Kde je v Česku e-bezpečno
V současném světě informačních technologií je internetové zabezpečení stále důležitější. Přesto přes 30 % webových stránek státních institucí nefunguje ani na protokolu HTTPS, který je tím nejzákladnějším stupněm zabezpečení, a stejně je na tom hned pět ze čtrnácti ministerstev. Ještě hůře jsou na tom oficiální stránky obcí, které na nezabezpečeném protokolu umožňují nešifrovanou komunikaci ve 48 % případů. Nejlépe zabezpečené jsou naopak podle průzkumu Česka v datech weby vysokých škol.
Kybernetické zabezpečení je často zmiňovaným tématem, pro mnohé ale zůstává španělskou vesnicí. Přestože se otázka bezpečnosti na internetu stává stále závažnější, velká část Česka ji vůbec neřeší, a to ani na základní úrovni. V novém článku jsme se proto zaměřili nejen na zabezpečení webů státních institucí a obcí, nemocnic či škol, ale i na to, co při útocích hrozí a jak se jim bránit.
Jak se bránit „slídilům”?
Existují různé druhy zabezpečení, které mohou všichni provozovatelé internetových stránek využívat, tím nejzákladnějším je ale protokol HTTPS. Ten je obdobou původního HTTP, oproti kterému ale nabízí ještě základní úroveň šifrování, která hackerům zabraňuje sledovat aktivitu uživatelů těchto stránek. Pokud totiž stránky šifrovaný protokol nevyužívají, je velmi snadné získat data, která zde jejich návštěvníci vyplňují. To se týká všech formulářů na stránce včetně přihlašovacích údajů. Uživatelé by se měli pro jistotu vyhnout všem stránkám, které HTTPS nemají, a pokud je skutečně potřebují využít, rozhodně by v nich neměli vyplňovat žádné údaje. Mohly by totiž být velmi snadno zneužity.
Jakmile vás někdo na takové stránce začne sledovat, může o vás zjistit celou řadu citlivých informací, které jste na daný web vyplnili. Hackeři tak mohou získat nejen přístup k vašemu jménu, ale i heslu (proto je nejlepší nevyužívat všude stejné heslo), adrese, a v těch nejnebezpečnějších případech i k číslu občanského průkazu či informacím z platební karty. Vyhýbat bychom se proto měli i nezabezpečeným e-shopům.
Lepší zabezpečení = lepší výsledky
Zabezpečení webů je dobré nejen pro uživatele, kteří tak mohou lépe chránit svá data, ale i pro provozovatele, jejichž zabezpečené weby mají vyšší šanci, že se k jejich produktům dostanou koncoví zákazníci. Společnost Google od roku 2014 oficiálně preferuje stránky využívající protokol HTTPS, a ty se proto při vyhledávání umisťují výše než stránky nezabezpečené. Na konečné pozici ve vyhledávání se podílí i další faktory, ale zabezpečenost webu rozhodně skóre stránek vylepšuje.
I samotné internetové prohlížeče na nezabezpečené stránky upozorňují. Google Chrome a Opera zobrazují u příkazového řádku výstražný text „Nezabezpečeno” a Mozilla Firefox, Internet Explorer, Microsoft Edge a Safari vedle něj umisťují ikonku odemčeného zámečku. V případě zabezpečených stránek je u většiny adresních řádků v prohlížečích ikona zamčeného zámku.
Navzdory rozšířenému názoru, že je protokol HTTPS nutné implementovat jenom v případě webů pracujícími s citlivými údaji, odborníci na kybernetickou bezpečnost ze společnosti Deloitte doporučují používat HTTPS na všech stránkách. Chrání totiž nejen proti neoprávněnému nahlížení ale i proti vkládání nežádoucího obsahu do komunikace, jako jsou reklamy, malware a počítačové viry.
Michal Tutko, Risk Advisory, Deloitte
Sám Google si vede statistiky o webech, které skrze jeho služby (vyhledávač, Google Chrome) využívají šifrovaný protokol. Od roku 2014, kdy takových stránek bylo pouze 48 %, se do začátku února 2019 stav zlepšil až na 94 %. V českém prostředí je však situace této základní úrovně zabezpečení, která ročně stojí jen několik desítek korun, mnohem horší.
Obce v bezpečnostním drobnohledu
Z vlastní analýzy Česka v datech vyplývá, že mezi weby českých obcí převažují ty zabezpečené, vítězství je to ale velmi těsné. Zabezpečené weby má 50,7 % českých obcí oproti 48,2 % nezabezpečeným. Zbylé 1,1 % patří obcím, u kterých se jejich protokolové zabezpečení nepodařilo v rámci analýzy zjistit.
