Pandemie posílila kyberzločince

Dvě české nemocnice loni téměř zkolabovaly kvůli útoku hackerů. Nejsou však jediné – Během pandemie čelí zvýšenému zájmu kyberzločinu i samosprávy a firmy

Pandemie posílila kyberzločince
Šéf NÚKIB Karel Řehka | Tomáš Novák týdeník HROT

Loňské kybernetické útoky na nemocnice v Benešově a Brně způsobily škody za více než sto milionů korun. Terčem hackerů, kteří jsou v době pandemie ještě aktivnější než jindy, je ale nejen oblast zdravotnictví. Minulý týden se odehrál také masivní útok na servery ministerstva práce a sociálních věcí, České správy sociálního zabezpečení nebo pražského magistrátu, prý naštěstí bez větších škod.

Vylepšit odolnost státních organizací před útoky přes internet má za úkol Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB). Jeho šéf Karel Řehka ale upozorňuje, že dlouhá léta zanedbávanou oblast nelze napravit za pár měsíců. „Věc, která se neřeší 15 let, se za tři měsíce vyřešit nedá. Bude to postupný proces,“ tvrdí Řehka.

Velkým tématem loňského roku byla i kvůli dvěma kyberútokům v Česku bezpečnost nemocnic. Ale netýká se to jen jich – i některé firmy z kritické infrastruktury tvrdí, že útoky od začátku pandemie vzrostly o stovky procent. Jaké jsou vaše zkušenosti?

My se zaměřujeme hlavně na subjekty kritické infrastruktury a systémy, které jsou důležité pro fungování státu a bezpečí obyvatel. Neděláme jen to, ale je to naše primární zaměření. Čili naše statistiky vycházejí z tohoto sektoru. V každém případě nárůst během pandemie je skutečně skokový. Počty útoků rostly už i v minulých letech – s tím, jak se digitalizuje společnost, to logicky produkuje víc incidentů. Loni se k tomu přidal ještě přechod mnoha dalších lidí do online světa a mnohé organizace a firmy na to nebyly připravené.

Firmy nedokážou ohlídat kyberbezpečnost u lidí na home officu?

Bývá to také problém. Nechci mluvit za firmy, ale je to i pro ně výzva. Měly svůj systém řízení bezpečnosti informací, staraly se o síť, monitorovaly její provoz, měly zabezpečené koncové stanice… A najednou ze dne na den potřebovaly, aby lidé pracovali na dálku. Pokud navíc zaměstnanci mohou doma používat vlastní počítače, je to o to složitější. Firmy nemají kontrolu nad koncovým zařízením. Řada organizací na to nebyla vůbec připravená.

Jak se vyvíjí sofistikovanost a úspěšnost útoků? Také rostou?

Sofistikovanost rozhodně roste, ale stejně tak roste sofistikovanost obrany. Jde to ruku v ruce – vyvíjejí se útočníci, ale i obránci, kteří na to reagují. Takže se nůžky neotvírají.

Za nejslabší místo IT systémů bývá většinou označován lidský faktor. Kolik útoků cílí na uživatele třeba prostřednictvím phishingu a kolik používá hrubou sílu, aby se do systému dostaly?

Podíl phishingu je velký a je to paradoxní – pořád se bavíme o vyspělých technologiích, umělé inteligenci, kvantových počítačích…, ale to gros jsou často opravdu úplně bazální, častokrát až primitivní věci. Ale vyskytují se i útoky na hesla a jiné zranitelnosti. Jenže i tady může být problém v lidech – pak třeba zjistíte, že heslo je tak jednoduché, že ho bylo možné prolomit během pár vteřin nebo minut takzvaným slovníkovým útokem.

Jak se firmy phishingu mohou bránit, aby nedopadly jako nemocnice v Brně a Benešově?

Například investicemi do lidí, a to jak do odborníků, tak do vzdělání zaměstnanců. Je třeba možné ve firmách dělat cvičné phishingové kampaně, které pak opravdu do velké míry snižují pravděpodobnost úspěšného útoku. Samozřejmě je potřeba i technické zabezpečení a další věci, ale lidský faktor se někdy nedoceňuje. Přitom to není složité.

Jak taková phishingová kampaň vypadá? Podobně jako když kontroloři EET dělali zkušební nákupy, vy děláte pro firmy „zkušební phishing“?

