Hlavní obsah

Expert: Viníka hackerských útoků na ŘSD se nemusí podařit dostat k soudu

Kyberútočníka, který paralyzoval Ředitelství silnic a dálnic (ŘSD) a odstavil interní systémy včetně účetnictví, se nemusí nikdy podařit dostat k soudu. Zaplacení výkupného ve výši několika desítek milionů korun ztěžuje fakt, že jde o státní subjekt. Právu to řekl Tomáš Plesník, vedoucí kyberbezpečnostního týmu Masarykovy univerzity.

Foto: Kacper Pempel, Reuters

Ilustrační foto

Článek

Jak fungují ransomware útoky, kterým aktuálně čelí ŘSD?

Ransomware je specifický typ malwaru (škodlivého programu, pozn. red.). Pokud je doručen na danou stanici, ať mailem, nebo jej někdo přinese na flashce, po jeho aktivaci dojde k jeho šíření a šifrování dat na disku. Je těžké dopředu odhadnout, kam až se dokáže dostat. Slovo ransom, tedy výkupné, je totiž následná akce – v momentě zašifrování jsou po oběti požadovány peníze.

Může jít tedy o byznys zkušených hackerů, kteří dokážou zamknout data?

Zde se dostáváme k podstatě věci. Ze začátku se jednalo o lehčí byznys – za zaplacení menšího výkupného dostala oběť dešifrovací klíč a pomocí něj všechna data odemkla. Problém nastal, když se do tohoto podnikání dostali tací, kteří po zaplacení peněz ani nedodali tento klíč.

ŘSD: Výkupné hackerovi nezaplatíme

Ekonomika

Organizace proto nechtěly nic zaplatit a data si obnovily ze záloh. Útočník na to pak našel řešení a začal se do ukradených dat dívat, zpracovávat citlivé informace a vyhrožovat jejich uveřejněním. Někdo se tak mohl dostat k know-how, patentům, duševnímu vlastnictví, smlouvám.

Ředitelství silnic a dálnic má v tomto velký problém. Jde o veřejnou instituci, disponuje státními penězi

Šéf ŘSD Radek Mátl pro Hospodářské noviny naznačil, že výše výkupného sahá k několika desítkám milionů korun. Je to vysoká částka v porovnání s útoky podobného rozsahu?

Buďme rádi, že ty desítky milionů jsou jen v korunách. Evropská agentura pro bezpečnost sítí a informací (ENISA) tyto výše požadavků na výkupné sleduje. Zatímco v roce 2019 činil nejvyšší požadavek 13 milionů eur, v roce 2021 už to bylo 62 milionů eur. Mají zmapované i průměrné výše požadavků na výkupné – v roce 2019 to bylo kolem 71 tisíc eur, o rok později se částka zdvojnásobila na 150 tisíc eur.

Jsou rizika takového útoku u státního subjektu v něčem principiálně odlišná, závažnější – ve srovnání se soukromou firmou?

Ředitelství silnic a dálnic má v tomto velký problém. Jde o veřejnou instituci, majetek jí tedy byl pouze svěřen do správy, a disponuje státními penězi, tedy penězi daňových poplatníků, kteří by to museli uhradit. Navíc s vidinou rizika, že dešifrovací klíč třeba vůbec nemusí dostat. Soukromá firma dokáže snáze vyčíslit škody a posoudit, zda se jí to vyplatí s ohledem na rizika.

Jaké podobné případy vydírání státních subjektů se v minulosti odehrály v Česku?

Třeba benešovskou nemocnici vyšly náklady na obnovu všech dat na 59 milionů korun. Fakultní nemocnice Brno, která všechno obnovovala měsíce po útoku ransomwarem, měla na to náklady přes 150 milionů korun.

NÚKIB: Počet kybernetických incidentů se po rušném dubnu vrátil k průměru

Bezpečnost

Doporučil byste tu částku zaplatit?

Je to o krizovém řízení – někdo musí situaci vyhodnotit a dát rozhodnutí, přičemž musí vědět, jestli to dokáže obhájit, nebo o to přijde. Z těchto všech pohledů je možná levnější va­rianta obnovit to ze záloh. Tedy ovšem pokud je z čeho, protože tyto programy útočí i na místa v síti, kam se ukládají zálohy.

Co podcenila veřejná instituce, ale i soukromá firma, když se stala terčem takového útoku?

Ten problém je komplexní. Jde o diletantství dané organizace, že něco takového vůbec dopustila. Tedy neměla data chráněná, neměla mechanismus kybernetické bezpečnosti nastavený tak, aby je ochránil.

Potom je to také personální a organizační problém, aby pracovník do organizace nemohl nic přinést, žádné USB zařízení, svůj vlastní počítač… Problém je tak komplexní, že to nevyřeší jedno konkrétní řešení. Je to procesně, technologicky sladěný koncept, který se musí nasadit, striktně dodržovat, musí se monitorovat porušení a tvrdě ho trestat.

Kyberútok způsobil ŘSD obrovské škody

Domácí

Útok na ŘSD momentálně vyšetřuje policie, kdo může být pachatelem?

Typů aktérů může být víc. Můžeme to spojit s vlnou útoků, která šla z Ruska, protože jsme jako Česká republika na seznamu. Také můžeme vzít v úvahu konkurenční boj – ŘSD dneska nemá dostupné informace z účetnictví, nemůže podávat zakázky apod. Třetí, co se mohlo stát, mohl to být insider attack (útok od člověka zevnitř, pozn. red.) z důvodu, že by přišla kontrola a neměli v pořádku účetnictví. Dnes ho už nejdete spálit na dvůr, ale právě zašifrujete data.

Jde o diletantství dané organizace, že něco takového vůbec dopustila. Tedy neměla data chráněná

Je možné vůbec viníka dostat před soud?

Upřímně to je velmi složité. V rámci kybernetické bezpečnosti funguje proces atribuce. Je to činnost, která se snaží dopátrat útočníka. Pokud v rámci ní dojde k tomu, že dokážeme alespoň říct, ze kterého státu reálně útok přišel, tak jsme velice úspěšní v atribuci. Ne že by muselo jít o státního aktora, tedy útok konkrétního státu, ale pouze geolokační určení útočníka či skupiny, která útočila z nějakého místa na světě.

Ještě složitější bývá určit, že v tom je nějaký státní aktor, který se k tomu přizná. Samozřejmě je to to první, co se potom dementuje – nešlo o útok Ruska, nešlo o útok Číny. To už je pak ovšem hra diplomacie.

Výběr článků

Načítám