Kybernetický útok probíhá v řádu hodin a lidé na něj neumí reagovat. Navíc mnohdy jen slouží k zamaskování skutečného způsobu útoku. Soudobá společnost je počítačích závislá, ale přesto si je nedokáže ochránit.Na tom, že cílené napadání informačních systémů důležitých firem i státní správy je realitou, se shodují bezpečnostní odborníci v Česku i ve světě.
Shodují se i v tom, že může dojít k útokům na klíčovou státní infrastrukturu, jako jsou elektrické rozvodné sítě.Bývalý náčelník Vojenské zpravodajské služby Andor Šándor je přesvědčen, že kybernetický útok je jednou ze tří největších hrozeb pro současnou Evropu.
Za další dvě považuje nezvládnutou a nezvladatelnou migraci a možnost blackoutu, tedy rozsáhlého výpadku dodávky elektřiny. Ten navíc může vzniknout bez zásahu člověka, ale také kvůli kybernetickému napadení.
Před útoky tohoto typu důrazně varuje i Aleš Špidla z auditorské společnosti PwC, kde vede oddělení řízení rizik. „Proniknutí do e-mailu konkurence stojí 500 dolarů a zaplatíte je až ve chvíli, kdy jste spokojeni s výsledkem,“ upozorňuje muž, který se v oboru informačních technologií pohybuje od roku 1986 a mimo jiné vedl několik let i odbor Kybernetické bezpečnosti ministerstva vnitra.
Podceněné nebezpečí
„S kybernetickým útokem je to jako s přepadením. Začnete ho brát vážně, až když se stane,“ vysvětluje Tomáš Přibyl, ředitel české společnosti CyberGym Europe. Ta provozuje nové „protihackerské“ centrum v Řitce u Prahy. S využitím izraelského know-how tam učí specialisty ze soukromých firem i ze státní správy, jak takovým útokům předcházet i jak se s nimi vypořádat.
Zkušenosti všech tří mužů spojuje ústřední linka: Kybernetický útočník má obrovskou výhodu proti napadenému. Ten se totiž o útoku obvykle dozví až ve chvíli, kdy již je dávno po něm. A když jej náhodou zachytí včas, není schopen dostatečně rychle reagovat. Takže mu stejně není schopen zabránit. Například Bank of Scotland byla podle Šándora cílem počítačového napadení dva měsíce, než jej odhalila. A přišla za tu dobu o dvě miliardy liber.
Útoky přes počítačovou infrastrukturu spojuje ještě jedna skutečnost. Jejich nebezpečí prakticky všichni trvale podceňují, nebo přímo ignorují. Přitom se kradou strategické informace, osobní údaje i přístupové kódy. „Velký zájem je například o zdravotnickou dokumentaci, protože se jejím prostřednictvím dají vydírat lidé,“ uvádějí shodně Tomáš Přibyl i Aleš Špidla. Ze strany zločinců jde přitom o investici, jako je každá jiná. Určující je poměr cena/výkon.
Druhým pólem kybernetických útoků jsou pak akce jako vyřazení rozvodné sítě, ke kterému došlo na Ukrajině. Teoreticky mohlo sice jít o náhodu, ale té v branži věří málokdo. To otevírá prostor pro úvahy na téma, co způsobí jinému státu největší zmatek?
Život bez elektřiny
Zmatek způsobí samozřejmě prakticky vyřazení jakéhokoli počítačového systému. Co kdyby třeba ve městě najednou přestaly fungovat všechny semafory? Vypadl by systém pro řízení metra? Jenže to jsou relativně drobné nepříjemnosti proti tomu, kdyby přestala fungovat elektrická rozvodná síť na velkém území státu. Nebo v celém státě.
Na dodávce elektřiny je v současnosti závislé prakticky všechno. Když se najednou zastaví tramvaje, vlaky i výtahy, nebudou fungovat bankomaty, pokladny v obchodech ani veřejné osvětlení, to bude teprve problém. Sítě pro mobilní telefony v takovém případě vydrží jen tak dlouho, dokud pro ně budou operátoři schopni zajistit náhradní zdroje z naftových elektrocentrál.
„Týden či deset dnů bez elektřiny znamená skok o desítky let zpět,“ zdůrazňuje Andor Šándor. Zmatek, který to vyvolá, může mít horší důsledky než samotný návrat v čase.„To je pak válečný stav, z měst nevyjedete, protože na pumpách nenačerpáte benzín, lidé umírají ve výtazích, do tří dnů přestávají fungovat nemocnice, nastává naprostý chaos,“ popsala vývoj při několikadenním blackoutu Alena Vitásková, předsedkyně Energetického regulačního úřadu.
Hrozba kybernetických útoků je o to horší, že už není možné si říct „budeme to dělat bez počítačů.“ Je možné mít připravené záložní systémy, které se bez nich nějakým způsobem obejdou, ale tyhle systémy se nemohou stát těmi primárními. Na to už je západní společnost na počítače příliš zvyklá.
Nejslabším článkem jsou lidé
Situaci kolem tohoto typů útoků ještě komplikuje to, že slouží často jen k zamaskování toho, co a jak se opravdu stalo. „Mnoho kybernetických napadení má za cíl pouze skrýt to, že ke krádeži informací či neoprávněnému vstupu do systému došlo úplně klasicky, prostřednictvím lidí,“ varuje Přibyl.
Nejslabším článkem počítačového systému totiž i nadále zůstávají lidé. „Firmy můžou investovat obrovské částky do počítačového zabezpečení, ale když se dělal v jedné instituci test, kolik zaměstnanců klikne na nebezpečný odkaz v e-mailu, více než polovina z 800 lidí na něj klikla,“ připomíná Špidla.
„Nebo stačí někde nechat ležet pár zavirovaných flash disků s lákavě nazvaným souborem Plán propouštění, nebo Přehled mezd,“ dodává s tím, že se vždycky najde někdo, kdo si jej zkusí na firemním počítači prohlédnout.
„Útočníci se zaměřují na lidi z nejspodnějších pater firemní hierarchie. Takovou uklízečku totiž nikdo nehlídá a už vůbec neprověřuje, stejně jako třeba lidi z dodavatelských firem,“ rozšiřuje varování Tomáš Přibyl. Někomu takovému pak stačí někam „píchnout flešku“ a na konci své práci ji zase odnést. Následný kybernetický útok pak už jen odvede pozornost.
Nevědí, co dělat
Napadení počítačové sítě se připravuje několik měsíců, samotný útok přitom trvá maximálně několik hodin. Běžně vzdělaný „ajťák“ pak prostě neví, kam dřív skočit. Navíc často nemá dostatek pravomocí, aby mohl udělat zásadní rozhodnutí. A především, vůbec neví, jak se takový útok projevuje. Proti němu přitom stojí organizované zločinecké skupiny, skupiny podporované státem, nebo přímo armádní jednotky nějakého státu.
Státy i firmy proto musí investovat nejen do bezpečnostních programů, ale také do kvalitního školení svých odborníků. A musí zavést bezpečnostní standardy, které budou dodržovat všichni, včetně jejich manažerů. Třeba prostý zákaz odnášet notebooky z firmy může pro laiky vypadat úsměvně, protože to na první pohled komplikuje práci. Ale takové opatření výrazně omezuje nebezpečí průniku do vnitřního systému.
Lidem, kteří mají na starost počítačovou bezpečnost, se může hodit ještě jedna věc. Naučit se rusky. „Bez ruštiny si na hackerských fórech skoro neškrtnete, s angličtinou se tam moc nechytíte,“ uzavírá Aleš Špidla.