Problematika kybernetické bezpečnosti stále více nabývá na důležitosti. Kybernetické útoky v Česku nesměřují jen na kritickou infrastrukturu státu, ale například i na finanční sektor, zdravotnictví či různé instituce. Výjimkou samozřejmě není průmysl a podnikatelský sektor obecně. Útoků ale nejsou ušetřeni ani jednotlivci. Těmto hrozbám se daří čelit i díky odborníkům, kteří se ve velké míře koncentrují v Brně. Jedním ze špičkových pracovišť, které se kybernetické bezpečnosti věnuje, je Divize kybernetické bezpečnosti Ústavu výpočetní techniky Masarykovy univerzity v Brně. Aktivity tohoto pracoviště, i s ohledem na souvislosti s aktuální geopolitickou situací ve střední Evropě, popisuje Tomáš Plesník, který tuto divizi vede.

S jakými novými typy kybernetických útoků a hrozeb je možné se v současné době setkat?

Nejde ani tak o nové typy útoků, ale spíše o zdokonalení technik, které útočníci využívají. Časté jsou útoky prostřednictvím ransomwaru, což je škodlivý kód způsobující znepřístupnění obsahu disků jednotlivých počítačů i serverů jejich zašifrováním. V minulosti se staly cílem takového útoku například Fakultní nemocnice v Brně nebo nemocnice v Benešově. Odstranění následků těchto útoků a obnova dat přišla přibližně na 200 milionů korun. V obou případech byla tato zdravotnická zařízení prakticky paralyzována a pachatele těchto útoků se nepodařilo určit.
Velkým problémem je také phishing, který se snaží z uživatelů vylákat přihlašovací údaje k různým službám, zpravidla k elektronickému bankovnictví, a to prostřednictvím falešné přihlašovací stránky. V poslední době se však objevují i pokročilé hrozby, kdy útočník využívá znalost daného prostředí, zná organizační strukturu, interní procesy, zvyky a chování uživatelů v dané organizaci a cíleně se zaměřuje na konkrétní osoby.

Lze říci, že toto jsou nejčastější hrozby?

Phishingové útoky jsou časté, ale je zde i celá řada dalších hrozeb využívajících metod sociálního inženýrství. Je to zejména rozesílání dokumentů ve formátu DOCX nebo PDF, které obsahují makropříkazy sloužící ke stáhnutí či spuštění škodlivého kódu – typicky již zmíněného ransomwaru nebo softwaru zajišťujícího komunikaci mezi napadeným počítačem a útočníkem. Často jsou tyto soubory maskovány jako různé upomínky či úřední dokumenty, aby útočník donutil uživatele soubor otevřít a spustit. Prostřednictvím napadeného počítače se škodlivý kód může šířit v rámci celé organizace a její infrastruktura může být následně využita například při takzvaných DDoS útocích na systémy třetích stran. Cílem DDoS útoků se v poslední době staly například informační systémy několika českých bank, kdy uživatelé nemohli z důvodů zahlcení přístupových serverů získat přístup k internetovému bankovnictví.

Jak často využívají útočníci metody sociálního inženýrství a jak jsou úspěšní?

Přibližně od roku 2018 se ve velkém množství začaly objevovat vyděračské e‑maily, využívající úniků přihlašovacích údajů z různých online služeb, kdy útočník přesvědčuje uživatele, že má kontrolu nad jeho počítačem a žádá o zaplacení „výpalného“ na anonymní kryptoměnový účet. Typickým příkladem je e‑mail, ve kterém útočník tvrdí, že natočil uživatele při sledování pornografického obsahu, a v případě, že dotyčný nezaplatí, začne rozšiřovat toto video mezi kontakty uživatele. U jedné z prvních kampaní tohoto typu jsme sledovali obsah předmětné bitcoinové peněženky. V průběhu tří hodin od spuštění kampaně se na tomto účtu objevilo přibližně 200 tisíc korun.

Nejslabším místem z hlediska kyberbezpečnosti je tedy sám uživatel?

