Reálná fikce: Hackeři útočí, záchranný systém kolabuje. A "zemřelo" sto lidí

Radek Dragoun Radek Dragoun
2. 4. 2019 19:04
Je to naštěstí jen fikce, ale zároveň situace, která se může reálně stát. K hranicím se řítí hurikán, který působí ohromné škody. Ničí vše, co mu stojí v cestě. Volání na tísňovou linku přibývá. Náhle však integrovaný záchranný systém kolabuje. Hackeři slaví vítězství. Jak by si s podobnou situací vzápětí Česko poradilo, sledoval deník Aktuálně.cz na Kybernetickém polygonu v Brně.
Foto: NÚKIB

Velká obrazovka zobrazuje mapu, na níž jsou barevnými tečkami vyznačeny záchranné vozy v terénu a místa nehod. Očekává se, že těch, která symbolizují neštěstí, v následujících minutách přibude. K fiktivní zemi Pilsneria se totiž blíží hurikán, který pravděpodobně stejně jako v okolních zemích způsobí výpadky proudu, zatopí stovky domácností a ohrozí život a majetek obyvatel.

Náhle však systém spadne. Řídicí středisko nyní nemá přehled, kde v terénu má své záchranáře a kde je potřeba jejich pomoci. Není to však jen drobný výpadek. Aplikace integrovaného záchranného systému je od rána pod útoky neznámých hackerů. Řadu z nich se podařilo odvrátit, některé ne. Ty však neměly tak fatální následky jako ten poslední.

Pět čtyřčlenných týmů poskládaných z IT odborníků z policie, hasičů a záchranářů nyní čelí největší hrozbě. Každá vteřina, kdy systém nefunguje, může ohrozit životy lidí. Některé týmy systém nahodí takřka okamžitě, jiný s ním bojuje dlouhé minuty. Do toho jim navíc volá vedení a žádá si zprávy o situaci. Pochopitelně se na ně obrací také novináři.

To, že se jedná o extrémně stresující chvíle, není na první pohled znát. Lidé klidně sedí za počítači, bez emocí spolu diskutují a něco ťukají do počítače. Samozřejmě pracují s vědomím toho, že jde pouze o cvičení. Přiznávají však, že i tak je na ně tlak enormní. "Je zajímavé si vyzkoušet, jak se pracuje pod velkým stresem," říká jeden z účastníků cvičení, policista, který se zabývá kyberkriminalitou. Svou totožnost si kvůli své práci nepřeje prozradit.

Ačkoliv je mezi účastníky cvičení řada odborníků, akce pro ně má smysl. Řada z nich totiž skutečnému rozsáhlému kybernetickému útoku nečelila. Toto je unikátní příležitost, jak si obranu před ním vyzkoušet. "Doufáme, že si jednak zkusí, jaké je to reagovat v krátkém čase na určité typy útoků, se kterými se nemuseli setkat, a doufám, že ani nesetkají. Druhou věcí je vystavit cvičící tlaku, který mohou v případě řešení incidentů zažít," vysvětluje smysl cvičení ředitel odboru kybernetických bezpečnostních politik NÚKIB Václav Borovička.

Za počítačem pak sedí i lidé, jejichž úkolem v profesním životě není bránit se kybernetickým útokům. Jedním z nich je už citovaný kriminalista. "Zabývám se tím, jak jsou útoky páchány. Pro to, abych věděl, jak k nim došlo, musím vědět, jak se jim bránit. Pro mě to určitě přínosné je," vysvětluje policista.

Červený tým řídí apokalypsu

Cvičení je dvoudenní. První den mají frekventanti na to, aby si nakonfigurovali systém, který dostali. V zásadě jde o to zalepit co nejvíce děr, kterými by mohl být vedený útok. Hlavní část cvičení začíná druhý den. O jedno patro výše v budově Kybernetického polygonu sídlí červený tým, který vede jeden útok za druhým.

"Týmy si mají vyzkoušet obranu před útoky, které jsou různorodé. Začíná se klasickými útoky na veřejné služby typu DDoS útok, defacement, phishing a postupně eskalují. V konečné fázi je cílem útočníků, když to řeknu jednoduše, shodit vše, co se dá. Pracovně to nazýváme apokalypsou," prozrazuje Martina Ulmanová z červeného týmu útočníků. 

V čem spočívají jednotlivé útoky?

