Kybernetičtí vyděrači zjistili, že informační systémy městských samospráv bývají zastaralé a zranitelné. Některá města již zaplatila za obnovení svých dat velké sumy. Útoků bude přibývat. Bylo by naivní očekávat, že Česká republika toho zůstane uchráněna.
Infrestruktura měst bývá často zastaralá, i proto je vděčným cílem kybernetických útoků
Město Baltimore, stát Louisiana, floridské městečko Lake City a jihoafrický Johannesburg. Čtyři místa, která mají společné zejména to, že se v nedávných dnech stala obětí kybernetického útoku ve formě ransomwaru. Kdykoli se to může stát i u nás.
Další města, která už byla tímto způsobem napadena, jsou převážně v USA, ale Johannesburg ukazuje, že nejde o geograficky omezenou hrozbu – a je tak víceméně jen otázkou času, kdy dorazí i do Evropy nebo do České republiky. Z pohledu kybernetického útočníka nehraje vzdálenost roli, a nedá se tak říct, že se nás hrozba netýká.
Lake City, které bylo napadeno 10. června, zaplatilo výpalné ve výši 460 000 USD a obdrželo od útočníků nástroj – dešifrovací klíč –, kterým byli jejich IT specialisté schopni obnovit fungování města.
Baltimore, napadeno 7. května, výpalné nezaplatilo a odhady způsobených škod se pohybují kolem osmnácti milionů dolarů – suma zahrnuje zejména úsilí nezbytné pro obnovu fungování základních funkcí, postupné čištění napadených informačních systémů a jejich návrat do bezpečného provozu.
Americký stát Louisiana, kde byly 21. července napadeny školy ve třech okresech, vyhlásil stav ohrožení a útok stále trvá. Přestože způsobené škody nejsou nijak velké, stav ohrožení se osvědčil v Coloradu o rok dříve – jako způsob, kterak využít federální zdroje nad rámec omezených lokálních.
Stejně tak útok stále probíhá v jihoafrickém Johannesburgu, kde 25. července podlehla městská společnost City Power Johannesburg – a část jejích zákazníků, obyvatel města, se musí potýkat s nekomfortem při placení faktur, hlášení poruch a prodlevami v reakcích firmy. Podle BBC se některým odběratelům přerušila dodávka elektřiny.
MÁ SE VYDĚRAČŮM PLATIT?
Fráze jako „město bylo vyřazeno kybernetickým útokem“ nebo „zákeřný vir paralyzoval celé město“ zní děsivě. Pravda bývá o něco prozaičtější. Nesmíme si představovat, že v napadeném městě dramaticky zhasnou světla, přestane téci voda a všechny semafory mají už navždy zelenou.
Dnešní města totiž svým technickým provozem ze všeho nejvíc připomínají běžnou firmu. Velkou, výrazně distribuovanou, neorientovanou na tvorbu zisku, ale na poskytování služeb svým občanům, často regulovanou státem a zřizovatelem – ale v principu jde o firmu. Zejména z pohledu informačních technologií takové město potřebuje pro poskytování svých služeb zákazníkům – obyvatelům města – funkční systémy, databáze a aplikace. Informace, kterými je město řízeno. Informace, se kterými zaměstnanci města pracují. Zcela zásadní pak je, aby informace byly správné, dostupné a aby k nim měli přístup právě jen oprávnění lidé.
Ransomware jako druh počítačového viru je pak zbraň v arzenálu útočníka, kterou míří na vitální funkce, a právě pod hrozbou narušení dostupnosti, důvěrnosti a integrity vydírá vedení města – žádá o výkupné. Pro takového útočníka je úspěšná infekce virovou nákazou jen prvním nezbytným krokem, nejde mu o nevratné zašifrování dat a pouhou způsobenou škodu – chce přesvědčit svou oběť, že má jednak moc škodu způsobit a že je schopen ji odstranit. Proto zašifruje veškeré infikované systémy a navrhne cenu, za kterou poskytne dešifrovací klíč. Důležitým prvkem je zde paradoxně důvěra oběti v útočníka, který potřebuje prokázat, že je vůbec dešifrování schopen – za tímto účelem někdy demonstruje odšifrování vzorku počítačů.
Oběť, v tomto případě samospráva města, má pak několik možností. Může zaujmout principiální stanovisko, výkupné zaplatit odmítne a se způsobenými škodami se vypo- řádá sama. Pokud jde o město, které je dobře připravené, nemusí to být ani tak těžké. Další možnost, často vyžadovaná zákonem, je pak požádat o pomoc policii – která může, ale nemusí být efektivní. A úspěšnost policie při dopadení útočníků zase není příliš relevantní z pohledu města pod útokem. Třetí možností je pak zaplatit útočníkům, doufat v jejich profesionální čest (a v jejich obchodní zájem ukázat se jako důvěryhodní gangsteři) – a potupně obnovit chod města s jejich pomocí. Problém je, že s každým takovým případem, kdy oběť výkupné zaplatí, roste lukrativnost tohoto kriminálního modelu pro útočníky.
A to je jádro problému. Důvod, proč teď dochází k poměrně dramatickému cílení těchto útoků na města a jimi zřizované instituce, je prostě ten, že došlo k úspěšné validaci tohoto obchodního modelu. Našla se města ochotná zaplatit, útok vůči podfinancovaným municipalitám není technicky příliš obtížný, riziko dopadení srovnatelné s jakýmkoliv jiným cílem, a návratnost investic (zejména z pohledu vloženého úsilí) se tak z pohledu útočníka stává velmi zajímavou.
Navíc, přestože je jistě rozdíl mezi Johannesburgem v JAR a městy v USA, stále jde o město a jisté podobnosti umožňují útočníkům se začít specializovat, zefektivňovat svůj modus operandi a užívat si takřka neomezeného množství typizovaných cílů.
...
Autor: PETR ŠPIŘÍK bezpečnostní expert
Text Petra Špiříka vyšel 2. 8. 2019 v Deníku N a na webu denikn.cz. Celý si ho můžete přečíst zde.
Kde se připravuje PwC tým Kybernetické bezpečnosti firmy na boj proti hackerům? V Cyber Areně. Tato simulace vyvinutá českým PwC týmem dokáže vytvořit jakékoliv firemní prostředí a díky prvkům gamifikace si mohou firmy vyzkoušet na vlastní kůži, jak by v souboji s hackery obstály. Jak Cyber Arena vypadá, zmapoval Forbes. A co zaměstnanci a IT Awareness? Jak jsme na tom v ČR se vzděláváním zaměstnanců, si můžete přečíst v naší studii Kyberbezpečnost a my. I pravidelný newsletter s tipy, jak předejít IT rizikům, může předejít spoustě krizových situací. Získávejte zdarma svou měsíční dávku kybernetické bezpečnosti díky PwC Stay Secure.
Další tiskové zprávy, publikace a studie vydané PwC a články jejich odborníků naleznete na www.pwc.cz/czpress.