Statistiky a zprávy ze světa IB

Mobilní bezpečnost představuje výzvu

Plných 79 procent firem zaznamenalo dle organizace Check Point v uplynulých dvanácti měsících bezpečnostní incident, v němž hrál hlavní roli mobilní hardware. Dle statistiky dovoluje 67 procent organizací mobilním zařízením připojování do pracovních sítí, dokonce 88 procent vyřizovat e-maily, 53 procent má na mobilních zařízeních zákaznická a 49 firemní data, 48 procent pak přihlašovací údaje. Navzdory tomu ale má jen 23 procent organizací pravidla pro řízení mobilních zařízení a služeb. Jako nejnebezpečnější platformu označili manažeři Android (49 procent, před rokem jen 30 procent), kterou následuje Apple, Windows Mobile a Blackberry.

Stále neexistuje bezpečný internet

Není to žádné objevné zjištění, ale připomenout si ho je jistě vhodné: dle Security Threat Report 2013 vydané společností Sophos dochází k více než osmdesáti procentům útok z legitimních webových stránek (tedy ze stránek, do nichž útočníci vložili své škodlivé kódy s cílem přivlastnit si jejich reputaci). Jinými slovy: jen dvacet procent malware se nachází na webových stránkách vytvořených s cílem infikovat počítače. Takže pozor: průšvih může přijít kdykoliv a odkudkoliv, neexistuje „bezpečný“ internet! - A ještě několik dalších varování z této studie plynoucích: uplynulý rok podle ní přinesl nebývalé rozšíření škodlivých kódů na nové platformy a prostředí (z „tradičních“ Windows), což přináší nemalé výzvy.

Účet za kyberzločin: ročně 110 miliard dolarů

Každou sekundu se osmnáct dospělých stává obětí kybernetického zločinu, přičemž průměrné ztráty jsou 197 dolarů na incident. Alespoň to tvrdí zpráva Norton Cybercrime Report. A doplňuje další čísla: v uplynulých dvanácti měsících se celosvětově stalo obětí kybernetického zločinu 556 miliónů dospělých. Zajímavé jsou i trendy: zpráva konstatuje, že narůstá počet útoků vedených skrze sociální sítě a mobilní platformy. Celosvětově pak kybernetický zločin stojí uživatele (tedy bez započítání škod firemního a státního sektoru) 110 mld. dolarů.

Webové aplikace jsou jako cedník

Společnost Cenzic Inc. zveřejnila zprávu o stavu bezpečnosti v oblasti webových aplikací: nejdůležitějším konstatováním je, že 99 procent z nich (!) je zranitelných vůči útokům. Přitom průměrná aplikace obsahuje třináct zranitelností. Největší problém představují útoky XSS (Cross-Site Scripting), vůči nimž je zranitelných plných 26 procent webových aplikací. Následuje únik informací (16 procent) a problémy s autorizací plus autentizací (13 procent).

Mac OS X je plný škodlivých kódů – pro Windows

Je to starý spor: je nebezpečnější systém Windows nebo Mac OS X? Samozřejmě záleží na úhlu pohledu, podmínkách a metodice, takže ho definitivně rozetnout nelze. Nicméně zajímavý názor do něj nyní přinesla studie provedená bezpečnostní firmou Sophos, do které se zapojilo přes sto tisíc uživatelů produktů Mac OS X. Výsledky stojí za pozornost: přes dvacet procent (!) systémů bylo napadeno nejméně jedním škodlivým kódem - ovšem pozor, původně určeným pro Windows. Naproti tomu jen zhruba 2,5 procenta počítačů byla infikována kódem vytvořeným speciálně pro Mac OS X. Pro úplnost podotýkáme, že škodlivý kód napsaný pro Windows je na Mac OS X neškodný (pokud Windows nejsou nainstalované jako druhý operační systém). Přesto jde o zajímavá čísla. Minimálně potvrzují to, o čem bezpečnostní specialisté už dlouho hovoří: uživatelů Mac OS X (a dalších „alternativních“ systémů) se cítí bezpečněji, tudíž se chovají nebezpečněji.

Java: ještě věští problém, než jsme si mysleli

Dle společnosti Websense obsahuje 95 procent zařízení využívajících Javu (těch je mimochodem na světě přes tři miliardy) nejméně jednu zranitelnost. Ještě divočejší je přitom informace o tom, jak dlouho k aktualizaci Javy nedošlo: plných 75 procent uživatelů používá verzi nejméně šest měsíců starou (tzn., že není chráněno proti hrozbám z posledního půl roku). Dvě třetiny uživatelů mají verze starší jednoho roku, padesát procent starší dva roky a plná čtvrtina starší, než čtyři roky! Jen pro úplnost: Websense získala statistiky ze své sítě ThreatSeeker, která obsahuje desítky miliónů zařízení.

