Kyberzločin v době pandemie

Svět bojuje s nákazou, kterou umíme detekovat lékařskými testy. A v jejím stínu se šíří jiná nákaza. Kyberútoky.

“Jsou neviditelné, o většině z nich se sotva dozvíme, že proběhly. A pokud, tak netušíme, kdo je vedl, k čemu sloužily. A stejně jako s koronavirem, který jen tak nezmizí, i s kybernákazou se budeme muset naučit žít. Svět internetu, který nám během domácí izolace tolik usnadnil život, je totiž stejně rizikový jako svět venku,” píše pro Neovlivní.cz Patrick Zandl.

Bylo to vlastně vtipné video a odesilatele Vladimír znal. No, zase tak vtipné nebylo, a až po jeho zhlédnutí si Vladimír všiml, že se jménem odesilatele není všechno v pořádku. Kamarád Jirka, co si pamatoval, neposílal e-maily tak, aby poštovní klient zobrazoval jen zkratku křestního jména. Ale nebylo to důležité. Ostatně, kdyby něco, varoval by jej antivir, nebo by problém vyřešil firewall. Je tak osvobozující používat moderní technologie, na které je takové spolehnutí a které vyřeší tolik problémů za vás.

V tu chvíli se trojský kůň sítí nemocnice začínal nepozorovatelně šířit. Antivirový program jej neznal, a tak nevyhlásil poplach. Firewall si jej nevšiml, protože se trojský kůň nepokoušel komunikovat navenek, a později, až se trojan v síti zabydlí, si už otevře zadní vrátka, na které bude firewall krátký.

O dva dny později už byla síť dostatečně promořená a zkolabovala. Trojan umožnil rozsáhlý a nekontrolovaný přístup k datům a zároveň vyřadil nemocnici z činnosti. Nešlo ukládat rentgenové snímky, nešlo se podívat na rozpisy operací, ani do záznamů pacientů. Co nebylo na papíře, nebylo přístupné, použitelné. Potrvá mnoho dní, než se specializované firmě podaří provoz sítě obnovit. A rozsah úniku dat – ten se nikdy nepodaří zjistit, takže se prohlásí za neprůkazný. Nikdy se nepodaří zjistit motiv útoku, ani to, jestli za to mohl Vladimír.

Ten neudělal vlastně nic špatně, jen se spolehl na technologie, které nejsou dokonalé, a nechal se obelstít. Mudrlanti možná budou později zdůrazňovat, že se neměl na počítači v nemocniční síti dívat na vtipná videa. Jenže po pravdě řečeno trojský kůň mohl připutovat ve videonávodu k medicínské technice. Nebo v úplně jiném souboru.

Kyberútoky jsou jako nákaza. Musíme se s nimi naučit žít, což představuje změnu přístupu. Uvědomění si, že internet je stejně rizikový svět jako jakékoliv jiné části světa, ale navrch v něm neexistují ustálená pravidla a instituce, které jej dělají pro lidi přehlednější, a pohyb v něm nemáme tak zažitý jako třeba v silničním provozu.

Je příběh Vladimíra a nejmenované nemocnice příběhem fiktivním? To se nikdy nedozvíte, což je v nejlepším duchu tradic kyberútoků. O většině z nich se nedozvíte ani to, že proběhly, ani to, kdo je vedl a k čemu sloužily. Většina z nich také nedopadne úspěchem, anebo není jasné, zda výsledkem je úspěch. Série kyberútoků vůči českým nemocnicím z doby posledního půl roku se sice novinářsky označuje za sérii, ale není vůbec jasné, zda útoky spolu souvisely, měly jeden cíl a jaký ten cíl vůbec byl. Zachycené digitální stopy sice vedou k ruským hackerům, jenže na ně je snadné shodit všechno. A kromě toho je snadné si je najmout, nebo koupit jejich nástroje. O skutečných motivech nevíme nic, alespoň ne veřejnost. Nebyla zveřejněna žádná žádost o „výpalné”, která by všemu dávala jasně čitelný rámec.

