Kyberútoky se ani zdaleka netýkají jenom jednotlivců, naopak – ve většině případů se útočí hlavně na firmy nebo státní instituce. A kdo nás chrání? Profíci z Národního centra kybernetické bezpečnosti.
Loňský rok nám několikrát připomněl, jak je kybernetická bezpečnost důležitá. Namátkou můžeme vybrat třeba útoky na ukrajinský energetický sektor, proniknutí do systémů Demokratické strany ve Spojených státech v průběhu volební kampaně či dva rekordní DDoS útoky, z nichž ten druhý poprvé ve velkém měřítku zneužil zařízení, která tvoří takzvaný Internet věcí. I pro kybernetickou bezpečnost České republiky byl ale rok 2016 důležitý – rozvíjeli jsme mezinárodní spolupráci i Národní centrum kybernetické bezpečnosti (NCKB) a dostavěli jsme speciální forenzní laboratoř.
Když na nás útočí…
Na začátku loňského roku čelilo Česko četným malwarovým útokům, kdy útočníci na své oběti cílili pomocí sofistikovaných podvodných zpráv, které obsahovaly škodlivou přílohu nebo odkaz směřující na podvodné webové stránky. Prvotními cíli byli zákazníci bank nebo zaměstnanci státní správy. Malware Dridex a TinyBanker vytvářely falešné platební příkazy a snažily se získat přístupové údaje. V létě pak patřilo prvenství phishingovým a DDoS útokům, objevilo se třeba množství vyděračských e-mailů, které požadovaly výkupné za citlivá data v bitcoinech.
„Řešíme celou škálu útoků. Od těch nejjednodušších, například skenování sítí nebo hádání hesel účtů, až po komplikované, kde analýza může zabrat i týdny. Drtivá většina útoků, které evidujeme, patří do kategorie těch jednodušších a běžná bezpečnostní opatření, jako třeba pravidelná změna hesel, jsou dostatečná k eliminaci rizika úspěšného průniku,“ říká Radim Ošťádal z Národního centra kybernetické bezpečnosti. „Útoky pocházejí z různých koutů světa, častěji však ze zemí, kde je přeshraniční spolupráce složitá nebo zde aktivity v kyberprostoru nejsou trestné – čili mají zcela jinou legislativu než my – a není tedy možno je našimi trestně-právními prostředky stíhat.“
Bezpečnost systémů ve státní správě ale není rozhodně nijak podceňována, takže triviální útoky amatérských hackerů nemají šanci na úspěch. Ještě mnohem vyšší nároky pak existují na systémy kritické informační infrastruktury. „Technická bezpečnost státní správy je obecně na vysoké úrovni. Nalezení zranitelnosti, kterou je možné využít pro útok, je tak velmi náročné na zdroje, ať už jde o čas, finanční prostředky, nebo vybavení. Motivovaní útočníci proto často cílí spíše na lidský článek a zneužívají důvěřivost nebo neznalost uživatelů,“ dodává Radim Ošťádal.
Chraň kybernetickou bezpečnost i ty!
Chceš se přidat k týmu brněnských hrdinů a taky bránit Česko před kyberútoky? Tak to pro tebe máme dobrou zprávu, protože Národní centrum kybernetické bezpečnosti zrovna hledá ajťáky hned na několik pozic. Od bezpečnostních analytiků přes IS administrátory až po manažery kybernetické bezpečnosti. V čemkoli máš vzdělání a zkušenosti, tady najdeš uplatnění. Pokud si je chceš nejprve nezávazně vyzkoušet, podívej se na možnosti stáží, které taky nabízejí. Určitě najdeš něco, co tě zaujme. Pro víc informací se podívej na www.govcert.cz.
Trénink na krizi
Aby Česká republika mohla kybernetickému nebezpečí efektivně čelit, musí naši ochránci pravidelně trénovat. K tomu slouží národní i mezinárodní kybernetická cvičení, se kterými má NCKB mnoho zkušeností. Na mezinárodní úrovni se pravidelně účastní třeba cvičení organizovaných NATO (Cyber Coalition, Locked Shields, Crisis Management Exercise) či Evropskou unií, potažmo Evropskou agenturou pro bezpečnost sítí a informací (Cyber Europe). Kromě toho NKCB taky od roku 2015 připravuje cvičení vlastní, národní, a hned několik variant – technické i strategické. Zatímco technické cvičení si běžný čtenář představí snáze – skupinu ajťáků soupeřící o infrastrukturu a bránící perimetry sítí a služeb skrze technické prostředky –, to strategické, tzv. table-top cvičení, může nabývat různých podob a formátů, co do přínosnosti přitom musí být stejně významné.