Zradu čekejte na legitimních webech

Legitimní webové stránky stejně jako stránky podbízené v placených odkazech a inzerátech jsou mnohem pravděpodobnějším zdrojem infekce, než weby „stínové“. Tedy než ty, které (typicky) obsahují pornografický obsah, nabídku téměř pravých medikamentů nebo nelegální software. Konstatuje to Cisco 2013 Annual Security Report a svá tvrzení dokládá čísly: podle nich je 21krát vyšší pravděpodobnost setkání se škodlivým kódem na legitimních prodejních stránkách ve srovnání se „stínovými weby“ a dokonce 182krát vyšší pravděpodobnost, než v případě pornografického obsahu. Nejvíce malware je přitom na „americkém internetu“ (celosvětově cca třetina), Rusko představuje s deseti procenty dvojku a Číně se šesti patří bronz.

Vsadíte si na vlastní systém?

U různých průzkumů samozřejmě vždy velmi záleží na tom, jak je formulována otázka. Specialisté z GFI Software se proto administrátorů a správců sítí zeptali na rovinu a otevřeně: „Vsadili byste si peníze na to, že je Váš systém bezpečný?“ Odpověď byla v 51 procentech případů „ne“. A co Vy? Vsadili byste si?

Nejoblíbenější hesla: čím dál kratší, jinak stále stejná

Firma SplashData každoročně zveřejňuje žebříček nejpoužívanějších hesel na internetu. V nejnovějším za rok 2013 je na prvním místě obliby heslo „123456“ a na druhém „password“ (heslo). Obě hesla si přitom své pozice oproti minulému žebříčku prohodily, takže vlastně nedošlo k žádné změně. Zajímavý pak je jeden trend rostoucí popularity vyloženě slabých hesel: heslo 1234 se umístilo na 16. místě oblíbenosti, 12345 na 20. a 000000 na 25. Ani jedno z nich dříve v žebříčku nebylo. Pokud se podíváme na „Top Ten“ hesel na internetu, vypadá následovně: 123456, password, 12345678, qwerty, abc123, 123456789, 111111, 1234567, iloveyou a adobe123. Osm z deseti se oproti předchozímu roku posunulo na žebříčku obliby jen o jeden stupínek nahoru nebo dolů. Jinými slovy: nejoblíbenější hesla jsou stále stejná.

Rekordní rok. Bohužel

V roce 2013 zaznamenala nadace Risk Based Security and the Open Security Foundation při 2164 incidentech přes 823 miliónů uniklých osobních dat. Což je meziroční nárůst o jednu třetinu. Zajímavé je, že za 72 procenty případů stáli externí útočníci – a za 25 procenty vlastní zaměstnanci (u zbývající části útoků se „viníka“ zjistit nepodařilo). Smutným rekordmanem je Kalifornie, odkud firmy nahlásily únik 370 miliónů záznamů (jinak celkově Spojené státy mají podíl 45,5 procenta na útocích a 66,5 procenta na uniklých datech). Na druhém místě je Jižní Korea, která si tuto pozici vydobyla díky jednomu výraznému incidentu s únikem 140 miliónů osobních záznamů.

Stopy vedou do Číny

Americký deník The New York Times upozornil, že pět evropských ministerstev zahraničních věcí je infiltrováno sledovacími programy – a že data z nich proudí ve velkém stylu do Číny. Konkrétně jde o ministerstva České republiky, Portugalska, Bulharska, Lotyšska a Maďarska. To by ještě nebyla taková hrůza: k podobným incidentům zkrátka dochází a velice často se stává, že na ně musí upozornit třetí strana. Jenže útok v daném případě probíhal v letech 2010 až 13! Což už je hodně nepříjemné zjištění. České ministerstvo zahraničí informace (samozřejmě) nekomentovalo, čínská strana jakékoli podobné aktivity (samozřejmě) popřela. Deník The New York Times v této souvislosti jen upozornil, že pronikání do systémů bylo velmi pečlivě připravené a koordinované.

Příprava na katastrofické scénáře je katastrofou

Dle nejnovějších statistik není plných 73 procent firem dobře připraveno v oblasti disaster recovery (obnova po mimořádné události). Na vině je špatné plánování, testování a „technologické rozdíly“ (tedy třeba to, že firma přešla na jiný software nebo hardware, než s jakým počítaly plány). Průzkum provedený mezi tisícovkou organizací odhalil, že plných 60 procent z nich vůbec nemá plán obnovy – tedy plán toho, co dělat ve chvíli, kdy přijde o primární data. Z těch, kdo plán mají, jej 23 procent nikdy netestovalo. A ti, kdo testovali, tak v 65 procentech případů zjistili, že nefunguje. Přitom jen v loňském roce ztratilo přístup k datům na nejméně týden vinou nějaké mimořádné události plných 28 procent organizací (mnohé z nich i definitivně).

