Měl to být normální pracovní den, ale 13. dubna ve strojírenské firmě o 350 zaměstnancích práce nezačala. Na všech počítačích se objevilo hlášení, že jsou zašifrované. Informační systém včetně personální části byl kompletně zablokován těsně před výplatami. Napadli ho hackeři a za odblokování žádali sto tisíc eur v bitcoinech. Co vedení firmy trápilo ještě více než výkupné, byla ztráta technické dokumentace ke všem produktům. Nahradit ji by stálo roční práci dvou až tří konstruktérů.
„Nejprve jsme vůbec nevěděli, co se děje, kontaktovali jsme příslušné úřady a policii, kde nám dali kontakty na experty, s nimiž jsme to začali řešit, a asi po měsíci intenzivní práce jsme konečně mohli začít trochu fungovat,“ říká manažer podniku, který si nepřál být jmenován. „Stále ještě nejsme plně připojení, nemáme dostatečné zabezpečení, a to je mnohonásobně lepší než to předtím.“
Traduje se, že nejčastější příčinou takové situace je nízká digitální gramotnost zaměstnanců. Stačí jeden otevřený e‑mail. Tváří se jako prosba, nabídka nebo běžná korespondence. Pracovník zareaguje automaticky a útočníky vpustí do informačního systému. Jsou ale i jiné pohledy na věc. „Mnohem větší díl viny na situaci má IT oddělení,“ myslí si Martin Haller z firmy Patron‑IT, který zmíněné firmě pomáhal. Podobné situace řeší několikrát za měsíc, někdy i tři do týdne. „Firmy se hodně snaží investovat do vzdělávání zaměstnanců, ale mnohem větší efekt má dostatečně dobře vzdělat své IT pracovníky a investovat do zabezpečení. Protože dobře ochráněný systém dokáže útočníky zastavit, i když je tam pustí digitálně negramotný zaměstnanec.“
Pro řadu firem se to jeví jako příliš velká investice, což je relativní. Tu z úvodu stálo zbavit se následků útoku přibližně dvanáct milionů korun. Ta částka ale nezahrnuje všechny nutné investice do zabezpečení ani samotné výkupné. „To jsme nakonec nemuseli platit, protože se najatým expertům podařilo všechna potřebná data získat ze záloh, kam se hackeři nestačili dostat. Útok měl obrovský vliv na naši produktivitu, nabrali jsme veliký skluz se zakázkami a museli jsme navíc přijmout asi 20 lidí a také posílit naše IT oddělení,“ říká šéf napadené firmy.
Četnost napadených firem podle segmentů
Jiné ovšem výkupné zaplatí. „Někdy se to vyplatí, protože data jsou potřeba hned. Je to vždy velké dilema, nikdy není jisté, že hackeři je vrátí celá,“ říká Haller. Jen za letošní první polovinu roku zaplatily podniky na výkupném podle FBI 590 milionů dolarů.
V prvním pololetí roku 2021 se podle společnosti Accenture ve srovnání se stejným obdobím loni množství kybernetických útoků celosvětově zvýšilo o 125 procent. Rostou i investice do zabezpečení – podle dat Gartneru celosvětově o 12 procent. Naproti tomu z lokálního průzkumu Svazu průmyslu a dopravy vyplývá, že si firmy rizika kybernetického útoku uvědomují ani ne ve dvou třetinách. Přesto společnosti do digitálního bezpečí o trochu více investují – loni ho posílily dvě třetiny, letos 81 procent. Výdaje by však měly růst rychleji, varuje Haller. Slabinou českých firem jsou i chybějící krizové plány pro takové situace, manažeři problematice obvykle vůbec nerozumí. Dalším problémem je, když IT pracovníci nabudou dojmu, že je vše zabezpečené dostatečně. „Ideální je nechat si jednou za rok zabezpečení prověřit a zjistit, zda IT oddělení postupuje správně. Chyby je třeba ihned vychytat. Mohou pomoci i etičtí hackeři, což jsou specialisté, kteří tajně simulují útoky. To je podstatná část Hallerova byznysu a věnuje se mu mnoho technologických firem. „Ideální je firmy střídat, každá aplikuje jinou cestu, prověří tedy systém z jiných stran,“ říká Haller.
Investice do zabezpečení je pro kohokoli těžké prosadit i kvůli tomu, že se o hrozbách moc neví. Jen málokterá společnost o svém napadení chce mluvit. „Obávají se ztráty pověsti a klientely,“ vysvětluje Haller.
Výše výkupného – průměr
3 000 165 Kč
Výše výkupného – median
1 032 625 Kč
To, že je hrozba kyberútoku reálná, zjistila na konci září i ředitelka základní školy v malém severočeském městě. Hlášení o zašifrování systému objevila na počítačích v den státního svátku 28. září, což je velmi časté – hackeři využívají volných dní, aby mohli nerušeně pracovat. Škola zůstala paralyzovaná přibližně 14 dní a nepomohla jí ani policie, ani úřady, až experti na vyprošťování dat, kteří je ze záloh vytáhli do 24 hodin.
„Čekat na to, že útočníky dopadne policie, nemá smysl. Ještě jsem neslyšel, že by někoho dopadli a firmám se vrátila kradená data i výkupné,“ říká Haller, který škole pomáhal. Zásah tehdy nevypadal tak dramaticky jako obvykle. „Často to vypadá tak, že nám šéfové firem nebo jejich IT správci volají v neděli večer. Obvolám pak kolegy, sbalíme si věci a doma oznámíme, že do úterý nás čekat nemají,“ říká. Někdy na odražení útoku potřebuje i celý svůj tým dvaceti lidí. „Abychom našli cestu k datům nebo vyjednali s útočníky dešifrování, pracujeme přímo ve firmách nonstop i několik dní i déle než týden. Vozí nám jídlo, někdy i čisté oblečení. Musíme pracovat přímo u nich, protože je nutné odpojit vše od internetu, abychom nedali šanci útočníkům dále pracovat.“
Důležité je co nejdřív zjistit, jak se útočníci mohli do firmy dostat. Ne kvůli odhalení viníka, ale aby se předešlo dalším útokům. Opakovat se mohou. Velmi často se nepodaří objevit slabé místo, kudy se hackeři do systému dostali. „Zaprvé by se nikdo nepřiznal a viník se nikdy ani nehledá,“ říká Haller. „Majitelé mají rádi zaměstnance a nechtějí, aby se cítili provinile. Vina je často sdílená. Řadový zaměstnanec zadal heslo, kam neměl, IT správce firmu dost nezabezpečil, majitel do zabezpečení neinvestoval.“ Nejlepší cestou, jak předcházet útokům, je podle Hallera dát zaměstnancům co nejméně možností udělat chybu – okleštit technologie potřebné k práci. Oddělit osobní telefony od pracovních, nemít možnost instalovat žádné aplikace, zablokovat surfování na sociálních sítích.