Kyberútoky a pandemie

Proč kyberútoků přibývá v poslední době a souvisí to nějak s krizovou situací kolem covid-19? Jistě že souvisí. Každá krize je příležitost a v době, kdy IT oddělení velkých firem pracují z domova či za nejrůzněji rozvolněných podmínek, jsou příznivější možnosti provést úspěšný kyberútok. Ostražitost totiž polevuje. To za prvé. Za druhé existuje společný sociální jmenovatel, jímž je pandemie. Model úspěšného kyberútoku je totiž už mnoho let stále stejný: donutit patřičného uživatele, aby dobrovolně něco provedl. Oklamat jej. Donutit jej otevřít soubor, ze kterého se díky chybě systému může provést škodlivý kód.

Jeden příklad za všechny: červ Stuxnet, který byl identifikován v roce 2010. Ten se nevinně šířil přes přenosné USB flashdisky. A nijak se neprojevoval, jen se šířil a zůstával nepozorován až do doby, kdy se jím infikovaný USB disk objevil ve vnitřní síti íránského závodu na obohacování uranu v Natnazu. Tehdy se aktivoval a napadl centrifugy obohacující uran, z nichž nemalou část poškodil. Trvalo rok a půl, než se podařilo útok identifikovat. Připsat jej izraelské armádní jednotce 8200 – to je spíše domněnka než potvrzená informace, jak to tak u kyberútoků bývá.

Kyberútoky už dávno nejsou válkou chudých

Kyberútoky se kdysi označovaly za moderní partyzánskou válku, za válku chudých. Když nemůžete proti moderním stíhačkám nasadit vlastní moderní stíhačky, rozhodně vám pomůže, když se vám podaří shodit elektronický logistický systém protivníka. Dostat dnes stíhačku do vzduchu neznamená jen natankovat ji palivem a vyzbrojit ji, znamená to také vyplnit řadu tabulek a aktualizovat elektronické dispozice. A tak je to v moderních armádách se vším. I proto hackerské skupiny vznikly především v zemích trpících pocitem ohrožení, jakými jsou Rusko, Čína, Írán nebo Turecko. A během let se etablovaly v součást vojenské mašinérie, které si protivník teprve začal se zpožděním všímat a reagovat na něj.

První hackerské skupiny byly dobrovolnické a zájmové aktivity. Řada „ajťáků” chápe nalezení bezpečnostních chyb jako intelektuální výzvu, kterou lze zpeněžit poskytováním bezpečnostních služeb. Vzkazy typu „byli jsme zde” na serverech státních institucí z přelomu tisíciletí vystřídaly krádeže dat a úniky informací. To když si tyto zájmové skupinky našly své zákazníky v šedé zóně.

Příkladem může být ruská hackerská skupina Fancy Bear. Vědět o sobě dala v roce 2008 masivním útokem na Gruzii v rámci přípravy ruské invaze do Jižní Osetie, tehdy ale ještě zůstávala skrytá a anonymní. Ve známost vešla v roce 2014, kdy jí firma Trend Micro připsala autorství právě odhaleného škodlivého softwaru Sofocy. Bývá označován šachovým termínem Záložní bouře, kdy po jednom útoku okamžitě přichází další a jejich vzájemná kombinace protivníka zmate a znemožní mu soustředěnou obranu. V dalších letech stála Fancy Bear za útoky na novináře, ale i za útoky na německý parlament v roce 2014. Pro nás je podstatné, že Sofocy bylo použito i při útoku na servery ministerstva zahraničních věcí v roce 2016, mimochodem úspěšně. Došlo k dlouhodobé kompromitaci e-mailových schránek, pravděpodobně i dokumentačních úložišť, a tento útok se stal největším a nakonec nejnepochopenějším českým kyberskandálem. Přes závažnost situace, kdy se nepodařilo přesvědčivě objasnit, k jak rozsáhlému průniku došlo, a přes to, že ministerstvo mnoho měsíců situaci neřešilo adekvátně, záležitost vyšuměla napsáním několika malých novinových článků. Útok se navíc vloni zopakoval.