Než odhalíme útok, uplyne hodně vody

Společnosti FireEye zpracovala na základě dostupných podkladů statistiku toho, jak dlouho trvá organizacím odhalit útok proti informačnímu systému. Pokud se domníváte, že v bleskovém elektronickém světě jde o sekundy, minuty nebo maximálně hodiny, pak se šeredně mýlíte. V roce 2013 byl totiž medián od počátku útoku do okamžiku jeho odhalení přesně 229 dní! Ano, tak dlouho nikým nepozorována unikala data z organizace nebo do ní byl umožněný přístup neoprávněnému subjektu! Rekord přitom v loňském roce drží útok, který trval šest let a tři měsíce. Přesto jde o zlepšení stavu, protože o rok dříve byl medián 243 dní a v roce 2011 dokonce 416 dní. Co se ale změnilo k horšímu, je schopnost organizací odhalovat bezpečnostní incidenty: v roce 2013 jich útok vlastními silami odhalilo útok 33 procent, o rok dříve to bylo 37 procent. Ve zbývajících případech byly organizace na únik dat upozorněny externím (typicky poškozeným) subjektem.

Každá sedmá debetní karta byla kompromitována

Útok, při kterém dojde ke kompromitaci miliónů údajů k bankovním kartám, dnes už nikoho nepřekvapí. Což ale neznamená, že se nás tento problém netýká: v loňském roce totiž bylo různými úniky dat postiženo plných 14 procent všech debetních karet na světě! (Pro srovnání: o rok dříve to bylo jen pět procent.) Největší kauzou se přitom stal únik osobních údajů a informací o kreditních kartách z amerického řetězce Target. Právě kvůli medializaci jednaly v daném případě banky svižně a vydaly nové karty 84 procentům zasaženým uživatelům (jindy je v podobných případech běžné číslo pod třicet procent).

Změny, o kterých nikdo neví

Průzkum společnosti Netwrix odhalil, že 57 procent IT profesionálů provádí nedokumentované změny v informačních systémech: tedy takové změny, o kterých vědí jen oni sami. Je to díky tomu, že jen 23 procent organizací má zavedený proces řízení a ověřování změn provedených v informačních systémech. Přitom změny provedené bez patřičné dokumentace nebo auditu způsobují výpadky provozu nebo jsou u zrodu bezpečnostních hrozeb. V anonymním průzkumu připustilo 65 procent zaměstnanců IT oddělení, že někdy udělalo změny, které v konečném důsledku způsobily pád systému. Plných 39 procent udělalo svévolně zásah, který vedl k bezpečnostnímu incidentu (ke změně se ale samozřejmě asi v důsledku vrozené skromnosti nehlásili). A 62 procent není schopno provedené změny dohledat, čímž vzniká problém v doporučených nastaveních nebo v souladu s legislativou. – Na jedné straně jde pochopitelně o tlak auditorů, kontrolorů a dodavatelů auditních řešení na tom, aby se jejich produkty začaly prodávat. Na straně druhé je ale pravdou, že alespoň jednoduchý systém kontroly změn by nasazený být měl. Jinak se informační systém stane chaotickým prostředím, ve kterém se všichni a vše ztrácí.

Hackeři jsou realisté

Organizace Thycotic provedla průzkum mezi účastníky jisté hackerské konference – a její zjištění možná nejsou příliš překvapivá, nicméně rozhodně zajímavá. Plných 86 procent hackerů uvedlo, že se nebojí jakékoliv formy postihu (z čehož mj. vyplývá, že zpřísňování legislativy se míjí účinkem a mnohem důležitější je zaměřit prevenci jiným směrem). Zároveň 88 procent realisticky připustilo, že i oni jsou bezpochyby cílem útoků. Zajímavé bylo konstatování týkající se metod jejich „práce“: čtyřicet procent hackerů by průnik do sítě začalo u kontraktora (ostatně, kontraktor byl i Edward Snowden). Třicet procent by se zaměřilo na IT administrátory. A plných 99 procent dotázaných uvedlo, že nejjednodušší techniky (jako třeba phishig nebo jiné formy sociálního inženýrství) jsou zdaleka nejefektivnější.

Jsme příliš velcí optimisté?

