Akademická sféra patří mezi jedno z nejméně připravených odvětví co se kybernetických incidentů týče. (Zdroj: Wikimedia)

Výzvy a zranitelnosti univerzit v kyberprostoru

Štítky:

Útoky v kybernetickém prostoru se s rozmachem digitálních technologií a vzrůstající závislostí každého jedince na nich staly nových standardem. Kybernetické útoky představují každodenní realitu, kterou si často ani neuvědomujeme, jelikož část pokusů je zastavena základními obrannými mechanismy. Ovšem tak, jako roste počet pokusů, roste i zlomek úspěšných incidentů, o nichž se dozvíme a jejichž dopad pociťujeme. Vysoké školy se dostávaly do hledáčku kybernetických agresorů postupně. Jak ale ukazují zkušenosti posledních let, tento svět je pro agresory čím dál zajímavější. Např. počet úspěšných kybernetických útoků na britské vysokoškolské instituce byl v roce 2019 vyšší než za roky 2017 a 2018 dohromady.[1]

Vysokoškolské instituce jako atraktivní cíl

Akademický svět skýtá v kyberprostoru mnohé možnosti, a to i pro agresory. Každá jednotlivá instituce ukrývá enormní množství osobních a finančních dat, ale i neveřejných informací, např. o probíhajících výzkumech či nepublikovaných výzkumných zjištěních. Zároveň se jedná o svět, který se snaží být otevřen všem, kdo na to mají nárok – studentům, akademikům, úředním pracovníkům, externím pracovníkům a dalším.  V neposlední řadě se jedná o svět, jenž z velké části funguje právě v kybernetickém prostoru – formou interních systémů, platforem a za současné situace i formou online výuky.

To vše z něj dělá lákavý cíl s mnoha přístupovými body, zvlášť pokud se držíme názoru, že nejslabším článkem kybernetického řetězce je člověk. V letech 2017-2018 za většinou kybernetických útoků na univerzity stáli vlastní studenti a zaměstnanci. Od roku 2019 se ale trend změnil a dochází k nárůstu sofistikovanějších útočných kampaní, které jsou připisovány cizím mocnostem a strukturám organizovaného zločinu.[2]

V rámci kybernetické triády (důvěrnost, integrita, dostupnost) neboli CIA jsou pro útočníky potenciálně lákavé všechny tři komponenty. Většina útoků ale míří na důvěryhodnost dat.

Phishing a spear-phishing jako osvědčená útočná strategie

V případě vysokoškolských institucí existují tisíce, ne-li desetitisíce uživatelů, kteří mohou posloužit jako vstup do systému. Jak poukazuje Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB), české vysoké školy se stávají terčem spamu, phishingu a jiných podvodných e-mailů.[3] Použití phishingu <1> je pro útočníky výhodné a v podstatě nenáročné, jelikož údaje o osobách – včetně kontaktních informací – bývají veřejně dostupné. Výjimečné nejsou ani spear-phishingové kampaně – sofistikovanější verze phishingu, které cílí na konkrétní skupinu uvnitř instituce, protože každá má v interním systému rozdílné pravomoci.

Phishing a spear-phishing mohou být použity i k jiným účelům, jako je rozesílání malwaru <2>, spywaru <3> či adwaru <4>. Často jsou získané údaje zneužity k rozesílání dalších podvodných zpráv, které díky tomu vypadají věrohodněji. Nejúspěšnější bývají phishingové útoky používající e-mail.[4]

Ransomwarová příležitost

NÚKIB pro rok 2019 označil za nejčastější motivaci útočníků finanční zisk.[3]  Způsob, jak finančního zisku docílit, může být ransomware – program, který „zašifruje data a nabízí jejich rozšifrování po zaplacení“.[5] Podle NÚKIB je jen otázkou času, než se v českém akademickém prostředí objeví první úspěšné ransomwarové kampaně.

