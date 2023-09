Předchozí díl seriálu Regulace podle NIS2 jsme věnovali důležité povinnosti ukládané podnikům s přísnější regulací (essential), a to provádění auditu kybernetické bezpečnosti alespoň co dva roky. Víme, jak by takový audit měl vypadat i kdo ho může provádět. A víme také, že jeho podoba se liší od představy, kterou evropský zákonodárce vtělil do směrnice NIS2.

Banky pod palbou

Dnes navážeme tématem komunikace a spolupráce s NÚKIBem a ukážeme si to na aktuálních událostech, které otřásají tuzemskou kybernetickou bezpečností. Jak jsme psali i na Lupě, hned několik předních českých bank se minulý týden ocitlo pod DDoS útokem ze zahraničí. A ty se opakovaly i v dalších dnech. Má je na svědomí proruské aktivistické hnutí NoName057(16), které se k nim na síti Telegram hrdě přihlásilo a přidalo odkazy na reporty dostupnosti pro každý ze zasažených webů.

Tito hackeři nejsou žádnými nováčky, s proměnlivou úspěšností si vybírají různé cíle po Evropě, zejména v zemích stojících ve válce na straně Ukrajiny. Jejich řádění se nejčastěji soustředí na vládní weby, systémy pro zaplacení jízdného a parkovného a internetové bankovnictví.

Nejedná se tedy o krátkým časovým rámcem ohraničenou epizodu ani izolovaný cíl, nejedná se o neznámou skupinu ani nový typ útoku. Jde o soustředěné útoky probíhající několik dní s dopadem na celé jedno odvětví, nadto obecně považované za vysoce zabezpečené a s kritickým významem. Vždyť co už jiného má vyšší potenciál vyvolat ve společnosti paniku než rozkolísání stability finančního sektoru? A tady jsme byli svědky toho, že internetové bankovnictví a weby všech největších českých bank, tedy to, co je zákazníkům peněžních ústavů jako první na očích, padaly po několik dnů jako hrušky ze stromu. Komerční banka, ČSOB, Česká spořitelna, Air bank, Fio banka, Moneta, Raiffeisen bank, dokonce i Česká národní banka – ty všechny postupně v několika vlnách útoky dostihly a vyřadily jejich weby z provozu.





Už z tohoto popisu a seznamu obětí DDoS útoku podvědomě asi každý cítíme, že něco není úplně v pořádku, pokud pár dobrodruhů z Ruska je schopno opakovaně dosáhnout něčeho takového. Že když jsou tyto útoky vedeny jako přes kopírák v několika dnech po sobě, přinejmenším ti, na které míří ty pozdější z nich, už mohli být připraveni, vědět, na co se nachystat a jak se účinně bránit. To ale za předpokladu, že správně fungoval tok informací, jak s ním počítá i Směrnice NIS2.

NÚKIB pomáhá, ale moc to nezabírá

Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) po celé tři dny opakoval jako kolovrátek stejnou floskuli. „NÚKIB eviduje útoky na část českých bank. Jedná se o DDoS útoky, které ovlivňují dostupnost některých systémů těchto institucí. S napadenými subjekty spolupracujeme a poskytujeme jim maximální možnou součinnost při řešení dané situace,“ znělo každý den s přehozeným slovosledem modifikované strohé prohlášení mluvčí úřadu Evy Rajlichové. Tedy z veřejného prostoru se v tu chvíli ohrožené další banky, ani nikdo jiný, na koho by útočníci mohli mít spadeno v další vlně, nic kloudného a užitečného nedozvěděli.

Až v dalších dnech probleskly přes sociální sítě od autority s vhledem do dané problematiky náznaky, že postižené subjekty nezvolily zrovna nejlepší taktiku boje s daným problémem. Šéf sdružení CZ.NIC Ondřej Filip napřed vyjádřil údiv, že banky dosud nejsou zapojeny do projektu FENIX. Ten umožňuje při závažných kybernetických incidentech zachovat dostupnost služeb izolací do ostrovního systému. Zajišťuje, že participujícím členům budou kriticky důležité weby a aplikace dostupné, přestože pro zbytek světa mohou v tyto kritické momenty zmizet.

Velká škoda, že banky nejsou zapojeny do projektu FENIX. https://t.co/crFwK5YVJ8 — Ondrej Filip (@ondrejfilip) August 30, 2023

Do projektu FENIX jsou zapojena některá datacentra, dva ze tří mobilních operátorů, celá řada poskytovatelů připojení k internetu a několik málo poskytovatelů obsahu. Bankovní sektor tu zcela chybí. Ondřej Filip ale peněžní ústavy kritizoval nejen za to, že dosud neprojevily zájem zajistit pro své klienty bezproblémovou dostupnost zapojením do FENIXu. Výhradu měl i k tomu, že se s útokem vypořádávají na síťové úrovni, tedy filtrují bloky problematických IP adres. To způsobuje, že se jejich internetové bankovnictvím rázem stává nedostupné ze zahraničí nejen pro útočníky, ale i pro klienty.

„Útok měl být mitigován na aplikační úrovni tak, jak jsme to řešili u mojeID. Tam probíhal tak, že útočníci volají URL, u které očekávají vyšší zátěž serveru. Tato volání lze celkem snadno identifikovat a rovnou blokovat, nebo alespoň blokovat opakovaná volání stejného klienta,“ naznačil správnou cestu Filip a přidal ještě jeden poznatek pramenící z toho, že i autentizační systém mojeID provozovaný CZ.NICem byl terčem útoku stejně jako banky, a přesto incident ustál. „Z hlediska síťových toků je tento útok poměrně malý,“ upřesnil šéf správce národní domény. To znamená, že weby nebyly zahlceny přívalem dat, ale přesně cílenými požadavky na adresy s potenciálem vygenerovat vyšší zátěž na serverové zdroje.

Mohly se na to další banky v řadě připravit? Mohly ty, jimž internetové bankovnictví a web spadly ve čtvrtek nebo v pátek, předejít tomu, že DDoS útok na jejich systémy bude úspěšný? Pro kategorickou odpověď máme nedostatek informací a vzhledem k citlivosti tématu pražádnou šanci je získat, když o okolnostech útoků nechtějí zainteresování mluvit. Ale už jen z toho, že část subjektů útok přečkala bez ztráty kytičky, lze usuzovat, že nešlo o nic neřešitelného, s čím by si připravená korporace nedokázala poradit. Je pak další otázkou, kdo selhal. Jestli banky měly včas informaci, jaká profylaxe zabírá, a podcenily ji, anebo se k nim tyto potřebné údaje dopředu nedostaly…

Pravidla pro hlášení incidentů musejí mít nově všechny země

NIS2 oproti předchozí směrnici NIS v článcích 23 a 27 vyjmenovává, jak má komunikace s národními regulátory vypadat. Upravuje jak základní požadavky na hlášení incidentů, tak i kontaktních údajů. Tím pádem se povinnost začne týkat i těch členských států, které si do své národní legislativy dosud tuto povinnost dobrovolně nezařadily. NIS2 klade důraz na automatizaci a jednotný postup při hlášení incidentů. Obsahuje povinnost mít hlášení incidentů pro adresáty co nejjednodušší.





Primárním komunikačním kanálem má být Portál NÚKIB představující jednotnou platformu pro veškerá hlášení. Portál zatím neexistuje. Co by měl umět, však naznačuje samostatná vyhláška o Portálu NÚKIB a požadavcích na vybrané úkony, s jejíž podobou se lze seznámit v knihovně připravované legislativy – eKlepu.

Záměrem úřadu je umožnit provádění veškerých standardizovaných úkonů předpokládaných návrhem zákona, stejně jako prováděcími vyhláškami, skrze tento portál. Měly by to být interaktivní návodné formuláře pro automatizovanou registraci organizace, nahlášení kontaktních údajů pověřených zástupců a hlášení incidentů, stejně jako následné provádění protiopatření či hlášení dodavatelů.

NÚKIB pamatuje i na situaci, kdy u něho dojde k výpadku Portálu. U jednotlivých úkonů budou specificky vymezeny situace a způsoby, kdy je půjde provést náhradním způsobem. Ani nedostupnost Portálu tak nebude důvodem k vyvinění se z porušení povinnosti včas nahlásit případný kybernetický incident.

Na to, jaké kontroly může úřad provádět a jaké sankce hrozí za jednotlivé prohřešky, se podíváme už za týden v příštím dílu seriálu Regulace podle NIS2.