Přestože první informace od internetových firem vyznívaly tak, že Česko se stalo při mezinárodním útoku vyděračským programem ransomware ze 27. června devátou nejzasaženější zemí, podle vládního zmocněnce pro kybernetickou bezpečnost Dušana Navrátila to nelze potvrdit.

"Tento údaj je potřeba brát s rezervou, my zatím takové informace nemáme. Vychází z čísel antivirové společnosti Eset, a zatím nevíme, jak k nim došla. Předpokládáme, že na základě dat od svých zákazníků, ale zatím nevíme, o jaké soubory zákazníků jde. Ani český poskytovatel domén CZ.Nic ani ostatní antivirové společnosti nic takového neříkají," uvedl Navrátil na diskusním setkání pořádaném Institutem pro veřejnou diskusi. Setkání se věnovalo otázce, zda je Česko připraveno na kybernetický útok.

IT se ve státní správě podceňuje

Podle Navrátila byl aktuální útok vážný. "Hodně připomíná chování wanacry před měsícem (globální kybernetický útok vyděračským programem, který v polovině května zasáhl zhruba stovku zemí, pozn. red.), ale je mnohem sofistikovanější. Technické analýzy útoku ještě nemáme k dispozici. Pravděpodobně využívá zranitelnosti starých počítačů, ale i nových věcí. Takže první věc je soustředit se na počítače. To znamená záplatovat, záplatovat, záplatovat, neboli provést všechny požadované aktualizace windows. Za druhé, při každém útoku jde o lidský faktor, takže je potřeba lidi v této oblasti vzdělávat," řekl Navrátil.

Podle něj představuje současný ransomware kriminální záležitost, která nemá žádný politický podtext ani nemíří proti žádnému konkrétnímu státu či politickému zřízení. "Je to čistě kriminální útok, který nezná bratra a zasáhl jak Rusko, tak Ukrajinu. Tyto útoky probíhají od roku 2015 a postupně se šíří do celého světa," uvedl Navrátil.

Mezi dalšími kybernetickými útoky na českém území zmínil nedávné napadení mailových schránek zaměstnanců ministerstva zahraničí, který podle něj připomínal podobný atak, k němuž došlo už dříve v britském Parlamentu.

"Problém je, že situace týkající se kybernetické bezpečnosti se zejména ve státní správě podceňuje. Sukromá sféra je na tom podstatně lépe. Do určité míry za to může personální problém. Oblast informačních technologií je ve státní správě velmi poddimenzovaná, protože platy IT pracovníků ve státní sféře jsou proti soukromé 1,7krát nižší. Zákon o služebním poměru tomu také nepomohl. Tady nás čeká obrovská práce," řekl Navrátil. Další problém je podle něj podceňování zpětného zaznamenávání provozů, kvůli němuž se nedá zjistit, co se v systému dělo.

Česko rezignuje na ofenzivní schopnosti

Velmi kriticky se na adresu české připravenosti na kybernetický útok vyjádřil Daniel Rous, ředitel bezpečnosti Skupiny ČEZ. Česko podle něj sice není frontovou linií v oblasti kybernetických útoků, ale přesto se dopouští zásadní chyby, že zcela vytěsňuje schopnost ofenzívně se bránit.

"Na úrovni státu, firem i uživatelů platí, že si nepřipouštějí nebezpečí, přestože je reálné. To sice snižuje riziko paniky, ale na druhé straně to nevede ani k inovacím a k rozumné míře ostražitosti. Bez ofenzívních schopností žádná obrana neexistuje," uvedl Rous.

Českou kybernetickou obranu přirovnal k situaci v české armádě. "Ani armáda, ani kybernetický postor se necvičí. Nebo, pokud se cvičí, sleduje spíš cíl, aby cvičení dopadlo dobře, ne aby ukázalo, kde máme problém. Což je ale cvičení k ničemu. To opět platí o armádě i o kybernetice," řekl Rous.

Neefektivnost stacionární obrany, kterou český stát v oblasti internetové obrany zatím používá, ukázala podle něj už druhá světová válka v podobě francouzského obranného pásma, takzvané Maginotovy linie, kterou útočící Němci jednoduše obešli.

"Stát má v oblasti ochrany problém a myslím, že dokud se něco ošklivého nestane, tak se to nezmění. Přičemž není otázkou, zda se něco stane, ale spíš, kdy se to stane," řekl Rous. Podle něj není Česko schopno řešit kybernetickou ochranu systematicky, protože má chaos ve vlastních bezpečnostních složkách. "Například v případě společnosti ČEZ řeší oblast bezpečnosti dva různé zákony: podle zákona o kybernetické bezpečnosti řešíme ochranu kybernetických zařízení, ale výrobu, distribuci a přenos energie řešíme zase podle jiného zákona, přestože jde o jeden propojený systém, kde jedno neexistuje bez druhého S ochranou našich elektráren před potenciálním teroristickým útokem nám mají radit hasiči, protože to na ně prostě spadlo, " konstatoval Rous.

