Snad se titulek může zdát nadnesený, ale fakta jsou neúprosná. Neobejdeme se bez moderních technologií a kybernetičtí útočníci znají jejich slabiny. Nejedná se jen o čistě zlodějské gangy, ale znalci se v poslední době domnívají, že jde už i o státní terorismus. Není divu, že se o kybernetických útocích hovoří i na nejvyšší politické úrovni. Jestliže v minulých světových válkách byli lidi zabíjeni střelami, jedovatým plynem a bombami, dnes by stačilo z velké vzdálenosti proniknout do vládních, vojenských, zdravotnických či energetických sítí a způsobit obrovské ztráty na lidských životech i majetku.
Útok na Den nezávislosti Spojené státy americké byly v minulosti vystaveny kybernetickým útokům již mnohokrát, nejnovější atak je však zatím nejrozsáhlejší a nejagresivnější. Jeho načasování na letošní americký státní svátek Den nezávislosti naznačuje politické pozadí: „Nejste nezávislí, naopak, jste závislí na nás!“ Roli při stanovení termínu útoku hrál patrně také fakt, že letos připadl tento svátek na neděli, a to znamená, že byl automaticky přesunut na pondělí. V USA měli tedy prodloužený víkend. Obrana či náprava škod a vyšetřování jsou v takovém případě komplikovanější než jindy, protože lze jen obtížně svolat okamžitě na příslušná pracoviště všechny IT specialisty. Hackerský gang nejprve pronikl do hojně využívaného nástroje floridské firmy Kaseya, který slouží IT odborníkům ke správě serverů, desktopů a síťových zařízení. Nástroj s názvem VSA pak upravili a zároveň skrze něj spustili vlnu útoků typu ransomware na cíle, které jej využívají. Nový útok podle všeho zkombinoval dvě základní taktiky: použití vyděračského softwaru označovaného souhrnným termínem ransomware (ransom — výkupné) a útok na dodavatelský řetězec. Kaseya má asi 40 tisíc zákazníků. Nečekaný útok postihl tisíce obětí, menších i větších firem, nejen v USA, ale i v mnoha dalších zemích. Například švédský obchodní řetězec Coop musel uzavřít 800 prodejen, problémy zaznamenaly i švédské železnice a lékárny. Podle prvních zjištění je iniciátorem útoku zločinecké spolčení REvil, jež nyní požaduje výkupné 45 tisíc dolarů za každý paralyzovaný systém. Postižen je možná 1 milion počítačů. Pokud tyto údaje odpovídají pravdě, činilo by výkupné 45 miliard dolarů. Skupina na své stránce na darknetu uvedla, že pokud někdo chce univerzální klíč k odemčení napadeného zařízení, musí zaplatit 70 milionů dolarů a do hodiny by opět mohl získat přístup ke svým datům a sítím. REvil, také známý jako Sodinokibi nebo Pinchy Spider, už léta způsobuje milionové škody. FBI prý v současné době sleduje asi 100 takových skupin vyděračů, ale tato je nejagresivnější. Poprvé se objevili v dubnu 2019 a ukrývají se na neznámém místě. Někteří specialisté tajných služeb se domnívají, že operují z území Ruska, zemí bývalého SSSR nebo možná z bývalých sovětských satelitů, tzv. zemí socialistického tábora. Jedna z nejjasnějších indikací: malware při spuštění zkontroluje, zda bylo na infikovaném počítači vybráno jazykové nastavení pro tyto „spřátelené“ země. V takovém případě není počítač šifrován. Z toho vyšetřovatelé usuzují, že hackeři jako REvil jsou v těchto zemích ponecháváni v klidu, pokud neútočí na krajany. Množí se také názory, že jsou tyto gangy dokonce využívány ke zvláštním hackerským útokům s politickým záměrem. V této souvislosti si musíme připomenout, že v říjnu 2016 zadržela česká policie v Praze ruského hackera Nikulina na základě amerického zatykače a vydala ho do USA, i když český prezident Miloš Zeman byl proti tomu. Porota v San Francisku už loni v červenci uznala Nikulina vinným v devíti bodech obžaloby, podle nichž v roce 2012 napadl sociální sítě LinkedIn a Formspring a webové úložiště Dropbox. Podle obžaloby ukradl data z více než 117 milionů účtů.
