V polovině března radnice Prahy 5 ochutnala výsledky úspěšného kybernetického útoku. Hackerům se podařilo vyřadit informační systémy úřadu téměř na dva týdny. Maximální technická vymoženost, kterou mohli zaměstnanci používat, byl telefon. Ve stejném měsíci podobné – naštěstí ale neúspěšné – pokusy zažily údajně i další úřady pražských městských částí.

Po mnoha varováních před hrozící kybernetickou válkou Západu s Ruskem pochopitelně útoky hackerů vyvolaly otázky, zda „už to přišlo“. I když jsou úřad i policie, která případy vyšetřuje, na sdělování detailů skoupé, zdá se, že s velkou pravděpodobností jde pouze o následek „běžného“ provozu internetových kriminálníků.

Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB), který podobné incidenty sleduje, spekulace o ruském pozadí útoku nepotvrzuje. Podle jeho vyjádření se za první měsíc a půl války nepotvrdila prokazatelná souvislost s ruskou invazí na Ukrajinu v žádném prověřovaném případě. Tedy ani u útoku na radnici v Praze.

Téměř zklamání zní ale také od odborníků na počítačovou bezpečnost z celého světa. Ruští vládní hackeři si za poslední léta vybudovali pověst elitního sboru a kdy jindy by měli své schopnosti předvést než během války? Jenže na Ukrajině ani v dalších zemích se zatím předpovědi o masivní vlně ničivých kybernetických útoků nenaplnily.

Nabízí se jednoduché vysvětlení: ruská hackerská jednotka je na tom se svými kvalitami podobně, jako se to ukázalo u zbytku údajné druhé nejsilnější armády na světě. Tedy prachbídně. I největší optimisté ale varují před takovými unáhlenými závěry. Podle nich existují daleko méně potěšující možnosti, jak klid na západní kybernetické frontě vysvětlit.

Elitní jednotka

V první řadě je ale třeba vyvrátit obecně přijímanou myšlenku, že ruští hackeři k válce na Ukrajině nijak výrazně nepřispěli. Ano, nepotvrdily se nejdrsnější scénáře o vypnutí elektrické sítě, internetových a mobilních vysílačů nebo třeba informačních systémů elektráren, které by způsobilo rozsáhlé blackouty.

Společně s tanky, které přejely pozemní rusko-ukrajinskou hranici, ale přes virtuální pomezí zaútočili také hackeři a rozhodně ne bez úspěchu. „Destruktivní útoky a malware, které jsme detekovali na Ukrajině v prvních dnech konfliktu, nebyly dosud objeveny nikde jinde a nadále vše nasvědčuje tomu, že se jednalo o naplánovaný útok s konkrétními cíli,“ potvrzuje vedoucí pražského výzkumného oddělení antivirové společnosti Eset Robert Šuman.

O jaké cíle šlo? Podle analýzy magazínu Foreign Affairs byl rozsah útoků velmi široký, největší důraz ale hackeři kladli na vojenské, s obranou Ukrajiny související cíle. Tedy třeba na armádní velitelská centra, úřady a podřízené organizace ministerstva obrany a na logistiku nebo záchranáře.

Z vojenského hlediska bylo údajně jedním z nejbolestivějších zásahů „sestřelení“ internetového poskytovatele KA-SAT, jehož služby využívají ukrajinští zpravodajci, armáda i policie. Zásahy do komunikace bezpečnostních složek při začátku invaze byly podle ukrajinského ministerstva obrany velmi nepříjemné a rozhodně začátek války neusnadnily.

Vedle vojenských institucí a infrastruktury byly cílem také servery dalších vládních úřadů, energetických firem, finančních institucí nebo zpravodajských serverů a médií. Nebezpečnější byly útoky, při nichž Rusové používali malware, který umí zašifrovat či smazat data z napadených serverů. Podle analytiků Esetu se objevily hned dva nové, velmi nebezpečné kódy tohoto typu.

Archiv

Kromě toho zažívaly výše zmiňované instituce, ale i běžné firmy stovky dalších, relativně banálních incidentů například se shozením webových stránek a serverů jednoduchým přetížením. Tyto v podstatě primitivní útoky, které podle analytiků Esetu začaly už hodinu před invazí, sice samy o sobě nezpůsobovaly velké škody, pomáhaly ale šířit zmatek a zdržovaly bezpečnostní experty od důležitější práce.

V každém případě lze s ohledem na stav na bojišti bez velkého přehánění konstatovat, že vládní kybernetické jednotky byly dosud tou nejúspěšnější součástí ruské válečné mašinerie na Ukrajině.

Strach z eskalace

Vraťme se ale k otázce, proč dosud na Ukrajině – a už vůbec nikde v západním světě – nedošlo k opravdu bolestivým útokům s velkými materiálními škodami, či dokonce lidskými oběťmi. Nabízí se několik vysvětlení.

Co se Ukrajiny týče, průběh kybernetických akcí souvisí s plánováním invaze. Velení ruské armády počítalo se speciál­ní akcí na několik dní, která nenarazí na zásadní odpor, a nebyl tedy důvod napáchat velké škody – ani tanky, ani přes internet. Tomu odpovídalo i zadání.

