Expert: Viníka hackerských útoků na ŘSD se nemusí podařit dostat k soudu

Ransomware je specifický typ malwaru (škodlivého programu, pozn. red.). Pokud je doručen na danou stanici, ať mailem, nebo jej někdo přinese na flashce, po jeho aktivaci dojde k jeho šíření a šifrování dat na disku. Je těžké dopředu odhadnout, kam až se dokáže dostat. Slovo ransom, tedy výkupné, je totiž následná akce – v momentě zašifrování jsou po oběti požadovány peníze.

Zde se dostáváme k podstatě věci. Ze začátku se jednalo o lehčí byznys – za zaplacení menšího výkupného dostala oběť dešifrovací klíč a pomocí něj všechna data odemkla. Problém nastal, když se do tohoto podnikání dostali tací, kteří po zaplacení peněz ani nedodali tento klíč.

Organizace proto nechtěly nic zaplatit a data si obnovily ze záloh. Útočník na to pak našel řešení a začal se do ukradených dat dívat, zpracovávat citlivé informace a vyhrožovat jejich uveřejněním. Někdo se tak mohl dostat k know-how, patentům, duševnímu vlastnictví, smlouvám.

Buďme rádi, že ty desítky milionů jsou jen v korunách. Evropská agentura pro bezpečnost sítí a informací (ENISA) tyto výše požadavků na výkupné sleduje. Zatímco v roce 2019 činil nejvyšší požadavek 13 milionů eur, v roce 2021 už to bylo 62 milionů eur. Mají zmapované i průměrné výše požadavků na výkupné – v roce 2019 to bylo kolem 71 tisíc eur, o rok později se částka zdvojnásobila na 150 tisíc eur.

Ředitelství silnic a dálnic má v tomto velký problém. Jde o veřejnou instituci, majetek jí tedy byl pouze svěřen do správy, a disponuje státními penězi, tedy penězi daňových poplatníků, kteří by to museli uhradit. Navíc s vidinou rizika, že dešifrovací klíč třeba vůbec nemusí dostat. Soukromá firma dokáže snáze vyčíslit škody a posoudit, zda se jí to vyplatí s ohledem na rizika.

Třeba benešovskou nemocnici vyšly náklady na obnovu všech dat na 59 milionů korun. Fakultní nemocnice Brno, která všechno obnovovala měsíce po útoku ransomwarem, měla na to náklady přes 150 milionů korun.

Je to o krizovém řízení – někdo musí situaci vyhodnotit a dát rozhodnutí, přičemž musí vědět, jestli to dokáže obhájit, nebo o to přijde. Z těchto všech pohledů je možná levnější va­rianta obnovit to ze záloh. Tedy ovšem pokud je z čeho, protože tyto programy útočí i na místa v síti, kam se ukládají zálohy.

Ten problém je komplexní. Jde o diletantství dané organizace, že něco takového vůbec dopustila. Tedy neměla data chráněná, neměla mechanismus kybernetické bezpečnosti nastavený tak, aby je ochránil.

Potom je to také personální a organizační problém, aby pracovník do organizace nemohl nic přinést, žádné USB zařízení, svůj vlastní počítač… Problém je tak komplexní, že to nevyřeší jedno konkrétní řešení. Je to procesně, technologicky sladěný koncept, který se musí nasadit, striktně dodržovat, musí se monitorovat porušení a tvrdě ho trestat.

Typů aktérů může být víc. Můžeme to spojit s vlnou útoků, která šla z Ruska, protože jsme jako Česká republika na seznamu. Také můžeme vzít v úvahu konkurenční boj – ŘSD dneska nemá dostupné informace z účetnictví, nemůže podávat zakázky apod. Třetí, co se mohlo stát, mohl to být insider attack (útok od člověka zevnitř, pozn. red.) z důvodu, že by přišla kontrola a neměli v pořádku účetnictví. Dnes ho už nejdete spálit na dvůr, ale právě zašifrujete data.

Upřímně to je velmi složité. V rámci kybernetické bezpečnosti funguje proces atribuce. Je to činnost, která se snaží dopátrat útočníka. Pokud v rámci ní dojde k tomu, že dokážeme alespoň říct, ze kterého státu reálně útok přišel, tak jsme velice úspěšní v atribuci. Ne že by muselo jít o státního aktora, tedy útok konkrétního státu, ale pouze geolokační určení útočníka či skupiny, která útočila z nějakého místa na světě.

Ještě složitější bývá určit, že v tom je nějaký státní aktor, který se k tomu přizná. Samozřejmě je to to první, co se potom dementuje – nešlo o útok Ruska, nešlo o útok Číny. To už je pak ovšem hra diplomacie.