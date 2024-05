Vědět včas o problému nebo hrozícím nebezpečí v kybernetickém prostoru je jednou z podmínek pro to ustát kyberincident se ctí, a pokud možno bez citelných škodlivých následků. Z minulého dílu našeho seriálu o kybernetické bezpečnosti víme, že evropští zákonodárci v průběhu času zvýšili tlak na to, aby povinné oznamování těchto událostí nebo hrozeb bylo co možná nejrychlejší, a původně vágní pojem „bez zbytečného odkladu“ svázali exaktně příslušným počtem hodin, což je vymezení, které nedává žádný prostor k výkladové kreativitě.

K čemu všechen ten spěch? Mezi útočníky a jejich oběťmi jde o čas. Čím více ho útočící strana má a čím většího momentu překvapení se jí podaří dosáhnout, tím větší manévrovací prostor získá nejen v samotném napadeném prostředí, ale může své rejdy zkoušet i o kus dál.

Proto směrnice NIS2 staví požadavek na včasnou distribuci informací od provozovatelů napadeného či ohroženého systému tolik do popředí. Týmy, které mají včasnou reakci na starosti, mohou následně pomoci jak nebohé oběti, tak varovat i ostatní, na co si dát pozor, s čím počítat, jak se na hrozbu připravit.

Na nahlášený incident má CSIRT reagovat

Uvedené je podrobně upraveno v čl. 23 odst. 5 a následujících NIS2, podle něhož „CSIRT nebo příslušný orgán poskytnou bez zbytečného odkladu, a pokud možno do 24 hodin (všimněte si, že zatímco u hlášení je formulace „v každém případě“, u reakce už jen „pokud možno“) po obdržení varování své vyjádření a na žádost subjektu pomoc či podporu při zavádění opatření ke zmírnění dopadů“. Je-li zde přeshraniční přesah, komunikují spolu národní CSIRTy jednotlivých členských zemí a o významném incidentu má být obeznámena i agentura ENISA.





Sdílení těchto informací pak upravuje čl. 29 NIS2. Po členských státech chce zajistit, aby subjekty v oblasti kybernetické bezpečnosti regulované, stejně jako ale i ty ostatní, mezi sebou mohly dobrovolně sdílet informace o kybernetických hrozbách, významných událostech, zranitelnostech, technikách a postupech, indikátorech kompromitace, nepřátelských taktikách, varování při ohrožení kyberbezpečnosti a doporučení týkající se konfigurace nástrojů kyberbezpečnosti, které slouží k odhalování útoků. K výměně těchto informací má docházet v komunitách regulovaných subjektů, jejich dodavatelů nebo poskytovatelů ICT služeb.

Konečně článek 30 směrnice NIS2 pamatuje i na dobrovolné oznamování relevantních informací. Od regulovaných subjektů přijímá na dobrovolné bázi i oznámení o jiných než významných incidentech, hrozbách a událostech. Od neregulovaných pak je laťka nastavena o něco výš tak, že musí jít alespoň o významný incident, hrozbu nebo významnou událost. Současně směrnice stanoví, že při zpracování hlášení mohou členské státy dát přednost povinným před těmi dobrovolnými.

Studenti si mohli vyprat bez placení

Všechno toto úsilí předcházet útokům, poučit se z nich, minimalizovat škody a činit kybernetický svět bezpečnějším může přijít vniveč, pokud narazíme na odmítače těchto pravidel. Přesvědčit jsme se o tom mohli na příkladu vcelku kuriózního útoku na síť amerických veřejných prádelen. Tento zdánlivě úsměvný případ se však dá zevšeobecnit i na další zařízení v kategorii internetu věcí, proto si naši pozornost v seriálu o kybernetické bezpečnosti zaslouží.

O co při útoku šlo? Dvojice studentů kalifornské univerzity využívala ve Spojených státech rozšířené sítě veřejných prádelen společnosti CSC ServiceWorks (CSC). Miliony jejích praček jsou připojené k internetu a lze je ovládat přes mobilní aplikaci. Tímtéž způsobem se řeší i platba za tuto službu. Alexander Sherbrook a Iakov Taranenko odhalili, že servery CSC plně důvěřují datům v aplikaci v zařízení uživatele a žádné další bezpečnostní kontroly už neprovádějí. Vymysleli proto skript, který využil této zranitelnosti v API a se servery CSC komunikoval napřímo. Studentům se tak podařilo spustit prací cyklus i bez toho, že by na svém účtu měli potřebný zůstatek, nebo naopak dokázali svůj kredit na tomto účtu navýšit do řádu milionu dolarů, aniž by zaplatili jediný cent.

Po objevení této zranitelnosti se zachovali naprosto příkladně jako etičtí, chcete-li white-hat hackeři. Problém zdokumentovali, provozovateli prádelen nahlásili a poskytli mu dostatek času, aby s tím něco provedl. Teprve poté, co jejich opakované oznámení CSC čtvrt roku ignorovalo, se o svá zjištění podělili s veřejností. Dočkali se jediné reakce. Prádelna jim ve vší tichosti milionové fiktivní zůstatky z účtů odmazala. Chyba ale zůstává dál neopravena a další jejich následovníci tak mohou prát zadarmo, nebo si své kredity u CSC bezplatně navyšovat.





Máme tu objevenou a řádně nahlášenou zranitelnost s potenciálně škodlivými následky pouze pro samotného provozovatele. Jen na jeho účet se záškodník může obohatit, a mělo by tak být v jeho nejlepším ekonomickém zájmu problém co nejrychleji opravit. Jiná škoda tu nevzniká. V popisovaném případě je naštěstí vždy nutné spustit prací cyklus tlačítkem přímo na pračce. Mobilní aplikace tak slouží jen jako jakýsi mincovník v automatu, co ověří, že byla služba zaplacena. Ani díra v API, zdá se, nedokáže obejít bezpečnostní omezení, kterými jsou moderní bílé spotřebiče vybaveny, aby se předcházelo přehřátí a požárům.

Tak tomu ale v případě strojů připojených k internetu nemusí být vždy. Internet věcí je stále na vzestupu a domácností nebo podniků s připojenými přístroji běžné denní potřeby komunikujícími přes internet bude přibývat. Co s tím zmůže regulace?

Šedá zóna vývojářů

Případ se odehrál letos na jaře ve Spojených státech, tedy bezpochyby mimo působnost NIS2. Podle webu CSC (odkaz správně funguje jen v některých prohlížečích) však společnost přinejmenším v minulosti působila i v Maďarsku, což by ji pod bruselskou regulaci řadit mohlo. Nicméně jak Internet věcí, tak provozování prádelen bychom v přílohách s regulovanými odvětvími hledali marně. Nejblíže je tomu snad pouze výroba elektronických přístrojů a zařízení a strojů (regulována v mírnějším režimu), případně poskytování řízených ICT služeb (v přísnějším režimu). Jenže pokud někdo vyvine děravou mobilní aplikaci, která bude na dálku ovládat elektrické stroje, těžko můžeme hnát k zodpovědnosti výrobce těchto strojů, byť by pod regulaci nakrásně i spadal.

Jde tak o šedou zónu, do které bude spadat i celá řada dalších služeb, kde je kybernetická bezpečnost sice objektivně důležitá, ale zjevně ne tolik, aby se na ni pamatovalo v rámci NIS2.