Kdo kryje pachatele I když se v posledních dnech hodně diskutuje o Rusku, nezapomíná se ani na Čínu. Už prezident Barack Obama hovořil se svým čínským protějškem Si Ťin-pchingem opakovaně o kybernetické bezpečnosti, ale zřejmě málo důrazně, protože se útoky čínských hackerů na americké úřady a firmy opakovaly. Jeho nástupce Donald Trump byl razantnější a bránil americké zájmy různými cly. V jednu dobu se dokonce zdálo, že Čína pod tímto tlakem ustoupí a na některé dohody přistoupí. V roce 2019 si však čínští komunisté vyhodnotili, že Trump nebude prezidentem v dalším období a od jednání ustoupili. Spoléhají na úvahu, že současný prezident Joe Biden bude pravým opakem svého předchůdce. To ovšem může být mylný předpoklad, protože Biden si je vědom eskalace kybernetického ohrožení. Už v květnu vydal prezidentský výnos na posilnění národní bezpečnosti a jmenovitě na zvýšení ochrany před kybernetickými útoky. Americká administrativa je už od počátku roku pod silným tlakem IT veřejnosti. Dokladem toho je fakt, že se na prvním setkání Bidena s ruským prezidentem Vladimírem Putinem hovořilo právě o kybernetických útocích. Pochopitelně, protože letos na jaře zasáhly americkou energetickou síť hackerské útoky, o nichž se vyšetřovatelé domnívají, že byly vedeny z Ruska. Prezident Putin takové nařčení odmítá a poukazuje naopak na útoky vedené z amerického území. Podle zdrojů ze světa kybernetických bezpečnostních služeb je mezi útočníky zaměřenými na USA téměř jistě skupina APT29 [Advanced persistent threat — Pokročilá trvalá hrozba — pozn. red.] alias Cozy Bear [Plyšový medvěd, známá je ale také jako Office Monkeys, CozyCar, The Dukes, Cozy- Duke — pozn. red.], jednotka ruské zahraniční zpravodajské služby SVR [Служба Внешней Разведки — Služba vnější rozvědky — pozn. red.], která je plně zaměřena na pokročilou elektronickou inteligenci, tj. síťovou špionáž. APT29 je protějškem jednoho oddělení NSA [The National Security Agency — Národní bezpečnostní agentura USA — pozn. red.], respektive skupiny Equation Group, jak prozradil svého času Edward Snowden. Hackeři z NSA prý způsobili téměř kompletní internetový výpadek v Sýrii v roce 2012. Podle společnosti Kaspersky stojí Equation Group asi za 500 infekcemi počítačů ve finančním, energetickém, vládním i vojenském sektoru ve 42 zemích. Jedním z mála pozitivních impulsů vzešlých ze summitu v Ženevě je tak oznámení o přípravě pracovní skupiny, jejíž členové budou diskutovat o způsobech omezení kybernetických útoků. Biden předložil Putinovi seznam 16 cílů kritické infrastruktury Spojených států, které v případě, že budou hackery napadeny, vyvolají odvetu. Později na dotaz novinářů, zda má na mysli vojenskou odplatu, neodpověděl.
