Útok hackerů v pátek vyřadil z provozu počítače Fakultní nemocnice v Brně. Podle experta na zabezpečení sítí Martina Hallera z brněnské společnosti Patron-IT mohl přijít z Ruska. A je velmi pravděpodobné, že ho následovala žádost o „výkupné“.
Říká se, že zabezpečení státních institucí je tragické, je to tak?
Z mých zkušeností ano. Problém je v tom, že zabezpečení není snadné. Náš obor jde velmi rychle kupředu a je těžké udržet krok. Odborníků je málo, na zabezpečení sítí se šetří. V mnoha firmách stačí, že počítače fungují, že se programy rozběhnou. Pak žijeme ve falešném pocitu bezpečí, že když se nic nestalo posledních pět nebo deset let, všechno je dobré. Ale ono to dobré není.
Co vede hackery k tomu, aby zaútočili na nemocnici?
Míří na ty, kteří jsou ochotni zaplatit víc peněz. A dovedu si představit, že nemocnice jsou z jejich pohledu v tuto chvíli v takové situaci, že tu možnost získání výkupného je. Takový útok je výhodný byznys, vyplácí se a nikdo za to většinou není potrestán. Útočníci jsou totiž nejčastěji z cizích zemí, které s námi ani nemají tendenci spolupracovat, protože třeba z politického hlediska třeba nemáme dobré vztahy.
Takže po útoku vždy následuje žádost o „výkupné“? A dostanou ho hackeři?
V běžných firmách hlavně v Americe se skutečně výkupné platí, protože náklady na obnovu systémů jsou poměrně vysoké. A když si hacker řekne polovinu, dvě třetiny, tak z ekonomického hlediska je to pro firmu výhodnější. Když mu zaplatí, on jí za hodinu pošle program na odvirování a firma může fungovat. Zatímco obnova dat může trvat dny, týdny, možná některá data už se ani nenajdou.
Ale firmy jsou něco jiného než státní instituce...
Co se týče státních institucí, koncem loňského roku jedna holandská univerzita také zaplatila a byly to statisíce eur. Ale to je jako u výkupného za rukojmí. Platí je stát? Oficiálně ne, protože by to byl signál k tomu, aby byli občané toho státu unášeni častěji. Ale neoficiálně? Možná ano, možná ne. Stejně tak stát nemůže říct, že zaplatí hackerům, protože by to znamenalo, že příští týden nepojedou ostatní nemocnice.
Přišel ten útok schválně právě teď, kdy nemocnice čelí koronavirové nákaze?
Mohlo to k tomu přispět. Je otázka, jestli na tu nemocnici neměli spadeno už dlouho a teď si řekli: „Mění se priority, teď budou ochotnější platit.“ Určitě to však není nijak osobně motivované. Lidé hackery nezajímají – a to ani pozitivně, ani negativně. Je to prostě byznys.
K jakým datům se mohli hackeři v nemocnici dostat?
V podstatě ke všem, včetně osobních dat pacientů.
Co by tedy měla fakultní nemocnice teď udělat?
Co jsem slyšel, už to řeší kriminalisté a Národní úřad pro kybernetickou a informační bezpečnost. Prvotní je vypátrat, kam všude se hackeři dostali, jak se to mohlo stát, a zjistit, jak to napravit. Což je složité, protože se pracuje pod obrovským stresem. Tlačí se na to, aby škody byly napravené co nejrychleji. Ale když se špatně vyhodnotí, jak byla síť napadena, může se i při tom napravování napáchat víc škod. Útočník ještě nemusel napadnout vše a vy, když se začnete připojovat do všech systémů, ho můžete naopak pustit ještě dál. Není vzácné, že útočníci jsou v systému delší dobu. Takže dva systémy opravíte a oni jich deset rozbijí. Jako první se musí opravit ty chyby, přes které se tam dostali. A to může trvat dlouho.
Jaká doba tedy bude nejspíš potřeba, než se nemocnice dostane do standardního provozu?
Není to černobílé. Zřejmě se zvolí nějaká nejdůležitější oddělení, která se dají dohromady dřív, postupně začnou nabíhat další systémy. Ale než se to vrátí do úplného normálu, tak to budou možná dny, možná týdny.
Zmiňoval jste, že útok zřejmě přišel ze zahraničí. Odkud?
My se nejčastěji setkáváme s Ruskem, potom jsou to státy dál v Asii, ale Rusko vede. Dá se to dobře vysledovat, protože i hackeři dělají chyby a nechávají po sobě stopy – v programech jsou třeba azbukou psané komentáře.
Je nějaká šance, že se je podaří dopadnout?
Občas se to podaří, ale obecně tyto velké hackerské skupiny existují a operují roky.
Jak často takové útoky evidujete?
Od Nového roku se nám ozývá tak jedna až dvě firmy týdně. A to jsou pouze společnosti, které přijdou o data a už nejsou schopné si to vyřešit samy bez pomoci odborníka. Těch, které jsou schopny systémy opravit samy, je mnohem víc. Není to však jen záležitost České republiky, ale mnoha zemí, které mají cenovou úroveň na to, aby se hackerům vyplatilo tady útočit.
Jak takový útok vůbec vypadá?
Cest, jak virus dostat do sítě, může být několik. Většinou se objeví chyba v softwaru. Nemusí ji vypátrat ani ti hackeři, ale třeba výzkumníci, kteří to pak publikují. A firma, jejíž produkt tuto chybu má, vydá opravu, kterou si musí všichni nainstalovat. Útočníci sledují, jaké chyby se objevují, a snaží se udělat program, který by tu chybu zneužil tak, aby počítač pustil jejich virus. Druhá možnost jsou pushingové e-mailové útoky, o kterých se teď mluví hodně v důsledku šíření koronaviru. Lidé se ho bojí a jsou hladoví po informacích. Útočníci rozesílají e-maily s tím, že více informací je v příloze nebo v odkaze na nějaké stránce. A ta třeba obsahuje škodlivý kód, který v počítači pustí něco, co pomůže útočníkům dostat se do sítě.
Teď spousta lidí pracuje z domu, může to být problém?
Ano, protože technologie se nasazuje horkou jehlou a je velká pravděpodobnost, že se v systému objeví chyba, které mohou útočníci zneužít. Také spousta lidí využívá své domácí počítače, které jsou ve špatném stavu, nezabezpečené, mnohokrát už zavirované. Když se pak lidé přihlásí do firemních systémů, virus může jejich heslo zachytit a opět poslat útočníkům. Zranitelností v těch systémech je tolik, že útočníci ani nestíhají všechny firmy napadat a v podstatě si dělají „to do list“, tedy jakýsi pořadník.
