřeba mít a používat kvalitní audit prováděných operací pro sledování kdo, kdy a co provedl ve vašem informačním systému.

Pokušení poslat si úhradu za fakturu na svůj účet nebo vyvézt ze skladu kamion se zbožím existovalo už dávno před nástupem počítačů a takové pokušení bude i v době, kdy budou operační systémy mnohem bezpečnější než jsou dnes.