Národní bezpečnostní úřad bude dohlížet nad kybernetickou bezpečností Česka. V případě velkého ohrožení může vyhlásit stav nouze
Následující řádky jsou jen pro otrlé čtenáře. "Česká republika od časných odpoledních hodin čelí doposud největšímu kybernetickému útoku ve své historii. Hackeři postupně napadli internetové stránky vlády a většiny ministerstev a zcela je vyřadili z provozu. Po další vlně útoků jsou zcela mimo provoz informační sítě tuzemských bank. Většina poboček funguje pouze v omezeném provozu, nelze vybírat ani ukládat finance. Pražská burza po několika výpadcích obchodních systémů zastavila na neurčito obchodování s akciemi a elektřinou," hlásá v hlavní zpravodajské relaci veřejnoprávní televize stárnoucí moderátor. Současně dodává, že žádný z odborníků si za současné situace netroufá odhadnout, kdy kybernetické útoky skončí, jaké jsou jejich další cíle a na jakou cifru se vyšplhají celkové škody, které napáchají.
Totální kolaps
Náhle se místo hlasatele objevují na obrazovkách jen barevné pruhy: útočníci úspěšně napadli i systém veřejnoprávní televize.
Další útoky se lavinovitě šíří napříč celou kritickou infrastrukturou České republiky. Dochází k rozpadu energetických sítí a totálním výpadkům elektřiny. Navigační systémy zajišťující provoz na pražském ruzyňském letišti se nepodaří nahodit ani po desítkách minut usilovné snahy. Letecký provoz musí být odkloněn na vídeňské letiště. Zcela kolabuje železniční doprava. Hackeři napadli systémy, které zajišťují bezpečnou přepravu na kolejích, mimo provoz je i pražské metro. Tisíce cestujících čekají na vyproštění z tunelů.
V Česku se jen za prvních deset minut od úspěšných útoků staly tři desítky vážných železničních a silničních nehod. Převoz zraněných se záchranným složkám daří organizovat pouze s vypětím všech sil. Nemocnice přijímají jen ty nejvážnější případy. Z areálu největší české rafinerie se dle svědků ozvala série výbuchů. Jejich autenticitu se nedaří ověřit, mobilní ani telefonní síť nefunguje. Česko připomíná zemi zasaženou rozsáhlým leteckým útokem.
Skutečně jen fikce?
Jste přesvědčeni, že se nic takového v Česku nemůže stát? Mýlíte se. Výše popsané dění je sice záměrně poněkud přehnané, ale nikoli nereálné. Svědčí o tom ostatně i několik loňských událostí. V polovině roku hackeři napadli a na několik měsíců zcela vyřadili z provozu jednu z rafinerií v Perském zálivu. S velmi vážným útokem se muselo vypořádat i sousední Německo. Hackeři napadli prostřednictvím tzv. smart grids, které fungují jako řídicí jednotky, uzel v rozvodném systému. "Útok, jehož původce se podařilo vystopovat až na území Ruska a Rumunska, se naštěstí díky obezřetnosti a profesionalitě správců rozvodných sítí podařilo odrazit. V opačném případě by hrozily rozsáhlé výpadky proudu, které by postihly velkou část Německa," sdělil dobře informovaný zdroj. Jak se atak podařilo odrazit, s ohledem na citlivost údajů zveřejnit nechtěl. Ani své jméno.
Podobným způsobem lze vyvolat i zmatky v dopravě. Loni na Floridě se nezletilý hacker v jednom z místních měst "naboural" do systému, který řídil místní dopravní signalizaci. Během několika vteřin se na křižovatkách všechny semafory rozsvítily zeleně. Výsledkem bylo několik desítek drobných, ale i pár vážných dopravních nehod. Dalších podobných případů jsou desítky a jejich počet v posledních letech stále roste. Stejně jako jejich závažnost.
Rostoucí hrozba
Odborníci oslovení týdeníkem Euro jsou přesvědčeni, že přijde doba, kdy podobné útoky či série ataků zasáhnou i Česko. Otázkou je pouze to, jak a kdy se to přesně stane, jak budou masivní a zda budeme schopni je odrazit. "Zatím se jedná spíše o pokusy zaměřené na strategické cíle, například ze sektoru plynárenství nebo ropy v Perském zálivu. Ukázalo se však, že jejich schopnost poškodit výrobce, případně i další firmy je velká," konstatuje Richard Hlavatý z organizace Technologická platforma Energetická bezpečnost ČR (TPEB). Dodává, že současnými útoky si jejich původci zatím spíš ověřují, co vše je v této oblasti možné. A jak se ukazuje, takřka vše. "V dnešní době je to jen otázkou vteřin, během kterých se podaří vyřadit z provozu strategicky důležitou infrastrukturu," dodal Hlavatý.
TPEB je sdružením právnických osob z veřejného i soukromého sektoru zaměřeným na problematiku energetické a kybernetické bezpečnosti a související ochrany kritické infrastruktury. Jedním z jeho úkolů je mimo jiné najít řešení, jak případným kybernetickým útokům předejít. Případně jak se jim v budoucnu bránit. Platforma sdružuje významné firmy z různých oborů, mimo jiné energetiky a zdravotnictví.
