Český ministr zahraničí Jan Lipavský si v květnu předvolal ruského velvyslance. Důvod byl vcelku neobvyklý: působení ruských hackerů, kteří se snažili získat informace v IT systémech českých institucí. Zpravodajcům, policii a Národnímu úřadu pro kybernetickou a informační bezpečnost (NÚKIB) se podařilo je přistihnout. A nejen to, poprvé ukázali prstem na konkrétní viníky.
„Šlo o ruskojazyčnou skupinu APT28, která je prokazatelně navázaná na ruskou zpravodajskou agenturu GRU, tedy Ruskou federaci jako takovou,“ tvrdí ředitel NÚKIB Lukáš Kintr. Aktuální případ špionáže není první ukázkou, jak se Rusové snaží škodit.
Kintr dále v rozhovoru popisuje, jak se mění přístup hackerů k vydíraným firmám, dopady nové regulace či proč hackeři snáze napálí čtyřicátníka než seniora.
Od začátku války na Ukrajině probíhá souběžně s akcemi na bojišti také válka v kyberprostoru. Jak se ruské útoky od začátku války vyvíjejí?
Počátek války byl doprovázen zejména renesancí takzvaných DDoS útoků, tedy útoků, které shodí či znepřístupní nějaké webové stránky nebo internetové služby. Ty až do války na Ukrajině ubývaly, po začátku invaze s nimi ale začala velká množina ruskojazyčných hackerských skupin, takzvaných hacktivistů, tedy aktivistů v kyberprostoru.
Co bylo jejich cílem?
Cíl byl jednoduchý: dostat se do českého mediálního prostoru a získat tím podporu a prostor pro propagandu Ruské federace a její politiky. Dodnes útoků tohoto typu evidujeme poměrně velké množství.
Na koho se útočníci nejčastěji zaměřují?
Zpočátku bylo vidět, že se učí poznávat české prostředí. Orientovali se třeba podle klíčových slov v názvu, a ne vždy si správně vybrali státní instituce, na které kvůli české podpoře Ukrajině chtěli cílit primárně. Takže se mezi cíle dostávaly relativně nevýznamné subjekty. Pak se zaměřili na konkrétní sektory. V září loňského roku to byly například české banky, které se na několik dnů staly obětí DDoS útoků. Jde o typický příklad sektoru, který je pro ně zajímavý – když se tisíce lidí nedostanou k internetovému bankovnictví, bude je to trápit, bude se o tom hodně psát.
Jak se dá proti takovým útokům hacktivistů bránit?
Například poskytovatelé internetového připojení v případě větších zákazníků nabízejí obranu proti DDoS jako službu. Když si ji banka zaplatí, může to velkou část pokusů o přetížení jejich systému odfiltrovat. Uživatelé pak mohou internetové bankovnictví či jinou službu využívat, aniž by cokoli zaznamenali. Co se nás týče, apelovali jsme na některé mediální domy, aby útokům nedávaly tolik prostoru. Protože když se o nich nebude psát, ztrácejí na atraktivitě. Pak je otázkou času, kdy to útočníka přestane bavit, nikdo nedělá rád nesmyslnou práci.
V květnu si ministr zahraničí Jan Lipavský kvůli kybernetickým útokům dokonce předvolal ruského velvyslance. Předpokládám, že to nebylo kvůli shazování webových stránek.
Souviselo to s tím, že Česká republika udělala první veřejnou politickou atribuci, přisoudila konkrétní útočnou kampaň konkrétnímu aktérovi. V tomto případě šlo o ruskojazyčnou skupinu APT28, která je prokazatelně navázaná na ruskou zpravodajskou agenturu GRU, tedy Ruskou federaci jako takovou. Tato skupina nejen proti Česku, ale proti celé řadě evropských států podnikala špionážní kampaně v kyberprostoru.
Ruská skupina APT28 podnikala prokazatelně proti Česku a řadě dalších evropských států špionážní kampaně.
Můžete být konkrétnější, o co šlo?
Musím zůstat v obecné rovině. Pokud jde o špionáž, zajímají hackery citlivé informace, které mohou dát Rusku strategickou výhodu. Ať už v konvenčním boji, nebo v oblasti hybridního působení. Díky takové informaci mohou lépe zacílit své působení na širokou veřejnost, ovlivňovat, jakým způsobem přijímá informace od politiků, jak klesá nebo roste veřejné mínění o podpoře Ukrajiny.