Nejlepšího výsledku z hlediska websecurity dosáhl Olomoucký kraj, ve kterém je 58 % internetových stránek obcí zabezpečeno protokolem HTTPS. Naopak nejmenší podíl zabezpečenosti měla (vyjma územně specifického hlavního města Prahy) Vysočina, kde se dají webové stránky obcí za bezpečné považovat pouze v 39 % případů.
Situace krajských měst je vesměs pozitivní. Deset ze třinácti své weby provozuje na protokolu HTTPS. Ten nevyužívá jen Olomouc, Zlín, a poměrně překvapivě ani Praha. Ne všechny weby nezbytně vyžadují šifrovaný protokol, ale vzhledem k nízké ceně a snadné implementaci je to přinejmenším jistým standardem profesionality. Krajská města by tak měla jít příkladem a v případě hlavního města České republiky by to mělo platit dvojnásob. Šifrování navíc využívají všechna hlavní města našich sousedů.
Státní instituce v hledáčku hackerů
Na webech obcí toho se vyjma kontaktních formulářů nekalými způsoby mnoho vysledovat nedá. Ani jedno z krajských měst, která nesplňují předpoklady zabezpečeného webu, nenabízí uživatelům možnost registrace a následného přihlášení. Situace státních institucí je však o poznání komplikovanější. Jejich webové stránky jsou poměrně často pod útokem hackerů, kteří se web snaží buď přehltit informacemi a následně takzvaně „shodit”, nebo z něj získat citlivé informace.
V případě 82 testovaných státních institucí je poměr webové zabezpečenosti o poznání lepší než u obcí, ale stále je velký prostor ke zlepšení. Téměř 66 % z nich se dá považovat za zabezpečené, přes 30 % využívá pouze protokol HTTP a u necelých 4 % došlo při zkoumání k chybě (testovací program nebyl schopen určit míru zabezpečení často z důvodu špatně uvedené adresy v oficiálních dokumentech). Mezi čtrnácti ministerstvy funguje devět úřadů na bezpečných stránkách a pět z nich své internetové portály provozuje na nezabezpečených doménách.
Miroslav Kvapil, generální ředitel společnosti Servodata
Kvůli důležitosti státních organizací jsme se na zabezpečení jejich stránek podívali ještě podrobněji. Zajímalo nás nejen to, zda jsou tyto webové stránky provozovány na protokolu HTTPS, ale i to, zda jsou zabezpečené proti dalším formám útoků, jako je heartbleed, downgrade, CCS Injection nebo takzvaný ROBOT attack.
Slovníček zabezpečovacích pojmů
HTTP (Hypertext Transfer Protocol) – internetový protokol určený pro komunikaci se servery. Tento protokol neumožňuje šifrování ani zabezpečení integrity dat.
HTTPS (Hypertext Transfer Protocol Secure) – bezpečnější verze HTTP, která umožňuje data šifrovat.
SSL (Secure Sockets Layer), TLS (Transport Layer Security) – bezpečnostní kryptografická vrstva vložená mezi TCP/IP a HTTP, poskytující větší zabezpečení stránek a koncových uživatelů
OpenSSL - implementace protokolů SSL a TLS
SEO (Search engine optimization) – optimalizace pro vyhledávače, která uživatelům internetu umožňuje snadněji objevit dané stránky.
Heartbleed chyba v implementaci SSL certifikátů, skrze kterou mohou útočníci krást chráněné informace ze stránek a od jejich uživatelů a „odposlouchávat” jejich komunikaci.
Downgrade attack – typ hackerského útoku, který stránky či počítačové systémy donutí opustit zabezpečené protokoly, a přinutí je tak fungovat ve snadno napadnutelném módu.
CCS Injection – typ hackerského útoku, který stránkám využívajícím SSL a jejich uživatelům vnucuje slabé klíčování.
ROBOT attack (Return Of Bleichenbacher's Oracle Threat) – typ hackerského útoku, který útočníkům umožňuje získat kryptografický klíč RSA, kterým lze „prolomit” protokol TLS.
Phishing – typ internetového podvodu, kterým zločinci získávají přístupové údaje od svých obětí tím, že se vydávají za někoho jiného. Nejtypičtějším způsobem jsou e-mailové zprávy, vyzývající k zadání přístupových údajů, čísel osobních průkazů či informací o platebních kartách na podvodných stránkách, které vypadají jako ty oficiální.
Nejlépe dopadl test na takzvaný heartbleed, který umožňuje hackerům získávat skrytá data, a hack zvaný CCS Injection, který stránkám a jejich uživatelům vnucuje slabé klíčování. Ze čtyřiadvaceti zkoumaných institucí nebyla těmto útokům otevřená ani jediná webová stránka. Jediný web byl náchylný takzvanému „ROBOT” útoku, kterým útočník může prolomit TLS ochranu. O poznání hůře dopadlo zkoumání takzvaných downgrade útoků, které stránkám a uživatelům skrze OpenSSL neumožňují využívat nejbezpečnější formy zabezpečení, ale odkazují je na předešlé zranitelnější verze. Proti downgradu obstálo pouze šest institucí.