Když ale blitzkrieg zkrachoval, kybernetické divizi zřejmě chyběl plán na další postup. Její akce vyžadují poměrně dlouhou a náročnou přípravu. Jestliže shodit webové stránky dokáže i amatér, proniknout do sítě elektrárny nebo banky už vyžaduje i několik měsíců a příprava se nedá ošidit.

Ostatně i útoky zmiňovaným kódem, který umí ze serverů smazat data, se připravovaly mnoho měsíců. Podle analytika Esetu Michala Cebáka se dá původ viru, takzvaného wiperu, vystopovat až do dubna loňského roku. „Všechny parametry a skutečnosti naznačují, že útočníci již měli přístup k jednomu ze serverů Active Directory, které patřily oběti,“ vysvětluje Cebák.

Mimo to nabízí i dílčí důvody. Například cíle, jako jsou telekomunikační vysílače, Rusové nevyřazovali z provozu zřejmě také kvůli tomu, že ruská armáda je při přesunech a bojích odkázána na komunikaci právě přes ně. Jinak řečeno, hackeři by střelili do nohy i vlastní jednotky.

V případě Západu je vysvětlení pasivity ruských hackerů podobné – tedy nedostatek času na přípravu. Je tu ale navíc ještě jeden důvod. Z minulosti sice neexistuje jasný úzus, jak by vlastně NATO nebo Západ obecně měly reagovat na kybernetické útoky, zástupci Aliance v posledních týdnech ale několikrát naznačili, že také internetové útoky závažnějšího charakteru by mohli brát jako zásah do suverenity hodný aktivace článku pět Severoatlantické smlouvy. Takovým akcím se zatím Rusové navzdory všem výhrůžkám kvůli obavě z eskalace konfliktu vyhýbají.

Kdy, ne jestli

Varianta, že jsme Putinovy elitní hackery a jejich možnosti přeceňovali, je tedy sice lákavá, ale poměrně málo pravděpodobná. „Ruští útočníci patří v tomto směru k nejlepším na světě, což dokládá také řada útoků z minulosti. Útoky se mohou určitě ještě zintenzivnit, existuje možnost posunu od ničení dat k sofistikovaným útokům na kritickou infrastrukturu či přes dodavatelský řetězec s hlavním motivem kyberšpionáže a ničení,“ varuje Robert Šuman.

O tom, že se kybernetická válka může snadno přelít do západního světa, hovoří i určité indicie. Podle NÚKIB například v Česku proběhlo v prvních dnech invaze plošné skenování portů tuzemských serverů, a to včetně těch u vládních organizací a kritické infrastruktury. To ve stručnosti znamená, že potenciální útočníci hledali slabá místa v zabezpečení českých cílů, která by mohli využít později. Není prý důkaz, že šlo o Rusy, souvislost se ale nabízí.

A pak jsou tu ony příklady z minulosti. Rusko kybernetickou válku na Ukrajině nezahájilo až letos; přešlo pouze do ostré fáze. Podobně jako vojáci nejprve zkusmo zabrali Krym, také hackeři si zkoušeli některé ze sofistikovanějších útoků na ukrajinském cvičišti téměř deset let. Je možné, že zkušenosti vy­užijí i proti Západu.

První z historických akcí se týkaly energetiky. V roce 2015 ruští vládní hackeři během kybernetického útoku nazvaného BlackEnergy způsobili black­out, který na krátkou dobu připravil o elektřinu osmdesát tisíc zákazníků jedné z dodavatelských společností na západní Ukrajině. Druhý podobný testovací útok přišel o rok později a na hodinu vypnul elektřinu pětině Kyjeva.

Pro nás možná ještě pozoruhodnější je druhý případ z roku 2017. Ten ukazuje, že se můžeme stát vedlejším cílem útoku, který mířil původně jen na Ukrajinu. Hackeři spojovaní s Kremlem tehdy vypustili do světa škodlivý kód s názvem NotPetya, který uměl zničit data v celé firemní síti. Ten pak ukryli do účetního softwaru oblíbeného u ukrajinských společností.

Akce byla úspěšná, měla ovšem jeden zřejmě nezamýšlený vedlejší efekt. Virus byl natolik univerzální, že se z Ukrajiny rychle rozšířil do celého světa a způsobil škody asi za deset miliard dolarů.

Válka podsvětí

Na kybernetickém válečném poli se ovšem neodehrává jen souboj vládních hackerů z Ruska proti internetovým obráncům na Ukrajině či v západních zemích. Vedle toho se do války zapojily rovněž stovky dobrovolníků a skupin z šedé či rovnou nelegální zóny, a to podobně jako u pozemních bojů také včetně dobrovolníků ze Západu – konkrétně neorganizované skupiny hackerů vystupujících pod jednotnou značkou Anonymous.

První zprávy z internetové fronty naplnily mnoho lidí v Evropě nebo třeba ve Spojených státech nadšením. Anonymous rozjeli masivní akci a shazovali weby vládních institucí, armády i soukromých firem ve velkém. Podařilo se jim také vlámat do vysílání ruských televizních stanic, kde pouštěli divákům záběry z Ukrajiny.

