„Silné gesto.“ Česko se připojilo k boji proti kyberzločincům, odmítá platit výkupné

Praha 9. listopadu 2023 Sdílet na Facebooku Sdílet na Twitteru Sdílet na LinkedIn Tisknout Kopírovat url adresu Zkrácená adresa Kopírovat do schránky Zavřít

Je to pár dní zpátky, co se Česko připojilo k mezinárodnímu prohlášení proti placení výkupného kvůli takzvaným ransomwarovým útokům. Jak silný je to závazek?
Je to spíš velmi silné gesto. Je to signál pro ransomwarové skupiny, že se státy spojují, že ho nebudou platit. Nebude to pro ně tak jednoduché útočit, a hlavně po nich chtít výkupné. Není to nic závazného. Neznamená to, že když stát zaplatí, dostane pokutu nebo tak. To určitě ne. Ale je to poprvé, kdy to podepsalo tolik států – přes 40 států na světě se spojilo, podepsalo tento dokument a shodlo se, že nebudou platit výkupné. Platí to ale jen pro státní instituce. Netýká se to soukromých společností, jednotlivců a tak dále. Znamená to, že státní instituce výkupné platit nebudou.

To, že Česká republika patří mezi těch 40 států, je z pohledu kybernetické bezpečnosti dobrý signál?
Samozřejmě je to dobře, ale není to nic převratného. Česká republika se proti placení výkupného staví dlouhodobě. Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) dlouhodobě nedoporučuje platit výkupné. Letos vydali i několik doporučení, která se týkají ransomwaru. Takže Česká republika sama o sobě vůči tomu bojuje, a tohle je jenom další dílek do celé skládačky.

Proč něco takového muselo vzniknout? Je to čistě jenom gesto, nebo je to kvůli tomu, že každá země má jiný standard, takže se teď dohodli, že se sjednotí?
Mluvila jsem o tom s českou Cyber Attaché ve Washingtonu Bertou Jarošovou, která byla na summitu, kde státy tento dokument podepsaly. Podle ní je důležité si uvědomit, že ransomware není záležitost jednoho státu, jedné instituce. Ransomwary nemají hranice, a nedá se je potírat. Nejde, aby si česká policie řekla, že kriminální skupinu dopadne. Její členové operují po celém světě. Někteří z nich se ani neznají navzájem, a jsou v různých státech. Je tedy nutná mezinárodní spolupráce, a to nejen co se týká geografie, ale i co se týká institucí – není to práce jen pro policii, ale i pro ministerstvo financí, ministerstvo zahraničí. Je potřeba, aby státy ukázaly, že se do toho chtějí zapojit, že jich je hodně, a že je mezinárodní spolupráce nutná. Každý stát samozřejmě má svůj standard, jak se k tomu stavit, ale je potřeba se spojovat nadnárodně.

Říkala jsi, že ke shodě došlo na summitu. To znamená, že prohlášení někdo zaštiťuje?
Dohoda se podepsala na summitu, který se zabývá bojem proti ransomwarům. Byl to už třetí ročník, a zaštiťovala ho Anne Neuberger, která patří mezi špičky v rámci bezpečnostní komunity v USA.