Jde o peníze a o moc Kybernetický útok na Colonial Pipeline letos v květnu získal celosvětovou pozornost, protože společnost zaplatila výkupné ve výši 4,4 milionu dolarů. Napadení IT sítě koncernu JBS, což je největší světová společnost na zpracování masa, pak bylo ještě dražší. Firma zaplatila 11 milionů dolarů. I když mnoho Američanů slyšelo o ransomwaru (kde někdo získá přístup k počítačovému systému a zašifruje ho, aby jej vlastník nemohl používat, dokud nezaplatí výkupné) poprvé, nešlo ani zdaleka o první případ. A odborníci na kybernetickou bezpečnost souhlasí, že to nebude ani poslední incident, pokud nebudou přijata preventivní opatření. Kybernetické útoky nezasahují jen velké společnosti s dobrým finančním zázemím. Zločinci, kteří se obvykle skrývají v zemích, jako je Rusko nebo Severní Korea, kde se nebojí vydání do USA, aby zaplatili za své zločiny, se zaměřili také na menší podniky, vládní subjekty, společnosti poskytující veřejné služby, školní obvody a operace zdravotní péče. Mnoho z nich má systémy obsahující citlivé informace. Podle profesora Eugena Spafforda z Purdue University v americkém státě Indiana, který se specializuje na zabezpečení počítačových sítí, počítačovou kriminalitu a etiku, vzniká každý den přibližně 100 případů ransomwaru, z nichž většina není hlášena. Průměrná výše výkupného v těchto případech činí 84 000 USD. Prof. Spafford uvedl, že zatímco požadavky na velké korporace, jako je Colonial Pipeline, jsou v milionech dolarů, průměrné výkupné pro menší podniky činí 50 000 až 60 000 amerických dolarů, ale jejich výše stoupá. Prof. Spafford také v rozhovoru s novináři uvedl, že skutečná ztráta pro společnost, vládní subjekt nebo organizaci může být 10krát až 20krát vyšší než částka výkupného, když vezmeme v úvahu prostoje, které se odhadují v průměru na 16 dní. A to by mohlo v konečném důsledku vést ke zvýšení daní anebo cen některých výrobků a pohonných hmot, což by ovlivnilo také průměrného člověka. Zatímco dlouhé fronty u čerpacích stanic po útoku ransomwaru na síť Colonial Pipeline byly způsobeny panikou a nikoli nedostatkem benzinu, mohly by útoky na elektrické sítě, systémy zdravotní péče, železnice, leteckou dopravu, federální vládu a další kritické oblasti mít tragické následky.
Situace u nás V souladu s celosvětovým trendem byla kybernetická kriminalita v loňském roce na vzestupu také u nás. Národní centrála proti organizovanému zločinu (NCOZ) zaznamenala v porovnání s rokem 2019 nárůst kybernetických útoků téměř o 25 %. Pachatelé útoků na počítačové systémy zaměřili pozornost na zdravotnictví a několikrát napadli nemocniční zařízení, uvedla centrála ve své výroční zprávě. Zatímco do konce předloňského srpna se pachatelé dopustili 5 080 kybernetických činů, do konce loňského srpna jich bylo 5 600. Pachatelé sofistikovaných hackerských útoků na nemocnice postupují kombinovaně: v první fázi napadnou počítačový systém, ve druhé ho zašifrují. Při následném požadavku na výkupné téměř výhradně požadují provedení platby v kryptoměně bitcoin. U organizovaných skupin lze podle NCOZ určitý podíl trestné činnosti přičíst i tzv. státním aktérům. „Motivace skupin organizovaného zločinu spojených se státem je obvykle jiná než kriminální zisk. Většinou se jedná o špionáž nebo průnik do systémů kritické informační infrastruktury,“ připomněla policie. Nejtypičtějším prošetřovaným případem kybernetických útoků nicméně zůstává počínání pachatele, který překoná zabezpečení počítačového systému a získá přístup k údajům oběti, s nimiž může dál libovolně nakládat. Útočníci čím dál častěji napadají e-mailové účty, účty na sociálních sítích či účty internetového bankovnictví. Další formou trestné činnosti je tzv. sniffing, kdy pachatel zachytává komunikaci v síti, a získává tak citlivé údaje. Děje se to často na nezabezpečených bezdrátových připojeních, na zmanipulovaných e-mailových serverech a poslední dobou také napadením domácích routerů. Pachatelé se pak dostávají k citlivým údajům, jako jsou hesla, platební údaje či osobní, případně intimní obsah, kterých využívají k nátlaku na oběť.
