Loňské kybernetické útoky na nemocnice v Benešově a Brně způsobily škody za více než sto milionů korun. Terčem hackerů, kteří jsou v době pandemie ještě aktivnější než jindy, je ale nejen oblast zdravotnictví. Minulý týden se odehrál také masivní útok na servery ministerstva práce a sociálních věcí, České správy sociálního zabezpečení nebo pražského magistrátu, prý naštěstí bez větších škod.

Vylepšit odolnost státních organizací před útoky přes internet má za úkol Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB). Jeho šéf Karel Řehka ale upozorňuje, že dlouhá léta zanedbávanou oblast nelze napravit za pár měsíců. „Věc, která se neřeší 15 let, se za tři měsíce vyřešit nedá. Bude to postupný proces,“ tvrdí Řehka.

My se zaměřujeme hlavně na subjekty kritické infrastruktury a systémy, které jsou důležité pro fungování státu a bezpečí obyvatel. Neděláme jen to, ale je to naše primární zaměření. Čili naše statistiky vycházejí z tohoto sektoru. V každém případě nárůst během pandemie je skutečně skokový. Počty útoků rostly už i v minulých letech – s tím, jak se digitalizuje společnost, to logicky produkuje víc incidentů. Loni se k tomu přidal ještě přechod mnoha dalších lidí do online světa a mnohé organizace a firmy na to nebyly připravené.

Bývá to také problém. Nechci mluvit za firmy, ale je to i pro ně výzva. Měly svůj systém řízení bezpečnosti informací, staraly se o síť, monitorovaly její provoz, měly zabezpečené koncové stanice… A najednou ze dne na den potřebovaly, aby lidé pracovali na dálku. Pokud navíc zaměstnanci mohou doma používat vlastní počítače, je to o to složitější. Firmy nemají kontrolu nad koncovým zařízením. Řada organizací na to nebyla vůbec připravená.

Sofistikovanost rozhodně roste, ale stejně tak roste sofistikovanost obrany. Jde to ruku v ruce – vyvíjejí se útočníci, ale i obránci, kteří na to reagují. Takže se nůžky neotvírají.

Podíl phishingu je velký a je to paradoxní – pořád se bavíme o vyspělých technologiích, umělé inteligenci, kvantových počítačích…, ale to gros jsou často opravdu úplně bazální, častokrát až primitivní věci. Ale vyskytují se i útoky na hesla a jiné zranitelnosti. Jenže i tady může být problém v lidech – pak třeba zjistíte, že heslo je tak jednoduché, že ho bylo možné prolomit během pár vteřin nebo minut takzvaným slovníkovým útokem.

Například investicemi do lidí, a to jak do odborníků, tak do vzdělání zaměstnanců. Je třeba možné ve firmách dělat cvičné phishingové kampaně, které pak opravdu do velké míry snižují pravděpodobnost úspěšného útoku. Samozřejmě je potřeba i technické zabezpečení a další věci, ale lidský faktor se někdy nedoceňuje. Přitom to není složité.

Tyto služby děláme většinou spíš pro státní organizace než pro firmy, protože přece jen máme omezené kapacity. Cvičná phishingová kampaň bývá spíše součástí hlubšího auditu, který mapuje různé druhy zranitelností a pomáhá dotyčnému subjektu s jejich odstraněním. Aktuálně děláme audity třeba v nemocnicích. Všechno ale musí být dohodnuté s vedením dané organizace, se kterým takovou akci slaďujeme, protože samozřejmě nemůžeme narušit chod nějakým simulovaným útokem.

Je to komplex věcí – například organizačně špatně nastavený systém řízení bezpečnosti informací, nedostatečně vyškolení zaměstnanci, špatná přístupová politika, sdílení administrátorských účtů, špatná segmentace sítě, do které když se útočník dostane, má přístup ke všemu, nebo špatná politika zálohování. Často to jsou přitom věci, které nejsou až tak složité, nemusíte být technický génius, abyste to pochopil.

Obojí. Časté jsou i automatizované útoky, kdy útočníci vytvoří nebo ovládnou server a masivně rozesílají třeba phishingové e-maily. Někteří to zkoušejí i tak, že u různých potenciálních obětí skenují zranitelnosti sítě, a když objeví mezeru, zaútočí, aniž by přitom řešili, kdo je oběť.