Využití ransomwaru proti vysokému školství přitom není v západních světě žádnou novinkou. Ve Spojených státech se jeho obětí za rok 2019 stalo více než tisíc univerzit, což dělá z akademických institucí druhý nejčastější cíl.<5>[3] Zkušenost s úspěšnými útoky má 1/3 všech britských univerzit <6> a britský úřad pro kybernetickou bezpečnost v září 2020 vydal varování před zvyšujícím se počtem útoků na univerzity, kde podstatnou část bezpečnostních incidentů tvořily právě ransomwarové útoky.[6][7]

Ransomware bývá nejčastěji šířen phishingem či spear-phishingem pomocí e-mailové komunikace. Jens Monrad, vedoucí EMEA oddělení ve společnosti FireEye, označuje jeho použití proti akademické sféře za „oportunistický útok“, protože tzv. ransomwarové sady lze levně pořídit na darkwebu (část internetu, která je pro běžné vyhledavače nedostupná) a v podstatě každý je může vyzkoušet.[4]

Jelikož se ransomware osvědčil a oběti jsou ochotné za svá data zaplatit, požadavky útočníků se zvyšují. Jak ukázala studie firmy Coveware, průměrná cena požadovaného výkupného se zhruba každých šest měsíců zdvojnásobuje – a v druhé půlce roku 2020 dělala přes 178 tisíc amerických dolarů.[8] To dělá z ransomwarových útoků potenciálně lukrativní podnik, kde stačí i malá úspěšnost.

Lákavá data, výkonné počítače, běžné pokusy

Finanční motivace může vést dále k útokům cílícím na duševní vlastnictví a nepublikovaná vědecká data, což může v důsledku univerzitu poškodit navenek a snížit její konkurenceschopnost v oblasti vědeckého bádání a publikování nových poznatků.[3]

Dalším cílem může být ovládnutí jednotlivých počítačových zařízení, které útočníkům poslouží při dalších útocích.[2] Rozsáhlá síť plná funkčních a (zpravidla) výkonných počítačových zařízení je ideální ke spuštění DDoS útoků <7> či dalšímu rozesílání spamu a phishingových zpráv. Zneužití univerzitních počítačů poškozuje důvěryhodnost instituce i dostupnost samotných zařízení, jelikož může dojít k jejich  přetížení.

Velkou část kybernetických útoků v neposlední řadě tvoří nezaměřené pokusy o útok, které jsou zpravidla zastaveny automatizovanými detekčními systémy.[9] Mezi „běžné“ pokusy, které jsou při pohybu na síti standardem, patří  skenování sítí  následované brute-force útoky <8> či útoky na komunikační protokol SSH.<9>

Přestože je nápor útočných kampaní pro některé vysoké školy stále novou a strukturálně nezažitou záležitostí, je třeba, aby se dopředu bránily a využily dostupných prostředků pro zabezpečení svých systémů a uživatelů. Texaská Lamar University přináší na svých stránkách výčet možných opatření:

  • Vzdělávání zaměstnanců a studentů, jelikož koncoví uživatelé představují často nejsnazší cestu do systému,
  • Vytvoření silných hesel,
  • Využití více vrstev zabezpečení, jako jsou firewally a antivirové programy,
  • Využití šifrování dat,
  • Využití dvoufaktorového ověření identity, např. pomocí kódu zaslaného na telefonní číslo uživatele,
  • Vytvoření záloh všech dat, aby se zamezilo nutkání platit výkupné,
  • Omezení přístupu uživatelů k citlivým datům.[2]

Zmíněná doporučení by ale každá organizace měla dělat automaticky, jelikož nepředstavují nic víc než základní výčet opatřenípotřebných pro bezpečný chod každé entity, která není v dnešním světě zcela odříznuta od internetového světa.