Řekneme, ale nejmenujte
Většina společností oslovených týdeníkem Euro se shoduje v tom, že problém kybernetické ochrany v posledních letech nabývá na aktuálnosti. "Samozřejmě že sledujeme, jaké standardy se v této oblasti nastavují, především v oblasti inteligentních sítí, tedy smart grids. Spíš ale počkáme, co firmy, které se touto oblastí zabývají, vymyslí. Jejich řešení pak využijeme," tvrdí ředitel divize strategie společnosti ČEZ Pavel Cyrani. ČEZ je ostatně jednou z mála firem, které jsou ochotny na dané téma oficiálně komunikovat. Většina dalších oslovených společností z oblasti energetiky, ale i zdravotnictví, telekomunikací, vodárenství a dalších oborů sice poskytla na zaslané otázky odpovědi, pouze ale pod podmínkou, že nebudou v textu uvedeny. "Jakákoli zmínka o našich opatřeních, případně zda jsme již někdy v minulosti čelili kybernetickému útoku nebo naopak ne, z nás může pro skupiny hackerů nebo jednotlivce udělat velmi lákavý cíl," vysvětluje mluvčí jedné z těchto firem.
Další ze společností, které patří mezi provozovatele tzv. kritické infrastruktury (do této kategorie lze zařadit mimo jiné správce energetických sítí, provozovatele letišť, telekomunikační firmy atd.), pod podmínkou anonymity poskytla několik údajů, jak se proti hrozbě kybernetických útoků brání. "Této problematice věnujeme trvale velkou pozornost, mimo jiné máme zvláštní útvar pro informační bezpečnost. Kybernetická ochrana se prolíná do všech oblastí fungování naší společnosti. Současně s tím spolupracujeme s ostatními evropskými provozovateli, stejně tak i s nově utvářeným Národním centrem kybernetické bezpečnosti," konstatovala firma.
Jak firma dále uvedla, má již zpracován celý komplex krizových plánů pro oblast ICT bezpečnosti včetně simulace možného útoku a obnovy systému, která by následovala v případě úspěšného kybernetického ataku. "Máme za sebou i několik ostrých cvičení, která prokázala, že jsme schopni se s touto hrozbou relativně bez následků vypořádat," dodala společnost v prohlášení. Současně s tím ale upozornila, že s ohledem na vývoj technologií náklady na zajištění kybernetické bezpečnosti každoročně rostou o desítky procent.
Celosvětově firmy za bezpečnostní produkty utratily přes dvaatřicet miliard dolarů. Průzkum 2012 Cost of Cyber Crime Study, který se zaměřil na organizace působící v USA, upozornil, že počet kybernetických útoků se v uplynulých třech letech více než zdvojnásobil. Současně s tím došlo ke zvýšení nákladů o čtyřicet procent. Průzkum, jenž zpracoval Ponemon Institute na objednávku společnosti HP, odhalil, že průměrné roční náklady v dotazovaných organizacích na území USA dosáhly výše 8,9 milionu dolarů. Ve srovnání s rokem 2011 se jedná o šestiprocentní nárůst, oproti roku 2010 o 32procentní zvýšení. V loňském roce zaznamenaly organizace v USA průměrně 102 úspěšných útoků týdně, zatímco v roce 2010 to bylo jen 50 útoků.
Kybernetik – nejlevnější voják
Zpravodajský server Connect.cz nedávno uvedl, že největší část útoků hackerů míří na finanční organizace, které zaznamenávají tisíce pokusů o vniknutí denně. Ve velkém a soustavném ohrožení jsou ale také energetické a dopravní subjekty, v bezpečí nejsou ani klasické firmy všech druhů a velikostí.
"Kybernetická špionáž se pro firmy stává největší hrozbou bez ohledu na to, jak jsou velké," je přesvědčen zakladatel a šéf společnosti Kaspersky Lab Eugene Kaspersky.
V posledních letech se navíc cíle a chování hackerů zcela mění. Zatímco ještě před několika lety jim šlo po úspěšném ataku především o publicitu, dnes jsou útoky vedeny v tichosti. Nejčastějším cílem je snaha o finanční profit, případně získání citlivých informací.
Stále větší obliby si ale kybernetické útoky získávají u jednotlivých vlád. Důvodů je více. V případné kybernetické válce nejde – alespoň přímo – o životy vojáků, jejichž ztráty je nutné obhajovat před voliči, a současně s tím jsou mnohem levnější. Najmout si bandu hackerů a zadat jim cíle útoku prostě vyjde mnohem levněji než naložit několik letadlových lodí a poslat je na misi třeba do Perského zálivu.
Kybernetické ataky jsou navíc mnohdy velice účinné. Dosvědčuje to ostatně úspěšný útok, který na íránský jaderný program podnikly v letech 2008 až 2010 USA ve spolupráci s Izraelem. V jeho průběhu se mimo jiné podařilo zničit několik centrifug na obohacování uranu. Írán pohrozil odvetnými opatřeními na kybernetickém poli.