Ano, existují i cílené útoky, které jsou velmi sofistikované. Dostanete například e-mail, který čekáte, od člověka, kterého znáte, a souvisí to s něčím, co zrovna doopravdy řešíte. Takový e-mail může být i doplněný fotkami a textem, které jej dělají velmi důvěryhodným. Nicméně i plošné útoky se stávají sofistikovanějšími, což je skutečně dáno zvyšující se kvalitou strojových překladů a obecně vyšší sofistikovaností útočníků.

U skenu zranitelností jde o věc, kterou je možné dělat normálně zvenčí bez narušení systémů organizace, a děláme to běžně. Zkrátka přes internet skenujeme systém organizace a hledáme zranitelnosti. Děláme tedy totéž co útočníci a snažíme se je předběhnout. Oproti tomu u penetračních testů se snažíme aktivně překonávat bezpečnostní opatření a systém zabezpečení. Ale opět to musí být striktně naplánované, zorganizované a smluvně ošetřené, abychom třeba nezpůsobili reálné škody. Protože neoprávněný přístup k počítačovému systému a nosiči informací je trestný čin. My samozřejmě nemůžeme páchat trestné činy.

Motivace jsou různé v podstatě u jakýchkoli útoků. Od toho, že si někdo chce dokázat, že je dobrý, po klasický finanční zisk a kriminalitu… Může existovat i vliv cizího státu, který nám chce škodit nebo získat výhodu. Za některými útoky stojí aktivisté. Může to být téměř cokoli. Pokud jde o standardní útoky, které padají na samosprávu, nemocnice nebo firmy, podle mého odhadu mají ve většině případů kriminální motiv, finanční zisk.

Je třeba říct, že NÚKIB se snaží v rámci své působnosti maximálně pomoct s řešením, není ale zodpovědný za zabezpečení nemocnic, to je v gesci resortu zdravotnictví, zřizovatelů a managementu nemocnic. Už loni jsme na to napnuli veškeré naše úsilí. Dostali jsme i zadání od vlády a premiéra čili je to pro nás priorita číslo jedna. Začali jsme provádět komplexní audity ve zdravotnických zařízeních a vedle toho děláme další kroky, jako je úprava zákonné regulace a nabízení různé podpory. Problém byl z našeho pohledu totiž i v tom, že v minulosti byla regulace týkající se kyberbezpečnosti nemocnic nastavená tak, aby se jí kvůli nákladům co nejvíc subjektů vyhnulo. Takže z nějakých 250 nemocnic v České republice jich pod náš dohled spadalo jen šestnáct.

Pracujeme na legislativě, aby se náš dohled rozšířil celkem asi na 46 nemocnic (určování ještě nebylo ukončeno), a bylo tak zabezpečeno i dostatečné regionální pokrytí.

Nemůžu vám říct konkrétní výsledky, ale obecně vzato je zdravotnictví hodně špatně zabezpečené, to není nic tajného. Nemocnice jsou zranitelné. Nemůžeme ale čekat skokové zlepšení. Věc, která se neřeší 15 let, se za tři měsíce vyřešit nedá. Bude to postupný proces, a to navíc jen za předpokladu, že to zřizovatelé nemocnic a jejich manažeři budou podporovat, protože když nebudou, nikdo s tím nic neudělá.

My jsme schopni přinutit jen ty, které jsou regulované. Když nemocnice spadá pod nás, musí splňovat parametry zákona a vyhlášky o kybernetické bezpečnosti, a to pak můžeme kontrolovat, nařizovat různá opatření. U těch ostatních ale nemáme žádnou zákonnou pravomoc, takže jim pomáháme, diskutujeme, dáváme doporučení…

Paradoxně i některé nemocnice z těch, které by nemusely, mají o naši pomoc se zvýšením kyberbezpečnosti velký zájem. U těch regulovaných samozřejmě máme ze zákona možnosti, jak vymáhat dodržování povinností – můžeme zahájit správní řízení, udělit pokutu. Ale když se podíváte historicky, tato silová řešení používáme minimálně. Snažíme se ty lidi dotlačit, komunikovat, pomoct jim. Naším smyslem není někoho decimovat a trestat. Mě nezajímá, jestli někdo zaplatil pokutu, ale jestli se zlepšil výsledný stav.

Nezveřejňujeme to, ale jak říkám, děláme to opravdu minimálně. Nějaká správní řízení běží, ale není to pro mě tak zásadní, jako jestli dokážeme stav napravit. Navíc pokuty často nedávají žádný smysl. Představte si, že přijdete do nemocnice, která si stěžuje na podfinancování, a najdete nějaké problémy. Zlepšíte její kybernetickou bezpečnost tím, že tam přijdete, uděláte šťáru a napálíte jí sankce? Asi ne. Pokud to ale bude oprávněné, sáhneme i k sankcím.

