Kyberprostor jako bitevní pole

Při historicky jednom z největších kyberútoků v americké Atlantě v dubnu 2018 internetoví vyděrači změnili data soudních líčení a skoro na týden odstavili počítačové systémy nutné pro fungování města. Na světě už není prakticky jediná země, která by rizika spojená s kyberprostorem nepoznala. Proto proti útočníkům – od jednotlivců přes kriminální gangy až po skupiny podporované státy – vytvářejí speciální týmy, úřady i jednotky.

Kyberstrážci schopní poznat kyberútok a úspěšně mu čelit jsou žádaní. Ti čeští, chránící především kritickou infrastrukturu státu, patří mezi světovou špičku. Ukazuje to i dubnový úspěch českého týmu expertů na kybernetickou bezpečnost na cvičení Locked Shield 2019. V estonském Tallinnu skončil v konkurenci 22 týmů z celého světa na druhém místě, když před útoky hackerů bránil lépe jen tým Francie.

Vysoká úroveň obrany

Do cvičení, které každoročně pořádá Centrum NATO pro kybernetickou obranu, se letos zapojilo více než tisíc specialistů. Český tým složený ze zástupců Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB) a expertů ze státní, soukromé i akademické sféry potvrdil kvalitu ochrany, již každý kyberútok na „cíle“ v Česku musí prolomit. Loni byli Češi třetí, rok předtím zvítězili.

„Skrývá se za tím systematická a důsledná příprava. Ta a spolupráce celého týmu se denně promítají do reálného světa, do vysoké úrovně české kyberbezpečnosti,“ reagoval na úspěch ředitel NÚKIB Dušan Navrátil. Cvičení stejně jako v minulých letech simulovalo reálné kyberútoky. „Červený tým“ útočil na systémy a sítě „modrých“ týmů, složených z expertů, kteří v reálném světě chrání IT systémy státních institucí, armády, elektráren nebo železnic.

Kvůli autenticitě bývají cvičení založena na scénáři, který zasazuje kyberútoky do geopolitického kontextu. Detaily jsou sice tajné, ale letos se týkaly fiktivní země Berylie, která v průběhu voleb čelila útokům hackerů na civilní i vojenskou infrastrukturu – bylo jich více než 2,5 tisíce.

Týmy musely bránit například elektrárnu nebo čističku vody před kyberútoky. Infrastruktura navíc obsahovala reálně používaná zařízení. Každý tým měl udržet v chodu více než 150 komplexních IT systémů. Cvičení bylo zaměřeno i na netechnické aspekty – týmy musely odpovídat na otázky novinářů i veřejnosti a neustále komunikovat, aby zmírnily paniku. Právníci se pak starali, aby zásahy byly v souladu s mezinárodním právem.

Český úspěch podle Václava Borovičky, šéfa Odboru kybernetických bezpečnostních politik NÚKIB, ukazuje vysokou úroveň kybernetické bezpečnosti a obrany v Česku. „Česká republika má experty, kteří jsou schopni zabezpečit a posléze ubránit svěřenou infrastrukturu v případě kybernetických krizových situací,“ řekl.

Převážně kritická infrastruktura

Společnosti zaměřené na kyberbezpečnost odhadují, že škody způsobené počítačovou kriminalitou a kyberútoky mohou do roku 2021 na celém světě dosáhnout až šesti bilionů dolarů. Jen loni se odehrálo více než 1300 velkých kyberútoků převážně na kritickou infrastrukturu.

Český vládní tým pro kybernetickou bezpečnost (CERT) loni evidoval 164 hlášení o kyberútocích, přičemž v 54 z nich museli kyberstrážci zasáhnout. „Naše práce se vztahuje zejména ke kritické informační infrastruktuře a významným informačním systémům. Zmíněných 54 kybernetických bezpečnostních incidentů, které jsme řešili, se týkalo těchto systémů,“ konstatoval Borovička. Jejich dopad byl různý.

„Loni jsme se pohybovali na škále od sběru informací sociálním inženýrstvím až po průniky do systému, které využívaly zranitelnost, kompromitaci aplikace či uživatelského účtu nebo ,zero-day‘ útoky (využívají zranitelnost softwaru například při jeho aktualizaci – pozn. red.),“ nastínil Borovička. Detaily a cíle CERT tají. V paměti jsou útoky čínských a ruských kyberšpiónů na české ministerstvo zahraničí v roce 2018.

„Útočníci přistupovali do více než 150 e-mailových schránek zaměstnanců a kopírovali e-maily včetně jejich příloh. Získali tak údaje využitelné pro budoucí útoky i seznam dalších možných cílů, a to v rozsahu průřezově prakticky všemi významnými státními institucemi. Pozornost útočníků se soustředila především na e-mailové schránky nejvyšších představitelů ministerstva, k jejich schránkám útočníci přistupovali opakovaně, dlouhodobě a nepravidelně,“ uvádí výroční zpráva Bezpečnostní informační služby (BIS).

Podle BIS sice útočníci pravděpodobně nezískali tajné informace, ale dostali se k řadě osobních informací a citlivých údajů, které mohou být zneužity k dalším kyberútokům či nelegálním činnostem. Kyberútok, jejž od začátku letošního roku řeší Německo, ale „zatím“ v Česku známý není – hackeři zveřejnili osobní údaje včetně finančních stovek německých politiků.

