Menší než zrnko písku: Fyzici vytvořili nejmenší světelný pixel na světě

Když se řekne kybernetický útok, většina lidí si představí napadený server nebo prolomený e-mail. Realita je ale mnohem nenápadnější. Podle studie Palo Alto Networks, která sledovala provoz více než 27 milionů zařízení po celém světě, pochází 48 procent všech připojení z rizikových IoT zařízení. Jde o techniku, která běží na zastaralém firmware, používá výchozí hesla nebo trpí známými bezpečnostními chybami.

Další čtyři procenta zařízení patří dokonce do kategorie kritických rizik. Téměř každé druhé zařízení ve firemní síti může být slabým článkem, který stačí prolomit, aby se útočník dostal dovnitř. Pokud je přitom síť navržena jako jedna plochá infrastruktura bez oddělení provozních a IT částí, jediný průnik může ohrozit celou společnost - od chytrých kamer přes tiskárny až po databáze s citlivými údaji.

Zdroj: Shutterstock

Když útočník zaútočí skrze klimatizaci

Moderní kanceláře jsou plné chytrých zařízení: Tiskárny, senzory teploty, osvětlení, kamery, dokonce i kávovary. Většina z nich je připojena k síti, ale málokdo si uvědomuje, že právě tudy může přijít útok. Zranitelná zařízení často používají jednoduchá hesla typu admin123, nešifrované protokoly nebo neaktualizovaný software.

Pro zkušeného hackera je pak takové zařízení jako otevřené okno. Stačí, aby se dostal dovnitř přes opomenutý senzor nebo kameru, a z ní může dál skenovat síť, rozesílat škodlivý kód nebo získávat přístup k interním systémům. Tyto útoky jsou přitom často zcela neviditelné - na první pohled se zdá, že vše funguje normálně.

Konec důvěry, začátek ověřování

Bezpečnostní experti proto mluví o nutnosti přejít na přístup „Zero Trust“. Ten zjednodušeně znamená, že žádné zařízení, uživatel ani proces nemá být považován za důvěryhodný, dokud se neověří. Každé připojení by mělo být kontrolováno podle kontextu - například tiskárna nemá žádný důvod komunikovat s e-mailovým serverem. Pokud to začne dělat, systém by měl zpozornět.

Zero Trust se tak stává jakýmsi digitálním detektivem, který sleduje, zda se zařízení nechová jinak než obvykle. Umožňuje odhalit hrozbu v okamžiku, kdy se teprve rodí, a ne až ve chvíli, kdy firma zjistí, že přišla o data.

Segmentace jako základní princip

Dalším zásadním opatřením je rozdělení sítě na menší, samostatné části. Pokud IoT zařízení běží v odděleném segmentu, hacker se po jejich napadení nedostane k databázím nebo vnitřním serverům. Je to jednoduchý princip, který mnohé firmy stále ignorují - a právě proto se stávají obětí.

Segmentace sítě přitom neznamená složitou nebo nákladnou operaci. Správně navržená infrastruktura se dá lépe spravovat, je přehlednější a umožňuje rychlejší reakci při podezření na incident. Tam, kde mají firmy jasně oddělené IoT systémy, bývají následky útoků minimální.

Kolik zařízení vlastně máte?

Velkým problémem bývá i prostý přehled. Mnoho firem netuší, kolik zařízení je ve skutečnosti k jejich síti připojeno. S rostoucím počtem senzorů, kamer a chytrých modulů se síť rozrůstá natolik, že se v ní snadno ztratí přehled. Právě tato neviditelná vrstva se pak stává ideálním místem pro útok.

Základem obrany je proto inventura všech připojených zařízení - nejen těch firemních, ale i soukromých, která si zaměstnanci přinesli z domova. Až poté má smysl zavést pravidelnou kontrolu aktualizací a sledovat, zda některé zařízení nezačne komunikovat podezřelým způsobem.