Kromě relativně neškodných DDoS útoků na ruské servery se jim povedlo proniknout i do databází řady úřadů a firem a ukrást z nich citlivá data. Kompromitovány byly podle různých účtů hackerů z Anonymous na sociálních sítích desítky firemních databází. Jaká data se podařilo získat?

Archiv

Jedním z posledních úspěchů bylo například zveřejnění databáze 120 tisíc vojáků účastnících se invaze na Ukrajině. Hackeři získali ze serverů ministerstva obrany kompletní údaje od dat narození přes adresy bydliště až po čísla pasů. Dalším úlovkem byly soubory téměř s milionem e-mailů pracovníků ruských státních médií. Objevily se dokonce informace, že Anonymous hackli servery centrální banky a ukradli 28 gigabajtů dat, která by pro zahraniční zpravodajce byla jistě velmi zajímavým čtením.

Hackeři stojící projednou na straně dobra se ­ovšem neomezili jen na ruské úřady nebo firmy. Na paškál si vzali také západní společnosti, které příliš dlouho otálely s odchodem z ruského trhu. Už v březnu tak Anonymous zveřejnili seznam čtyřicítky firem, na které se zaměřili. Taktika zřejmě zafungovala: například společnosti Bridgestone nebo Dunkin’ krátce po pohrůžce (a zřejmě i prvních útocích) ruský trh skutečně opustily.

Jsme připraveni?

Přímo na ukrajinském bojišti narazili ruští okupanti na tuhý odpor a přímá, konvenční vojenská konfrontace se Západem by měla zřejmě jasný výsledek. Na kybernetickém bojovém poli by ale patrně jejich šance byly daleko větší – a to i v Evropě, Česko nevyjímaje.

Jak jsme na případné kybernetické útoky připravení? NÚKIB, který má na starosti dohled nad kybernetickou bezpečností u některých státních institucí, vydal hned druhý den po začátku invaze rozsáhlý manuál, který upozorňoval na hlavní hrozby, a připojil i návrh možné prevence. Hodnotit připravenost ovšem úřad vcelku pochopitelně nechce, stejně jako označovat potenciálně zranitelné cíle.

Archiv

Případ radnic v Praze může být jedním vodítkem. Druhé se nabízí u zdravotnictví, které i podle NÚKIB obecně patří mezi oblíbené cíle internetových útočníků. Před dvěma lety proběhly v Česku hned dva úspěšné útoky – v Benešově a Brně –, které v praxi předvedly, jak hackeři umějí ochromit chod důležité instituce se stovkami zaměstnanců.

Ředitel NÚKIB Karel Řehka už loni v rozhovoru pro týdeník Hrot potvrdil, že zlepšení bezpečnosti nemocnic považuje za jeden ze svých hlavních úkolů. Jak za rok pokročil? Zaměstnanci nemocnic prošli speciálními kurzy a webináři kybernetické bezpečnosti. V šestnácti největších zdravotnických zařízeních proběhly audity a loni na podzim i cvičení.

Archiv

V pozoru jsou ovšem i soukromé firmy, například banky. Ani ty sice zatím nezaznamenaly nárůst pokusů o proniknutí do svých systémů ze strany ruských hackerů, jejich bezpečnostní IT oddělení jsou ale v pohotovosti. „V poslední době zintenzivnily svoji činnost snad všechny hackerské skupiny, nejen ty z Ruska. Snažíme se proto brát si poučení z každého případu, který byl publikován,“ tvrdí expert na bezpečnost v České spořitelně Pavel Běhal.

Ani v soukromém sektoru ale situace není zdaleka optimální a v případě sofistikovaných útoků by se zřejmě škody počítaly ve velkém. „Nejčastější slabinou je podfinancování oblasti kybernetické bezpečnosti, a to jak z pohledu technologií, tak odborných IT specialistů. Chybějí krizové scénáře, školení zaměstnanců, nastavení procesů k monitorování, vyhodnocování rizik a provádění oprav a aktualizací,“ vypočítává Robert Šuman.

Podle bezpečnostních expertů se pravděpodobnost ruských útoků na Západě zvyšuje společně s tím, jak se prodlužuje konflikt. Rusko zahnané do kouta vojenskými neúspěchy a tvrdými dopady ekonomických sankcí může ztratit zábrany a začít škodit. Jak by v takovém případě obstálo Česko, je otázka. Případy z minulosti ale naznačují, že minimálně některé cíle by se Putinovým hackerům zřejmě zasáhnout podařilo. 

10 měsíců trvaly přípravy ruských hackerů na útok, který začal spolu s pozemní invazí.

let, od anexe Krymu, Ukrajina slouží jako „tréninkové“ hřiště kybernetické divize ruské armády.

80 tisíc ukrajinských domácností dokázali Rusové odpojit od elektřiny při kyberútoku v roce 2015.

10 mld. USD byly celosvětové škody způsobené ruským virem NotPetya, který se v roce 2017 rozšířil z Ukrajiny.