Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) evidoval v loňském roce dosud nejvíce kybernetických bezpečnostních incidentů. Oproti roku 2023 ovšem došlo pouze k mírnému nárůstu, vyplývá ze zprávy úřadu za rok 2024. Podle ředitele NÚKIB Lukáše Kintra je navíc podstatný zejména fakt, že závažnost dopadů incidentů se již tři roky po sobě snižuje.
V minulém roce úřad evidoval pouze jeden velmi významný incident. Významných incidentů bylo zaznamenáno osmnáct, což oproti roku 2023 představuje pokles o více než polovinu. To podle Kintra značí pozitivní trend.
Podle definice je velmi významný incident takový, při němž je přímo a výrazně narušena bezpečnost poskytovaných služeb nebo aktiv. V případě významného incidentu je bezpečnost „pouze“ porušena. K samotné kategorizaci dochází na základě různých faktorů, k nimž patří třeba počet dotčených uživatelů, způsobené nebo předpokládané škody či délka trvání incidentu.
Celkem NÚKIB vloni zaznamenal 268 bezpečnostních incidentů, což je o šest více než v roce 2023. Zvýšený počet případů úřad registroval o letních prázdninových měsících, kdy jich bylo v každém z nich více než třicet.
Rekordním měsícem byl ale říjen se 47 kybernetickými incidenty. Šlo o vůbec nejvyšší počet evidovaných případů za jeden měsíc od začátku jejich sledování.
DDoS útoky a hacktivistické skupiny
Skladba útoků zůstala podle NÚKIB podobná jako v roce 2023. Čtyřicet tři procent tvoří ty, které jsou zaměřeny na dostupnost on-line služeb. K narušení v těchto případech často dochází skrze DDoS útoky, jež v tuzemsku tvoří významnou část kybernetických incidentů.
„Za většinou z nich stály ruskojazyčné hacktivistické skupiny, zejména NoName057(16), jejíž škodlivé aktivity však nadále nepůsobily zasaženým cílům škody nad rámec krátkodobých výpadků napadených webů,“ píše NÚKIB.
Skupina podle úřadu ale prokazuje kontinuálně vysoké operační tempo. Například během loňského října stála za většinou z rekordních třiceti DDoS útoků za daný měsíc. Aktivní navíc byla i v minulosti. Podle odborníků provedla třeba útoky na některé tuzemské banky v létě 2023. Banky se během nich potýkaly s výpadky internetového a mobilního bankovnictví nebo svých webů. Hackeři požadovali, aby instituce přestaly s podporou Ukrajiny. V lednu 2023 stejná skupina zaútočila na volební weby prezidentských kandidátů Petra Pavla a Tomáše Zimy.
- Denial-of-service (DoS) česky znamená odepření služby. DoS útok je typ útoku na internetové služby, jeho cílem je službu znefunkčnit a znepřístupnit ostatním uživatelům.
- DDoS útok je distribuovaný útok typu denial-of-service (DDoS). Při tomto typu dochází k útoku z mnoha různých zdrojů, které se snaží zahltit cíl útoku. Často může být veden bez vědomí majitelů útočících zařízení, jejichž systém byl napaden a úspěšně infikován. V některých případech ale může být zařízení součástí útoku i s vědomím majitele.
- DDoS útok lze přirovnat ke skupině lidí, která se tlačí u vstupních dveří obchodu, čímž ztěžuje vstup legitimním zákazníkům. Tím dochází k narušení obchodu a firma přichází o peníze.
- Výhodou DDoS útoku je fakt, že větší množství útočníků může generovat větší množství síťového provozu než jeden počítač, čímž způsobí větší zatížení cílovému systému. V případě tohoto útoku je také složitější vystopovat útočící systémy a odfiltrovat je od normálního provozu serveru.
- Pachatelé DDoS útoků se často zaměřují například na banky nebo platební brány kreditních karet. Motivací k takovým útokům může být pomsta, vydírání, ale také hacktivismus.
- Termín hacktivismus vznikl spojením pojmů „hacking“ a „aktivismus“ a jedná se o prosazování ideologicky motivovaných a společensko-politických rozměrů v kybernetickém prostředí pomocí hackerských technik.
Zdroj: Wikipedia
Na základě dat za první polovinu letošního roku nicméně úřad eviduje výrazný pokles DDoS útoků. Letos v únoru dokonce NÚKIB nezaznamenal žádný incident, ke kterému by se nějaká ruskojazyčná hacktivistická skupina přihlásila.
