„Slovo hacker je v dnešní době vnímáno poměrně negativně, ale dříve to byl někdo, kdo přicházel na nějaké lepší řešení, které zjednodušovalo práci. Příkladem může být třeba Steve Wozniak, spoluzakladatel společnosti Apple, který byl také hacker. Poslední dobou se k tomu začalo přidávat to slovo etický, aby to bylo zřejmé, že hacker může dělat i legální činnost. Většinou na objednávku nějaké společnosti, která si chce ověřit bezpečnost svého systému,“ vysvětluje Marek Malcovský.

Co tedy takovíto odborníci v rámci etického hackingu provádějí, pokud si je nějaká firma objedná? Podle Malcovského jde například o penetrační testování, v rámci kterého je předem jasně domluvené, jaké systémy se budou testovat. Pak to můžou být i větší akce nazývané Red týmové cvičení, které berou v potaz i sociální inženýrství, fyzické zabezpečení či celkovou bezpečnost IT systémů. Nejčastěji si tyto věci nechávají prověřit například banky nebo velké firmy a finanční skupiny.

Jitka Palatová, generální ředitelka společnosti KB SmartPay, byla hostem videopodcastu Byznys kafe.
Budoucnost bezhotovostního placení je v přesunu terminálů přímo na stoly

„V reálu to vypadá tak, že celá akce musí probíhat v utajení. To znamená, že o ní opravdu ví jeden až dva lidé z vedení dané firmy. Zbytek zaměstnanců té organizace to nesmí vědět, aby se opravdu simuloval útok organizované skupiny. Co se týče našeho týmu, ten má většinou 10 až 15 členů. Máme tam sociální inženýry, pak lidi, kteří se zaměřují na fyzickou bezpečnost a na přístupové systémy, ale také ty, kdo dělají penetrační testy,“ přibližuje dále etický hacker ze společnosti Axelum, která je členem skupiny Unicorn.

Jako scény z akčního filmu

Samotné prověřování bezpečnosti popisuje Marek Malcovský jako skutečné scény z akčního filmu. Jeho „agenti“ sledují třeba i chování zaměstnanců, jak chodí oblečeni či kde se shlukují. Zajímá je také to, kam jsou nasměrované kamery anebo jaké jsou v nejbližším v okolí firmy dostupné wi-fi technologie. Pak se tito testeři třeba nenápadně vmísí do skupinky kuřáků před firmou, kteří můžou vyzradit něco interního, nebo pak za nimi proklouznou i dovnitř do objektu firmy.

„Opravdu takhle jednoduché to často je,“ konstatuje Malcovský s tím, že etický hacker zkouší smysl pro bezpečnost u zaměstnanců například i tím, že jim pošle podvodnou stránku, která je vyzývá, aby se přes ni přihlásili. A tím dokáže získat přístupy do firemního portálu.

Hostem videopocastu Byznys kafe byla vedoucí partnerka poradenské společnosti RSM Monika Marečková
Platy hodlá zvyšovat více než polovina firem, zjistil průzkum poradenské firmy

„Celá operace je vždy velmi dobře plánovaná a jsou přesně dané cíle, které klienti chtějí prověřit. A to, že nás zaměstnanci někam pustí, může být způsobeno tím, že jen nejsou dostatečně proškoleni v tom, jak se mají zachovat v takové situaci. Takže je důležité dělat opakovaně bezpečnostní školení, aby si to ti lidé zapamatovali,“ zdůrazňuje ještě Marek Malcovský.

Jak zabránit narušení bezpečnosti?

A jaké jsou jeho další doporučení pro firmy a jejich zaměstnance, aby rizikům narušení bezpečnosti nepodlehli? První věc je to, že firmy mnohdy ani nevědí, co všechno provozují a co by tedy měli bránit. V tom by si tedy měly nejprve udělat pořádek. Druhá věc je, že firmy neřeší fyzickou bezpečnost – na recepci posadí brigádníci, která mnohdy nezná obličeje zaměstnanců, přitom má pod palcem přístupovou technologii. A poslední věcí je oddělení interních sítí, kde jsou provozované IT systémy. Zaměstnanci by měli mít přístup jen do některých částí sítě a zároveň by měli oddělovat hesla pro osobní účely a pracovní život.

Hostem videopodcastu Byznys kafe byla majitelka společnosti Kidtown Jana Vyhlídalová
Speciální hračky pomáhají v rozvoji i dětem s autismem, říká šéfka firmy Kidtown

„My si v rámci našich testovacích útoků často velmi jednoduchým trikem zkopírujeme i kartičky zaměstnanců, takže pokud má nějaký pracovník přístup všude, tak je to špatně, protože se pak v rámci té firmy snadno dostaneme kamkoliv. A nemusí to být ani nějaký z ředitelů firmy, ale klidně i uklízečka, která má ty přístupy nad rámec toho, co by člověk očekával,“ upozorňuje ještě na další bezpečnostní slabiny etický hacker.

Jak lidé ve firmě po bezpečnostním testu reagují na to, když se dozví, že se nechali nachytat a vydali třeba přístupová hesla? Podařilo se zaměstnancům nějaké firmy etické hackery odhalit? Také to a další zajímavosti přiblížil v pořadu Byznys kafe Marek Malcovský – Senior Offensive Security & Red Team ze společnosti Axelum.

Podívejte se na celý videorozhovor, který moderuje šéfredaktor centrální redakce Deníku Jan Klička.