Hlavní obsah

Bezpečnostní expert: Firmy už nás mají přečtené víc než stát

Právo, Oldřich Danda

Daniel Bagge je odborník na kybernetickou bezpečnost z Národního kybernetického úřadu. Podle něj lidé na sociálních sítích a internetu o sobě nechávají tolik citlivých informací, že z nich firmy umí udělat psychologický profil, a ten použít na cokoliv.

Foto: Oldřich Danda, Právo

Bezpečnostní expert Daniel Bagge

Článek

Hodně se mluví o hrozbách, které číhají na internetu. NATO zařadilo kyberprostor mezi zemi, vodu, vzduch a vesmír, tedy místa, kde lze válčit. Jak reálné jsou ty hrozby?

Konflikt, sice ne otevřený, v kyberprostoru probíhá už několik let. A NATO kyberprostor zařadilo mezi operační domény, aby vyslalo signál případným oponentům a také aby přimělo členské státy, aby se problému začaly věnovat a přizpůsobily své operační postupy.

Co se ale děje na síti tak hrozného, kromě toho, že vám mohou zloději vysát bankovní účet, že se tím musí zaobírat armády nebo tajné služby?

Všechny zbraňové systémy – stíhačky, tanky, ponorky, rakety – jsou už digitalizovány. I banální vydávání rozkazů se děje pomocí technologií, jako jsou digitální infrastruktura nebo satelitní telefony. A každý oponent se bude snažit zamezit, abyste technologie mohl využívat.

Vezměte si konflikt v Gruzii v roce 2008 – tam docházelo ze strany Ruska ke koordinaci standardních konvenčních jednotek a jednotek v kyberprostoru. Šlo o psychologické operace, ale i o zásahy do systémů řízení a velení, kdy se podařilo odříznout jednotky od jejich velení.

A nejde jen o odříznutí od komunikace. Už jsme se setkali s tím, že v některých konfliktních zónách došlo k podvržení komunikace. Velitelé po odříznutí kabelů museli používat mobilní síť, která byla kompromitovaná, a mysleli si, že vydávají povely svým vojákům, ale přitom je protistrana vlákala do léčky.

To je už součást vojenských operací a armádní strategie s tím musí počítat. Musí s tím počítat i státy, protože jejich oponenti se mohou zaměřit na infrastrukturu, rozvodny vody, elektřiny nebo čističky.

Velký útok zažilo Estonsko. Už se ví, kdo to udělal?

Bylo to v roce 2007 a podle otevřených zdrojů to směřovalo k patriotickým hackerům z Ruska. Můžeme si klást otázku, na kolik byli ovládáni silovými složkami. Ruská federace ale za tyto útoky odmítla odpovědnost. V Gruzii v roce 2008 víme, že za tím bylo Rusko. A to už otevřelo oči některým státům, že budoucnost vedení operací je v kombinaci použití konvenčních sil a kybernetického boje.

Armády si také musely začít své vojáky v kybernetickém prostoru chránit. Islámský stát si např. vyhledal informace na sociálních sítích na koaliční vojáky. Ty informace zveřejnil a čekal, zda nějaký osamělý vlk v USA nezaútočí na rodiny těch vojáků. To má velký morální dopad. Bez sociálních sítí by se nikdy nedostal k informacím, kde ti vojáci bydlí, zda mají ženu a děti.

Zneužívají teroristé hodně internet?

Hlavně k podpůrným aktivitám, jako je získávání finančních prostředků a rekrutů, šíření propagandy. Samozřejmě se snaží i o kybernetické útoky, např. Syrská elektronická armáda napadala významné twitterové účty, aby zasévala nejistotu a strach. Takový útok ve vhodnou chvíli může, ať se nám to líbí nebo ne, rozkolísat trhy a způsobit obchodní škody v miliónech či miliardách.

Tank na rozdíl od flash disku s nebezpečným virem do kapsy neschováte.

Dokážou pomocí internetu něco zničit?

Lze napsat kód a zavést ho do průmyslového řídicího systému a vyřadit např. turbínu. Ten kód může turbíně dávat příkazy, aby zpomalovala či zrychlovala až na únosnost životnosti, dokud se ta turbína nerozbije. Takový kód nezvládne napsat každý, na to je potřeba hodně peněz, času a znalostí. Ale může se stát, že takový kód uteče a potom ho může zneužít v podstatě kdokoli.

To je problém s kyberprostorem. Když máte tank, tak ho do kapsy neschováte, ale USB klíčenku nebo flash disk se škodlivým kódem ano, a navíc ji můžete zkopírovat, kolikrát chcete, a předat i lidem, kteří tomu nemusí vůbec rozumět. Stačí jim, že někam tu flashku zastrčí, a způsobí kompromitaci sítě či infrastruktury vedoucí ke kybernetickému útoku.