Tyto služby děláme většinou spíš pro státní organizace než pro firmy, protože přece jen máme omezené kapacity. Cvičná phishingová kampaň bývá spíše součástí hlubšího auditu, který mapuje různé druhy zranitelností a pomáhá dotyčnému subjektu s jejich odstraněním. Aktuálně děláme audity třeba v nemocnicích. Všechno ale musí být dohodnuté s vedením dané organizace, se kterým takovou akci slaďujeme, protože samozřejmě nemůžeme narušit chod nějakým simulovaným útokem.

Můžete uvést, jaké jsou nejčastější chyby, kterých se ať už státní organizace, nebo firmy dopouštějí při ochraně svých IT systémů?

Je to komplex věcí – například organizačně špatně nastavený systém řízení bezpečnosti informací, nedostatečně vyškolení zaměstnanci, špatná přístupová politika, sdílení administrátorských účtů, špatná segmentace sítě, do které když se útočník dostane, má přístup ke všemu, nebo špatná politika zálohování. Často to jsou přitom věci, které nejsou až tak složité, nemusíte být technický génius, abyste to pochopil.

Jsou častější cílené útoky, nebo plošné útoky, kdy někdo například rozešle velké množství phishingových e-mailů do různých firem či úřadů?

Obojí. Časté jsou i automatizované útoky, kdy útočníci vytvoří nebo ovládnou server a masivně rozesílají třeba phishingové e-maily. Někteří to zkoušejí i tak, že u různých potenciálních obětí skenují zranitelnosti sítě, a když objeví mezeru, zaútočí, aniž by přitom řešili, kdo je oběť.

Dřív byly phishingové zprávy často příliš okatě falešné, to se ale třeba s rozvojem překladačů mění…

Ano, existují i cílené útoky, které jsou velmi sofistikované. Dostanete například e-mail, který čekáte, od člověka, kterého znáte, a souvisí to s něčím, co zrovna doopravdy řešíte. Takový e-mail může být i doplněný fotkami a textem, které jej dělají velmi důvěryhodným. Nicméně i plošné útoky se stávají sofistikovanějšími, což je skutečně dáno zvyšující se kvalitou strojových překladů a obecně vyšší sofistikovaností útočníků.

Mluvil jste o zranitelnosti sítí. I tady děláte pro organizace podobné akce jako zmiňované phishingové kampaně?

U skenu zranitelností jde o věc, kterou je možné dělat normálně zvenčí bez narušení systémů organizace, a děláme to běžně. Zkrátka přes internet skenujeme systém organizace a hledáme zranitelnosti. Děláme tedy totéž co útočníci a snažíme se je předběhnout. Oproti tomu u penetračních testů se snažíme aktivně překonávat bezpečnostní opatření a systém zabezpečení. Ale opět to musí být striktně naplánované, zorganizované a smluvně ošetřené, abychom třeba nezpůsobili reálné škody. Protože neoprávněný přístup k počítačovému systému a nosiči informací je trestný čin. My samozřejmě nemůžeme páchat trestné činy.

Když se ještě vrátíme k nemocnicím, jaké jsou vlastně v takových případech motivy útočníků, pokud tedy nechtějí jen škodit?

Motivace jsou různé v podstatě u jakýchkoli útoků. Od toho, že si někdo chce dokázat, že je dobrý, po klasický finanční zisk a kriminalitu… Může existovat i vliv cizího státu, který nám chce škodit nebo získat výhodu. Za některými útoky stojí aktivisté. Může to být téměř cokoli. Pokud jde o standardní útoky, které padají na samosprávu, nemocnice nebo firmy, podle mého odhadu mají ve většině případů kriminální motiv, finanční zisk.

Nemocnice na tom byly se zabezpečením údajně špatně. Podařilo se to od loňska zlepšit?