Většinou špionáž

Většina kyberútoků je kriminální povahy, motivem většiny velkých kyberútoků je pak špionáž včetně průmyslové a kybernetický boj státních či státem podporovaných hráčů. Například letos v únoru byl zmařen útok hackerů na počítačové systémy v australském parlamentu. Na norskou softwarovou firmu Visma zaútočili hackeři z čínského ministerstva vnitra, aby jí ukradli obchodní tajemství.

V lednu americké ministerstvo spravedlnosti informovalo o síti počítačů „ovládaných“ Severní Koreou, která měla získávat informace o vzdušném prostoru, finanční sféře a kritické infrastruktuře včetně elektráren a rozvodných sítí. Podle Centra pro strategická a mezinárodní studia (CSIS), jež se letos také stalo terčem, je na prvním místě těchto kyberútoků Čína, těsně za ní Rusko a pak s velkým odstupem Írán a Severní Korea. Drtivá většina velkých odhalených kyberútoků od roku 2006 cílila na USA.

Proto stejně jako má americká FBI seznam nejhledanějších teroristů, existuje i databáze nejhledanějších kyberútočníků, aktuálně jich je 63 a převažují na ní Rusové, Číňani a Íránci. Dosavadní škody speciální oddělení FBI pro kyberprostor (IC3) odhaduje na miliardy dolarů, přičemž nahlášené kyberútoky představují pouze deset až dvanáct procent z jejich celkového počtu.

Cíle, které mohou kyberútočníci ohrozit, ukázal třeba malware Triton (nebo Trisis), jejž někteří odborníci označují za dosud nejnebezpečnější počítačový vir. V srpnu 2017 měl být použit při útoku na plynovou elektrárnu v Saúdské Arábii a způsobit její výbuch, který však nenastal, protože byla vypnuta. Vir měl napadat řídicí systémy francouzského výrobce Schneider Electric, jimiž je vybaveno na celém světě 18 tisíc elektráren včetně jaderných.

Nejprve se spekulovalo, že za útokem je Írán, ale analýza americké bezpečnostní společnosti FireEye ukázala Rusko. „Vniknutí do systému, které vedlo k použití malwaru Triton, pravděpodobně podpořil Centrální vědecký výzkumný ústav chemie a mechaniky ruské vlády se sídlem v Moskvě,“ konstatovali kalifornští odborníci.

Varování společnosti Cisco

Technologický gigant Cisco odhaduje, že každý rok vzniká až 111 miliard řádků nového softwarového kódu, což představuje obrovské množství pro možný kyberútok. Z loňského průzkumu tří tisíc vrcholných manažerů z více než 80 zemí firmy PricewaterhouseCoopers vyplývá, že méně než polovina společností na světě je dostatečně chráněna před kyberútoky.

Nástroje pro hackery a software pro kyberútoky, krádeže identity, malware, ransomware a další jsou přitom k dispozici na online trzích a přijdou občas pouze na dolar. Do světa kyberzločinu může tedy vstoupit v podstatě každý a vidina velkých „zisků“ láká. Například američtí výrobci bankomatů, banky a vyšetřovatelé se snaží zabezpečit asi 400 tisíc bankomatů v USA proti „jackpottingu“, při němž kyberzločinci nad ním převezmou kontrolu, a ten jim pak vyplácí peníze, jako by vyhráli „jackpot“ v automatu v lasvegaských kasinech.

Cisco varuje, že počet zařízení, která se připojují k internetu, do roku 2020 přesáhne 50 miliard, a ve světě bude až bilion senzorů. Za jednu z nejohroženějších kritických infrastruktur pak Cisco považuje zdravotnictví.Nemocnice jsou zranitelnější než jiná zařízení – zastaralé systémy, nedostatek odborníků a hodnotná data kyberútočníky včetně vyděračů přitahují.

Informace o zdravotním stavu jsou na černém trhu dražší než finanční. Za ukradený zdravotní záznam mohou hackeři dostat až 60 dolarů, za informace o platební kartě jen tři až šest dolarů. Navíc miliony lidí se mohou stát kvůli zdravotní péči terčem útoků přes jejich bezdrátové a na dálku sledované zdravotnické prostředky, jako je kardiostimulátor nebo inzulínová pumpa. Bezpečnostní audit v jedné české nemocnici ukázal, že kyberútočník by se přes internet mohl připojit k rentgenu.

Internet věcí

Nejslabším článkem kyberbezpečnosti je a zůstane lidský faktor. Ze statistik vyplývá, že navzdory varováním z tisíce zaměstnanců až třetina na podvodný e-mail klikne. Častým kyberútokem je zanesení škodlivého softwaru do firemních počítačů či webů. Řada firem i v Česku se po kyberútoku na policii neobrátí, protože se obává, že ji to poškodí u obchodních partnerů a zákazníků.

Kyberbezpečnostní tým NATO v průběhu loňské tajné operace použil sledování, před nímž jsou vojáci varováni. Při podzimním cvičení Trident Juncture v Norsku „catfishingem“, přes falešné účty na sociálních sítích, identifikoval 150 vojáků na cvičení a získal informace nejen o nich, ale i o pohybu a činnosti jejich jednotek.

Kyberútoky nehrozí jen počítačům, tabletům či mobilům na tajných manévrech, ale mohou číhat i doma v důsledku vývoje internetu věcí. Zaútočit může i lednička, kávovar nebo plynoměr, jejichž systémy jsou zastaralé a po připojení k internetu se útoku a ovládnutí nedokážou ubránit. Stačí i k internetu připojený televizor, přes nějž lze třeba na druhém konci světa odposlouchávat místnost, kde se nachází.