Obecné ohrožení, vydírání a škoda 150 milionů. Vyšetřování kyberútoku míří do ciziny

Jan Horák Jan Horák
12. 3. 2021 10:38
V sobotu uplyne přesně rok od masivního kybernetického útoku na Fakultní nemocnici Brno, který na čas vyřadil z provozu některé její IT systémy. Řada dat se obnovuje dodnes. Deník Aktuálně.cz přináší přehled současného stavu nemocnice a průběhu objasňování případu. Národní centrála proti organizovanému zločinu prověřuje incident pro podezření z několika trestných činů.
K masivnímu kybernetickému útoku na Fakultní nemocnici Brno došlo 13. března 2020.
K masivnímu kybernetickému útoku na Fakultní nemocnici Brno došlo 13. března 2020. | Foto: Česká televize

Útok na nemocnici začal v pátek 13. března 2020 ve dvě hodiny ráno den po vyhlášení nouzového stavu kvůli počínající epidemii koronaviru. Atak postupně vyřadil několik IT systémů nemocnice. Vedení špitálu nechalo bezprostředně vypnout všechny počítače. Musely se odložit některé plánované operace, základní provoz zařízení ovšem zůstal zachovaný včetně poskytování akutní péče.

Deník Aktuálně.cz zjišťoval, jak se po roce posunulo objasňování případu a jak vypadá provoz nemocnice dnes. Národní centrála proti organizovanému zločinu vede trestní řízení pro podezření ze tří deliktů. "Pro zločin vydírání, obecné ohrožení a neoprávněný přístup k počítačovému systému a nosiči informací," řekl Aktuálně.cz Hynek Olma, mluvčí Krajského státního zastupitelství v Brně, jež práci policie dozoruje.

Kvalifikace vydírání potvrzuje zjištění redakce Aktuálně.cz, která týden po kybernetickém incidentu upozornila na nástroj útoku. Hacker pronikl do systému nemocnice prostřednictvím kryptoviru Defray, jenž je typický pro požadování výkupného. Virus zašifruje napadená data, za jejichž odblokování požaduje útočník výkupné. Základní taxou v obdobných případech je pět tisíc dolarů v bitcoinech.

Útočníkovi hrozí až 15 let

Masivní útok za sebou nechal výraznou škodu, jež svým rozsahem několikanásobně překročila náklady do té doby největšího kybernetického incidentu v rámci českých nemocnic. Po ataku na špitál ve středočeském Benešově v prosince 2019 zůstala škoda 50 milionů korun. "Předběžně vyčíslená škoda činí 150 milionů korun," řekl k následkům incidentu v brněnské nemocnici mluvčí Olma.

Kriminalisté dosud nikoho neobvinili. Z vyjádření mluvčího brněnských žalobců plyne, že útok pocházel ze zahraničí. "Případný posun v předmětné věci je odvislý od faktické realizace právních pomocí adresovaných zahraničním subjektům trestního řízení," řekl. Jaké instituce se na rozkrývání podílí, není jasné. Podle informací Aktuálně.cz jde o orgány z členských zemí NATO.

"Věcí se zabývá sekce kybernetické kriminality Národní centrály proti organizovanému zločinu," sdělil Aktuálně.cz mluvčí útvaru Jaroslav Ibehej, kdo je klíčovou složkou prověřování na domácí půdě. Pokud se policii podaří původce útoku obvinit, hrozí mu až 15 let za mřížemi. Sazba vyplývá z kvalifikace obecného ohrožení, protože útok na zdravotnické zařízení je z povahy způsobilý ohrozit životy pacientů.

I rok po útoku jsou znatelné následky

Nemocnice i rok po útoku cítí jeho následky znatelně. Zjednodušeně řečeno některé sítě využívané třeba laboratorními přístroji nejsou z důvodů finančních, technických či obchodních stále vyčištěné. "Potenciálně špinavé sítě jsou odizolované, data z nich využíváme a zpracováváme přes určitý firewall. Nicméně ta špinavá část se postupně redukuje," řekl Aktuálně.cz ředitel nemocnice Jaroslav Štěrba.

Ve špitále se dodnes obnovují napadená data. Už v tuto chvíli je přitom jasné, že některá zanikla definitivně. "Přišli jsme o spoustu organizačních dat, smlouvy, právnické dokumenty či vědecká data. Náš sharepoint (zdroj sdílení informací, pozn. aut.) je podle sdělení IT techniků po smrti," popsal ředitel Štěrba. Informace o pacientech, radiologická data či laboratorní data se ovšem podařilo zachránit všechny.

Centrální počítačový systém nemocnice fungoval dva měsíce v provizorním režimu. Na samém počátku ho špitál restartoval, aby bylo možné zprovoznit intranet a elektronickou poštu. Následně se musely znovu propojit jednotlivé složky sítě, jako byl radiologický či laboratorní systém. V prozatímním režimu bylo také složitější vyhodnocovat některá vyšetření.

