Článek
Rozhovor si můžete poslechnout i v audioverzi.
„Objevují se silné útoky na naši IT infrastrukturu a míří z Ruska,“ zní opatrně z českých firem. Oficiálně to sice nepřiznají, SZ Byznys však ví minimálně o dvou společnostech, které počítačovým útokům aktuálně čelí. Přenesla se tedy válka na Ukrajině do českého kybernetického prostoru?
Specialista na IT Aleš Kučera, majitel společnosti NEWPS, se domnívá, že útoků je stále stejně jako před válkou, změnilo se však vnímání hrozeb, které přinášejí.
„Myslím, že ještě před třemi týdny bychom výpadek v systému elektronických receptů vyhodnotili jako technickou chybu nebo neschopnost obsluhujícího personálu. Dnes už je možné, že to někdo vyhodnotí: Teď na nás útočí a nebudou léky,“ říká v rozhovoru pro SZ Byznys Kučera s tím, že teď navíc mohou hackeři využívat toho, že je „populární“ plánovat útoky tak, aby vypadaly jako z Ruska. Internetová bezpečnost je však podle Kučery stále podceňována a navíc nemáme scénáře, co se stane, pokud bude útok skutečně úspěšný.
A hrozby tu jsou. NÚKIB sice na dotaz SZ Byznys odpověděl, že v únoru neevidoval žádný kybernetický incident, který by byl prokazatelně spojený s ruskou invazí na Ukrajinu, nicméně také přiznává, že v době okolo zahájení ruské invaze probíhalo v Česku plošné skenování portů, včetně skenování vládních organizací a kritické infrastruktury.
„Útočníci velmi pravděpodobně hledali slabá místa v zabezpečení českých cílů, kterých by mohli později využít k návazným kybernetickým útokům. Nelze vyloučit, že toto skenování s invazí Ruska na Ukrajinu souvisí,“ říká Alena Minxová, mluvčí Národního úřadu pro kybernetickou a informační bezpečnost.
Jak moc se v tuto chvíli válka na Ukrajině promítá v českých počítačích a v českém kybernetickém prostoru?
Já si myslím, že od 24. února se spíš změnilo naše vnímání rizik, kterými jsou počítače ohroženy neustále. Myslím, že ještě před třemi týdny bychom výpadek v systému elektronických receptů vyhodnotili jako technickou chybu nebo neschopnost obsluhujícího personálu. Dnes už je možné, že to někdo vyhodnotí „Teď na nás útočí a nebudou léky.“ Myslím, že spíš došlo ke změně chápání, jaké jsou potenciální následky kybernetických útoků.
Je to jen změna chápání, nebo je těch útoků třeba právě z Ruska víc? SZ Byznys mají informace, že útoky z ruské strany zaznamenává i kritická infrastruktura…
To je ale pořád a od 24. února se to dramaticky nezměnilo. Další věc je, že vám se sice zdá, že útoky přicházejí z Ruska, ale ti, kteří ty útoky vedou, mohou jenom využít toho, že teď je populární, že útoky přicházejí z Ruska. Zítra mohou ti samí lidé ten samý útok modifikovat tak, že přichází z Itálie, ve středu, že přichází z Číny. Technická dovednost útočníků je taková, že to vypadá, že útoky přichází odkudkoliv, třeba odtud. Spíš se musíme ptát, komu to prospěje, a ne jaká je lokace IP adresy, ze které útok přišel.
Znamená to tedy, že těch útoků není víc? Že pouze teď jsou lidé citlivější a daleko více to vnímají?
Myslím, že to druhé. To, jak lidé ty útoky vnímají, je teď podstatnější než to, kolik těch útoků je. Další věc je, jak jsou ty útoky potenciálně úspěšné. Co by mohly způsobit a jak by na to potom ti lidé mohli reagovat.
Podle NÚKIB však okolo zahájení ruské invaze probíhalo v Česku plošné skenování portů, včetně skenování vládních organizací a kritické infrastruktury. Útočníci podle úřadu pravděpodobně hledali slabá místa v zabezpečení českých cílů.
Pokud monitorují četnost těch útoků a říkají to, nemám důvod jim nevěřit. Pokud někdo skenuje, kde je díra, to je ale opět věc, která je běžná. Děje se to pořád.
Cíl útoku? Znejistění obyvatelstva
Vy jste řekl větu: ptejme se, komu to prospěje. Když se tedy laicky zeptám, k čemu je třeba ruskému hackerovi, že napadne českou firmu?
V tuto chvíli, podle mého názoru, převažuje znejistění obyvatelstva. Vůči obecným funkcím státu a státní sféry, kterou využíváme.