Bezelstní zločinci

Proč prohlášení letos přišlo? Útočilo se na různé české firmy, i na náš web iRozhlas.cz. Jak to v praxi vypadá, když někdo útočí ransomwarem, a chce za to výkupné?
Kyberkriminální skupiny mají různé taktiky, ale většinou se do systému dostávají buď přes podvržený e-mail, kdy otevřete škodlivou přílohu nebo odkaz, nebo se vám tam dostanou přes aplikace, které jsou otevřené do internetu. Možností je vícero. Většinou nejdřív prozkoumají síť – jak vypadá uvnitř, co tam je zajímavého. Pak pošlou další škodlivý kód – malware. Potom zašifrují veškeré systémy. Jakmile se zašifrují, tak se k nim samozřejmě nedostanete. V ten moment vám pošlou zprávu, že zašifrovali systémy, a ať zaplatíte výkupné. Následně je na vás, jestli se budete s vyděračem bavit nebo ne. Že NÚKIB výkupné nedoporučuje platit, má své důvody. Když zaplatíme výkupné, podporujeme organizovaný zločin, a zločincům ukazujeme, že když data zašifrují, tak zaplatíme. Teď dostali nás, příště dostanou někoho dalšího, a budou v tom pokračovat. Zároveň platíte zločincům, ale nemáte vůbec žádnou jistotu, že dohodu dodrží. Nebo když vám dešifrovací klíč dají, stejně může zveřejnit data, která ukradl. Je tam spoustu možností, jak vás dál obelstít nebo chtít další výkupné.

Ransomware je vyděračský typ útoku, a malware je škodlivý program?
Malware je nadřazený škodlivý kód, a ransomware je typ škodlivého kódu. Je to typ malwaru, který je vyděračský.

Proto potřebuješ dešifrovací kód – útočník řekne, že jsi byl hacknut, tady je kolonka, kam můžeš zadat kód, ale zaplať výkupné. A s hackerem se přes škodlivý program dokážeš i spojit...?
Jsou skupiny, které s tebou ani nekomunikují, jenom tě zašifrují a konec. Pak jsou skupiny, které s tebou komunikují a ano, tam se potom spolu můžete bavit.

Hrozí spíš tím, že zablokují počítač, nebo že z něj ukradnou data?
Všechno tohle je možné. To, že zničí počítač, není u ransomwaru až tak časté. Dostanou se ale k datům, takže si nejsme jistí, jestli je ukradli, nebo jen zašifrovali. Spousta skupin dělá to, že data ukradnou a zašifrují. K některým ransomwarům už existují dešifrovací klíče, proto když je dešifrujete, aniž byste dostali klíč od útočníka, tak zaprvé se vám to nemusí povést úplně na sto procent, můžete o nějaká data pořád přijít. Útočník navíc může data mít. Takže samozřejmě záleží, co to je za data a může vás dál vydírat tím, že je zveřejní, nebo je bude přeprodávat.

Co jsou útočníci zač? Jsou třeba napojení na nějaké skupiny? Nebo na státní instituce v zemích, které považujeme za teroristické?
Všechno je možné. Jsou to buď profesionální zločinci – že to mají jako byznys –, nebo pak máme samozřejmě známé ransomwarové skupiny, které jsou podporované přímo vládami cizích států. Je známo, že Severní Korea má několik hackerských skupin, které chtějí výkupné. Když je zaplatíte, sponzorujete tím Severní Koreu, třeba jejich jaderný program. Takže na tom vydělává ten stát jako takový.

Zástupce ředitele Vojenského zpravodajství Václav Žid v nedávném rozhovoru pro server iRozhlas.cz řekl, že tyto útoky spolu můžou souviset, a že zaznamenali phishingové kampaně a ransomware útoky na různé instituce. Mezinárodně politická motivace se v útocích objevuje běžně?
Může a nemusí. Může to být opět jen o tom, že si někdo chce vydělat peníze.

Útok na Univerzitu obrany

Jeden z velkých případů ransomwarového útoku proběhl letos v září na Univerzitu obrany. Případ nakonec řešilo i státní zastupitelství. Jak to dopadlo?
Ještě to nedopadlo, vyšetřování stále pokračuje. K tomuto případu máme velmi málo informací. K útoku na Univerzitu obrany se přihlásila skupina Monti. Ta zveřejňuje data na internetu – můžete si to běžně dohledat –, takže jsme viděli seznam souborů, které ukradli. Neviděli jsme obsah souborů, jenom názvy.