Je třeba říct, že NÚKIB se snaží v rámci své působnosti maximálně pomoct s řešením, není ale zodpovědný za zabezpečení nemocnic, to je v gesci resortu zdravotnictví, zřizovatelů a managementu nemocnic. Už loni jsme na to napnuli veškeré naše úsilí. Dostali jsme i zadání od vlády a premiéra čili je to pro nás priorita číslo jedna. Začali jsme provádět komplexní audity ve zdravotnických zařízeních a vedle toho děláme další kroky, jako je úprava zákonné regulace a nabízení různé podpory. Problém byl z našeho pohledu totiž i v tom, že v minulosti byla regulace týkající se kyberbezpečnosti nemocnic nastavená tak, aby se jí kvůli nákladům co nejvíc subjektů vyhnulo. Takže z nějakých 250 nemocnic v České republice jich pod náš dohled spadalo jen šestnáct.

Jak se to změní?

Pracujeme na legislativě, aby se náš dohled rozšířil celkem asi na 46 nemocnic (určování ještě nebylo ukončeno), a bylo tak zabezpečeno i dostatečné regionální pokrytí.

Audity v nemocnicích, o kterých jste mluvil, dopadly jak?

Nemůžu vám říct konkrétní výsledky, ale obecně vzato je zdravotnictví hodně špatně zabezpečené, to není nic tajného. Nemocnice jsou zranitelné. Nemůžeme ale čekat skokové zlepšení. Věc, která se neřeší 15 let, se za tři měsíce vyřešit nedá. Bude to postupný proces, a to navíc jen za předpokladu, že to zřizovatelé nemocnic a jejich manažeři budou podporovat, protože když nebudou, nikdo s tím nic neudělá.

Vy je nemůžete nijak přinutit?

My jsme schopni přinutit jen ty, které jsou regulované. Když nemocnice spadá pod nás, musí splňovat parametry zákona a vyhlášky o kybernetické bezpečnosti, a to pak můžeme kontrolovat, nařizovat různá opatření. U těch ostatních ale nemáme žádnou zákonnou pravomoc, takže jim pomáháme, diskutujeme, dáváme doporučení…

Kladou tyto nemocnice odpor?

Paradoxně i některé nemocnice z těch, které by nemusely, mají o naši pomoc se zvýšením kyberbezpečnosti velký zájem. U těch regulovaných samozřejmě máme ze zákona možnosti, jak vymáhat dodržování povinností – můžeme zahájit správní řízení, udělit pokutu. Ale když se podíváte historicky, tato silová řešení používáme minimálně. Snažíme se ty lidi dotlačit, komunikovat, pomoct jim. Naším smyslem není někoho decimovat a trestat. Mě nezajímá, jestli někdo zaplatil pokutu, ale jestli se zlepšil výsledný stav.

Kolik pokut jste udělili?

Nezveřejňujeme to, ale jak říkám, děláme to opravdu minimálně. Nějaká správní řízení běží, ale není to pro mě tak zásadní, jako jestli dokážeme stav napravit. Navíc pokuty často nedávají žádný smysl. Představte si, že přijdete do nemocnice, která si stěžuje na podfinancování, a najdete nějaké problémy. Zlepšíte její kybernetickou bezpečnost tím, že tam přijdete, uděláte šťáru a napálíte jí sankce? Asi ne. Pokud to ale bude oprávněné, sáhneme i k sankcím.

V kterých dalších sektorech kromě nemocnic jste pozorovali nárůst útoků v souvislosti s pandemií?

Za posledního půl roku v útocích kromě zdravotnictví figurovaly více i samosprávy a objevily se i útoky na školy, speciálně univerzity. U soukromých firem to jde napříč segmenty. Vycházíme ale jen z našich statistik, které zahrnují subjekty patřící do našich kompetencí. Policie, která řeší kyberkriminalitu, by vám dala zase statistiky běžných útoků na uživatele, ukradené údaje k platebním kartám a podobně, ale to nejde „za námi“.

Objevily se také útoky na klíčové systémy státu, jako jsou třeba datové schránky?

Ano, nicméně princip regulace spočívá v tom, že si stanovíte priority, co je nejdůležitější chránit, a pak také hodnotíte, kde jsou jaká rizika. Na to se pak zaměříte. Takže třeba datové schránky jsou zabezpečené velmi dobře. I v nich se ale objevily problémy.

Zaznamenal jsem, že přes ně chodily phishingové zprávy. Jak se to útočníkům povedlo?

Velmi jednoduše, protože datovou schránku můžete využít pro běžné poštovní služby a rozeslat nějaký obsah. Takže to de facto nebyl útok na datové schránky, ale jejich prostřednictvím.