Dnes panuje přesvědčení, že skupina Fancy Bear představuje dvě oddělení ruské vojenské zpravodajské služby GRU, a tedy je přímo financována ruskou vládou. Ale s ohledem na to, jak je obtížné prokázat původ útoku i jeho oficiální vládní posvěcení, je vlastně kyberútok „bezpečným” způsobem rozšiřování vlivu. Zpravidla nehrozí, že by po něm následoval útok bombardérů, pravděpodobný je jen pokus o digitální odvetu. Jenže Rusko má náskok.

To napovídá, proč je Rusko v dnešním světě asymetrických válečných konfliktů v kyberkriminalitě tak aktivní. Ale proč je tak dobré?

Za jedno z vysvětlení bývá považována tradice polytechnického vzdělávání zavedená za Stalinovy éry. Díky tomu má Rusko přístup k technicky vzdělaným mladým lidem, které putinovské Rusko jako vlastence verbuje do hackerských týmů, nebo neformálně existujícím skupinám poskytuje veškerou podporu. A samozřejmě využívá jejich služeb. Podobně se rekrutují hackerské skupiny v Číně, v Severní Koreji či třeba v Íránu.

Obrana

Obrana proti kybernetickým hrozbám vyžaduje především koordinaci a důslednost, protože hackeři se snaží vždy napadat nejslabší článek řetězu. Je důležité vytvořit, a především dodržovat zásady a také určitou míru porozumění mechanismu fungování internetu tak, aby uživatelé nebezpečné věci prostě nedělali, nebo aby je podstupovali se zvýšenou opatrností. Přirovnejme to k bezpečnostním zásadám v elektrice: všichni víme, že vidlička se do zásuvky nestrká. Pokud je k tomu dobrý důvod, lze ji tam ovšem strčit za dodržení určitých pravidel, například shození jističe zásuvky. Důsledná aktualizace všech systémů připojených do internetu a prověrka těch, které připojené nejsou, jsou základem bezpečnosti. Bohužel také dosti nákladnou, protože častá aktualizace systémů je drahá. Vyžaduje hodiny testování a často nemůže proběhnout jednoduše. Provádět takové stresové aktualizace co měsíc je pro řadu firem nemožné, a tak to také nedělají. Někdy se to projeví. A někdy i nečekaně.

Například americké ministerstvo práce má v souvislosti s pandemií covid-19 zajímavý problém. Většina jeho systémů je ještě vytvořena v prastarém jazyce COBOL a dosud nebyla přepracována. Na běžnou agendu to postačuje, ale plošné urychlené vyplácení zvláštních dávek, natož prudce rostoucí agendu nezaměstnaných systém nezvládá zpracovat a kolabuje. Roste tedy poptávka po lidech, kteří umí programovat v jazyce, který se aktivně používal před čtyřiceti lety.

Důležitá je mezinárodní koordinace, předávání zkušeností, zejména v rámci EU a NATO. Česko by si samo nemohlo dovolit veškerý potřebný výzkum, ale může přebírat poznatky partnerů. Koordinátorem takových aktivit má být Národní úřad pro kybernetickou bezpečnost (NUKIB), jenž byl delší dobu ve stavu sebedestrukce a který snad s právě jmenovaným novým šéfem chytne druhý dech.

A do třetice je důležité, aby patřičně zkoordinované a erudované instituce měly dostatečný respekt či „mandát”. Tedy aby se při dalším hacku serverů státních institucí znovu nestalo, že nejsou akceptovány bezpečnostní pokyny, protože si je NUKIB nemůže na ministerstvu vynutit. Aby se požadavek na zajištění digitální bezpečnosti stal mantrou, něčím trvale přítomným při tvorbě a údržbě všech digitálních systémů.

Autor je publicista, internetový podnikatel a zastupitel Pirátů v Brandýse nad Labem

Zdroj náhledové foto:Shutterstock.com