Za posledního půl roku v útocích kromě zdravotnictví figurovaly více i samosprávy a objevily se i útoky na školy, speciálně univerzity. U soukromých firem to jde napříč segmenty. Vycházíme ale jen z našich statistik, které zahrnují subjekty patřící do našich kompetencí. Policie, která řeší kyberkriminalitu, by vám dala zase statistiky běžných útoků na uživatele, ukradené údaje k platebním kartám a podobně, ale to nejde „za námi“.

Ano, nicméně princip regulace spočívá v tom, že si stanovíte priority, co je nejdůležitější chránit, a pak také hodnotíte, kde jsou jaká rizika. Na to se pak zaměříte. Takže třeba datové schránky jsou zabezpečené velmi dobře. I v nich se ale objevily problémy.

Velmi jednoduše, protože datovou schránku můžete využít pro běžné poštovní služby a rozeslat nějaký obsah. Takže to de facto nebyl útok na datové schránky, ale jejich prostřednictvím.

Co jsem tady, žádný úspěšný útok jsme nezaznamenali. A co vím, nestalo se to ani předtím.

Jistě, děláme to běžně. Když si vezmeme útoky na nemocnice v Benešově nebo v Brně, naši lidé byli na místě a pomáhali. Ne vždy to tak ale je, záleží na konkrétní situaci a kapacitách.

Nemáme. Ale vládou schválená koncepce rozvoje, v níž je i rozpočtový rámec, počítá s nárůstem počtu lidí i infrastruktury. V roce 2027 bychom měli mít nějakých 420 lidí.

Když jsem loni nastoupil, měl úřad 221 tabulkových míst, teď jich máme 269. Loni jsme byli v bodě, kdy jsme měli 100procentní naplněnost.

Máme kvalitní lidi a jsme schopni místa naplnit. Je pravda, že jsme limitováni možnostmi platových tříd ve státní správě a nemůžeme u technických specializací soutěžit v platových podmínkách se soukromým sektorem. Ale to také není úplně všechno.

Třeba na zajímavost práce. Nesedí tady u jednoho systému jako ve firmě, ale podívají se na více systémů, sektorů, získají více zkušeností. Máme velké možnosti růstu a vzdělávání. Setkávají se také se zahraničními partnery, mohou jezdit na školení, konference či stáže. To jsou všechno zajímavé věci. Nemyslíme si, že tady ti lidé budou do smrti, ale díky zkušenostem nabytým u nás stoupne jejich cena na trhu práce, a to je svým způsobem osobní investice. A v neposlední řadě je to i možnost podílet se na zajištění bezpečnosti naší země. To není klišé, je to důležité. A lidé potřebují vědět, že dělají něco důležitého. O navýšení platů technických specialistů ale rozhodně budu dále usilovat.

U hybridních kampaní je problém v tom, že protivník na vás zkouší působit v různých oblastech, skenuje společnost napříč celým spektrem – sociální věci, národnostní problematiku, ekonomické, informační záležitosti a podobně. Vyhledává zranitelnosti a pak na ně působí zase celým spektrem nástrojů. Abyste se mohli bránit, musíte si poskládat dohromady, co se vlastně děje. Často to mohou být dílčí věci – například někdo něco v zemi skupuje, běží dezinformační kampaň, probíhá špionáž… Právě v této skupině by se měly tyto informace sbíhat v nadresortní úrovni.

Naše role je do značné míry průřezová. Kyberbezpečnost prochází všemi sektory, v obraně, vnitřní bezpečnosti, kriminalitě, diplomacii, všude tento aspekt je, protože se tyto činnosti odehrávají i v kyberprostoru. Proto spolupracujeme na všech strategiích. Ale rozhodně to není tak, že bychom měli hrát v hybridních hrozbách klíčovou roli, jsme jen jednou ze součástí, i když důležitou.

Karel Řehka (46)

• Vystudoval Vysokou vojenskou školu pozemního vojska ve Vyškově.

• Úspěšně absolvoval kurz Ranger ve Spojených státech, poté se účastnil misí KFOR.

• V české armádě působil u 601. skupiny speciálních sil generála Moravce, kterou od roku 2010 vedl.

• Od konce roku 2014 stál v čele Ředitelství speciálních sil ministerstva obrany.

• Do čela NÚKIB nastoupil na jaře roku 2020.