Kyberkriminalita: Covid brzdí apetit útočníků na nemocnice

Kyberútoků ve světě i v Česku přibývá. Firmy by neměly obranu proti nim podceňovat a měly by svá data lépe chránit. Pachatelé často útočí také na nemocnice a zdravotnická zařízení. „Mnoho kyberzločinců se ovšem v koronavirové krizi útokům na těžce zkoušené nemocnice vyhýbá,“ říká IT expert z firmy PATRON-IT Martin Haller. 

Nevyužívají útočníci koronavirové krize a nenapadají stále častěji například zdravotnická zařízení, která jsou aktuálně zranitelnější? 

Myslím, že opak je pravdou. Už v počátku koronavirové nákazy se řada kyberzločineckých skupin distancovala od útoků na zdravotnická zařízení, včetně laboratoří. S tím, že pokud by náhodou nějaké takové zařízení napadli – častokrát nejprve střílí a až poté zjišťují kdo je obětí – data navrátí bezplatně.

Zní to neobvykle… Lidumilní a slušní zločinci?

Zrovna v nedávné době napadla skupina DoppelPaymer Univerzitní Nemocnici v německém Düsseldorfu, přičemž si myslela, že napadla tamní univerzitu. Když zjistila svůj omyl, poskytla (nejspíše) zdarma klíč pro dešifrování dat. Na každou veřejnou instituci pak připadá několik soukromých firem s obdobným osudem.

Přesto jste v roce 2020 zaznamenali výrazný nárůst těchto kriminálních aktivit. Byl v tomto ohledu letošní rok výjimečný?

Nárůst cítíme jak na poptávce po pomoci, tak i při sledování událostí ze světa a reportů jiných firem. Osobně bych řekl, že počty útoků by rostly i v případě, že by žádný covid nepřišel. Útočníci se zlepšují a daří se jim od obětí získávat čím dál větší částky. Například skupina Netwalker si přišla za pět měsíců na 25 milionů dolarů. To je obrovská suma. Stejně tak se začaly objevovat skupiny, které si za cíle vybírají největší světové korporace a vyžadují výkupné ve výši milionů dolarů. Myslím, že kyberzločinnost bude růst i v dalších letech.

Velkým tématem v zahraničí, konkrétně v USA, bylo napadení společnosti Universal Health Services (UHS), která zde provozuje síť 400 nemocnic. Co tím kyberútočníci sledují? Jde jim o paralyzování systému nebo o peníze?

Útok s takovým dopadem na zdravotnická zařízení jsme tu zatím ještě neměli. UHS má v USA (kde byla zasažena) přes 250 zdravotnických zařízení, které musely být odstaveny. To je úplně jiný rozměr než paralyzování jednotlivých nemocnic. Zároveň se diskutuje o tom, že tento útok mohl mít na svědomí čtyři mrtvé. Mělo se tak stát v důsledku včas nedodaných laboratorních testů. To je opět další významný milník. Tento útok společně s nedávným útokem na Univerzitní Nemocnici v Düsseldorfu jsou první, u kterých se mluví o ztrátách na lidských životech. I za tímto atakem vidím touhu po penězích formou výkupného za data nemocnice a mlčenlivost. 

Zásadním problémem může být únik dat z cloudového úložiště, které už má dnes skoro každá firma. Dá se vůbec zjistit, že k únikům dat přes cloud došlo? 

To je velice dobrý postřeh. Firmy si dnes cloudová úložiště pořizují i jako ochranu před ztrátou dat. Přitom právě z cloudového úložiště útočníci data občas kradou (očekávám, že v budoucnu to bude častější) a následně oběti vydírají s tím, že uloupená data zveřejní.  Výhodou kradení či kopírování dat z cloudového úložiště je vyšší rychlost přenosu dat. Cloud je totiž k internetu připojen rychlostí alespoň v řádu gigabitů. Zároveň jsem se ještě nesetkal s firmou, která by pracovala s logy cloudového úložiště tak, aby krádež dat vůbec detekovala. Je pravda, že znám i některé cloudové služby, u kterých by to ani možné zjistit nebylo, protože takové přehledy neposkytují.

Nedá mi to také nevzpomenout na službu DDS Safe. Ta slibovala zákazníkům cloudové zálohy dat odolné vůči ransomware. Skončilo to tak, že hackeři danou službu prolomili. Nejen že pak zašifrovali samotné cloudové zálohy, ale i veškerá data přímo u zákazníků (díky tomu, že měl poskytovatel vzdálený přístup k jednotlivým zákazníkům).