Už z některých názvů bylo poznat, co tam asi může být…?
Přesně tak, ale ještě nebyla jistota, že data opravdu mají, pouze zveřejnili seznam. Skupina Monti samozřejmě vyzvala univerzitu, aby zaplatila výkupné. Později, když bylo evidentní, že univerzita nezaplatila, protože začali postupně zveřejňovat data, jsme se dostali k několika balíčkům uniklých dat. Zatím nezveřejnili nic extrémně citlivého – jsou tam například fotky z plesů, pár adres zaměstnanců, ale není tam nic extrémně citlivého. To ale neznamená, že to v uniklých datech nemusí být. 

Potom se ale stala věc, která nás poněkud překvapila. Skupina Monti stáhla veškerá data, která o Univerzitě obrany zveřejnila. Nejdřív jsme si mysleli, zda to není chyba systému, ale data dalších obětí této skupiny jsou stále zveřejněná. To znamená, že se to týká jen Univerzity obrany. Je několik teorií, proč se to stalo.

… že třeba nakonec zaplatili?
Teoreticky. Zatím o tom nemáme žádné zprávy. Podle toho, jakým způsobem NÚKIB apeluje, že se nemá platit výkupné, si myslím, že by státní instituce měla kyberúřad poslouchat. Motivace můžou být i jiné – skupina Monti mohla chtít větší pole pro vyjednávání, protože jakmile začnou zveřejňovat data, prostor pro vyjednávání a pro zisk výkupného se samozřejmě zužuje. Nebo když se podíváme na jiné skupiny, jak fungují, tak skupina LockBit začala britskou poštovní společnost Royal Mail vydírat i tím, že zveřejnili komunikaci mezi vyděračem a službou. To je další krok, jak můžou na instituce útočit. Co je důvodem, proč Monti data stáhl, zatím samozřejmě nevíme. Ani univerzita, ani policie, ani státní zastupitelství o tom nemluví.

Monti je právě jedna z nadnárodních skupin, která je napojena na konkrétní stát?
O skupině Monti toho tolik nevíme. Víme o skupině Conti, která fungovala dříve. Je docela dobře zmapovaná, protože se mezi sebou pohádali, a jeden ze členů potom začal zveřejňovat veškerou komunikaci, takže se toho o této skupině ví hodně. Pohádali se, když začala válka na Ukrajině. Skupina Conti se přiklonila na stranu Ruska, s čímž tento člen nesouhlasil. Začal tedy zveřejňovat dokumenty a skupina se rozpadla. Například Boris Mutina z firmy Excello mluvil o tom, že skupina Monti jsou následovníci skupiny Conti, ale nevíme o nich nic, a je velmi složité vystopovat, co to je za lidi. Celá skupina se nemusí kompletně znát. Může v ní být třeba jen deset klíčových členů, zbytek můžou být najatí programátoři. Můžou být rozprostřeni po celém světě.

Zmiňovala jsi, že NÚKIB varuje, aby se s hackery nevyjednávalo, neplatilo výkupné, a taky před útoky dopředu varuje. Jak o nich můžou vědět? Respektive jak mohli letos v červnu tušit, že útoky přijdou?
Velmi často mají informace od zahraničních partnerů. To je důvod, proč má NÚKIB své Cyber Attaché, proč si pěstuje kontakty po celém světě, proč komunikuje s českými i zahraničními kyberúřady a zpravodajskými službami. Informace mezi sebou sdílí, a díky tomu jsou potom státy schopné dopředu varovat své instituce, že něco takového hrozí.

Co se týče výše výkupného – můžeme se bavit o stovkách tisíc dolarů? Jde to do milionů?
Třeba co víme o LockBitu, u Royal Mail to bylo myslím 80 milionů dolarů. Skutečně velmi vysoké sumy. Robert Schumann ze společnosti Eset říkal, že vyjednáváním s kyberkriminálníky se dá částka snížit i na desetinu. Pořád to ale nemění nic na tom, že se výkupné neplatí.

