Hybridní hrozby a kybernetické útoky jsou ožahavým tématem. Útočníky je složité vypátrat a terčem se může stát jedinec, instituce i celé státy. Pomoci může útočníkům i nevinné sdílení fotografie z kanceláře firmy na sociálních sítích. Proč bychom měli začít brát kybernetickou bezpečnost vážně a jak se lze bránit? Zeptali jsme se Martina Lohnerta, experta na kybernetickou bezpečnost společnosti Soitron a ředitele centra kybernetické bezpečnosti Void SOC.

V roce 2010 počítačový červ Stuxnet napadl a ochromil díky své sofistikovanosti a přesnému cílení oblast íránských průmyslových řídících systémů pro obohacování uranu. Bylo to o to zajímavější, že závod v íránském Natanzu byl napaden off-line – jeho systémy jsou izolované od internetové sítě. Útočníci k napadení využili běžné USB flash disky.

Červ v halách napadal systémy pro ovládání kaskádových centrifug (poškodil jich 1/5). Ty nechal laicky řečeno točit rychleji, a tak docházelo k jejich rychlejšímu opotřebení. Nyní, více než 11 let od tohoto incidentu, došlo k dalšímu.

Začátkem dubna 2021 v Natanzu došlo k velkým škodám, které byly způsobeny obří explozí, která zcela zničila nezávislou – a silně chráněnou – vnitřní energetickou soustavu pohánějící centrifugy pro obohacování uranu. Nejde jen o jednu z mála výjimek, ale o demonstraci postupujících sofistikovanějších kybernetických útoků, protože dokazuje, že není nutné útočit na primární zdroje, ale stačí napadnou sekundární zařízení.

Tento a v dnešní době stále více používaný způsob kybernetických útoků dokazuje, že na rozdíl od běžnějších útoků s cílem zašifrovat nebo ukrást data – jsou zaměřeny na fyzický dopad, ať už jde o výpadek proudu, znečištění vody nebo poškození systémů, či dokonce výbuch. Exploze závodu Natanz zasadila ohromnou ránu a bude trvat až devět měsíců, než se podaří obnovit jeho produkci.

Na jaké kybernetické hrozby by se měla připravit Česká republika? V rozhovoru jsme se ptali Martina Lohnerta, experta na kybernetickou bezpečnost společnosti Soitron a ředitele centra kybernetické bezpečnosti Void SOC. Vedle pohledu na současné kybernetické hrozby jsme se také podívali na to, jak mohou organizace úroveň své bezpečnosti zlepšit a proč je největším rizikem i nadále lidský faktor.

Od nejvyšší aktivity Stuxnetu uplynula řada let. Obecně se za autory červa považují USA a Izrael. V případě podobných útoků, můžeme mluvit i o tzv. hybridní válce. Jaké události podobného rázu hrozí podle Vás České republice?

Hybridní hrozby jsou velmi často diskutovaným tématem. Rizika z nich vyplývající se týkají v podstatě každé země. Vždy se najdou nepřátelsky naladění jednotlivci, organizace či dokonce jiné státy. Málokdy se ale podaří skutečné útočníky vypátrat. Tak se můžeme jen domnívat, zda například útoky ransomware v českých nemocnicích v roce 2020 byly součástí cílené kampaně nebo jen náhodnými incidenty. Vzhledem k relativně nízké úrovni povědomí a zabezpečení je velmi pravděpodobné, že skutečně velké škody způsobené kybernetickými útoky, nás teprve čekají.

Jestli kybernetický útok na Natanz nebyl výjimkou, což pravděpodobně nebyl, jak se mohou instituce efektivněji bránit? Vzhledem k faktu, že šlo o off-line útok, bude postup pravděpodobně odlišný.

Samozřejmě, obrana před tak sofistikovaných případem jako byl Stuxnet (kde se odhaduje že vývoj trval špičkovému týmu vývojářů několik let) je extrémně náročná. Zároveň to i od útočníků vyžaduje extrémní motivaci a lidské, technologické i finanční zdroje. Cílů, na které je potřeba vynaložit takové množství energie a motivace, je proto velmi málo. Mnoho firem a institucí má ale tak slabé zabezpečení, že potencionální útočník nepotřebuje ani zlomek těchto zdrojů, a přesto slaví úspěch.

Dříve jste zmínil, že kupříkladu fotografie pracoviště mohou sloužit jako podklady pro přípravu útoku. Můžete uvést konkrétní příklady?

Například kód Stuxnet byl vyvinut tak, aby útočil pouze na konkrétní typ a model technologií, které byly nasazeny v továrně Natanz. Takové informace jsou pochopitelně tajné a dobře hlídané. Neoficiální zdroje uvádí, že útočníkům se k nim podařilo dostat z oficiálních fotografií, které byly zveřejněny při slavnostním otevření pracoviště a v pozadí zachycovaly i klíčové technologické komponenty. Lehko si tak představíme např. pracovníka marketingu při publikování propagačních fotek, jehož nenapadne že kdesi v rohu je na snímku vidět zařízení, které mohou útočníci přesně identifikovat.

Velký ransomware útok na ropovody nedávno málem ochromil východní pobřeží USA. Předcházel tomu cílený útok na vodárnu se snahou o otravu pitné vody. V minulosti virus infikoval systém společnosti TSMC a firmu dohnal až k dočasnému uzavření továren na mikročipy. Hybridní hrozby nabývají na intenzitě a před útoky na nemocnice varuje i český NÚKIB.

Máte zkušenosti s tím, že jsou podobné útoky používány i v rámci konkurenčního boje firem?

Útočníci i jejich motivace jsou velmi různé, ale obecně nejčastěji se jedná o finanční motiv = čím větší škody mohou vzniknout, tím větší výkupné útočníci vyžadují. Aktuální často zmiňovaná hackerská skupina Darkside si prý oběti pečlivě vybírá i na základě zveřejňování finančních ukazatelů, a podle nich stanovuje požadované výkupné (nejvyšší možné, jaké si můžete daná organizace dovolit zaplatit). Není ale nemyslitelné, že takový „tip“ mohou dostat i od nějakého konkurenta či rozzlobeného zaměstnance. Nepřekvapilo by mě to.

Role lidského faktoru bude v případě podobných hrozeb vysoká, což se potvrdilo i při útocích na české nemocnice. Co mohou instituce pro ochranu své infrastruktury v tomto směru udělat?

Technických opatření, varování, informací o hrozbách či „best-practices“ s kterými se dnes dá pracovat, je téměř neomezeně množství. Stejně tak na trhu existuje celá řada firem poskytujících profesionální služby, které umí poskytnout pomoc i při aktuálním nedostatku kvalifikovaných specialistů. Z našeho pohledu je proto nejdůležitější začít kybernetickou bezpečnost brát vážně. Přijmout ji v každé organizaci jako důležité téma a začít se jí na nejvyšší úrovni zabývat. Jinak se nikam nepohneme.