Hackeři jsou stále o krok před experty na kybernetickou bezpečnost?

Je to pro ně byznys. Jsou placení jedině za nabourání organizace či firmy. Získávají tím nemalé výkupné. Navíc obránci musí znát všechno, zatímco útočníkům stačí znát jednu díru. Nezkouší hledat všechno. Vědí, že v konkrétním softwaru je určitá chyba, takže se podívají, kde všude na světě používají stejný software. Vidí, že určité firmy tam mají chybu a přesně ví, jak ji využít. Vyvíjí poměrně malé úsilí k nabourání, zatímco obránci musí znát každý šroubek své sítě.

Může hackerský útok na nemocnici souviset se současnou situací týkající se koronaviru?

Mohu jenom spekulovat. Nyní se šíří hodně phishingových emailů, které se ho týkají. Lidi se bojí, čtou všechny příchozí zprávy týkající se koronaviru. Třeba víc zariskují, když jim přijde email,ve kterém se píše o informacích, které by měli znát, a že více informací najdou v příloze. Hlad po informacích je takový, že se lidé chovají méně opatrně než běžně jindy.

Jak mohli pocítit hackerský útok pacienti nemocnice?

Nemohla je obsloužit a léčit. Nemocnice potřebuje systémy k tomu, aby si oddělení mezi sebou mohla předávat a vyměňovat data. Když nemohou, vrací se do doby, kdy tam počítače neměli.

Někteří odborníci na kyberbezpečnost spekulují, že útočníci použili takzvaný ransomware. O jaký program se jedná?

Tento hackery vyvinutý software slouží k tomu, že vezme data na disku a zašifruje je na něm. Data na disku pořád jsou, ale zašifrovaná. K jejich otevření je potřeba znát klíč. Tím je většinou směsice znaků. Oni klíč mají, ale organizace ho nemají a zaplatí jim tak za program s klíčem, který data odšifruje a znovu zpřístupní.

Jak ransomware dostanou k uživatelům sítě či systému?

Pošlou ho uživatelům emailem s tím, že se jim snaží vysvětlit, že je to třeba hra. Donutí je, aby si ho otevřeli. Po otevření se program spustí a začne data šifrovat na počítači. Nebo program útočníci do sítě sami nakopírují a pustí ho, když se do ní dostanou. Ransomware má stejnou koncovku jako software a hardware. Ransom znamená výkupné. Útočníci chtějí vždy výkupné, je to pro ně práce, na kterou se musí připravovat a odpracovat ji, takže jim zabere hodiny síť znepřístupnit.

Odehrál se podle vás páteční útok na nemocnici tímto způsobem?

Spekuluje se o tom. Ransomware se nyní pořád řeší. Nemyslím si, že by to udělal někdo s úmyslem síť pouze zničit. To je zbytečné. Proč by to dělal, když si za to může vzít peníze. Za dobu našeho působení jsme se s jedinou výjimkou nesetkali s tím, že by data někdo ničil. Vždy je to otázka výkupného.

Případem se zabývají kromě specialistů z Národního úřadu pro kybernetickou a informační bezpečnost i kriminalisté z Národní centrály proti organizovanému zločinu. Mohou pachatele vůbec vypátrat?

Bude to vyžadovat přeshraniční spolupráci. Hackerské skupiny, které takové útoky provádí, je dělají roky a získaly za ně už mnoho peněz. Škodily nejenom v České republice, ale všude možně po světě. Kdyby to bylo jednoduché, dávno už by je vypátrali. Myslím si, že jejich vypátrání je spíše nepravděpodobné. Napadají třeba i Američany, kteří mají i větší rozpočty na kybernetickou bezpečnost a obecně by tak měli incidenty zvládat lépe a mít lepší prostředky k potírání kyberzločinců, ale ani u nich se to neděje.

Jedná se o ojedinělý útok na nemocniční zařízení?

Kromě tohoto útoku byl nedávno medializovaný útok na benešovskou nemocnici. Ve světě se ví o dalších útocích, které se běžně odehrály. Pokud se ptáte, jestli existují informace, že došlo i k dalším útokům, neoficiálně ano.

Často se mluví o tom, že veřejné instituce včetně nemocnic jsou snadným cílem útočníků.

Jedná se o velké organizace. Je těžké uhlídat tisíce lidí a tisíce počítačů, že je u nich všechno dobře nastavené. Vyžaduje to hodně úsilí, pečlivosti, času, peněz a hlavně znalostí. Odborníků na IT je obecně málo, na počítačovou bezpečnost ještě méně, ale institucí, které ji potřebují, je mnoho. Všichni dělají, co jde, a problémem také je, že bezpečnost není vidět. U emailů poznáte, zda funguje, ale to ještě neznamená, že je dobře zabezpečený. Lidí, co rozumí bezpečnosti, je málo.