Klíčové trendy roku 2021 Kybernetické útoky jsou zahaleny mnoha tajemstvími, technickými i politickými, takže bezpečnostní průmysl se musí řídit heuristickým modelem. To znamená, že vychází z poučeného odhadu, řídí se zkušenostmi, intuicí, a dokonce využívá napravené hackery, kteří z různých důvodů přešli z kybernetického podsvětí na stranu spravedlnosti. Odborníci specializovaní na ochranu před kybernetickými útoky vystopovali tři klíčové trendy pro letošní rok: za prvé se rozšiřuje oblast kybernetických útoků vzhledem k práci na dálku a výrazně vyššímu využívání dodavatelského řetězce. Za druhé se ransomware profiluje jako kybernetická zbraň a konečně třetím aspektem je ohrožení kritické infrastruktury. Softwarové firmy odhadují, že do roku 2025 si bude svět ukládat 200 zettabytů dat [1 zettabajt = 1021 bajtů — pozn. red.]! Toto číslo zahrnuje data uložená na soukromé a veřejné IT infrastruktuře, na infrastrukturách služeb, v soukromých a veřejných cloudových datových centrech, na osobních výpočetních zařízeních. Tato informační expanze se stala součástí digitální transformace veřejného i soukromého života a stále více lidí pracuje tzv. přes internet. Navíc covid-19 dále urychlil přemístění jednotlivce z kanceláře na distanční práce z domova. Tak vznikly miliony propojených kanceláří. Odhaduje se, že téměř polovina pracovních sil v USA pracuje z domova a že v mnoha zemích je tento poměr ještě větší. Domácí kanceláře nejsou tak chráněné jako opevněné kancelářské weby, které mají bezpečnější brány firewall. Vzdálená práce vytvořila hackerům nové příležitosti k zneužití zranitelných zařízení a sítí zaměstnanců. Realita internetu věcí také zcela změnila dynamiku a velikost rozšiřujícího se záběru kybernetického útoku. S odhadem 50 miliardami připojených zařízení a biliony senzorů pracujících mezi těmito zařízeními mají hackeři spoustu možností, jak narušit kybernetickou obranu a infiltrovat data. Do roku 2025 se očekává, že na světě bude více než 30 miliard připojení IoT, v průměru téměř čtyři zařízení IoT na osobu, a to také představuje biliony senzorů integrovaných do těchto zařízení. Podle The McKinsey Global Institute se k internetu připojuje každou sekundu 127 nových zařízení.
Technologiemi proti kybernetickým útokům Digitální ekonomika a fenomén internetu věcí mění bitevní pole s kyberzločinci. Softwarové firmy stále hledají nová řešení a jedním z atraktivních přístupů je integrace bezpečnostní technologie přímo do síťové infrastruktury. Díky této filozofii lze ochránit celou síť od datových center po koncové body, od pobočky po cloud. Integrace bezpečnostních technologií do samotné infrastruktury umožní zajistit kontrolu a nepřetržitý přehled o rizicích a hrozbách ve všech částech sítě. Pomocí nových senzorů, většího počtu kontrolních bodů a ochrany proti pokročilým hrozbám zvládnou tyto technologie zkrátit dobu potřebnou k odhalení a eliminaci útoku a minimalizovat tak případné škody. Tím, že se samotná infrastruktura stává bezpečnostním senzorem, lze efektivněji zajistit ochranu před kybernetickým útokem, během něj i po něm. Tak lze chránit jak samotnou síť, tak jednotlivá připojená zařízení či části sítě. Předpokládá se, že trh kybernetické bezpečnosti dosáhne do roku 2027 hodnoty 403 miliard USD. Zajistit bezpečnost sítě jen pomocí tradičních zařízení na vstupních bodech je dnes prakticky nemožné. Při rostoucím počtu připojených mobilních zařízení totiž nelze tyto body identifikovat. Integrace bezpečnostních technologií přímo do síťové infrastruktury v podstatě promění síť v bezpečnostní senzor. Díky tomu je možné identifikovat i pokročilé hrozby v mnohem kratším čase a zabránit tak dalším škodám. Koncept sítě jako senzoru zahrnuje několik bezpečnostních technologií pro síťovou infrastrukturu, které zajišťují neustálou viditelnost a schopnost rychlé identifikace uživatelů a zařízení spojených s anomáliemi, hrozbami a zneužíváním sítě a aplikací. Čelit kybernetické kriminalitě musejí rozvíjející se technologie umělé inteligence a strojového učení, které také mohou zajistit efektivnější rozhodování a rychlejší řešení hrozeb, zejména ve větších sítích s mnoha uživateli a proměnnými. Mohou pomoci zajistit prediktivní analýzu. Ochranu tedy může zajistit jen inteligence, lidská i umělá. Ale bohužel, kybernetické podsvětí to ví také. /Karel Sedláček/
