Kybernetické zabezpečení státu je zastaralé, ohroženy jsou instituce i občané
Je jen otázkou času, kdy kybernetickému útoku podlehne důležitější služba než ŘSD.
Česko se v posledních letech potýká s nárůstem kybernetických útoků. Vliv na to měla především covidová pandemie, která život v tuzemsku převedla do online prostředí. Firmy i státní instituce musely najednou přenastavit svoje fungování, posílaly své zaměstnance pracovat z domova a obecně se digitální služby dostaly do popředí, protože pro mnoho lidí představovaly jediný kontakt se světem v době covidové izolace.
Taková závislost na digitálních technologiích byla živnou půdou pro různé hackery a podvodníčky, kteří se snažili těžit z nastalé situace. Výrazně například stoupl počet phishingových útoků, při kterých se podvodníci snaží získat od uživatelů citlivé údaje, například hesla k bankovním aplikacím nebo čísla kreditních karet.
Velkých úspěchů dosáhli mimo jiné kvůli tomu, že zaměstnanci pracovali ve velké míře z domova a na podvodné účty klikali jednoduše z neznalosti a neopatrnosti. Takové maily se totiž často tváří důležitě a nic netušící pracovník má pocit, že problém musí rychle vyřešit, než na něj přijde vedení firmy.
Ohrožena data občanů
V kontextu škod ale představují phishingové kampaně vcelku zanedbatelnou položku. Nachytá se na ně několik důvěřivců, ale pokud se na podvod přijde, nebývají náklady závratně vysoké. Mnohem větší problém představují útoky ransomwarem, při kterých jsou napadány celé firmy či instituce. Hackeři jim zašifrují data a žádají výkupné za jejich opětovné zpřístupnění. Při útoku na firmu hrozí finanční ztráty a reputační problémy, u institucí státu jsou ale dopady výrazně horší. Jsou ohrožena citlivá data občanů, ale i jejich zdraví a životy.
Jak špatně je stát na útok hackerů připravený, ukázal naposledy případ Ředitelství silnic a dálnic. Tomu vypadlo několik systémů, firma musela obnovovat data ze záloh a několik týdnů nefungovala evidence státních zakázek či aplikace s dopravními daty. Útok ale hlavně ukázal, jak oldschool a lajdácky se zabezpečení služeb státu v některých případech řeší. ŘSD mělo zálohy na páskách a poslední uložená data byla z 1. května. Muselo proto obnovovat údaje za dobu měsíc a půl.
V době, kdy existují cloudová úložiště, která zaznamenávají data se zpožděním jednoho dne za několik desítek eur měsíčně, to zní neuvěřitelně. Na obnovu dat v tomto rozsahu nebylo ŘSD připraveno, mimo jiné je pro ně zajišťovala externí firma a systém byl nastaven špatně, protože hackeři se dostali i k zálohám a také je zašifrovali.
Systémový problém
Ředitel ŘSD Jiří Mátl má pravdu jen částečně, když říká, že na podobný útok se nelze připravit. Skutečností je, že šlo o sofistikovaný útok a hackeři šli přímo po systémech ŘSD, nebyl to tedy náhodně rozesílaný škodlivý program. Na druhou stranu ale neměla firma dobře nastavený právě systém záloh. Zmiňované zálohování na pásky je vhodné pro archivy, ne pro instituce, které pracují s reálnými daty.
Nedostatečná ochrana proti kyberútokům ale není záležitostí jedné firmy, jde o systémový problém. Především úřady či místní samosprávné celky jsou na tom s připraveností na hackerské útoky velmi špatně. Vedoucí pracovníci si často nedovedou představit, že nějaký útok vůbec může nastat, je to pro ně sci-fi. Laxnost státu ukazuje také fakt, že krátce po zahájení invaze na Ukrajinu vzrostla poptávka po konzultacích v oblasti kyberbezpečnosti, zájem ale zase rychle opadl.
Z našich analýz přitom víme, že u jiných organizací, včetně těch, které spadají pod ministerstvo dopravy, je stav zabezpečení IT ještě horší než u ŘSD. Škoda po útoku na tuto dopravní firmu činila třicet milionů, dopady by ale příště mohly být mnohem závažnější, například při cíleném útoku na nemocnici.
Stát nyní musí vzít iniciativu do vlastních rukou a apelovat na firmy a instituce, aby zavedly lepší zálohování dat, a především osvětu pracovníků, kteří s nimi nakládají. Zda se k tomu současná vláda odhodlá, si netroufám tvrdit. Zatím to vypadá, že budeme nejspíš na změny čekat do dalšího kybernetického útoku.
Autor je zakladatelem firmy Xevox