"Například po vyšetření cévní mozkové příhody na angiografu je třeba, aby ho vyhodnotil neurochirurg, zda je nutné provést zákrok. Běžně se na snímky dívali z domova, ale po útoku se z domova nemohli připojit. Museli kvůli tomu přijet, čímž se ztrácel čas," přiblížil Štěrba. V té době bylo rovněž riziko, kdyby přivezli více případů mnohačetného zranění. Vyšetření na CT a jeho výsledky by trvaly znatelně déle.

Kryptovirus Defray

Jako krizového IT manažera pro vypořádání se s bezprostředními následky útoku požádala brněnská nemocnice o spolupráci náměstka pro informatiku a digitální transformace Všeobecné fakultní nemocnice v Praze Vlastimila Černého. S sebou si do Brna vzal ze svého mateřského zařízení tým expertů, v moravské metropoli zůstali dva měsíce.

"Pro Defray je typické to, že se zaměřuje na zdravotnická zařízení. Je to čistě vyděračský ransomware (ransom je výkupné, pozn. aut.). Kam se dostane, to zašifruje," popsal už dříve Aktuálně.cz v obecné rovině podstatu kryptoviru, jenž pronikl do systému brněnské nemocnice, Aleš Špidla, prezident expertního spolku Český institut manažerů informační bezpečnosti.

Útok byl cílený. V podání viru Defray spočívá v tom, že jeho nosičem je průvodní e-mail s náležitostmi známého uživatele. Vypadá jako odeslaný od někoho, s kým je osoba, která ho otevře, v pravidelném kontaktu. Než ho útočník zašle, zjišťuje, s kým je cílový příjemce v pravidelném spojení, jakou ochranu napadená instituce používá či jak je zranitelná.

Celá instituce jako na dlani

Hacker si zpravidla vybere uživatele, jenž má v rámci systému velká práva. Ideálně míří na správce systému. Jakmile dotyčný e-mail otevře, Defray má volnou cestu. Začne šifrovat data, v některých případech rovnou maže i jejich zálohy. "Když získá kontrolu nad správou sítě, má celou instituci na dlani. Může začít útočit dovnitř samotného systému," vysvětlil už dříve Aktuálně.cz René Pospíšil, manažer české pobočky firmy Bitdefender, jež se zabývá kybernetickou ochranou.

Původci útoku kryptovirem Defray jsou zpravidla organizované skupiny s jasnou hierarchií. Organizace se v takových případech vyplatí, protože jde o výnosný byznys. Nemocnice v krizovém období bývají cílem z důvodu obecně nízkého zabezpečení. Proto opatření brněnského špitálu po útoku vedla i tímto směrem včetně proškolení zaměstnanců.

 

Právě se děje

před 7 minutami

V kádru Běloruska pro MS je Šarangovič z New Jersey, Andrej Kosticyn chybí

Útočník Jegor Šarangovič z New Jersey je hlavní hvězdou sedmadvacetičlenné nominace hokejistů Běloruska na mistrovství světa. Vedle jediné posily z NHL jsou v kádru také tři naturalizovaní Kanaďané a dva Američané. Chybí útočník Andrej Kosticyn z Pardubic, který se v přípravě na šampionát zranil.

Nominace hokejistů Běloruska na mistrovství světa v Rize (21. května - 6. června):

Brankáři: Alexej Kolosov, Danny Taylor (oba Dinamo Minsk/KHL), Konstantin Šostak (Čerepovec/KHL),

obránci: Stěpan Falkovskij, Vladislav Jerjomenko, Ilja Solovjov, Ilja Šinkevič, Dmitrij Znacharenko (všichni Dinamo Minsk/KHL), Dmitrij Koronov, Jevgenij Lisovec (oba Ufa/KHL), Andrej Antonov (Junosť Minsk), Nick Bailen (Čeljabinsk/KHL), Kristian Chenkel (Kazaň/KHL),

útočníci: Arťom Děmkov, Francis Paré, Shane Prince (všichni Dinamo Minsk/KHL), Sergej Drozd, Stanislav Lopačuk, Michail Stefanovič (Junosť Minsk), German Něstěrov (Gomel), Andrej Bělevič (Nižnij Novgorod/KHL), Vladislav Kodola (Čerepovec/KHL), Nikita Komarov (Omsk/KHL), Sergej Kosticyn (Bratislava Capitals/ICEHL), Geoff Platt (Ufa/KHL), Jegor Šarangovič (New Jersey/KHL), Danila Klimovič (Zubři Minsk).

před 31 minutami

AT&T v mnohamiliardové transakci spojí mediální součást s firmou Discovery

Americká telekomunikační společnost AT&T spojí svou rozsáhlou mediální součást s firmou Discovery. Vznikne tak samostatný mediální podnik, jenž bude schopen konkurovat i firmám Netflix a Walt Disney.

AT&T podle odhody získá asi 43 miliard USD (901,5 miliardy Kč) a její akcionáři budou mít v nově sloučené skupině většinový podíl, uvedla agentura Reuters.

Další zprávy