Tyto aktivity se objevily údajně od podzimu. Může to souviset třeba s českou muniční iniciativou? Tedy že by se ruští hackeři mohli pokoušet získat informace, odkud Česko shání munici pro Ukrajinu, což byla neveřejná informace?
O tom bych nerad spekuloval.
ČLOVĚK, SÁZKA NA JISTOTU
DDoS útoky nejsou zrovna špička hackerství, jak sofistikované byly tyto špionážní útoky?
Taktika je v obou případech diametrálně odlišná. U DDoS útoku je cílem být vidět, naopak u špionáže chce být útočník vidět co nejméně a zůstat co nejdéle přítomný a schovaný, aby získal co největší množství informací. Tomu odpovídá i taktika. Používají se sofistikovanější postupy. Nicméně velmi často na počátku takového útoku stojí phishingová kampaň nebo sociální inženýrství. Hackeři jsou poměrně línou skupinou lidí a primárně volí cesty nejmenšího odporu při vniknutí do systému.
Takže lidský element?
Ano, snaží se nachytat lidský element, využít jeho slabosti, aby se do systému dostali. Pokud se to podaří, mohou pak v systému poměrně snadno dělat další, sofistikovanější kroky. Zřídka se pro tento účel používají i DDoS útoky, které odstaví nějakou síťovou komponentu a hacker pak může nepozorovaně proniknout do systému. Ale je to výrazně náročnější než zkusit nachytat některého ze stovek zaměstnanců nějaké instituce.
Jak obtížné je útok odhalit, najít hackera, který se dostal do systému? Jaká je v tom role dané instituce, policie, NÚKIB?
Začnu od zasažené instituce. Jak snadno odhalitelná je přítomnost útočníka, záleží na tom, jak si stojí tato instituce, pokud jde o zajišťování kybernetické bezpečnosti. Pokud má síťový monitoring, má síť aktualizovanou a udržovanou, šance na to, že najde hackera, který brouzdá v systému, roste. To je ideální případ. Pak jsou ale případy, kdy toho samotná instituce schopná není.
Po zpřísnění požadavků na kyberbezpečnost přibývá „obchodníků s hrnci“, kteří straší a pak fakturují.
Kdo na hackera přijde v takovém případě?
Pak je to práce pro zpravodajské služby, policii, pro nás. Sbíráme celou řadu informací z otevřených zdrojů, zpravodajské služby mají také svoje informace. Pravidelně se koordinujeme, sdělujeme si vzájemně relevantní poznatky. Čas od času se to potká a pak se zaměříme daným směrem o to víc. Výsledkem může být, že jsme schopni přisoudit útok konkrétnímu aktérovi.
Prozradíte, přes které instituce jste ruskou špionáž odhalili? Kde jste je načapali?
Ne, nezlobte se.
Od začátku války panovaly obavy, že se ruští hackeři zaměří na západní kritickou infrastrukturu. Že budou útočit na nemocnice, energetické firmy a budou se je snažit vyřadit z provozu, jako se to v minulosti stalo Benešovské nemocnici. Hrozí z Ruska i takové útoky?
Všude na světě jsou různé kyberkriminální skupiny, různé části hackerské komunity. Když se bavíme o DDoS útocích, jde o hacktivisty, když se bavíme o špionáži, nejčastěji za nimi stojí nějaký státem podporovaný aktér. Pokud jde o útoky na nemocnice v Benešově a v Brně, šlo o útoky typu ransomware. Nejčastěji, z 99 procent, jsou tyto útoky vedeny s cílem ekonomického zisku.
HACKEŘI CHTĚJÍ MÍT SPOKOJENÉ OBĚTI
Čili jde o „tradiční“ vydírání a od hackerů napojených na ruský stát takové útoky nehrozí?
Ano, ransomwarové útoky používají jiné skupiny. Zašifrují dané instituci infrastrukturu a výměnou za dešifrovací klíč požadují peníze. Sází na to, že napadenou instituci útok ochromí, a je tak šance, že zaplatí. Ale i tyto útoky se mění.
Jak?
Například zpočátku posílali dešifrovací klíče, které nefungovaly. I když instituce zaplatila, k datům se nedostala. To ale nebyl funkční „byznysmodel“, a tak se útočníci přizpůsobili, snaží se být „serióznější“ a dešifrovací klíče už fungují. Na druhou stranu přidávají další a další stupně vydírání. I když zaplatíte, chtějí další peníze – vyhrožují třeba tím, že získaná data zveřejní, případně že budou informovat zákazníky a obchodní partnery.
Působí takové skupiny i v Rusku, třeba bez vazby na stát nebo tamní tajné služby?