Podle mluvčí úřadu Alžběty Dvořákové je pozitivním trendem lepší úroveň zabezpečení vůči těmto typům útoků. „Ačkoli tyto skupiny stále podnikají DDoS útoky, v řadě případů nemají dostatečné dopady, aby byly klasifikovány jako kybernetický incident,“ doplnila.
Rozsáhlý zásah proti skupině NoName057(16) provedly letos v červenci evropské agentury Europol a Eurojust v rámci operace nazvané Eastwood. Na akci se podílely i české úřady. „Při celodenním zásahu jsme 15. července zneškodnili infrastrukturu, která využívala stovky počítačových systémů po celém světě, a identifikovali jsme několik podezřelých, včetně hlavních strůjců sídlících v Ruské federaci,“ uvedly evropské agentury ve společném prohlášení. Odborník na kyberbezpečnost Tomáš Flidr ale Radiožurnálu řekl, že to není konec fungování skupiny.
Nový trend
Novým trendem v kontextu činnosti hacktivistů byl vloni podle NÚKIB počet aktérů, kteří útočí na slabě zabezpečené systémy operačních technologií a SCADA systémy (systémy, které z centrálního či vzdáleného pracoviště monitorují průmyslová a jiná technická zařízení) průmyslových podniků západních zemí. Jeden incident byl podle úřadu zaznamenán i v tuzemsku.
Tyto útoky se mohou týkat zejména podniků vodohospodářského sektoru. „Útočníci při nich přistupují k ovládacím konzolím různých strojů, které jsou často přístupné z internetu a zabezpečené výchozími hesly. Následně s nimi neodborně manipulují ve snaze docílit fyzických efektů (vypuštění či naopak přetečení různých nádrží a podobně),“ vysvětlují autoři zprávy.
V západních zemích se počet takových útoků pohybuje v nižších desítkách. Existuje nicméně podle úřadu reálná šance (zhruba čtyřicet až padesát procent), že počet těchto útoků v budoucnu poroste i v tuzemsku a v některých případech může v jejich důsledku dojít ke škodám na majetku.
Ransomwarové útoky
Hacktivisté a DDoS útoky ale nejsou jediným problémem. „Jako velmi závažná hrozba se i nadále ukazují ransomwarové útoky, kterých bylo v porovnání s DDoS útoky sice méně, ale jejich reputační nebo finanční újma může být nevyčíslitelná,“ zdůraznil Kintr. NÚKIB jich evidoval každý měsíc nižší jednotky. Zároveň však připouští, že reálný počet útoků mimo viditelnost úřadu je s největší pravděpodobností ještě vyšší.
„Ačkoli ransomwarové útoky stály za necelými jedenácti procenty všech evidovaných incidentů, jejich dopady dokazují, že jde o velmi závažnou hrozbu. Kromě úniku citlivých informací mohou vést k zašifrování dat, ale i dočasnému pozastavení výroby nebo poskytování služeb,“ píše se ve zprávě.
- Termín ransomware nebo také vyděračský software či vyděračský program vznikl ze složení anglických slov ransom (výkupné) a software.
- Jde o druh škodlivého programu, který blokuje počítačový systém nebo šifruje data v něm zapsaná a pak požaduje od oběti výkupné za obnovení přístupu.
- Útoky ransomwaru jsou obvykle prováděny pomocí trojského koně maskovaného jako legitimní soubor, který si uživatel dobrovolně otevře či stáhne, když dorazí jako příloha e-mailu.
Zdroj: Wikipedia
U řady obětí došlo ke smazání či exfiltraci různých typů dat napříč systémy. Zatímco v některých případech se díky dobře nastaveným bezpečnostním opatřením a rychlé reakci podařilo dopady minimalizovat, v jiných byl vliv na chod subjektů významný.
Během loňského podzimu NÚKIB evidoval více než dvojnásobný narůst těchto útoků oproti průměrným hodnotám. „Nejspíš se však nejednalo o koordinovanou kampaň, ale o zvýšenou aktivitu různých útočníků,“ upřesnil úřad.
Vazby na Rusko a Čínu
Úřad ve zprávě dále uvádí, že v blízké budoucnosti lze očekávat zejména pokračování současných trendů. „Bude docházet k incidentům spojeným s geopolitickou situací, a to nikoliv pouze v kontextu (ruské) války na Ukrajině,“ varuje text.