Pokoušel se někdo napadnout třeba elektrárnu?

Svého času nejznámější případ využití malwaru (škodlivý program) byl Stuxnet, který napadl íránské centrifugy na obohacování uranu v Natanzu (v roce 2009). Nicméně těch útoků je obrovské množství, i historicky. Například operace Farewell, Cuckoos Egg (v 80. letech). Ty dokreslují, jak dlouho tu rizika vyplývající z kyberprostoru s námi jsou. Z těch novějších asi ransomware (vyděračský program) Petya.

Příkladů pokusů o penetraci kritické infrastruktury je hodně, např. vodní elektrárny v USA, úspěšné napadení elektrické rozvodné sítě na Ukrajině, útoky na elektrárny v Evropě. Takže odpověď je ano.

Proč důležité technologie, jako jsou elektrárny nebo armádní velení, jsou připojené na internet, a tudíž jsou lehce zranitelné?

Dříve to tak nebylo, protože se ty systémy koncipovaly jako oddělené, ale jak se začaly osekávat náklady a zvyšovat efektivita, tak se začaly připojovat k internetu. Místo aby v případě produktových sítí tým techniků objížděl ropovod a kontroloval každý týden čidla na tlak a teplotu, tak se čidla připojila na internet. A vše je najednou jednodušší a lze to ovládat z jedné místnosti, ale to je velká chyba.

Avšak i když máte sítě oddělené, tak může být systém zranitelný. Je možné podplatit technika, který vloží do systému flešku s virem, nebo v tom podniku zaměstnáte svého člověka. Co se týče armádního velení a jeho připojení do sítě, tak jedním z hlavních faktorů při vedení vojenské operace je rychlost a schopnost reakce. Pokud nemáte potřebné informace a v odpovídající kvalitě a nejste schopni vydat rozkazy včas, jste nesmírně zranitelní.

Kdo chce dnes spáchat útok na síti, nemusí být matematik, stačí, když si stáhne aplikaci.

Kdy se začaly takové útoky používat?

Už v 70. nebo 80. letech, kdy docházelo k získávání informací zpravodajského charakteru, tedy hackování různých databází. Postupem se znalost potřebná k páchání kybernetických útoků šířila po internetu mezi stále větší počet lidí. Dnes jsme v situaci, kdy jsou technologie všude kolem nás, a nenajdete žádnou sofistikovanější lidskou činnost, která by neměla digitální podkres v kyberprostoru. Zkuste se například jeden den ráno v práci obejít bez věcí, které jsou závislé na elektřině. I proto jsou rozvodné sítě a elektrárny kritickou infrastrukturou a systémy, které řídí přenosy energie, kritickou informační infrastrukturou.

Když někdo chce spáchat útok, tak nepotřebuje znalosti matematika či fyzika, jako to u hackerů bývalo dřív, ale může si stáhnout nástroj, aniž by mu rozuměl.

Jaká nebezpečí číhají na síti na běžné lidi?

Rizik je hodně. V mailu jim může přijít škodlivý software, který zašifruje soubory v jejich počítači. To je kriminální aktivita, jejímž jediným cílem je vydírat, aby lidé zaplatili za to, aby se dostali zpět ke svým datům. Potom lidé nemusí být přímo obětí, ale mohou být postiženi kybernetickým incidentem, kdy jsou napadeny důležité služby, jako jsou banky, telefonní spojení či jiná kritická informační infrastruktura.

Dalším rizikem je, že lidé při svém pohybu na síti, v e-shopech, sociálních sítích o sobě zanechávají velkou spoustu informací. A ty použijí provozovatelé sítí k tomu, aby za služby, které lidem dávají zadarmo, něco měli. Například cílenou reklamou. Ta vzniká na základě důkladné analýzy našeho chování, při níž zjistí, např. co a jak dlouho čteme, komu posíláme jaké odkazy. Tím získají náš psychologický profil. A ty lze snadno zneužít, např. při volebních kampaních.

Nechápejte mě špatně, je to funkční ekonomický model, ale informace, které takto o sobě předáváme, jsou nesmírně citlivé a snadno zneužitelné. Stát toho o vás ví mnohem méně. Dnes lze koupit datasety konkrétních uživatelů a na ty mířit konkrétní kampaně, aniž by o tom věděli. A to je docela nebezpečné.

Jak si mám představit hackera a jaké jsou důvody, proč např. škodí?