Jsou státy, kde se těmto skupinám daří, protože tam platí nepsané pravidlo: Když nejdete proti nám, necháme vás na pokoji. To je třeba případ Ruska, ale není zdaleka jediné.
Lukáš Kintr (35)
Vystudoval manažerskou informatiku a informační management na VUT v Brně. V roce 2015 nastoupil jako auditor kybernetické bezpečnosti do Národního centra kybernetické bezpečnosti, které spadá pod NÚKIB. Poté působil jako vedoucí oddělení kontroly. Od roku 2019 zastával funkci náměstka ředitele. Do čela úřadu nastoupil v roce 2022.
V době, kdy se staly ony útoky na nemocnice, mi váš předchůdce, dnes náčelník generálního štábu Karel Řehka, říkal, že NÚKIB bezpečnost nemocnic řeší, že je to pro úřad priorita. Jaké se od té doby udělaly pokroky?
Na konci roku 2019 padl Benešov, v březnu 2020 to byla Fakultní nemocnice v Brně a v covidovém roce následovala řada menších zdravotnických zařízení, která už neměla takovou mediální pozornost, ale pořád to byla velká nepříjemnost. V letech 2021 a 2022 jsme provedli audity v 16 největších nemocnicích, které měly jasný cíl: dát jim přehled, co z našeho pohledu není dobře, a jak to napravit. Z toho a z celé řady dalších aktivit měl vzejít v každé nemocnici dlouhodobější plán. V návaznosti na tyto audity jsme s odstupem udělali sektorové cvičení, tentokrát už pro 44 nemocnic, kde si na fiktivním případu mohly vyzkoušet, jak by se procesně dokázaly vypořádat s útokem. Instituce – a není to jen otázka nemocnic – na to nachystány nebyly. Snažili jsme se zdůraznit, aby – když už nic lepšího – alespoň sepsaly dvacet bodů, odkud by v případě útoku začaly, co je nejdůležitější, co méně. Aby v krizové chvíli nestrávily v lepším případě den nebo dva, v horším týden tím, že budou přemýšlet, odkud to klubíčko problémů rozplétat.
Nový zákon o kybernetické bezpečnosti rozšíří skupinu institucí pod regulací NÚKIB. Místo dnešních 400 jich bude šest tisíc.
Jak cvičení dopadlo?
To cvičení není hodnocené. Šlo spíš o to navést je správným směrem a ukázat, že to, co jim naši kolegové přednášeli, když jim ukázali slabá místa, nebyla jen nějaká formalita, kterou musí dělat kvůli spokojenosti regulátora, ale že to je reálně potřeba. Týmy za nemocnice jsme záměrně skládali napříč profesemi, byli tam zástupci lékařského personálu, vedení, IT, někdo z komunikace. Měly si simulovaně vyzkoušet tuto situaci, aby byly připravené, když na ni nedejbože dojde. Protože i když budete mít v technické rovině všechno dobře zajištěné, v nemocnici jsou to pořád stovky až tisíce lidí a vy nemůžete vědět, kdy bude někdo z nich mít slabší chvilku, klikne na nějaký odkaz a otevře tím útočníkovi dveře.
Jaká opatření nemocnice mohou udělat?
Zálohovat, zálohovat, zálohovat. A to odděleně od infrastruktury. Mít plán, aby v případě útoku všichni věděli, jaký krok bude první, kdo tomu bude velet. Lékařský personál musí provést prioritizaci obnovy, určit, které systémy jsou nejdůležitější. Aby IT vědělo, že má začít s obnovou například na JIP a postupovat až dejme tomu k zubní ambulanci. Důležitá je i komunikace navenek. Když k útoku dojde, začnou zvonit telefony, všichni se ptají, co se děje. Nemocnice pak může situaci zklidnit, a tím získat prostor na práci. Když to nezvládne, dostane se pod ještě větší tlak.
Kolik institucí spadá pod dohled NÚKIB a v jakém jsou stavu?
Regulujeme do 400 institucí. Jsou to pro stát ty nejdůležitější, navázané na kritickou infrastrukturu. Jde to napříč odvětvími – od odpadového hospodářství přes energetiku, bankovnictví, patří tam řada ministerstev, systémů na výplatu různých dávek, dopravní systémy, třeba na stavbu železniční cesty. Pak jsou to provozovatelé základní služby podle směrnice NIS1, kam patří třeba právě nemocnice, potravinářské nebo chemické společnosti. Obecně se úroveň zajištění kyberbezpečnosti zvyšuje, jen nevím, jestli dostatečně rychle, pokud budu mluvit plošně. Jsou sektory, kde to vnímají velmi intenzivně, za všechny zmíním bankovnictví, kde si subjekty uvědomují fatální dopady. Pokud jde o stát, tam bojujeme s nedostatkem investičních i provozních zdrojů, včetně lidí.