Mimochodem, šly nějaké kyberútoky zvenčí také přímo na vás? A byl nějaký úspěšný?

Co jsem tady, žádný úspěšný útok jsme nezaznamenali. A co vím, nestalo se to ani předtím.

Když se třeba nemocnice ocitne pod útokem, jak jste schopni jí pomoci? Posíláte tam například vaše experty?

Jistě, děláme to běžně. Když si vezmeme útoky na nemocnice v Benešově nebo v Brně, naši lidé byli na místě a pomáhali. Ne vždy to tak ale je, záleží na konkrétní situaci a kapacitách.

Máte dostatek odborníků?

Nemáme. Ale vládou schválená koncepce rozvoje, v níž je i rozpočtový rámec, počítá s nárůstem počtu lidí i infrastruktury. V roce 2027 bychom měli mít nějakých 420 lidí.

Kolik jich máte teď?

Když jsem loni nastoupil, měl úřad 221 tabulkových míst, teď jich máme 269. Loni jsme byli v bodě, kdy jsme měli 100procentní naplněnost.

Jak je to s platy? Můžete jako státní úřad konkurovat soukromému sektoru?

Máme kvalitní lidi a jsme schopni místa naplnit. Je pravda, že jsme limitováni možnostmi platových tříd ve státní správě a nemůžeme u technických specializací soutěžit v platových podmínkách se soukromým sektorem. Ale to také není úplně všechno.

Na co kromě platu můžete zájemce nalákat?

Třeba na zajímavost práce. Nesedí tady u jednoho systému jako ve firmě, ale podívají se na více systémů, sektorů, získají více zkušeností. Máme velké možnosti růstu a vzdělávání. Setkávají se také se zahraničními partnery, mohou jezdit na školení, konference či stáže. To jsou všechno zajímavé věci. Nemyslíme si, že tady ti lidé budou do smrti, ale díky zkušenostem nabytým u nás stoupne jejich cena na trhu práce, a to je svým způsobem osobní investice. A v neposlední řadě je to i možnost podílet se na zajištění bezpečnosti naší země. To není klišé, je to důležité. A lidé potřebují vědět, že dělají něco důležitého. O navýšení platů technických specialistů ale rozhodně budu dále usilovat.

Velkým tématem posledních let jsou také hybridní hrozby. V Česku funguje několik let koordinační skupina proti hybridním hrozbám. K čemu je dobrá?

U hybridních kampaní je problém v tom, že protivník na vás zkouší působit v různých oblastech, skenuje společnost napříč celým spektrem – sociální věci, národnostní problematiku, ekonomické, informační záležitosti a podobně. Vyhledává zranitelnosti a pak na ně působí zase celým spektrem nástrojů. Abyste se mohli bránit, musíte si poskládat dohromady, co se vlastně děje. Často to mohou být dílčí věci – například někdo něco v zemi skupuje, běží dezinformační kampaň, probíhá špionáž… Právě v této skupině by se měly tyto informace sbíhat v nadresortní úrovni.

Jaká je vaše role ve věci hybridních hrozeb?

Naše role je do značné míry průřezová. Kyberbezpečnost prochází všemi sektory, v obraně, vnitřní bezpečnosti, kriminalitě, diplomacii, všude tento aspekt je, protože se tyto činnosti odehrávají i v kyberprostoru. Proto spolupracujeme na všech strategiích. Ale rozhodně to není tak, že bychom měli hrát v hybridních hrozbách klíčovou roli, jsme jen jednou ze součástí, i když důležitou.

Karel Řehka (46)
• Vystudoval Vysokou vojenskou školu pozemního vojska ve Vyškově.
• Úspěšně absolvoval kurz Ranger ve Spojených státech, poté se účastnil misí KFOR.
• V české armádě působil u 601. skupiny speciálních sil generála Moravce, kterou od roku 2010 vedl.
• Od konce roku 2014 stál v čele Ředitelství speciálních sil ministerstva obrany.
• Do čela NÚKIB nastoupil na jaře roku 2020.
 

Týdeník hrot

  • Bankrotáři: paralely příběhů Bárty a Mičky
  • Zabal to, Warrene! „Věštec z Omahy“ by měl odstoupit
Objednat nyní