Odhalit a trestat. Zpravodajci a NÚKIB tvoří strategii k určení pachatele kyberútoku

Jan Horák Jan Horák
12. 5. 2021 6:10
České bezpečnostní složky pracují na efektivnějším způsobu, jak odhalit původce kybernetického útoku. Určení pachatele je klíčové pro předcházení takovým incidentům a pro patřičnou reakci vůči útočníkovi. Hlavní roli v tomto procesu zastávají Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) a Vojenské zpravodajství. Záměr vychází z několika strategických dokumentů.
Ředitel Národního úřadu pro kybernetickou a informační bezpečnost Karel Řehka.
Ředitel Národního úřadu pro kybernetickou a informační bezpečnost Karel Řehka. | Foto: Národní úřad pro kybernetickou a informační bezpečnost

V půli dubna Spojené státy oznámily, že vysledovaly původce loňského kybernetického útoku na řadu tamějších vládních institucí. Do jejich systémů pronikli příslušníci ruské civilní rozvědky SVR. V reakci na to Američané vyhostili deset ruských diplomatů a na základě výnosu prezidenta Joea Bidena přijali vůči Rusku ekonomické sankce. Kroky americké administrativy poté svým prohlášením podpořilo NATO.

Na začátku amerického protiúderu stál proces, jenž se nazývá atribuce. Jde o přičtení kybernetického útoku konkrétnímu pachateli. Může jít o jednotlivce, skupinu hackerů či organizovanou skupinu, která plní zadání státu, jako je například ruská APT28 nebo čínská Hafnium. Na zpracování systému atribuce nyní pracují i české bezpečnostní složky.

"Atribuce představuje především proces, během něhož dochází k určení pravého zdroje útoku a samotného útočníka. Jedná se v první řadě o technické informace a analýzy, pod kterými si lze představit například analýzu síťového provozu nebo použitého škodlivého kódu," vysvětlil Aktuálně.cz mluvčí Národního úřadu pro kybernetickou a informační bezpečnost Jiří Táborský.

Vyšetřování v digitálním prostředí

Identifikace útočníka je od roku 2020 jedno z hlavních témat bezpečnostní komunity. Vojenské zpravodajství a NÚKIB proto zformovaly pracovní skupinu, v níž působí experti obou složek, pracovníci bezpečnostního aparátu, zástupci resortu zahraničí a Úřadu vlády. Její ambicí, plynoucí ze strategie NÚKIB a vládní strategie kybernetické bezpečnosti, je uvést atribuci do praxe už letos.

Ve fyzickém světě detektivové pachatele násilné trestné činnosti zadrží na základě stop z místa činu, jako jsou otisky prstů, zanechaná DNA či pachové stopy. Atribuce je obdobný proces, jen zasazený do IT prostředí. "Zjednodušeně řečeno jde o odnož forenzního pátrání a zajišťování důkazů na místě činu v digitálním světě," řekl Aktuálně.cz prezident spolku Český institut manažerů informační bezpečnosti Aleš Špidla.

Prezident spolku Český institut manažerů informační bezpečnosti Aleš Špidla.
Prezident spolku Český institut manažerů informační bezpečnosti Aleš Špidla. | Foto: Aleš Špidla

Základních motivů útočníků k nepřátelské kybernetické operaci se čítá několik. Chtějí třeba z ideologických či politických důvodů narušit kritickou informační infrastrukturu cílové země. Dále mohou chtít výkupné, v takovém případě zašifrují soubory a za jejich odblokování si nechají zaplatit. Nebo usilují o krádež citlivých dat s úmyslem odhalit slabé místo svého cíle nebo pro vlastní využití. 

"Když se hackerům osvědčí metoda útoku, nemají důvod nepoužít ji znovu. Pak je lze odhalit prostřednictvím části škodlivého kódu nebo serverů použitých k vedení útoku," přibližuje rozměr důležitý pro atribuci Špidla. Hackeři však mnohdy s oběma položkami pracují tak, že pomocí nich se naopak skryjí a ztíží svou identifikaci. Atribuce proto sestává i z dalších kroků.

Přijmout odpovídající reakci

Klíčovým motivem je, aby měl celý systém přesah z IT prostředí do jiných oblastí. Hlavní je spolupráce. "Jako zcela zásadní pro proces atribuce se ukazuje využití co nejširšího množství zdrojů, kde se předpokládá zapojení informací od zpravodajských služeb, jejich výměna, mezinárodní spolupráce NÚKIB a koordinace postupů," vysvětluje mluvčí Vojenského zpravodajství Alžběta Riethofová.

Atribuce stejně jako policejní vyšetřování může trvat několik měsíců. Ostatně Američané odpověděli na ruský útok až po roce. Proto je rovněž nutné stanovit postup pro dlouhodobější reakci, jež by měla útočníka odradit od dalších operací. Možná odveta má stát na konci procesu. V úvahu se při ní musí brát, že určení pachatele odpovídá "jen" určitému stupni pravděpodobnosti. Nikdy nebude stoprocentní.

Proto je nutné určit míru ráznosti provázející odvetné kroky. Ty mohou mít několik podob, někdy může zůstat "jen" u proklamace. "Pro tyto účely by měly být předem posuzovány i dopady případných reakcí státu z pohledu mezinárodního práva či zahraniční politiky. Může se jednat o diplomatická, ekonomická či technická opatření, může však mít i podobu prostého veřejného vyjádření," říká mluvčí NÚKIB Táborský.

Původce kyberútoků se snaží tuzemské složky odhalit i nyní. Aktuální snaha o atribuci má zefektivnit stávající postup, upevnit spolupráci jednotlivých orgánů jako NÚKIB a tajných služeb a účelně propojit jejich jednotlivé úkony. Pokud se to podaří, bude třeba možné oficiálně pojmenovat aktéra rozsáhlých březnových útoků na systémy tuzemské státní správy a podniknout odpovídající odvetná opatření.

 

Pokud jste v článku zaznamenali chybu nebo překlep, dejte nám, prosím, vědět prostřednictvím kontaktního formuláře. Děkujeme!

Právě se děje

před 20 minutami

Při požáru výrobny střelného prachu na jihu Ruska zemřelo až 16 lidí

Až 16 lidí zřejmě přišlo o život a deset dalších utrpělo zranění při požáru ve výrobně střelného prachu na jihu evropské části Ruska. Úřady podle agentury TASS potvrdily sedm mrtvých s tím, že devět osob je pohřešováno.

Podle záchranářů ale ani tito nezvěstní neštěstí velmi pravděpodobně nepřežili.

Zdroj: ČTK
před 22 minutami

Babiš uvítal pokyn ze summitu, aby Brusel zvážil další regulaci energetického trhu

Český premiér Andrej Babiš (ANO) považuje za velký úspěch pokyn unijního summitu, aby komise zvážila další regulaci energetického trhu. Podle něj zatím Evropská komise nereaguje adekvátně.

Zdroj: ČTK
Další zprávy