Jak upozorňuje profesor z Univerzity v Severní Karolíně Nir Kshetri, akademická sféra patří mezi jedno z nejméně připravených odvětví, co se kybernetických incidentů týče.[10] Při penetračním testování, které mělo vyzkoušet kybernetickou bezpečnost padesáti britských univerzit, se podařilo etickým hackerům získat citlivá data maximálně do dvou hodin po zahájení útoků.[11]

Součástí balíčku bezpečnostních opatření může být i rozvíjející se kybernetické pojištění. Dále by univerzitám mohlo pomoci penetrační testování, které by dokázalo odhalit slabiny zabezpečení. Důležité je vytvoření vlastního CERT či CSIRT týmu <10>, jenž bude mít hlídání a posilování kybernetické bezpečnosti na starost. Mít vlastní kyberbezpečnostní tým je pro organizace výhodnější, jelikož se nemusí při incidentu spoléhat na cizí pomoc, na druhou stranu ne každá instituce má na kvalitní a fungující tým finanční prostředky. Čerpat mohou vysoké školy i z řad vlastních studentů a vyučujících, nabízí-li odpovídající informačně zaměřené vzdělávání.

Faktor COVID-19 a nové výzvy

Vliv současných protipandemických opatření se obdobně jako všech dotkl i akademického působení. Vysoké školy byly nuceny přesunout své fungovaní do kyberprostoru a to co nejrychleji, někdy bez přípravy funkčního zázemí. Ačkoli měly přesun bezpochyby snazší než vzdělávací instituce na nižší instanci, nebyly na to často připraveny a transformace byla místy pomalá a neúplná.

Rychlý a nepřipravovaný přechod na online výuku a s ním spojené užívání nových komunikačních platforem a nedostatečná uživatelská gramotnost otevřely prostor pro nové typy kybernetických útoků. Většina institucí tak v první vlně pandemie – tedy v první polovině roku 2020 – čelila nejen problémům, jak se co nejrychleji adaptovat, ale i zvyšujícímu se počtu útoků na své systémy a platformy.[1]

Počet útoků v kyberprostoru proti akademické sféře celosvětově roste, instituce v České republice nejsou výjimkou a lze předpokládat, že zájem útočníků nepoleví. Akademické instituce se mohly na agresivitu kybernetických živlů připravit, jelikož se v jejich hledáčku ocitly oproti jiným odvětvím podstatně později. I tak ale dnes patří mezi jedno z nejméně připravených odvětví.

Na úrovni České republiky by mohlo pomoci zařazení vysokých škol pod zákon č. 181/2014 Sb., o kybernetické bezpečnosti, přičemž nutno podotknout, že některé pod něj už spadat mohou ne na základě plošného určení, ale díky splnění podmínek určujících povinný subjekt.[14] Cílem zákona je zvýšit kybernetickou bezpečnost pomocí určení práv a povinností subjektů, jejichž narušení by mohlo mít v kyberprostoru zásadní dopady. Zavádí např. minimální úroveň bezpečnostních, organizačních a technických opatření, kterou musí povinné osoby (fyzické či právnické) splnit nebo určuje systém hlášení a reakčních opatření v případě kybernetického bezpečnostního incidentu.

Co se však vysoké školy musí hlavně naučit, je přizpůsobovat se aktuálním podmínkám a situaci. V dynamickém a neustále se vyvíjejícím kybernetickém prostředí neobstojí aktér, který není schopen adaptace, a to platí i pro akademickou sféru.


Poznámky pod čarou

<1> Rybaření či rhybaření. Metoda zcizení digitální identity konkrétního uživatele, kdy se útočník snaží docílit toho, aby mu jeho oběť sama řekla své soukromé údaje, např. formou podvodných e-mailů, které jsou „maskovány tak, aby co nejvíce imitovaly důvěryhodného odesílatele“.[5].

<2> Obecné pojmenování pro škodlivé programy.

<3> Program, který potajmu monitoruje chování uživatele nebo systému, přičemž „svá zjištění tyto programy průběžně zasílají subjektu, který program vytvořil, respektive distribuoval“.[5]

<4> Program, který na obrazovce uživatele bez vyžádání spouští (nechtěné) reklamy.

<5> Spojené státy měly ve stejném roce na 5300 fungujících univerzit.[12] Zasaženo kybernetickými útoky tedy bylo téměř 20 procent amerických institucí.

