Další, již 17. ročník tradiční konference IT Infrastructure & Security o nejmodernějších bezpečnostních technologiích zajištujících ochranu sítí před narušením a ztrátou dat se uskutečnil 1. 10. 2015 v Konferenčním centrum City v Praze. Moderující Marek Šalanda v úvodu rozproudil krev v žilách účastníků nečekanými dotazy – jakou cenu má vaše auto? Jak si ceníte svého partnera? Na tyto otázky většina lidí v sále odpověď našla. Víte však, jakou cenu mají vaše data?
Tato spíše řečnická otázka pak provázela celým programem, který kromě technických a obchodních přednášek desítky výrobců IT ve dvou sálech zahrnoval také výstavní sál a demo prezentace a workshopy.
Zahájení měl v gesci Aleš Pernecký, ředitel divize infrastruktury v pořádající DNS. Přiznal účastníkům, že je fanouškem archeologie a při jednom z posledních výletů se mu ztratil batoh s notebookem obsahujícím všechny sesbírané informace. Do budoucna se již zabezpečil a vyvodil z toho jasné závěry: Je třeba vždy předem přemýšlet, co a jak budete chránit a kolik vás to bude stát.
Letošní rok přijal pozvání na konferenci i významný host Petr Jirásek, cyber security & IT advisor, chairman Czech Cyber Security Working Group, který se ujal úvodního slova na téma hrozeb a trendů v kybernetické bezpečnosti.
Poukázal na to, že výrobci softwaru často nenesou zodpovědnost za možné škody, což v jiných odvětvích zdaleka není běžná praxe. Zodpovědnost přenášejí na samotné uživatele, resp. zákazníky.
Při zamyšlení nad rozdílem mezi kybernetickou a informační bezpečností určil jako hlavní diferenciátor legislativu (vztaženou na tu kybernetickou). Zároveň dodal, že zákon sice nastavuje pravidla, ale samotnou bezpečnost neřeší. A vůbec se nezabývá softwarem.
Jako paralelu vzpomenul kauzu porušování emisních norem ze strany koncernu VW, kdy se při měření emisí software nekontroluje (nehomologuje). Možná že tyto kauzy povedou k tomu, že bude do budoucna docházet k povinné certifikaci softwaru, a to i v dalších odvětvích, předvídá Jirásek.
„Kybernetická bezpečnost je o vzdělání a tady jsme zaspali. Hodně,“ varoval Jirásek. Dodal, že odborníci nemají právní základ a chybí i jim další odbornost.
„Často se v bezpečnosti zaměřujeme na oblasti, které máme téměř vyřešené, ale nezaměřujeme se na ten nejslabší článek – sami na sebe,“ pokračoval Petr Jirásek. Někdy máme tendenci podceňovat bezpečnostní pravidla. Typickým příkladem je heslo, které lze prodat, ztratit, ukrást apod. Další kauzy jako Target či Deutche Bank dokazují, že je přihlašování potřeba řešit novými přístupy, dodal Jirásek.
Upozornil na zvláštnost, že se v běžném životě pochlubíme, když zaznamenáme nějakou ztrátu, nebo nás někdo podvede, což ostatní varuje a vede k obecnému zlepšování bezpečnosti. V IT však nikdo své úniky nezveřejňuje, čímž se prevence podstatně snižuje.
Své vystoupení a přístup k bezpečnosti Petr Jirásek shrnul do tří oblastí: Je to o spolupráci, informovanosti a připravenosti. Přednášku zakončil radou nejmenovaného bezpečnostního odborníka „Buďte opatrní.“
Poté se již ujal slova Miloslav Lujka, channel team leader ve společnosti Check Point Technologies, který shrnul poslední výsledky každoročního bezpečnostního reportu (ke stažení zde). Ten letos poprvé sledoval také milion smartphonů. Rok 2014 byl rokem bezprecedentních útoků a největšího počtu DDOS ataků, uvedl Lujka.
Za loňský rok si necelé dvě třetiny sledovaných společností stáhly nějaký malware. Neznámý malware stahovaly v průměru každou půlminutu. Nejčastěji se hrozby šíří přes dokumenty a přílohy v e-mailu. Z pohledu následných krádeží dat jde v největší míře o intelektuální vlastnictví, přístupové údaje do sítě, lokalizaci zaměstnanců a soukromou komunikaci. V průměru ze sledovaných organizací odešly důvěrné informace ven každou hodinu.
Poté Miloslav Lujka popsal nedávný útok na německou ocelárnu. Přes spear-phishingový e-mail si jeden ze zaměstnanců stáhl do PC malware. Díky nesprávně strukturované bezpečnosti se nákaza šířila dále až ke kontrolním systémům, které pak útočníci mohli na dálku ovládat (a sabotovat). Tavící pec ocelárny nebylo možné řízeně vypnout a došlo k masivnímu poškození továrny.
Na živém demu pak s Petrem Kadrmasem ukázal, jak lze hacknout iPad (či jiný tablet a smartphone) – přes phishingový e-mail stáhl do iPadu nepozorovaně neoficiální aplikaci, která umožnila jej na dálku sledovat, nahrávat zvuk a přenášet informace z kontaktů či kalendáře. Jak se proti všem prezentovaným hrozbám chránit, zjistili účastníci na stánku Check Pointu nebo na technické prezentaci.
V druhé dopolední prezentaci shrnul Igor Urban, territory account manager, Raytheon Websense, co přinesla fúze společnosti Raytheon Cyber Products a Websense a jaká bude nová éra tzv. Cyber bezpečnosti ve světě.
Potvrdil statistiky předchozí přednášky – enormně rostoucí množství bezpečnostních incidentů a hrozeb mezi lety 2009 a 2014. Faktem je, že se také zvyšuje nedostatek bezpečnostních expertů, dodal Urban. Upozornil, že nákazy se týkají i největších nadnárodních podniků (E-bay, Targer, Home Depot a další), které rozhodně nepoužívají nějaké „niché“ bezpečnostní řešení.
Nejnebezpečnější jsou pro firmu interní zaměstnanci. Igor Urban citoval blíže nespecifikovaný průzkum, podle kterého jsou průniky způsobené interními lidmi pro organizace nejnákladnější.
Poté shrnul zásadní body ochrany (které následuje řešení Triton): Zaprvé je to adaptivní bezpečnost, zadruhé všeobecná ochrana (mizící perimetr) a zatřetí zvyšování bezpečnostního povědomí u zaměstnanců.
Následně účastníkům blíže popsal, jak fungují Advanced Persistent Threats (APT) útoky, které postupnými na první pohled nesouvisejícími kroky z různých vektorů postupně pronikají do organizace a vynášejí data.
V závěru Igor Urban doporučil, aby se firmy při výběru bezpečnostního řešení nespoléhaly na udávané parametry, ale vyžádaly si od výrobců proof of concept – tedy nasazení jejich řešení v reálné situaci.
Po obědě v odpoledním programu vystoupili se svými prezentacemi zástupci společností Dell, Thales, IBM, Fortinet, Huawei, Citrix a HID. Po skončení přednášek byli vylosování vítězi tomboly a celou konferenci završil večerní neformální program.
Zdroj: ChannelWorld
