Vlákno názorů k článku
Každý týden je ransomwarem zasaženo tisíc organizací, Česko zaznamenalo nárůst o 259 % od x125 - Zdravotnictví nyní už samo přiznává, že investice do...

Zdravotnictví nyní už samo přiznává, že investice do IT zabezpečení dlouhodobě podceňovalo a podfinancovávalo (kdo touží být ajťákem v nemocnici?). Na jedné síti mívá vše dostupné, počítače, přístroje, hesla se sdílejí. Když pak personál z emailu spustí ransomware, zašifruje celou nemocnici.

Ona otázka není "Zabezpečíme IT nebo ne?" ale "Dáme ty peníze na lepší léčebné vybavení, platy zdravotníků nebo do IT?".

Jenže to léčebné vybavení ve spoustě případů je IT. Stoleté základní vybavení samozřejmě ne, ale všechny přístroje, do kterých se dnes investují, jsou velmi těžce IT. I taková "blbost" jako ultrazvuk je dnes online zařízení (hlavně kvůli exportu získaných dat), a tím pádem napadnutelné ze sítě.

To je sice pravda, ale míjí to základní myšlenku: Když koupím nový, moderní, přístroj, tak se mi citelně zlepší primární "produkt" nemocnice a/nebo se zjednoduší práce lékařů. Když koupím nový firewall, tak se v tomto směru nic nezlepší.

Zlepší se to, že dříve zakoupené přístroje budete moct používat, aniž byste posílal bitcoiny někam do Pákistánu :-)

Ono je to jak kde. Pracuji taky ve zdravotnictví(kraj­ská působnost 1500 zaměstnanců) a nastavené je to tu poměrně dobře. Možnost obnovit zálohu u relevantních dat nebo serverů 2 měsíce zpátky jakýkoliv den. Radius, vlany, rozdělení wifi sítí služebních a volně dostupných...Veš­kerý provoz ven a dovnitř přes jeden bod sophos intercept X. Centrálně spravovaný antivir. Ochrana i mobilů samozřejmě. VPNky samozřejmostí.
Ono je to zásadně o penězích :D Když spočítáte licence antiviru, vpn cisca licence sophos tak už je to docela slušná pálka v rozpočtu což ekonomové řeší...

Jenže to je právě ten problém, že to je „jak kde“. Ukazuje to právě na systémový problém, jehož výsledkem jsou různorodá řešení stavějící na konkrétních lidech a jejich nadšení pro věc. Tím pádem je to celé ode zdi ke zdi a vznikají extrémy, které pak vedou ke zmíněným potížím například s ransomware.

Nedá se to řešit po jednotlivých pracovištích, musí vzniknout jednotné standardy, postupy a financování a udělat v tom pořádek na republikové úrovni. Jinak se těch rozdílů a problému jednotlivá zdravotnická zařízení nezbaví.

Můžete pro zajímavost napsat nějaký use-case, kdy je potřeba VPN od Cisca? Já jsem nikdy nepochopil proč bych to měl použít, vždycky jsem používal OpenVPN nebo v poslední době Wireguard.

A ještě by mě zajímalo, kolik a jaké viry vám tak běžně antivir odchytí - také si to nedokážu moc představit. Jsou to spíš viry, které se snaží uživatele přesvědčit, aby dobrovolně spustil nějaké .exe (nebo makro) (to by ale měl mít BFU zakázané, ne?), nebo spíš něco, co využívá 0day zranitelnosti v prohlížečích/Of­fice/...? Opravdu jsou antiviry v detekci 0days tak dobré jak se píše v jejich marketingových materiálech? (a používá někdo 0days na masivní kampaně na internetu?)

To snad nemyslite vazne, tu otazku na Cisco VPN ne?

Myslím to naprosto vážně, možná je to způsobené tím, že neznám ty „korporátní“ use-cases - adminoval jsem SOHO a na matfyzu a tam pár lidí vždycky dostalo OpenVPN, a pak síť zařízení napojených přes OpenVPN a dvě kanceláře propojené WG (kvůli rychlosti - původně tam taky byla OpenVPN, ale jak je to jednovláknové a přehazuje to pakety přes user space, tak se to zadrhávalo když si začali posílat videa).

Antivir odchytí tak 90 % běžných věcí. Makra jsou často povoleny, protože je pár lidí ve firmě používá a nechce/neumí to řešit chytřeji (třeba makra podepisovat nebo povolit pouze pro konkrétní uživatele). Většina útoků jde přes známé zranitelnosti: v každé firmě občas zapomenou něco otevřené do internetu s defaultními přihlašovacími údaji, VPN bez dvoufaktoru s leaknutými přihlašovacími údaji, zastaralé servery otevřené do internetu.

Hlavně veřejné instituce nemají dost peněz na investice do IT, veřejné soutěže navíc všechno komplikují a protahují a k tomu mají limitované platy, takže admini nejsou úplně z nejschopnějších (čest výjimkám!).

Všimli jste si toho patternu? Už se mi to stalo několikrát:

Někdo: strašně potřebujeme antivirus X/máme na něj velké výběrové řízení/antivirus X je nejlepší

Já: zajímavé, jaký předpokládáte attack vector? Říkáte, že s antivirem X máte dobré zkušenosti, můžete pro zajímavost zmínit nějaké útoky, kterým u vás zabránil? Jak ho testujete, například sledujete nové 0day exploity a zkoušíte, jestli je antivirus heuristikou odhalí?

<ticho> (příp. „netestujeme a žádné útoky neodhalil, nejlepší je protože má jednoduché administrační rozhraní a jenom trochu zpomaluje počítače“)

(čekal bych, že když někdo zmiňuje takové velké, složité a drahé technologie a ještě zmiňuje, že měl problém to nechat podnik zaplatit, tak bude mít dobře zdůvodněno, jak skvěle to funguje)

16. 5. 2021, 03:25 editováno autorem komentáře

Pro úřady a kritickou informační infrastrukturu je antivirus víceméně povinnost (by default ano, můžou si obhájit ho nemít).

Ale ještě jsem se nesetkal se situací, kdyby si někdo zanalyzoval, že antivirus nepotřebuje a že běžný malware u nich nehrozí (snad až na extrémní situace jako airgap systémy – ale i tam se to řeší nebo specifické SCADA technologie). Naopak jsem se setkal se situací, kdy v jedné organizaci přežily ransomware útok jen stanice a servery s nainstalovaným antivirem.

Zdravotnictví je krásným příkladem, jak by všichni chtěli pouze výhody informačních technologií, ale přijmout a řešit jejich nevýhody už se jim nechce. Následky jsou logické.