Strategická table-top cvičení slouží k procvičení komunikačních a rozhodovacích procesů našich čelních představitelů a vedoucích pracovníků odpovídajících za bezpečnost naší země. Ti mohou totiž kdykoli být vystaveni nutnosti učinit okamžité rozhodnutí během rozsáhlých kybernetických útoků, které jsou dnes součástí takřka každého konfliktu (připomeňme např. ukrajinskou krizi a obsazení Krymu Ruskem, během které probíhaly kybernetické útoky paralelně s útoky konvenčními).
Technická cvičení jsou pro změnu vytvářena na míru pro IT specialisty, technické správce či administrátory informačních a komunikačních systémů. Zkrátka praktiky, pro které je udržování bezpečnosti počítačových sítí každodenní povinností. Ti mají v rámci cvičení za úkol několik hodin nepřetržitě bránit simulovanou síť před intenzivní sprchou kybernetických útoků.
Je zřejmé, že žádná krize nemůže být vyřešena pouhým stisknutím tlačítka. Stejně tak se ovšem nedá spoléhat pouze na tým počítačových odborníků jako na záruku bezpečnosti. Bez patřičného vedení a koordinace může být využití i těch nejlepších technických kapacit a zkušeností administrátorů a správců sítí výrazně limitováno. V kombinaci s reálnými scénáři tak cvičení představují velmi atraktivní a účinný způsob vzdělávání našich čelních představitelů a odborníků v oblasti kybernetické bezpečnosti.
Laboratoř v akci
Některé napadené počítače se v případě výše zmíněných útoků můžou dostat až na antistatický stůl nové forenzní laboratoře, která v rámci Národního centra kybernetické bezpečnosti (NCKB) funguje. Má stejný účel jako jiné laboratoře – poskytuje zabezpečené a kontrolované prostředí. Neprovádí tu experimenty, ale zkoumají počítače, které se staly obětí útoku nebo byly nakaženy malwarem. Je to místnost s bezpečnostními dveřmi a elektronickým zámkem vybavená speciálními přístroji a programy, díky kterým může být zkoumaný počítač rozložen na šroubky a bajty.
„Přímo ve forenzní laboratoři pracují odborníci na zajištěných serverech, laptopech, mobilních telefonech apod. Z těchto fyzických důkazů získávají data potřebná pro další analýzu. Někdy je potřeba vyjmout určitou komponentu, připojit sondu nebo nahradit cíleně upraveným prvkem. Fáze práce s fyzickými důkazy je kritická, protože chyba v této části může znamenat ztrátu všech informací. Získaná data můžeme analyzovat na tisíc způsobů, ale máme často jen jednu příležitost data získat. Proto je zázemí kvalitní forenzní laboratoře tak důležité,“ vysvětluje Radim Ošťádal.
Hlavním úkolem forenzních analytiků je vyšetřování kybernetických incidentů, které spadají do kompetence vládního CERT (Computer Emergency Response Team, tedy tým řešící krizové situace). Často je cílem najít způsob, jakým se útočník dostal do systému, jakým způsobem byl počítač nakažen, jak byla vynesena citlivá data. Z těchto zjištění je pak možné zpracovat doporučení pro správce systémů nebo naše tuzemské i zahraniční partnery. Samozřejmě v této věci spolupracujeme s policií, takže pokud existuje dostatek důkazů, je reálná šance, že útočník bude dopaden.
Hlídají se jaderné elektrárny i automobilky
Forenzní laboratoř ovšem není laboratoří jedinou, NBÚ provozuje například také tzv. SCADA laboratoř, která je určena ke zkoumání zranitelnosti zabezpečení v průmyslových počítačích, jež ovládají například jaderné elektrárny, ropovody nebo automobilky.
Protože má oblast kyberbezpečnosti globální přesah, neuvěřitelně důležitá je pro bezpečnost státu i mezinárodní spolupráce. O tu se v první fázi starají takzvaní cyber attachés, díky nimž získává Česká republika nejaktuálnější přehled o projednávání otázek souvisejících s kybernetickou bezpečností nejen napříč orgány EU, ale i ve světě (například v rámci NATO). S informacemi získanými od našich zahraničních partnerů pak dále pracují naši ajťáci v NCKB a využívají je ke konstantnímu zdokonalování ochrany naší země před čímkoli, co si na nás internet může vymyslet.
Text: Ella Mahdalová
Foto: bigstockphoto.com