Nebezpečí tohoto typu přitom stále roste. Kupříkladu šéf FBI Robert Mueller loni v dubnu prohlásil, že kybernetické hrozby budou brzy větší hrozbou než terorismus. "Ztrácíme data, ztrácíme peníze, ztrácíme nápady a inovace. Společně musíme najít způsob, jak to zastavit," prohlásil. I z toho důvodu USA posílí v Pentagonu oddělení, které má na starost kybernetickou obranu, ze současných 450 lidí na 4500 zaměstnanců. Společnost NERC zase před časem prohlásila, že kybernetický útok mimo jiné na energetické zdroje by mohl destabilizovat celou Evropu.
Centrální ochrana
O kybernetickou ochranu v Evropské unii se doposud staraly de facto samostatně jednotlivé členské země. Část z těchto operací zajišťoval zvláštní útvar NATO. Aktuálně ale Unie chce veškerý boj proti kybernetickým útočníkům "zcentralizovat". Brusel by měl do konce února dokončit směrnici, která by dala výše zmíněným důležitým firmám za povinnost hlásit každý pokus o kybernetický útok. Své rozhodnutí zdůvodňuje tím, že by tak získal lepší kontrolu a schopnost ubránit evropský kyberprostor. Snahu zdůvodňuje i teoretickým nebezpečím velkých kybernetických útoků, které by v krajním případě mohly způsobit výpadky vody, elektřiny, letištního provozu a podobně. Otázkou ale je, zda se Bruselu vůbec podaří nějaká nová opatření zavést. Třeba Německo či Francie tvrdí, že mají vlastní ověřený systém, který je možné jen vzít a aplikovat i v jiných zemích.
Současnými útoky si jejich původci zatím spíše ověřují, co vše je v této oblasti možné. V Česku se zatím o bezpečnost kyberprostoru stará ministerstvo obrany, respektive jeho speciální brněnské pracoviště. Obrana Česka se má ale v brzké budoucnosti posílit.
Národní bezpečnostní úřad nově utváří Národní centrum kybernetické bezpečnosti, jehož centrála by měla sídlit opět v Brně.
O jeho přesné podobě se zatím diskutuje; mimo jiné i o tom, zda bude v rámci bezpečnostních a preventivních opatření spojeno speciální optickou sítí z provozovateli kritické infrastruktury, centrální bankou či vybranými telekomunikačními firmami.
NBÚ současně s tím chystá nový zákon o kybernetické bezpečnosti země. Věcný návrh zákona, který je aktuálně v připomínkovém řízení a do jednoho až dvou měsíců by jej měla projednat vláda, má týdeník Euro k dispozici.
"Útoky proti informačním technologiím jsou stále sofistikovanější a komplexnější. Ze sféry přímého ekonomického prospěchu individuálních útočníků se útoky přesouvají do oblasti organizované kybernetické průmyslové špionáže a kybernetického terorismu. Útočníci se stále více zaměřují na prvky kritické infrastruktury, jako jsou energetické systémy, produktovody, zdravotnické informační systémy a informační systémy veřejné správy," tvrdí NBÚ ve své předkládací zprávě ke kybernetickému zákonu. Úřad navíc upozorňuje: v rámci mezinárodní regulace tohoto fenoménu je na Českou republiku vyvíjen tlak, aby problematiku ochrany kybernetického prostoru řešila formou závazné právní regulace.
Stav ohrožení
Nový zákon by se měl dotknout především poskytovatelů služeb elektronických komunikací, správců systémů kritické informační infrastruktury či správců informačních systémů veřejné správy. Zákon by jim měl nově ukládat zejména povinnost hlásit kybernetické útoky NBÚ. Současně s tím by museli přijímat taková bezpečnostní opatření, která by zmíněný úřad v rámci boje s kyberzločinem stanovil.
Neuposlechnutím takových výzev by se každý subjekt vystavoval nebezpečí případných sankcí. Jakých přesně, není doposud určeno, pravděpodobně by se ale jednalo o finanční pokuty. Věcný návrh zákona navíc počítá v případě rozsáhlého kybernetického útoku nebo zvláště závažné kybernetické události, které by měly potenciál ohrozit fungování služeb a bezpečnost České republiky, s vyhlášením zvláštního režimu stavu kybernetického nebezpečí a s tím souvisejících opatření. "Stav kybernetického nebezpečí bude vyhlašovat předseda vlády České republiky na návrh ředitele NBÚ, přičemž jeho rozhodnutí musí do 24 hodin schválit vláda. Stav kybernetického nebezpečí bude možno vyhlásit nejvýše na dobu sedmi dnů. Prodloužení stavu kybernetického nebezpečí na dobu dalších sedmi dnů, a to i opakovaně, může provést vláda," uvádí se ve věcném návrhu zákona.
Týdeník EURO 9/2013, 25.2.2013