„Přestože sofistikované kampaně státních aktérů spojovaných s Ruskou federací nebo Čínskou lidovou republikou tvoří jen malé procento celkového počtu incidentů, jejich závažnost je obvykle vysoká,“ upozorňují autoři zprávy.
V roce 2024 byly v Česku detekovány například kampaně hackerských skupin spojovaných s ruskými zpravodajskými službami. NÚKIB jako příklad uvádí APT29 (též Midnight Blizzard nebo BlueBravo), která je spojovaná se Službou vnější rozvědky (SVER), či COLDRIVER (též Star Blizzard nebo Callisto Group), která je spojována s Federální službou bezpečnosti (FSB).
Tyto skupiny se soustředí například na aktivity malwarové (škodlivý software, který je navržen tak, aby poškodil počítač či ukradl citlivá data) či phishingové (podvod, při němž se útočníci vydávají za důvěryhodné zdroje a snaží se od obětí získat citlivé údaje).
Během ledna loňského roku pak Vojenské zpravodajství podniklo aktivní zásah v kybernetickém prostoru proti skupině APT28 (známé též jako Fancy Bear nebo Forest Blizzard) spojované s ruskou vojenskou rozvědkou (GRU). Došlo k tomu při mezinárodní operaci vedené USA, která spočívala v provedení opatření proti infrastruktuře kompromitovaných routerů zneužívaných daným aktérem.
Aktivní podle NÚKIB nadále zůstávají i aktéři spojovaní s Čínou, kteří se zaměřují na cíle v rámci Evropské unie i Severoatlantické aliance. „Jejich kampaně cílené na kritickou infrastrukturu, telekomunikační nebo jiné sektory výrazně rezonovaly ve veřejném prostoru, zejména s ohledem na potenciální dopady těchto kompromitací,“ uvádí zpráva s tím, že aktivity čínských aktérů byly v loňském roce minimálně ve dvou odlišných případech zaznamenány také v Česku.
Poklesla úroveň kyberkriminality
Pozitivní je naopak podle zprávy NÚKIB fakt, že v rámci evidence policie v loňském roce poklesla úroveň kyberkriminality. „Po čtyřech letech růstu byl zaznamenán meziroční pokles o téměř šest procent, přičemž celkový počet těchto trestných činů byl nižší nejen oproti roku 2023, ale i oproti roku 2022,“ píše se ve zprávě s tím, že nejvyšší podíl představují podobně jako v minulých letech různé druhy on-line podvodných jednání.
Podle NÚKIB se policii daří úspěšně realizovat opatření, jimiž se zvyšují schopnosti tohoto bezpečnostního sboru ve vztahu ke kyberprostoru.
Zákon o kybernetické bezpečnosti a útok na nemocnici v Nymburce
Pro kybernetickou bezpečnost je ovšem důležitá také legislativa. „Jedním z milníků bylo schválení návrhu zákona o kybernetické bezpečnosti vládou – v tuto chvíli čekáme na publikaci zákona ve Sbírce zákonů, čímž bude uveden v platnost,“ připomněl Kintr. Zákon by měl v platnost vstoupit 1. listopadu.
Nová legislativa, jejíž část vychází z evropské směrnice NIS2, má podle vlády přispět k posílení kybernetické bezpečnosti Česka. Počítá s nastavením alespoň základní úrovně zabezpečení v organizacích, které poskytují své služby v ekonomicky, společensky či bezpečnostně významných odvětvích. Jelikož směrnice NIS2 rozšířila okruh regulovaných odvětí i služeb, bude nový zákon dopadat na výrazně větší počet organizací. Podle NÚKIB bude tato legislativa velmi pravděpodobně znamenat nárůst počtu evidovaných incidentů a rovněž může proměnit skladbu jejich závažnosti.
K řadě incidentů už došlo i v letošním roce. Vůbec nejvíce jich zatím bylo v červenci, kdy NÚKIB zaznamenal 23 incidentů, z nichž dva spadaly do kategorie významných a jeden do kategorie velmi významných.
Na začátku července ochromil rozsáhlý kybernetický útok nymburskou nemocnici. V nemocnici přestaly fungovat veškeré informační systémy. Jejich vyřazení na několik hodin omezilo i poskytovanou péči, nebyl například možný příjem pacientů ze záchranné služby. Nikdo z pacientů ale nebyl v ohrožení života.
