ČSOB pomáhá chránit firmy před kyberútoky: Napadnutí databáze
Pro ochranu firem a institucí před kyberútoky je klíčová informovanost, obezřetnost a prevence. Proto ČSOB spolu s Policií ČR a Mastercard spustila rozsáhlý vzdělávací projekt s cílem varovat a edukovat čtvrt milionu firem, podnikatelů, organizací a institucí v oblasti kybernetické bezpečnosti.
Kybernetičtí zločinci za posledních pět let způsobili podle Policie ČR firmám a institucím škody přes tři miliardy korun a nebezpečí stále roste. S kyberútokem se setkalo devět z deseti firem. Terčem kyberkriminality se stávají i neziskové organizace, úřady, nemocnice, školy či bytová družstva nebo spolky. Útoky jsou čím dál sofistikovanější a zneužívají rychlý vývoj umělé inteligence.
Digitální hrozba č. 5: Napadnutí databáze
Kyberútok SQLi (Structured Query Language injection) spočívá v napadnutí databáze vsunutím vlastního kódu neboli SQL příkazu přes neošetřený vstup. Jazyk SQL se používá pro práci s daty v relačních databázích a v těch jsou uložené například přístupové údaje všech registrovaných uživatelů.
Jak útok probíhá?
Nejčastěji se jedná o útok přes formuláře. Útočník může do přihlašovacího formuláře třeba na e-shopu zadat SQL příkaz, který mu umožní přihlásit se jako libovolný uživatel, jehož přihlašovací údaje jsou uložené v databázi webu. Jinými slovy útočník může manipulovat s daty, která jsou v databázi uložena.
Pokud aplikace neověřuje vstupy, může být škodlivý kód proveden databází, což může vést k různým nežádoucím akcím. Speciálním případem je „blind SQLi“, kdy sice dochází k úspěšnému útoku, ale agresor jeho výsledky nevidí a nemá možnost si je ihned ověřit.
Možné dopady:
- Získání citlivých dat – útočník může získat přístup k uživatelským jménům, heslům, číslům kreditních karet a dalším citlivým informacím.
- Manipulace nebo změna dat – útočník může měnit, mazat nebo přidávat data do databáze.
- Získání kontroly nad databází – v některých případech může útok vést k získání plné kontroly nad databází a serverem.
- Změna oprávnění uživatelů.
- Kompromitace celého systému.
Jak se chránit?
Firma
Ochrana proti SQL injection – využíváním těchto opatření lze riziko útoku výrazně snížit či úplně eliminovat:
- Parametrizované dotazy – jejich používání je nejefektivnější způsob ochrany. Parametry jsou do dotazu vkládány odděleně od kódu, takže nemohou být interpretovány jako součást dotazu.
- Bílé seznamy – povolit pouze povolené znaky nebo vzory ve vstupních polích.
- Omezení oprávnění databázového uživatele – používat databázového uživatele s co nejmenšími oprávněními.
- Využívat zabezpečení proti neoprávněnému přístupu.
- Pravidelné testování a aktualizace – pravidelně testovat webovou aplikaci na zranitelnosti a aktualizovat software na nejnovější verzi.
- Posilujte odolnost firmy a informovanost zaměstnanců – organizujte školení, testování, sledujte nové druhy útoků a včas na ně upozorňujte.
- Mějte připravený plán reakce na kybernetický útok, který zahrnuje jasně definované kroky a role.
- Doporučujeme sjednání pojištění kybernetických rizik od ČSOB Pojišťovny, které kryje škody, zahrnuje nonstop IT asistenci a obnovu systémů do původního stavu.
Zaměstnanec
- Pravidelně zálohujte a aktualizujte software.
- Používejte silná hesla a měňte je.
- Zachovejte klid a obezřetnost.
- Informujte IT oddělení o výpadcích a nefungování procesů.
- Držte se firemních plánů pro kybernetické útoky a dodržujte pokyny osob odpovědných za IT.
Typické příklady, na co si dát pozor
OSVČ
Je vytížen a zapomíná pravidelně testovat využívanou aplikaci na zranitelnosti pomocí bezpečnostních skenerů a penetračních testů. Útokem SQLi přijde o data zákazníků.
Manažer firmy
Oznámí propuštění šéfa IT oddělení, aniž by měl náhradu. Dřívější šéf už se nevěnuje dostatečně ochraně před útoky a firma čelí napadení a finanční ztrátě.
Majitel e-shopu
V rámci úspor firma nedostatečně ověřuje a sanitizuje vstupy od uživatelů, takže nezabrání vložení škodlivého kódu. Tím dojde k úniku citlivých dat.