Vysoké školy jako nejlépe zabezpečené instituce
U vysokých škol je otázka websecurity optimističtější než u ostatních institucí. Z 63 zkoumaných univerzit a akademií využívá HTTPS více než 76 %. Přesto se e-mailové adresy studentů a učitelů těchto institucí velmi často stávají oběťmi hackerských útoků. Ve většině případů jde však o takzvaný phishing, který z uživatelů internetu vymáhá přístupové údaje jiným způsobem. Uživatelům přijde email, který se tváří jako oficiální zpráva od příslušné instituce a který adresáty vybízí ke kliknutí na odkaz, kde si mají z bezpečnostních důvodů změnit heslo.
Samotné přesměrování může mířit na nebezpečný web, či na stránku, která se opět podobá té oficiální. Vyplněním svých současných přístupových údajů pro domnělou změnu hesla uživatelé útočníkům nevědomky sami poskytují přístup k celému svému profilu uloženému na stránkách. Útočníci pak mají na stránkách stejná práva jako původní uživatelé.
A co děti? Mají se proč bát?
Když už jsme zmínili vysoké školy, měli bychom se věnovat i školám nižších stupňů. Průzkum těchto vzdělávacích zařízení byl nejchybovější, skutečný stav se nepodařilo zjistit u 16,6 % webů. Z našeho průzkumu téměř pěti a půl tisícovek webů však vzešlo, že se zabezpečenost stránek škol všech stupňů regionálního školství pohybuje pouze na 42,3 %. Zabezpečené weby nad těmi nezabezpečenými převažují jen o 1,1 procentního bodu.
Nejlépe dopadl Plzeňský kraj, kde se zabezpečenými stránkami může chlubit 47,8 % škol. Naopak nejhoršího výsledku dosáhly školy na Zlínsku, kde mají zabezpečených pouze 38 % školních webů. Z okresů je na tom nejlépe Plzeň-město (64,5 %), Kladno (60 %) a Karlovy Vary, kde je zabezpečených 58,3 % škol.
Bezpečná léčba
Posledními institucemi, jejichž internetové zabezpečení jsme v rámci Česka v datech zkoumali, byly nemocnice, které jsou zabezpečené v 49,4 % případů. Chybovou hlášku jsme obdrželi jen v 7,6 % případů. V případě nemocnic jsme však při testování narazili ještě na jeden problém. Ačkoliv některé z nich mají vlastní stránky zabezpečené, mohou nabízet odkaz na e-shopy se službami, léky a dalším zbožím, které už bezpečné být nemusí.
Nemocnice nemají kapacity na kontrolu zabezpečení
Řada nemocnic v České republice již provedla audity zabezpečení a vytvořila si s přispěním konzultačních společností či vlastními silami příslušné strategie a směrnice. To je ovšem pouze první krok, protože realita se velmi často liší od toho, co je napsáno na papíře. Jako v řadě jiných oblastí hraje důležitou roli především lidský faktor a časové kapacity. IT pracovníci nemocnic jsou obvykle vytíženi běžnou každodenní činností, jako jsou opravy poruch nebo běžná údržba zařízení. Nemají proto čas, aby testovali správné nastavení technologií, jejich aktualizace, nebo chování zaměstnanců.
Nemocnice sice mohou nakoupit moderní bezpečnostní technologie, ale ani ty nejsou samospásné, pokud nikdo nemá čas věnovat se jejich správnému nastavení. Systémy často generují velké množství informací které je nutné hlídat, filtrovat chybné nálezy a v případě objevení reálné hrozby zamezit jejímu šíření. Další problém spočívá v tom, že řada institucí včetně nemocnic se sice zaměří na zabezpečení vůči nebezpečí z vnějšího prostředí internetu, ale nevěnují se vnitřnímu. Přitom více jak 70 % útoků přichází zevnitř organizace. Lidé totiž často neumí správně pracovat s hesly nebo si nedávají pozor při otevírání podezřelých e-mailů případně může dojít k průlomu do technologií ve vnitřní síti a následnému ovládnutí celé infrastruktury.
Je tedy vhodné provádět nejen pravidelné testování technologií, infrastruktury a aplikací, ale testovat také skutečné chování lidí. Skutečné díry v zabezpečení lze totiž nejlépe poznat právě při zkouškách v reálném světě. Kybernetická bezpečnost není jen o správném nastavení směrnic a procesů, aby organizace vyhověla zákonům, ale o skutečně odvedené tvrdé práci.