<6> Velká Británie čítala v roce 2018 celkem 143 univerzit.[13] Zkušenosti s úspěšnými kybernetickými útoky tak má zhruba 50 institucí.

<7> Distributed Denial of Service. Útoky, při nichž dochází k „přehlcení požadavky a k pádu nebo nefunkčnosti a nedostupnosti systému pro ostatní uživatele“.[5]

<8> Neboli útoky s použitím hrubé síly – slouží jako „metoda k zjišťování hesel“, kdy útočník zkouší možné kombinace znaků s cílem dostat se do systému.[5]

<9> Secure Shell. Slouží k zabezpečení dat při použití nezabezpečené a nedůvěryhodné sítě.[5]

<10> Computer Emergency Response Team a Computer Security Incident Response Team.


Zdroje

[1] Loyd-Jones, Sion. 2020. „Universities are uniquely vulnerable to cyber attack during Covid-19.“ Wonkhe.com, September 21, 2020. https://wonkhe.com/blogs/university-are-uniquely-vulnerable-to-cyber-attack-during-covid-19/.

[2] Lamar University. 2020. „Colleges and Universities are Prime Cyber Attack Targets.“ Lamar.edu. https://www.lamar.edu/it-services-and-support/security/awareness/colleges-and-universities-are-prime-cyberattack-targets.html.

[3] NÚKIB. 2020. Zpráva o stavu kybernetické bezpečnosti České republiky za rok 2019. https://www.nukib.cz/cs/infoservis/dokumenty-a-publikace/zpravy-o-stavu-kb/.

[4] Monrad, Jeans. 2019. „Universitites Fall into the Cross Hairs of Cyber Attackers.“ Infosecurity-magazine.com, August 27, 2019. https://www.infosecurity-magazine.com/opinions/universities-attackers/.

[5] Jirásek, Petr a Novák, Luděk a Požár, Josef. 2015. Výkladový slovník kybernetické bezpečnosti. Praha: Policejní akademie ČR v Praze a Česká pobočka AFCEA. https://www.cybersecurity.cz/data/slovnik_v310.pdf.

[6] Cyber Security Intelligence. 2020. „British Universities Shut Down By Cyber Attacks.“  Cybersecurityintelligence.com, September 21, 2020. https://www.cybersecurityintelligence.com/blog/british-universities-shut-down-by-cyber-attacks-5201.html.

[7] Coughlan, Sean. 2020. „Cyber threat to disrupt start of university term.“ Bbc.com, September 17, 2020. https://www.bbc.com/news/education-54182398.

[8] Coveware. 2020. „Ransomware Attacks Fracture Between Enterprise and Ransomware-as-a-Service in Q2 as Demands Increase.“ Coveware.com, August 3, 2020. https://www.coveware.com/blog/q2-2020-ransomware-marketplace-report#payment.

[9] CSIRT-MU, e-mailová komunikace, říjen-listopad 2020.

[10] Kshetri, Nir. 2020. „Ransomware Criminals Are Targeting US Universities.“ Govtech.com, July 16, 2020. https://www.govtech.com/security/Ransomware-Criminals-Are-Targeting-US-Universities.html.

[11] Coughlan, Sean. 2019. „Hackers beat university cyber-defences in two hours.“ Bbc.com, April 3, 2019. https://www.bbc.com/news/education-47805451.

[12] Education Unlimited. 2019. „How Many Universities & Colleges are in the US?“. Education Unlimited, August 5, 2019. https://www.educationunlimited.com/blog/how-many-universities-colleges-are-in-the-us/.

[13] Clark. D. 2020. „Number of universities in the United Kingdom (UK) 2008-2018.“ Statista.com, August 25, 2020. https://www.statista.com/statistics/915603/universities-in-the-united-kingdom-uk/.

[14] NÚKIB. n.d. FAQ. Zákon o kybernetické bezpečnosti. https://nukib.cz/cs/kyberneticka-bezpecnost/regulace-a-kontrola/faq/.

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna.