Hlavní navigace

Útoků na ministerstvo zahraničí si dlouho nikdo nevšiml. Kdo bude dalším cílem?

Autor: NCKB
Jan Sedlák

Dalším velkým problémem pro Česko mohou být SCADA systémy, které slouží k řízení průmyslových či energetických institucí.

Na Národním bezpečnostním úřadu (NBÚ) měli tento týden napilno. Od prvního února se funkce ředitele instituce ujal dosavadní šéf Bezpečnostní informační služby (BIS) Jiří Lang, na Kybernetickém polygonu v Brně (KYPO) se dva dny cvičila ochrana před kybernetickými útoky na stát, a pak je tu samozřejmě aféra s hacknutím e-mailových účtů ministerstva zahraničí.

To, že se české instituce s kybernetickými útoky už nějakou dobu setkávají, není překvapující. Ve světě je to běžná věc, kyberzbrojení probíhá už několik let a v posledních měsících vše rychle eskaluje.

Dosavadní ředitel NBÚ Dušan Navrátil před několika dny Lupě sdělil, že Česko už různé útoky zaznamenalo. Zmínil se také o jednom „masivním na jeden dost zajímavý úřad“ s tím, že od poloviny prosince loňského roku na něj míří útok ze dvou tisíc adres denně. Tento incident ale nesouvisí s tím, co se stalo na ministerstvu zahraničí.

S administrátorským účtem

Zahraničí o útoku na e-maily už nějakou dobu vědělo, s oficiálním oznámením ale nespěchalo. Podle ministra Lubomíra Zaorálka kvůli tomu, aby se vše dalo prošetřit a vyřešit, o nějaké velké snaze informace o útoku dobrovolně zveřejnit se ale rovněž mluvit nedá. Úřad čekal na to, až se informace případně dostane ven jinudy. NBÚ ministerstvu zahraničí doporučil, aby nyní komunikovalo co nejvíce otevřeně.

Zaorálek rovněž uvádí, že „charakter útoku byl velmi sofistikovaný“ a že připomínal to, co se dělo v případě Demokratů během posledních amerických prezidentských voleb. U toho ovšem o přílišnou sofistikovanost nešlo. Útok využíval tradičního sociálního inženýrství, které je běžné u útoků na firmy i jednotlivce, nešlo o žádné „tvrdé“ hackování.

Že se útočníci dostali do systémů ministerstva zahraničí tímto způsobem, napovídají i informace od zdrojů Lupy. Ty říkají, že hackeři využívali přístup administrátorského účtu. Do dalších účtů se měli postupně dostávat řadu měsíců a využívali k tomu několik desítek adres s tím, že drtivá většina z nich pocházela ze zahraničí. Samotné získávání informací a e-mailů odstartovalo až později.

Podle informací Lupy bylo na ministerstvu napadeno téměř 170 uživatelů a vyvedeno přes sedm tisíc dokumentů.

NBÚ už dříve zaznamenal u českých úřadů DoS útoky na e-mailové schránky, což nejspíše souviselo se snahou uhodnout hesla podle slovníků, případně hrubou silou. To se nepodařilo a server schránky zablokoval. Na ministerstvu zahraničí ovšem tento způsob dobývání se do e-mailů zřejmě použitý nebyl.

V klidu a bez pozornosti

Podle zdrojů prozatím není zcela jasné, v jakém přesně rozsahu se útočníkům podařilo nepozorovaně „úřadovat“. Zaorálek tvrdí, že tajné informace odcizeny nebyly, některé reakce mimo záznam ovšem takovou stoprocentní jistotu nevykazují.

Otázkou samozřejmě je, jak je možné, že hackeři v síti důležitého českého ministerstva mohli v klidu operovat tak dlouho. Lze to označit za naprosté bezpečnostní selhání. Faktem každopádně zůstává, že podobné případy jsou i v soukromém sektoru dost běžné. Než se na útok v síti přijde, mohou uplynout měsíce či roky. K odhalení průniku často pomůže, že hackeři s daty obchodují na specializovaných online tržištích.

Pro státní úřad to samozřejmě není žádná omluva. Podle informací Lupy navíc mnoho státních institucí nemá kapacity ani odborné schopnosti v síti něco nalézt, takže o možných útocích vůbec nemusí vědět.

Podle mnohých insiderů se Česko ocitlo v centru dění a nelze tvrdit, že kvůli své malé velikosti a významu stojí mimo zájem kybernetických útočníků. Nepomáhá ani to, že se zdejší politici v technologické oblasti obvykle příliš neorientují. „Doufám, že jsme po tomto týdnu prozřeli,“ říká náměstek NBÚ Jaroslav Šmíd směrem ke státu jako celku.

Problém jménem SCADA

Kritické informační systémy, které podle zákona musí pokusy a případné průniky hlásit, už mají o čem referovat. V roce 2016 bylo podle Šmída hlášených zhruba 60 incidentů měsíčně, trend navíc ukazuje jasný růst.

Cvičení Cyber Czech na KYPO v Brně
Autor: NCKB

Cvičení Cyber Czech na KYPO v Brně

Problém může nastat mimo jiné u SCADA systémů sloužících k řízení průmyslových či energetických institucí. Jsou často zaostalé a děravé. Kyberbezpečnostní cvičení zaměřené na tuto oblast už probíhá v prostorách CyberGym, což je speciální výcviková aréna, kterou v Česku provozuje jedna původem izraelská společnost.

Zástupci kritických informačních systémů a významných informačních systémů tento týden také v rámci další akce Cyber Czech cvičili útoky a obranu na KYPO v Brně. V dřívějším procvičeném scénáři se řešil útok na jadernou elektrárnu, aktuální verze souvisí s železniční dopravou. Cvičí se DDoS, maskování, tvrdé hacky a podobně. Česko se zapojuje také do několika mezinárodních cvičení včetně těch, která dělá NATO.

Na nejvyšší státní úrovni se také zformovala Rada pro kybernetickou bezpečnost. Naposledy se sešla minulý týden. Současná vláda také dokončuje novelu zákona o kyberbezpečnosti, která přidává zejména body z evropské směrnice NIS. NBÚ rovněž chce spustit nový web, který bude mít veřejnou i neveřejnou část. V té druhé se budou publikovat informace, které ještě nesmí ven.

Na ministerstvu vnitra zase tento týden poprvé zasedala skupina pro ochranu voleb, prověřovat měla možnost narušení. Může se stát, že útoky budou směřovat i na politické strany. Ty s tím více méně počítají.

Výměna na NBÚ

Lze také předpokládat, že současná aféra ovlivní debaty kolem novely zákona o vojenském zpravodajství. Zákon má podle předkladatelů sloužit jako nástroj pro aktivní zásahy v kyberprostoru. Dává ale vojenským špionům také možnost instalovat „internetové odposlechy“ přímo u providerů.

Kvůli širokým a nejasně definovaným pravomocem a zásadním nedomyšlenostem novela čelí silné kritice ze všech stran. Také proto poslanci odložili druhé čtení ve Sněmovně ze současné schůze na březen. Premiér Bohuslav Sobotka říká, že se musí vyjasnit kompetence a připravit pozměňovací návrhy.

Ministerstvo zahraničí se nyní schází s NBÚ a řeší další postup. Bezpečnostní úřad působí jako aktivní koordinátor a informátor, ale práci musí odvádět i lidé na jednotlivých úřadech. NBÚ proto mimo jiné připravuje program sond, které budou monitorovat provoz sítí.

Samotné NBÚ prochází změnami. Jiří Lang po mnoha letech nahrazuje ve funkci šéfa NBÚ Dušana Navrátila. Ten v nedávném rozhovoru pro Lupu odmítl, že by šlo z velké části o politickou rošádu, podle informací Lupy ale tyto tlaky hrály v personální změně svou roli.

START17

Zdroj Lupy mluví například o vlivu prezidenta Miloše Zemana. NBÚ na základě vlastního pátrání před časem odmítl udělit bezpečnostní prověrku Vratislavu Mynářovi, který vede Zemanovu prezidentskou kancelář. Prezident tak na výměnu ředitele tlačil mimo jiné i z toho důvodu, že BIS s prověrkou pro Mynáře problém neměla.

Z Navrátila se nyní stal vládní zmocněnec pro kybernetickou bezpečnost, který má na starost vytvořit nový Národní úřad pro kybernetickou a informační bezpečnost. Vznikne ze současného Národního centra kybernetické bezpečnosti (NCKB) a několika složek NBÚ. Sídlo v Brně má do budoucna pojmout až 400 lidí. Ředitele vytvořeného podniku vybere vláda, Navrátil se nejspíše o funkci bude chtít ucházet. NBÚ po vzniku nového úřadu s kyberbezpečností nadále pracovat nebude.

Našli jste v článku chybu?
2. 2. 2017 12:00
daemon (neregistrovaný)

"se řešil útok na jadernou elektrárnu, aktuální verze souvisí s železniční dopravou"

SCADA, řídicí systémy energetiky, železniční a silniční zabzař apod. jsou skutečně připojená do Internetu? Nebo co to tam vlastně cvičí? Já se pořád nemůžu zbavit dojmu, že tady "ajťáci" cvičí "kebernetickou bezpečnost" bez znalosi reálné situace těchto technologických systémů. Resp. mám utkvělou představu, že takové systémy k Internetu připojí leda naprostý šílenec. Nebo ještě jinak - pamatuji dobu, kdy pro ta…

2. 2. 2017 23:15
Děd Vševěd (neregistrovaný)

ad1 ) myslíte mimo sofistikovaného hesla k účtu admin5, který měl práva na většinu mailboxů a žádný dostatečný IDS k odvraceni vnejší hrozby. Mimochodem ta "druhá síť", jak o ní Libor tak rád na tiskovce mluví, je bezpečná jen tak, jak její nejhloupější uživatel. Druhý -tajný- počítač zapojený do druhé sítě má jistě řadu omezení (jako internetové zdroje) a proto hodně úředníků raději pracuje na normálním. Co na tom, že později jsou vytvořené dokumenty přesunuty a klasifikovány jako Véčka, Déčka,…