Hackeři se dělí na různé skupiny, nelze je házet do jednoho pytle a dát jim automaticky nálepku zločinec, tak jak to někteří dělají. Někdy je v jejich chování kriminální zájem obohatit se, ale v jiných případech naopak chtějí pomoci. Zkoušejí se dostat do systémů a pak to zkoušejí spravit spoluprací se správci či autoritou odpovědnou za daný systém. Motivací může být hodně: zklamání ze společnosti, touha si něco dokázat nebo dokázat, že systém není tak nedobytný, jak výrobci říkají.

Je po hackerech poptávka i ve státní sféře?

Určitě. Samozřejmě, v tomto případě, pokud rozumíme hackerem jedince se specifickými znalostmi v oblasti penetračního testování, analýzy malwaru, forenzní analýzy a podobně. Hackeři ale nemusí nutně pracovat pro stát na plný úvazek. Mohou spolupracovat i na bázi dobrovolné spolupráce na tzv. bounty programech, kdy vyhledávají chyby programů za finanční odměnu.

České Vojenské zpravodajství buduje kybernetickou jednotku, která by měla mít schopnost i aktivně útočit. Jak jsou na tom jiné země?

Část států takové schopnosti má a už je používá, část si je buduje. To jsme si v Česku nevymysleli. To je nutné vybudovat, abychom mohli bránit kybernetický prostor podle potřeby. Zde bych chtěl upozornit na to, že také česká armáda připravuje své kybernetické velitelství.

Když přijde útok, tak zjišťujeme, jak se to stalo, jak se tam pachatelé dostali nebo jaké jsou škody.

Kolik útoků musí NÚKIB ročně řešit?

To je těžké určit, protože i to, co se může zdát jako útok, může být pouze selhání jednotlivce nebo špatné nastavení. Ale lze říci, že měsíčně jsou to desítky nahlášených útoků, ale z vlastních zdrojů i od mezinárodních spojenců víme o řadě útoků, o kterých oběti vůbec nevědí, a jsme to my, kdo jim oznamuje, že byli napadeni, a pak jim pomáháme.

Co vlastně kybernetický úřad dělá?

Co se týče kybernetické bezpečnosti, tak tu máme technický tým, který dělá prevenci a zlepšuje monitoring hrozeb v kyberprostoru, ale primárně slouží jako reakční síla na kybernetické útoky.

Je totiž hodně drahé, aby si každá instituce – banky, úřady nebo ministerstva, která jsou každou chvíli pod útokem – držela vlastní kybernetický tým. Proto je tu vládní kybernetický tým, tzv. CERT, který dělá servis pro všechny ochraňované instituce.

Když přijde útok, tak zjišťujeme, jak se to stalo, jak se tam pachatelé dostali nebo jaké jsou škody. Ty jim pomáháme opravit a zároveň pořádáme různé semináře a školení nejen pro státní úředníky, ale také vyučujeme na vysokých školách. Také tvoříme pravidla, jak se mají instituce chovat.

Druhá část úřadu je netechnická, tam se zabýváme požadavky na kritickou informační infrastrukturu, jak se mají konkrétní systémy chránit. Jde ale i o mezinárodní vztahy nebo různá cvičení, v rámci EU, NATO, ale i mezistátní, kdy je pořádáme pro naše spojence.

Sledujeme také různé trendy, jak se hrozby a technologie vyvíjejí, tak abychom byli v případě hrozby schopni včas reagovat. Kdybych to měl shrnout – chráníme kyberprostor, což je něco špatně hmatatelného, ale důsledky útoku mohou být pro bezpečnost státu a ekonomickou stabilitu katastrofální.

Hodně se mluví o tom, jak hackeři měli ovlivňovat americké volby. Jak jsme na tom my?

Po technické stránce jsme na tom lépe, společně s Českým statistickým úřadem a ministerstvem vnitra jsme zabezpečení našeho systému vylepšili. A také u nás není tolik možností útoků jako ve Spojených státech, nejen co se týče rozsahu voličů, ale i technického zabezpečení. My tu nemáme hlasovací stroje, ale házíme papírové lístky do uren a ty se teprve sčítají a převádějí do elektronické podoby.

Máte problémy shánět odborníky, jako všude jinde ve státní správě?

Máme velké štěstí, protože se nám podařilo nabrat hodně kvalitní lidi, ale česká akademická sféra takových lidí generuje málo.

Nejsme to jen my, kdo je potřebuje, ale jsou tu i zpravodajské služby, všechny úřady a instituce a samozřejmě komerční sféra, která v nabírání lidí nad státem vyhrává. Rekrutujeme hlavně na univerzitách, ale i v jiných institucích. Skvělé je, že se k nám hlásí docela hodně studentů, kteří studovali na špičkových zahraničních univerzitách.

Výběr článků

Načítám