Pro nemocnice jsme dělali cvičení, během kterého si mohly simulovaně vyzkoušet situaci kybernetického útoku.
V přípravě je nový zákon o kybernetické bezpečnosti, co přinese nového?
Zákon vychází z evropské směrnice NIS2. Ta zásadně rozšiřuje okruh regulovaných subjektů. Po implementaci to bude šest tisíc místo stávajících 400 institucí.
SENIOŘI AŽ TAK ZRANITELNÍ NEJSOU
Nový zákon by byl téma na samostatný rozhovor. Ve stručnosti: pro firmy, které do toho „spadnou“, je to zásadní téma, za nedodržení povinností spojených s kybernetickou bezpečností jim hrozí vysoké pokuty. Jak jsou na to připravené?
Je to opět velmi individuální. Mnoho firem se o to aktivně zajímá, chodí nám od nich spousta dotazů, které jsou pro nás i zpětnou vazbou. Ale současně evidujeme, že kvůli nedostatku expertů na kybernetickou bezpečnost přibývá „obchodníků s hrnci“, kteří straší a pak fakturují. Firmám tvrdí, že jim zaručeně s implementací pomůžou, ale ve skutečnosti jim prodají velmi draze minimální objem služeb, který jim při kybernetickém útoku nepomůže. To není dobrá cesta a každá z firem by měla pečlivě zvažovat, koho si vybere. Když si není jistá, ať se raději zeptá. Rádi poradíme, jestli zrovna ta služba, kterou jim nabízejí, je správná.
Za nesplnění požadavků na kyberbezpečnost můžete udělovat pokuty. Kolik jste jich už rozdali?
Dlouho jsme fungovali v „metodickém“ módu. Zákon přišel v roce 2014, byli jsme jedni z prvních na světě, kdo takový zákon měl. Bylo to něco nového a neviděli jsme příliš smysl v tom, abychom instituce začali hned bombardovat pokutami. Dlouho se tak tedy nedělo. Na druhou stranu jsou to zhruba tři roky, kdy jsme pokuty začali ukládat, ale udělují se opravdu až jako poslední instance.
Co si pod tím představit?
Proběhne šetření, kontrola, na základě které odhalíme, že instituce nedělá v oblasti kyberbezpečnosti to, co má. Poté jim dáme přiměřenou lhůtu na nápravu. Ta může být klidně i roční, pokud jde o něco složitějšího. Teprve když tohle všechno instituce ignoruje, nastupuje správní řízení. V něm se bavíme, nakolik škodlivá aktivita to je a jak vysoká by měla být pokuta. Takže je to opravdu dlouhý proces s velkou setrvačností. Navíc třeba i po tom roce, když se instituce během správního řízení mobilizuje a snaží se věci napravit, je to polehčující okolnost a pokuta je buď nízká, nebo žádná, protože skutek pominul. Takže pokut nepadá mnoho, ale jsou.
Desítky, stovky?
Jsou to nižší desítky ročně. Potká to jen firmy, které ignorují naše závěry a nekomunikují.
Celou dobu mluvíme o firmách nebo veřejných institucích. Mnoha kybernetickým hrozbám ale čelí i běžní lidé. Které dnes považujete za největší?
Pro běžného člověka je největším ohrožením dneška sociální inženýrství a phishing ve všech podobách – ať už jsou to e‑maily, SMS zprávy, telefonáty, které se tváří jako informace z banky.
Snadnou kořistí jsou asi především starší lidé, kteří nemají s technologiemi moc zkušenosti, že?
Z policejních statistik vyplývá zajímavý fakt, že průměrná oběť je muž v produktivním věku, tuším 35 až 44 let.
To je trochu překvapivé, proč zrovna oni?
Souvisí to mimo jiné s tím, že jak pro tuto skupinu není pohyb v kyberprostoru nic nového, je to automatika, věnují online aktivitám menší pozornost. Navíc jsou lidé pod každodenním stresem, časovým tlakem. Takže se stává, že jim přijde nějaká zpráva nebo e‑mail, oni se to snaží rychle vyřešit na pozadí jiné aktivity, kliknou a průšvih je na světě.