Na zveřejňování ukradených dat a „pranýřování“ svých obětí mají útočníci vlastní webové stránky (tzv. shaming weby).

Pokud dojde k úniku dat ze serveru a z cloudu, na co přijde oběť útoku dříve?

Budu trochu sarkastický a odpovím ze zkušenosti, že si firmy nevšimnou ani jednoho. Popravdě nejčastěji detekují úspěšný útok tak, že jim přestanou fungovat systémy, protože dojde k zašifrování dat a až zpětně se snaží zjistit, zdali došlo i k jejich úniku.  Detekovat únik dat není úplně jednoduché. Pro úspěšnou detekci je třeba mít v síti již dopředu nachystané správné technologie. Opravdu to nelze dohánět až potom, co se nějaký incident stane. Analogií může být kamerový systém – jeho instalace poté, co vás vykradou, vám zpětně nepomůže.

Kybernetická bezpečnost zůstává u firem prioritní investicí, a to navzdory tomu, že celkově IT rozpočty klesají. Přesto každá desátá firma plánuje snížit rozpočet na IT bezpečnost. Hlavním důvodem bývá rozhodnutí managementu, který nevidí v budoucnu smysl v investování vysokých sum do IT bezpečnosti. Nemotáme se v bludném kruhu? 

Subjektivně mi přijde, že po medializaci různých kauz jsou zákazníci ochotni více naslouchat a do bezpečnosti investovat. Občas dokonce vidím, že se do bezpečnosti investuje až moc. Abych to vysvětlil. Některé firmy se snaží dohnat bezpečnost jednorázovým nákupem drahých technologií. Jenomže bezpečnost není jen o technologiích, ale i o lidech co technologie dohledují (vyhodnocují jejich výstupy) a nastavují. Je potřeba, aby investice do lidí i technologií byly v rovnováze. Zároveň je nutné si uvědomit, že bezpečnost je nikdy nekončící práce – je třeba vše neustále kontrolovat a udržovat.

Kdo by měl vysvětlit managementu firem důležitost problému? Interní IT oddělení, stát, poradenské firmy?

Tento rok už se nesetkávám se zákazníky, kteří by si mysleli, že IT bezpečnost není důležitá. Všichni si to uvědomují. Největší osvětu v tom asi sehráli právě zločinci svými úspěšnými a velice bolestivými útoky.  Výzvou teď podle mne bude naučit lidi rozlišovat mezi bezpečností a „bezpečností“. Tím, jak je IT bezpečnost žhavé téma, všichni v ní vidí hodně peněz. Přijde mi, že není IT firmy, která by teď nějakou formu bezpečnosti nedělala. Kvalita práce i míra znalostí jednotlivých firem se hodně liší a pro člověka mimo obor je těžké rozpoznat, jak moc kdo svou práci dělá svědomitě a poctivě. Přičemž to, jestli se dělalo nebo nedělalo zabezpečení dobře se může poznat až při ztrátě dat, to je však dosti pozdě a je to drahé.

Elektronický systém eObčanek má bezpečnostní trhliny. Přihlašování uživatele není dostatečně ochráněno, takže útočník může odcizit identitu. Ministerstvo vnitra provedlo změny, ty jsou ale podle názorů expertů stále nedostatečné. Je to problém celkové koncepce přístupu státu ke kybernetické bezpečnosti? 

Tu studii jsem četl. Jsem rád, že si lidé z Auxilium Cyber Security dali tu práci a zranitelnosti – v tomto případě chyby v návrhu – popsali. Je to způsob, jak věci posouvat vpřed. Nějaké chyby se najdou vždy a všude. Důležité však je, aby nebyly ostudné a adekvátně se na ně reagovalo. Častokrát se stane, že i poskytovatelé celosvětových služeb strkají před chybami hlavu do písku a dělají, že neexistují. Koncepci státu nedokážu soudit, nemám k tomu dost informací. To, proč je IT bezpečnost výzva vidím hlavně v tom, že se IT obor neustále mění. Každých pár let se vám kompletně změní technologie. Udržet se v obraze a na špičce vyžaduje obrovskou flexibilitu, která se u veřejných institucí a velkých korporací těžko zavádí.

Jakub Procházka

Pravidelné novinky e-mailem