Ochrana nikdy není stoprocentní

Jak tomu předcházet? Jde třeba útok na Univerzitu obrany na vrub těch, kteří zajišťovali zabezpečení jejich sítě?
Zdá se, že ano, ale neodvažuji se ze židle soudit, jak se tam útočník dostal a kdo za to může. To určitě není moje role. NÚKIB zveřejňuje několik cest, jak se můžete chránit. Jsou tam klasická pravidla, jako je změna hesla. Heslo musí být opravdu dlouhé, zabezpečené, a unikátní. Další věc je, které systémy máme vystavené do internetu a mít jich co nejméně, pokud vůbec tam nějaké musí být. Hlídejte si, kdo má administrátorská práva ve firmě, protože je nesmysl, aby je měl každý zaměstnanec. Pak záleží na architektuře sítě v dané instituci. Dá se segmentovat, aby, když napadnou jednu část, se to nerozlezlo do celé firmy. Je spoustu kroků, jak se chránit, ale každý krok něco stojí a pak se vždycky bavíme, kolik ještě jsme ochotní do bezpečnosti dát, a jestli se to vyplatí. Nikdy nemůžete být stoprocentně ochráněni, vždycky polemizujete a srovnáváte. Rozhodně neříkám, že jsou české instituce dobře zabezpečené. V Česku se kyberbezpečnost podceňuje.

Na hesla už dnes existují různí správci s dvoufázovým ověřením, kdy si můžeš pamatovat jenom jedno heslo, ale program jich v sobě má desítky. To je taky něco, co by mohly české instituce začít používat ve velkém?
Určitě, to může používat běžný člověk. Problém je, že spousta lidí je líná, a hesla je nebaví. Často se tak na to vykašlou a dají si tam ‚12345‘. I když se o tom roky mluví, pořád jsou podle žebříčku nejčastější hesla ‚123456‘ s tečkou, aby tam byl speciální znak.

Je ransomware něco, co by mělo běžné Čechy zajímat?
Samozřejmě. Může se stát, že vám kyberkriminálník zašifruje počítač, ale jako jednotlivec nejste úplně lákavým cílem. Co se vám ale může stát, je, že vám tento zločinec zablokuje vaši nemocnici nebo ordinaci vašeho lékaře. To jsou cíle, které by vás měly zajímat, protože se vás to bude přímo dotýkat.

Takže obezřetnost je na místě ve všech případech, i co se týká jiných útoků, než jenom ransomware…?
Pokud se budeme bavit o tom, co řeší policie, tak ransomwary a tyto velké útoky jsou samozřejmě jen špička ledovce. Co policie řeší nejčastěji, jsou klasické podvody na lidi, kdy se z nich snaží vytáhnout osobní data, čísla účtů, čísla karet a podobně. To jsou opravdu stovky, možná už tisíce případů, a škody jsou až v milionech korun na jednotlivce. I když nemáte na účtu tolik peněz, pořád si na vás může vzít úvěr. Takže nejen, že přijdete o peníze, ale ještě budete splácet peníze, které jste nikdy nevěděli. To je nejpalčivější problém, který se týká jednotlivců.

V tomto ohledu pozor třeba na podvodné SMSky, které teď rozesílali kyberkriminálníci jménem ministerstva práce a sociálních věcí. Čeká se to před Vánoci, a děje se to třeba s SMSkami od České pošty, které nejsou od České pošty.
Tihle zločinci vždycky využívají aktuální situace. Umí se adaptovat. Když se měl loni dostávat jednorázový příspěvek pro rodiny, tak samozřejmě začaly využívat právě MPSV a psali SMSky, že je tam nějaká komplikace, a je potřeba vyplnit některá data, abyste dostali peníze. Když se blíží Vánoce, všichni nakupujeme dárky online. Je strašně moc balíčků, shon, pořád vám chodí zprávy o tom, že váš balíček je doručen, není doručen a tak dále. Kyberkriminálníci tak tuto situaci zneužívají. Velmi dobře se adaptují na to, co se zrovna děje.

V podcastu byly kromě zvuků z Českého rozhlasu využity zvuky z České televize.