Největší výzvou pro ty, kdo se snaží dbát na bezpečnost informačních systému, je odpověď na otázku: „Jak vlastně poznám, že došlo k bezpečnostnímu incidentu?“ Praxe totiž ukazuje, že dokud na incident nepřijdeme, tak ho prostě neřešíme (což je logické). Organizace Tripwire provedla průzkum mezi firmami, přičemž 51 procent administrátorů tvrdí, že na incident přijde typicky mezi 24 a 48 hodinami. Dalších 18 procent pak do tří dnů a 11 procent do týdne. Pomiňme nyní fakt, že i minutu po incidentu bývá často pozdě na smysluplnou reakci a připomeňme zprávu společnosti Mandiant „2014 Threat Report“. Podle ní totiž trvá odhalení incidentu v průměru 229 dní! Přitom na něj jen zhruba ve třetině případů (v roce 2012 37 procent, loni jen 33 procent) přijde sama firma: většinou k odhalení dochází na základě upozornění zvenčí. Administrátoři tak buď lžou sami sobě, svému okolí – nebo jsou přehnaně optimističtí, co se týká svých možností.

Síťová zařízení připomínají cedník

Tvrdí to alespoň zpráva společnost Dimension Data, která se zabývá hodnocením kvality zabezpečení síťového hardware. V loňském roce provedla 235 vyhodnocení řízení životního cyklu technických řešení (Technology Lifecycle Management) a zjištěné výsledky nyní zveřejnila. Loni specialisté společnosti Dimension Data konstatovali nebezpečnost „jen“ u 38 procent síťových zařízení (jako jsou přepínače, směrovače, brány...). Ono „jen“ totiž znamená dramatický pokles oproti roku předcházejícímu, kdy jich bylo zranitelných 73 procent. Stále to ale znamená, že čtyři z deseti síťových zařízení jsou náchylné k interním či externím útokům. Dalším zajímavým zjištěním se stalo konstatování, že 35 procent síťových zařízení dosáhlo hranice životnosti nebo jsou dokonce za ní. Hovoříme přitom o hranici životnosti z pohledu výrobců: z technického hlediska jsou sice stále funkční, ale protože nejde o zařízení podporovaná, nejsou vydávané záplaty, aktualizace a opravy. Jinými slovy: zařízení jsou zranitelná vůči všem nově objeveným chybám. Nebo je nutné je pracně překonfigurovávat a chránit s pomocí dalších prvků, což ale celou situaci jen komplikuje. A jen pro zajímavost doplňujeme, že zpráva konstatovala u každého síťového zařízení v průměru 40,7 chyb v konfiguraci!

Nebezpečí zastaralých antivirů

Jak oznámil Microsoft, deset procent majitelů Windows 8 nemá svůj systém odpovídajícím způsobem chráněný, protože používá zastaralý antivirový program. Jsou pak vystaveni čtyřikrát vyššími riziku infikování počítače než ti, kdo mají jeho aktuální verzi. Jako hlavní viník tohoto stavu jsou označované různé zkušební verze bezpečnostních řešení, které uživatelé dostávají společně s nově zakoupeným systémem. Ano, i po vypršení zkušební doby pracují bezpečnostní programy dále, ale rozhodně nenabízí stejnou úroveň ochrany jako aktualizované – a v některých případech mají vypnuté doplňkové funkce. Uživatelé totiž často nerozumí hláškám typu „obnovit nyní – doporučeno“: Proč je třeba obnovit? Proč je to doporučeno? Microsoft uvedl, že na vině jsou dva hlavní dodavatelé bezpečnostních řešení pro nové počítače, přičemž jeden má 49,3 procenta trhu a druhý 38,7 procenta. Jejich jména sice Microsoft nezveřejnil, ale my si můžeme uvést, že jde o firmy Symantec a McAffe: s žádným jiným předinstalovaným softwarem se na nových počítačích prakticky nedá setkat.

Platit nebo neplatit za bezpečnost?

Statistiky zveřejněné společností Microsoft hovoří o tom, že jen 51 procent uživatelů domácích počítačů za bezpečnostní software (zpravidla Něco-Internet-Security plus letopočet) platí. Ostatní pak dávají přednost různým nástrojům zdarma. Což by samo o sobě nemuselo být na závadu, kdyby… Kdyby to oněch 49 procent dělalo správně. Uživatelé často bezpečnostní programy nešťastně kombinují, nebo se spokojí s pouhou instalací antivirové aplikace. Pak žijí s představou, že mají chráněný počítač – přitom opak je pravdou. Statistika ještě doplňuje, že „bezpečnost zdarma“ je nejpopulárnější v Číně a Asii obecně (kde je také největší množství infikovaných systémů), naproti tomu nejčastěji služeb placených aplikací využívají Evropané.

Bezpečnost mobilních a dalších elektronických zařízení