Hackeři jsou čím dál agresivnější. Braňte se víc, nařizuje EU velkým podnikům

Martin Petříček, týdeník Ekonom
4. 2. 2023 12:58
Kriminalisté z USA, Kanady a 11 evropských zemí zaznamenali minulý týden mimořádný úspěch. Podařilo se jim rozbít zločinecký gang Hive, který přes rok a půl vydíral firmy po světě. Postup útočníků byl vždy stejný: zkopírovali si citlivá data napadené organizace, pak zašifrovali soubory v její počítačové síti. Poté požádali o dvojí výkupné - za dešifrování souborů a nezveřejnění ukradených dat.
Ilustrační foto.
Ilustrační foto. | Foto: Reuters

Těmto kybernetickým vyděračům padlo podle Europolu za oběť přes 1500 organizací z více než 80 zemí. Na výkupném zaplatili takřka 100 milionů eur (2,4 miliardy korun).

Podobných kybernetických útoků po celém světě včetně Česka v poslední době dramaticky přibývá. Mezi atraktivní cíle patří v poslední době také zdravotnická zařízení. Jsou v hledáčku řady kybernetických gangů, zaměřila se na ně i skupina Hive.

Útočníci vědí, že si nemocnice nemohou dovolit výpadek služeb a že v případě zveřejnění citlivých údajů hrozí obří ztráta reputace. Podle údajů kyberbezpečnostní společnosti Check Point Software Technologies byla na konci loňského roku terčem ransomwaru - tedy softwaru, který stojí za výše popsaným typem útoku - každá 13. zdravotnická společnost. Ještě během prázdnin a září to přitom byla pouze jedna z padesáti.

Hive například v říjnu zaútočil na nemocnici Lake Charles Memorial v americké Louisianě. Hackeři se dostali k osobním údajům téměř 270 tisíc pacientů, zašifrování systémů se naštěstí podařilo zabránit. O dva měsíce dříve čelila rozsáhlému útoku francouzská nemocnice Centre Hospitalier Sud Francilien, kterou paralyzovala skupina LockBit 3.0. Žádala výkupné ve výši 10 milionů dolarů. Nemocnice musela kvůli nefunkčním přístrojům některé pacienty převézt do jiných zařízení a personál se vrátil k papíru a tužce.

Útoky se nevyhýbají ani českým nemocnicím. Na začátku pandemie covidu, den po vyhlášení prvního nouzového stavu, ochromili hackeři Fakultní nemocnici Brno. Zasáhl ji vir Defray, útočníkům se podařilo dostat dovnitř sítě několik týdnů před spuštěním útoku. Nemocnice po něm přišla o spoustu organizačních dat, smluv či vědeckých podkladů. Počítačový vir zničil i velkou část záloh. Škoda vystoupala na 150 milionů korun.

Jak před časem zjistilo Aktuálně.cz, stopy vedou do Ruska, konkrétního pachatele však policie nenašla. Pár měsíců před brněnským špitálem zasáhl kyberútok i nemocnici v Benešově, kde způsobil škodu přes 59 milionů korun.

"Amatérské" pokusy vedou, přibývají však i sofistikované

Česká policie loni zaznamenala v kyberprostoru přes 18,5 tisíce trestných činů, což je meziročně o 95 procent více. Tvoří přes deset procent celkové registrované kriminality. Do kyberprostorů se podle policistů přesunula celá škála trestné činnosti, která je známá i z reálného světa: od násilné přes majetkovou až po mravnostní skutky.

Většina kyberkriminality, kterou se policie zabývá, je obdobou drobných krádeží v reálném světě. Opravdu velkých, sofistikovaných útoků, kdy je terčem například infrastruktura mobilních operátorů, proběhne za rok jen několik.

Potvrzuje to i Václav Svátek, jehož společnost ČMIS patří k předním provozovatelům webhostingových a datových center v Česku. Ta jsou pod útoky neustále, obvykle jde spíše o "amatérské" pokusy. "Asi jako když bude zloděj na sídlišti zkoušet kliky u aut, jestli to náhodou nevyjde. Nejčastější z nich jsou známé DDoS útoky, při nichž dochází k zahlcení počítačů vysláním velkého množství požadavků. Těch sofistikovaných útoků je o něco méně, ale i jejich frekvence roste," říká Svátek. Intenzita kybernetických útoků se podle něj zvyšuje meziročně o dvacet až třicet procent.

Útoky obecně míří tam, kde jsou velké objemy dat a zejména osobních údajů, tedy například na e‑mailové služby či e‑shopy. "Čím více osobních dat útočník získá nebo čím větší firmu, která data pro práci potřebuje, ochromí, tím větší může být jeho zisk. Ať prodejem dat firmě zpět nebo jejich zpeněžením na darknetu," říká Svátek.

Jeho firma například "hostovala" na svých serverech akreditační systém sloužící pro setkání politiků s novináři během předsednictví Česka v Radě Evropské unie. "Jednalo se o citlivé místo pro celé předsednictví, útoky na tento cíl nicméně nepřekročily průměr útoků na jiná místa, která chráníme. S ochranou a detekcí útoků nám pomáhala armádní kyberrozvědka," říká Svátek.

Je to příliš drahé, myslí si manažeři o kyberbezpečnosti

Řada firem ovšem kyberbezpečnost podceňuje. Manažeři v českých firmách - kromě těch, kteří mají IT přímo v popisu práce - považují podle průzkumu společnosti Sophos za největší problémy při zajišťování digitální ochrany vysoké náklady na pořízení bezpečnostního řešení, nedostatek času na implementaci a nedostatek kvalifikovaných zaměstnanců. Pro srovnání: Poláci a Maďaři na problém vysoké ceny poukazují výrazně méně.

Tomáš Kudělka, ředitel technologického týmu poradenské společnosti KPMG, upozorňuje, že zásadním problémem je lhostejnost, a to jak samotných expertů, tak i managementu firem. "Doba ignorance či podceňování kyberbezpečnosti ale brzy skončí," říká Kudělka. Přístup ke kyberbezpečnosti se nevyhnutelně musí zpřísnit. Směřuje k tomu i legislativa.

Rada Evropské unie v závěru roku schválila kyberbezpečnostní směrnici NIS2, kterou Česko musí do svého právního řádu promítnout nejpozději ve druhé polovině příštího roku. "Směrnice je bez nadsázky revoluční. Ukládá povinnosti nejen firmám, které patří do kritické infrastruktury, ale všem podnikům, které mají obrat nad deset milionů eur a více než 50 zaměstnanců. Zvýšené nároky klade i na státní správu," říká Kudělka. Přímo dopadne přibližně na 17krát větší počet organizací, než které regulovala dosavadní směrnice.

Podniky si podle směrnice budou muset pohlídat náležitou úroveň kyberbezpečnosti nejen u sebe, ale i u svých dodavatelů. Mohou u nich kvůli tomu dokonce provádět audit. Za porušení povinností je budou čekat sankce. "NIS2 hovoří o odpovědnosti vedení, takže budoucí kiksy už nepůjde hodit jen na bezpečnostního manažera. Za porušení NIS2 si může firma vykoledovat pokutu až 10 milionů eur," říká Kudělka.

Celý článek si můžete přečíst v aktuálním vydání týdeníku Ekonom.

 

Právě se děje

Další zprávy