Je to nezvratné
Skúsenosti profesionálov a média to potvrdzujú. Slovenské firmy a inštitúcie často nezvládajú oznámenie o svojej zraniteľnosti, či už sú to ich systémy, alebo softvér a hardvér, ktorý používajú.
„Treba prijať fakt, že zraniteľnosti vo vašich systémoch môže nájsť aj úplne náhodný človek. Občas je to jednotlivec, občas bezpečnostní výskumníci. Majú rôzne znalosti a skúsenosti a rôznu motiváciu, prečo sa vám ozvali,“ opisuje skúsenosti Matej Šalmík z Národného centra kybernetickej bezpečnosti SK-CERT. Preto je dobré mať vyriešené, ako k takýmto situáciám a ľuďom pristupovať.
Biznis lepší ako diamanty
Zraniteľnosti softvéru, hardvéru a aplikácii nielenže existujú, ale stále vznikajú nové. Ak profesionál objaví zraniteľnosť, môže túto informáciu speňažiť, alebo hlásiť príslušnému výrobcovi. Alebo oboje. Trh zraniteľností je atraktívne miesto s rastúcim obratom a nakupujú na ňom kybernetickí zločinci, vlády, výrobcovia aj výskumníci.
„Sledovaniu zraniteľností sa venujú komerčné výskumné spoločností, prípadne ich vykupujú cez špecializované programy od výskumníkov a hackerov,“ potvrdzuje Jozef Bálint, senior špecialita IT bezpečnosti Alison Slovakia.
Vyhľadávaniu sa venujú aj organizácie sponzorované vládou, vládne jednotky CSIRT aj rôzne komunity a neziskové organizácie.
Bug bounty
Biznis model odmeňovania tých, ktorí hľadajú zraniteľnosti, zaviedol v roku 1983 výrobca operačného systému VRTX a dostal názov bug bounty. Rozšírenia sa dočkal po roku 2000 a od začiatku minulého desaťročia stúpa raketovo.
Medzi hackermi platí - čím je nájdená zraniteľnosť závažnejšia, tým lepšie. Čím viac je daný produkt, systém, či softvér rozšírený, tým lepšie. „Pre white hat hackerov je to z veľkej časti prestíž a zábava. Pre mnohých je to už dnes práca na plný úväzok“, hovorí etický hacker Tomáš Zaťko zo spoločnosti Citadelo.
Méty hackerov
Zdravotníctvo a priemysel obsahujú lákavé osobné informácie, zariadenia sú pripojené do internetu a SCADA systémy na zber dát sú masívne nasadené a často lacno nakúpené. Pozornosť hackerov sa sústreďuje aj na oblasť deepfake, ktorá využíva umelú inteligenciu a útočníci môžu technológiu zneužívať pri manipulácii s finančnými trhmi alebo v predvolebnom boji.
Jozef Bálint upozorňuje, že v súčasnosti sú najnebezpečnejšie a najviac rozšírené zraniteľnosti na nezaplátaných systémoch a platformách Microsoft a na virtualizačných platformách.
Štyri najviac cielené zraniteľnosti v roku 2020 súviseli s technológiami zameranými na prácu na diaľku. V rebríčku sa pravidelne objavujú zraniteľnosti, ktoré môžu byť zneužité na vzdialené spustenie kódu.
Stále sa to opakuje
Ak už je zraniteľnosť overená, výrobca alebo prevádzkovateľ by mali okamžite vyrobiť záplatu. Až potom zraniteľnosť ohlási verejne a vydá aktualizáciu. Sledovať varovania a plátať je veľkou časťou práce každého oddelenia kybernetickej bezpečnosti.
To isté platí o zraniteľnosti samotnej organizácie. Ak dostane firma, či organizácia oznámenie o zraniteľnosti, je namieste poďakovať, zraniteľnosť aj opraviť a v prípade potreby to odkomunikovať so zákazníkmi.
„Oznamovateľ zraniteľnosti nie je ten zlý - práve naopak. Ak by chcel uškodiť, nikdy vám o zraniteľnosti vo vašom systéme nepovie,“ vysvetľuje Matej Šalmík.
Je to senzitívne
SK-CERT vydal návod, ako korektne nahlásiť zraniteľnosť konkrétnej organizácie. Dá sa to aj anonymne a oznamovateľ nemôže zneužívať zraniteľnosť vo svoj prospech, ale musí ju zdokumentovať a bez meškania oznámiť.
Slovensko sa pri tomto postupe inšpirovalo európskymi štandardmi a návod rozhodne odporúča, aby sa organizácia zodpovedne postavila k riešeniu zraniteľnosti.
Vojtech Gáborík riaditeľ úseku informačných technológií otvorene priznáva, že aj Prvej stavebnej sporiteľni sa stalo, že jej hacker korektne oznámil zraniteľnosť. „Nejednalo sa o kritickú zraniteľnosť, ale na základe podnetu boli realizované vylepšenia.“
Najhoršie je, ak organizácia reaguje na oznámenú zraniteľnosť popieraním, zastrašovaním a vyhrážaním. S takouto reakciou sa stretávajú na Slovensku aj špecializované firmy aj štátna autorita.
Bude toho stále viac
Odmeny za nájdenie zraniteľnosti vyhlasujú nielen technologické giganty, elektronické obchody, banky, ale aj menšie firmy na lokálnej úrovni. Podľa Tomáša Zaťka je systém odmien za zraniteľnosti už štandardnou a kľúčovou súčasťou riadenia bezpečnosti.
Ak chcete riešenie firemnej zraniteľnosti pozdvihnúť na vyššiu úroveň, zriaďte si svoj bug bounty program. Matej Šalmík to vidí ako dobrý spôsob, ako identifikovať zraniteľnosti, ktoré prehliadli iné procesy, napríklad penetračné testy. Vypovedá to o zodpovednosti firmy a zároveň dáva oznamovateľom motiváciu, aby zraniteľnosti hlásili priamo jej. Investície do programu sú ďaleko menšie, ako tie do obnovy a nápravy reputácie po kybernetickom bezpečnostnom incidente. Odmena za účasť nemusí byť len finančná, existujú aj iné motivácie v podobe stáží, licencií alebo produktov.
Treba na to odvahu
Na to, aby firma vyhlásila bug bounty projekt, treba ukázať profesionálnu odvahu. Nielen technickú, ale aj kultúrnu. Dôvod? Korporátne pravidlá, rôznorodé technické prostredie, alebo nevôľa vedenia.
Aj Tomáš Zaťko sa často stretáva s tým, že mnoho netechnických ľudí vrátane top manažérov, sa tohoto modelu bojí. Myslia si, že prilákajú zlých hackerov. „Kriminálnici však nečakajú na povolenie vo forme bug bounty.“
Vzťah k týmto programom sa však aj u nás postupne zlepšuje a potvrdzuje to aj Vojtech Gáborík: „Bug bounty plánujeme pilotne využiť v blízkej budúcnosti pri našom novom projekte.“
Okrem toho aj na Slovensku existuje bug bounty platforma HackTrophy, ktorá ponúka služby etických hackerov. Môžete tam prihlásiť webové a mobilné aplikácie, e-shopy, webovú stránku, platobné brány alebo zariadenia pripojené do internetu a požiadať túto komunitu o hľadanie zraniteľnosti za odmenu.