Firmy kašlou na aktualizace

Podle Michala Saláta, ředitele virových laboratoří české globální antivirové společnosti Avast, proběhly loni ve světě dva velké DOS útoky (jde o útok, při němž pachatel znemožní používat uživatelům nějakou internetovou službu. Zkratka DOS znamená denial of service , tedy odepření služby, pozn. red.). Tyto útoky proběhly prostřednictvím nakažených zařízení, jimiž byly zejména routery¨, tedy přístupové body pro připojení na internet, a dále zařízení pro ovládání vebových kamer. Jeden z útoků vedl k tomu, že v některých částech světa se staly nedostupnými služby velkých globálních poskytovatelů obsahu, konkrétně Twitteru a Netflixu.

V Evropě došlo k ataku ze strany pravděpodobně polských hackerů, kteří uživatelům routerů znemožnili přístup k internetu.

"V Česku je nezabezpečeno asi 60 % routerů a 14 % webových kamer. Celkem je nezajištěno asi 20 procent chytrých zařízení a zhruba 16 procent wi-fi sítí," uvedl Salát. Názor, že nemá zajištěna svá online data, zastává podle něj 62 procent Čechů. Téměř polovina české internetové populace už také byla zasažena nějakým datovým únikem. Heslo si poté změnilo 63 procent z nich, ale 42 procent je změnilo jen v některých službách.

"Je samozřejmě problém pamatovat si speciální heslo ke každé službě, když jich v současnosti používáme v průměru 40 až 50," připustil Salát. "Na druhé straně je nebezpečné používat ke vstupům například do vnitřních pracovních systémů táž hesla jako k sociálním sítím. Například v případě vyhledávače Yahoo došlo loni k úniku hesel k asi 320 milionům uživatelských i zaměstnaneckých účtů. Od roku 2013 představuje toto číslo asi miliardu. Je až tristní, jak data z této firmy tečou. Pokud si někdo své vnitřní systémy zajistí stejným heslem, jaké používá k Yahoo, snadno se pak dio nich dostane hacker," konstatoval Salát.

Dalším problémem je podle něj to, že řada i velkých firem podceňuje pravidelné aktualizace systémů, přestože by je například před vyděračskými programy ochránily. "Spousta společností na aktualizace kašle. Kdyby Honda, Telefónica a další velké firmy využily v letošním roce aktualizace Windows, které už byly k dispozici, ochránilo by je to v půlce května před útokem wanacry. Tristní je, že některé neaktualizovaly své programy ani potom. Přitom wanacry byl podle mě jen špatný pokus. Kdyby ho spustil kvalifikovaný útočník, bylo by to ještě mnohem horší. Bránit nás mohou právě aktualizace," řekl Salát.

Přijde nový zákon

Podle vládního zmocněnce pro kybernetickou bezpečnost Navrátila začne i z těchto důvodů v Česku platit od srpna novela zákona o kybernetické bezpečnosti, která mimo jiné rozšiřuje počet resortů a firem zahrnutých do takzvané kritické informační infrastruktury. Nově se tam objevuje zdravotnictví i chemický průmysl a v rámci bankovnictví se rozšiřuje počet zahrnutých bank, a to asi na dvacet. Podle Daniela Rouse z ČEZ věci prospěl i nový atomový zákon, který podle něj konečně definoval, že jaderné elektrárny mají na starost i zajištění své kybernetické bezpečnosti.

Rous ale podrobil kritice současný postoj Evropské komise, který podle něj před otázkou efektivní správy kybernetických systémů a zajištění kybernetické bezpečnosti upřednostňuje ochranu osobních dat.

"Když způsobíme celoevropskou ekologickou katastrofu v důsledku havárie jaderné elektrárny, zaplatíme pokutu dvě miliardy. Kdy porušíme zákon na ochranu osobních údajů, zaplatíme podle rozhodnutí Evropské komise pokutu ve výši čtyř procent celosvětového obratu, tedy asi osm miliard. Svět se zbláznil," uvedl Rous s odkazem na připravované Obecné nařízení o ochraně osobních údajů (General Data Protection Regulation - GDPR), které vstoupí v platnost 25. května 2018.

"Musíme do tohoto data změnit všechny své procesy, aby byly kompatibilní s tímto nařízením. Nemyslím, že to přinese zákazníkům větší komfort, protože řadu věcí jsme už řešili v rámci stávajících systémů. Ale Evropská komise se rozhodla, že nic důležitějšího není," poznamenal sarkasticky Rous.

Všichni diskutující se shodli, že hlavní slabinou všech kybernetických systémů je člověk, protože devadesát procent úspěšných útoků začíná útokem na lidský faktor. Jako nejdůležitější prevenci tedy zmínili zejména vzdělávání zaměstnanců i široké veřejnosti. "Úplně nejhorší je, když si myslíme, že je všechno OK, a přitom si v nás někdo čte jak v otevřené knize," uzavřel Rous.