My dnes žijeme život, kde funguje, když si něco koupíme na e-shopu, kde nám rozvážka doveze jídlo, včas nám přijde důchod a bez problémů převádíme peníze v internetovém bankovnictví. V této vypjaté chvíli budeme nepochybně každou degradaci kvality libovolné služby spojovat s tím, že na nás někdo útočí.
A jak si představit ty úspěšné kybernetické útoky? Přestanou létat letadla? Téct voda? Nepůjde proud?
To je trochu z filmu. Ale ano, v extrémní situaci se to asi stát může.
Jedna věc je, jestli jako uživatelé poznáme, že někdo byl tím útokem úspěšně zasažen – tedy jestli pocítíme snížení kvality té služby, nebo jestli útok způsobí jen nějaké vnitřní problémy, které se navenek neprojeví. V drtivé většině případů se takový útok oběť snaží zatajit.
Pokud se degradace dané služby projeví, mohou být zasaženy tvrdé cíle – tedy infrastrukturní dodávka, kdy nepůjde elektřina, nepoteče voda. Měkké cíle mohou být zasaženy v tom, že dnes si neobjednáme to jídlo přes tu rozvážku. Když to nejde, vnímáme to jako nejistotu.
Všichni se vždy chystají na minulou válku
Jak jsme připraveni na ty případné útoky?
Jedna stará věta říká, že všichni se vždy chystají na minulou válku. Samozřejmě, je těžké se chystat na tu budoucí. Kdyby před měsícem někdo říkal, že musíme udělat takové a takové opatření, protože by mohlo Rusko napadnout Ukrajinu, skončí v péči psychiatrů. Kdyby někdo v roce 2008 říkal, musíme udělat tohle, protože se zhroutí finanční systém, skončil by tamtéž.
To je efekt černé labutě, o které nikdo neví, dokud se neobjeví, a ten, kdo před ní varoval, je posléze napaden, že nekřičel hlasitěji. Jenže když křičí hlasitě, zavřou ho do blázince.
Uvědomují si vůbec firmy či instituce ta rizika?
Jak kdy a jak které. Umím si představit, že firma, jejíž byznys stojí na tom, že má dostupný web, si to uvědomuje hodně. Naproti tomu může být výrobní závod, který říká: tady se vyrábí plech, máme tu vysoké pece, a když nepůjde internet, nezajímá nás to. Toto je moje vlastní zkušenost. Továrna tohoto typu spekulovala, proč tolik platí za připojení k internetu. Hacker vypadal jako bagrista, který jim přehrábl kabel připojení, a oni nebyli týden schopní nakoupit ani prodat, výrobky se jim hromadily v areálu a vlaky s rudou stály před branami. Potenciální úspora za to připojení byla nicotná ve srovnání se škodou, ke které v tu chvíli došlo.
A do budoucna? Vy jste říkal, že se připravujeme na ty minulé války… Jakou podobu budou mít ty budoucí útoky?
Těžko říct. Útočník je vždy o krok napřed. Když se podíváte na poslední varování NÚKIB, jen tam úctyhodný seznam pojmenovaných útoků, na které se máme připravit, je tam seznam technologií, na které se máme zaměřit, je tam celá řada varování, co máme dělat. Informační technologie se ale vyvíjejí velmi rychle. Před třemi lety IT vypadalo jinak, než bude vypadat za tři roky.
Proč máme 2,5 miliardy na cybersecurity?
Hackeři budou vždy o krok napřed…
To je z definice. Já si spíš kladu otázku, co bychom měli dělat, a druhou otázku, jestli jsme opravdu tak báječně připraveni, jak nám před pár dny řekla stálá parlamentní komise pro boj s hybridními hrozbami. Pokud je vše zalito sluncem, tak si kladu otázku, proč máme v národním plánu obnovy na příští tři roky 2,5 miliardy na cybersecurity. Asi to zas až tak zalito sluncem není.
Věc číslo dvě je, že bychom měli mít plán, co se stane, když útok na tu státní infrastrukturu úspěšný bude.
A jsou takové plány?
To já nevím, ale bojím se, že nejsou. Nebo nejsou tak jasně artikulované. Z vlastní zkušenosti ale vím, že když někdo dlouhodobě tvrdí, že na něj z nějakých důvodů ten útočník nemůže, pouze se tím zvyšuje pravděpodobnost, že ho ten útočník dostane. A pak potřebujete ten plán B.
Když se vrátím k původní otázce, co tedy máme dělat?
Dvě věci. Uvědomit si, že skutečně tady to nebezpečí je. Pacienta můžete léčit teprve v momentě, kdy si sám uvědomí, že je nemocný. A my nemocní jsme, protože máme v té lékárničce připraveno 2,5 miliardy na příští tři roky – účelně je utratit a to nevidím, že by se dělalo.
Druhá věc je skutečně si říkat, co budeme dělat, když ten útok úspěšný bude.
