V půli dubna Spojené státy oznámily, že vysledovaly původce loňského kybernetického útoku na řadu tamějších vládních institucí. Do jejich systémů pronikli příslušníci ruské civilní rozvědky SVR. V reakci na to Američané vyhostili deset ruských diplomatů a na základě výnosu prezidenta Joea Bidena přijali vůči Rusku ekonomické sankce. Kroky americké administrativy poté svým prohlášením podpořilo NATO.
Na začátku amerického protiúderu stál proces, jenž se nazývá atribuce. Jde o přičtení kybernetického útoku konkrétnímu pachateli. Může jít o jednotlivce, skupinu hackerů či organizovanou skupinu, která plní zadání státu, jako je například ruská APT28 nebo čínská Hafnium. Na zpracování systému atribuce nyní pracují i české bezpečnostní složky.
"Atribuce představuje především proces, během něhož dochází k určení pravého zdroje útoku a samotného útočníka. Jedná se v první řadě o technické informace a analýzy, pod kterými si lze představit například analýzu síťového provozu nebo použitého škodlivého kódu," vysvětlil Aktuálně.cz mluvčí Národního úřadu pro kybernetickou a informační bezpečnost Jiří Táborský.
Vyšetřování v digitálním prostředí
Identifikace útočníka je od roku 2020 jedno z hlavních témat bezpečnostní komunity. Vojenské zpravodajství a NÚKIB proto zformovaly pracovní skupinu, v níž působí experti obou složek, pracovníci bezpečnostního aparátu, zástupci resortu zahraničí a Úřadu vlády. Její ambicí, plynoucí ze strategie NÚKIB a vládní strategie kybernetické bezpečnosti, je uvést atribuci do praxe už letos.
Ve fyzickém světě detektivové pachatele násilné trestné činnosti zadrží na základě stop z místa činu, jako jsou otisky prstů, zanechaná DNA či pachové stopy. Atribuce je obdobný proces, jen zasazený do IT prostředí. "Zjednodušeně řečeno jde o odnož forenzního pátrání a zajišťování důkazů na místě činu v digitálním světě," řekl Aktuálně.cz prezident spolku Český institut manažerů informační bezpečnosti Aleš Špidla.
Základních motivů útočníků k nepřátelské kybernetické operaci se čítá několik. Chtějí třeba z ideologických či politických důvodů narušit kritickou informační infrastrukturu cílové země. Dále mohou chtít výkupné, v takovém případě zašifrují soubory a za jejich odblokování si nechají zaplatit. Nebo usilují o krádež citlivých dat s úmyslem odhalit slabé místo svého cíle nebo pro vlastní využití.
"Když se hackerům osvědčí metoda útoku, nemají důvod nepoužít ji znovu. Pak je lze odhalit prostřednictvím části škodlivého kódu nebo serverů použitých k vedení útoku," přibližuje rozměr důležitý pro atribuci Špidla. Hackeři však mnohdy s oběma položkami pracují tak, že pomocí nich se naopak skryjí a ztíží svou identifikaci. Atribuce proto sestává i z dalších kroků.
Přijmout odpovídající reakci
Klíčovým motivem je, aby měl celý systém přesah z IT prostředí do jiných oblastí. Hlavní je spolupráce. "Jako zcela zásadní pro proces atribuce se ukazuje využití co nejširšího množství zdrojů, kde se předpokládá zapojení informací od zpravodajských služeb, jejich výměna, mezinárodní spolupráce NÚKIB a koordinace postupů," vysvětluje mluvčí Vojenského zpravodajství Alžběta Riethofová.
Atribuce stejně jako policejní vyšetřování může trvat několik měsíců. Ostatně Američané odpověděli na ruský útok až po roce. Proto je rovněž nutné stanovit postup pro dlouhodobější reakci, jež by měla útočníka odradit od dalších operací. Možná odveta má stát na konci procesu. V úvahu se při ní musí brát, že určení pachatele odpovídá "jen" určitému stupni pravděpodobnosti. Nikdy nebude stoprocentní.
Proto je nutné určit míru ráznosti provázející odvetné kroky. Ty mohou mít několik podob, někdy může zůstat "jen" u proklamace. "Pro tyto účely by měly být předem posuzovány i dopady případných reakcí státu z pohledu mezinárodního práva či zahraniční politiky. Může se jednat o diplomatická, ekonomická či technická opatření, může však mít i podobu prostého veřejného vyjádření," říká mluvčí NÚKIB Táborský.
Původce kyberútoků se snaží tuzemské složky odhalit i nyní. Aktuální snaha o atribuci má zefektivnit stávající postup, upevnit spolupráci jednotlivých orgánů jako NÚKIB a tajných služeb a účelně propojit jejich jednotlivé úkony. Pokud se to podaří, bude třeba možné oficiálně pojmenovat aktéra rozsáhlých březnových útoků na systémy tuzemské státní správy a podniknout odpovídající odvetná opatření.