  • DDoS útok - Útočníci se během něj snaží server zahltit velkým množstvím požadavků, kvůli kterým dojde k jeho přetížení a služba či stránka, která na něm běží, přestane být dostupná.  
  • Defacement - Rovněž se mu říká digitální graffiti. Útočník díky němu může měnit obsah webových stránek. Může na ně například umístit vlastní reklamu či demonstrovat svůj postoj vůči vládě či instituci. 
  • Phishing - Útok, který má za cíl získat od uživatelů citlivé informace, například hesla či čísla kreditních karet. Často probíhá tak, že vyzývá lidi, kteří jsou jeho cílem, k tomu, aby tyto údaje zadali na falešnou stránku. 

Kdo přesně jsou hackeři, kteří dokážou vyřadit integrovaný záchranný systém z provozu, ale organizátoři nechtějí příliš komentovat. Jedná se prý o lidi z NÚKIB, Masarykovy univerzity a "partnery z bezpečnostní komunity". 

"Cvičení se snažíme simulovat věrohodně. Na druhou stranu si uvědomujeme, že cvičící jsou již od začátku v nevýhodě. Na zabezpečení infrastruktury, kterou vidí poprvé v den cvičení, nemají mnoho času. V týmu se navíc neznají, proto si musí nastavit také vhodně komunikaci mezi sebou. Akce proto není soutěž mezi obrannými týmy a útočníkem, nýbrž příležitost si otestovat obrannou strategii a reakci na útoky," dodává Ulmanová.

Cvičení je unikátní také díky tomu, že dává účastníkům cennou zpětnou vazbu, kterou v kybernetickém prostředí nemohou jen tak získat. Pokud už v reálném světě nějakému útoku čelí, jeho vyšetřování trvá někdy až dlouhé měsíce. Způsob, jakým k němu došlo, se tak správci dozví s velkým zpožděním. Naopak na cvičení se bezprostředně po jeho skončení setkají s útočníky a vyměňují si své poznatky.

Týmy na velké obrazovce před sebou mohou pozorovat rozhraní integrovaného záchranného systému. Události, k nimž musí hasiči vyjet, přibývají.
Týmy na velké obrazovce před sebou mohou pozorovat rozhraní integrovaného záchranného systému. Události, k nimž musí hasiči vyjet, přibývají. | Foto: NÚKIB

"Červený tým prochází se cvičícími jednotlivé útoky a mimo jiné doporučuje, jak se před nimi chránit v reálném prostředí. Cvičící tak bezprostředně dostávají i pohled útočníků. Ti jim mohou říct, které věci, které udělali, byly dobré, protože jim při útoku zkomplikovali cestu. Nebo jim naopak řeknou, že nějakou situaci sice vyřešili, ale zároveň si udělali díru jinde," popisuje Borovička.

Cvičení je zajímavé rovněž pro policisty z Národní centrály proti organizovanému zločinu (NCOZ), pod které šetření kyberkriminality spadá. I oni na něj posílají své lidi, kromě toho se na přípravě cvičení podílí. "Zkoušíme ho přiblížit realitě. Chceme také pěstovat nějaké právní návyky lidí, aby věděli, proč některé věci jako orgány činné v trestním řízení chceme, co nás k tomu nutí a proč je potřebujeme pro trestní řízení," říká ředitel sekce kybernetické kriminality NCOZ Radek Nezbeda.

Právě správci napadených sítí mohou svými kroky policii výrazně pomoci při dopadení pachatele. "Je dobré, aby se ajťáci, kteří se k tomu dostanou první, naučili sepisovat to, co s napadeným systémem udělali, aby pak bylo zjevné, co je práce administrátorů a co je práce pachatele, abychom měli zajištěné stopy a pachatele pak mohli najít," popisuje Nezbeda.

Přes sto mrtvých

A jak týmy dopadly? Dva z nich měly kvůli výpadku integrovaného záchranného systému přes sto mrtvých, bez úmrtí nebyl ani jeden z nich. Nejde však o tak špatný výsledek, jak se může zdát.

Organizátoři tvrdí, že ve skutečném světě by útok nebyl tak intenzivní a komplexní. Dalším významným faktorem je to, že útočníci znají dokonale prostředí, což ve skutečnosti je jen těžko představitelné. Naopak obránci dostanou jim neznámý a již někým nakonfigurovaný systém s řadou chyb tak, aby byl napadnutelný, přičemž mají jen omezený čas na jeho nápravu. Cvičení však snižuje riziko, že v případě skutečného útoku na dobře známé systémy budou následky jen minimální.

V každém týmu byl zástupce hasičů, záchranářů a policistů. Před cvičením se tudíž většinou navzájem neznali.
V každém týmu byl zástupce hasičů, záchranářů a policistů. Před cvičením se tudíž většinou navzájem neznali. | Foto: NÚKIB
 

Právě se děje

Další zprávy