Je tedy počítačová bezpečnost podceňovanou oblast?

Je složitá. Všichni se snaží a dělají, co mohou, ale každý rok se mění. Nové technologie, informace, třeba takové, co byli minulý rok považované za bezpečné, už nyní nejsou.

Jak instituce nebo firmy poznají, že hackeři zaútočili na jejich systém?

Útoky za účelem výkupného jsou o tom, že útočníci znepřístupní službu nebo data. Firmy ho poznají podle toho, že jim uživatelé volají, že nejde systém. Připojí se do sítě a najednou zjistí, že data jsou v jiném než původním formátu nebo není aplikace dostupná. Někdy se útok poznává špatně a přijdou na něj až tak, že se náhodou objeví anomálie nebo firemní experti na bezpečnost najednou zjistí, že se v síti objevuje něco, co by tam být nemělo. Ale to není úplně jednoduché, protože tyto útoky podle jedné studie zahrnující Evropu a Afriku dohromady trvá 170 dnů, než se zjistí, že byla síť kompromitovaná.

Co při své obraně v takovém případě musí podniknout?

Ve chvíli odhalení napadení je už většinou pozdě, protože útočníci už v síti byli určitou dobu. Útočník se dostane nejprve do sítě, která je pro něj novým územím. Musí ji nejdřív zmapovat, co v ní je za počítače, servery, systémy, a zanalyzovat je. Potom se snaží dostat v síti co nejdál, aby našli zálohy firmy. Jejich cílem je zálohy smazat, potom povypínat systémy tak, aby se mohli dostat na všechny data. V tu chvíli začnou data šifrovat.

Proč se snaží odstranit zálohy k datům?

Když zašifrují data a nechají jen zálohy, firmy se samy obnoví a nezaplatí jim. Zničí proto zálohy, potom vypnou systémy, což je kritická část. Data jsou otevřená v systémech a v takovém případě je nemohou šifrovat. Systémy proto vypnou a šifrují data. Jakmile ale vypnou systémy, organizace začíná mít informace o problému, protože najednou nefunguje třeba e-mail, informační systémy nebo účetnictví.

Pro útočníky je tedy klíčové smazat zálohy, aby mohli zařízení vydírat?

Ano, pokud vás nepřipraví o zálohy, tak jste schopný si je obnovit, aniž byste musel platit. Ale představte si firmu, která něco dělá, a jednoho dne přijde o všechny data. Je to pro obrovská ztráta. Buď je to pro ni likvidační, nebo to bude stát strašně moc peněz. Útočník přijde a řekne, dáte mi tolik peněz a to je výhodnější, je to tak pětina toho, co by vás stálo pořídit si data znovu. Já vám je tedy vrátím. Některé firmy zaplatí třeba i tehdy, když mají zálohy, protože zjistí, že je mají špatně udělané, jsou staré, částečné nebo by jejich obnovování trvalo týdny. Ve firmě si řeknou, že když jim vrátí data, tak znovu budou fungovat třeba za pět hodin. Pokud ale zaplatí, přispějí k tomu, že tento byznys pojede dál.

Útočníci se vždy snaží smazat zálohy nebo škodí i jinak?

Jako útočník nemusíte najít všechny zálohy nebo se ke všem nemusíte dostat, protože je má třeba někdo na externím disku v šuplíku, který tak nemůžete smazat. Firmy je tedy obnoví a útočníkům nezaplatí, jenže ti už do zašifrování investovali veškeré úsilí a potřebují dostat peníze. Začali tak stahovat ze sítě část dat k sobě a firmám říkají, že po zaplacení jim data vrátí a když nezaplatí, tak jim data nevrátí a navíc je zveřejní. Pro firmy je to další problém, protože když má někdo jejich data, tak už úniku nezabrání a nedostanou je z nich. Věří tomu, že když jim zaplatí, smažou je.

Pro firmy je tedy výhodnější zaplatit, za to ale nemají jistotu, že data útočníci vymažou.

Firmy jsou oběť a jistotu nemají. Spojí se s útočníky, kteří jim řeknou, že za tolik bitcoinů nebo jiné kryptoměny jim pošlou program. Firma pošle peníze a v tu chvíli je na útočnících, jestli jí program na dešifrování dat pošlou. V zájmu útočníků je, aby jejich byznys fungoval. Pokud ho nikomu nepošlou, tak si firmy řeknou, že to nefunguje. Nikdo už jim proto nebude platit, což ale útočníci nechtějí. Oni firmám někdy i pomohou a pokusí se pomoct data dešifrovat.