Útočníci pracují s psychologií, se stresem, a s tím, jak člověk zpravidla jedná v krizových situacích. Zde je nutné zdůraznit, že sociální inženýrství opravdu funguje, protože v mnoha případech útočníci opravdu přesvědčí uživatele, aby udělali to, co chtějí. Ale důvodem může být i to, že uživatelé nejsou dostatečně proškoleni nebo ignorují základní bezpečnostní pravidla.

Řada kybernetických útoků přichází údajně z Ruska a Číny. Je tomu skutečně tak?

V mnoha případech je tomu skutečně tak. Obecně lze říct, že existují skupiny útočníků, které jsou placeny různými aktéry světové politické scény za to, že získají přístup do informačních systémů úřadů, institucí a firem s tím, že cílem je takový přístup udržet co nejdéle a využít jej k utajenému získávání informací. Pracují na profesionální úrovni a jsou nebezpečné tím, že jde o systematické, koncepční a dlouhodobé získávání informací, know‑how či využívání výpočetní kapacity serverů oběti. S takovými útoky bojuje i sama Masarykova univerzita.

Jaká je historie boje proti kybernetickým hrozbám na Masarykově univerzitě?

V roce 2009 vznikl na Masarykově univerzitě tým kybernetické bezpečnosti, který je od roku 2019 i součástí Trusted Introducer, mezinárodní organizace sdružující evropské bezpečnostní týmy. V rámci této organizace probíhá i ověřování vyspělosti jednotlivých týmů a k jejich následné certifikaci. Náš tým dosáhl jako první v České republice na stupeň CERTIFIED, což je nejvyšší možná úroveň. Tento stupeň máme nepřetržitě již od roku 2016. Udělení certifikace není trvalé a je potřeba ji v rámci bezpečnostního auditu obnovovat. Kyberbezpečnost je pro nás klíčovou prioritou.

Čím konkrétně se v oblasti kybernetické bezpečnosti zabýváte?

Jako univerzita provádíme nejen výzkum a vzdělávání v této oblasti, ale snažíme se v maximální možné míře plnit i svoji společenskou roli v rámci kybernetické bezpečnosti. To znamená, že se účastníme i řady výzev, a to jak na národní, tak i evropské úrovni. Mezi ně patří například projekty Ministerstva vnitra ČR, které se zaměřují zejména na výzkum a vývoj produktů pro potřeby bezpečnostních složek státu, jako jsou například policie, armáda či zpravodajské služby. V rámci evropského projektu SOCCER se aktuálně věnujeme navýšení schopností a kapacity bezpečnostního centra, které budujeme ve spolupráci se sdružením CESNET, což je provozovatel akademické sítě vysokých škol v České republice. Účastníme se i řady dalších menších evropských projektů, které jsou zaměřeny na spolupráci s průmyslovým sektorem.

Jakým způsobem se výsledky vašeho výzkumu dostávají do praxe?

Jsme součástí inovačního ekosystému #brnoregion, kde se setkávají odborníci z akademické sféry, bezpečnostních složek, ale i z komerční sféry. Brno je již historicky označováno jako české Silicon Valley, a své sídlo tu mají významné společnosti i veřejné instituce působící v oblasti informačních technologií a kybernetické bezpečnosti. Důkazem toho je i vznik prostoru CyberCampuscz, kde se koncentrují organizace, které působí v této oblasti.

Další platformou, kde dochází k výměně informací a poznatků v oblasti kybernetické bezpečnosti, je konference CyberCon, organizovaná Národním úřadem pro kybernetickou a informační bezpečnost. Na této akci, konané v Brně, se pravidelně setkávají odborníci působící v oblasti kybernetické bezpečnosti z celé České republiky, spolu s pracovníky z praxe, což dává účastníkům možnost být v přímém kontaktu a diskutovat různé otázky, které s touto problematikou souvisí. Akcí podobného typu v České republice moc není, a je to tedy ojedinělá příležitost, kdy se můžeme setkat při spolupráci na funkčních řešeních, která nám pomáhají odvracet různé typy kybernetických hrozeb.

Rozhovor vznikl ve spolupráci s inovační agenturou JIC.
Zveřejnění tohoto textu bylo spolufinancováno Evropskou unií.