Riziko, že se válka na Ukrajině ve velkém přenese do kybernetického prostoru, nelze vyloučit. Organizace po celém světě včetně Česka by tak měly zůstat ve střehu.
V mezinárodním kybernetickém prostředí již nějakou dobu narůstá soupeření mezi různými aktéry v rámci tzv. šedé zóny. Tou můžeme označit právně těžko uchopitelné prostředí mezi mírem a válkou. Tento stav byl v několika minulých letech pozorovatelný i v případě Ukrajiny, kde situace na konci února 2022 eskalovala do podoby válečného konfliktu. Kybernetické útoky přitom nelze jen tak jednoduše připsat na vrub konkrétním zemím, byť jednotlivé důkazy mohou určitým směrem poukazovat.
Právě na Ukrajině bylo v několika minulých letech pozorováno stále více kybernetických útoků. Příkladem mohou být útoky na elektroenergetickou strukturu země prostřednictvím malwarů BlackEnergy či Industroyer. V roce 2017 pak Ukrajinu zasáhl známý ransomwarový útok NotPetya, který začal aktualizací legitimního účetního softwaru obohaceného o malware typu backdoor. Škodlivá aktualizace umožnila proniknutí útočníků do sítí po celé zemi. Upraveným ransomwarem NotPetya bylo provedeno finální vyřazení počítačů z provozu, a dokonce poškození systémů černobylské jaderné elektrárny.
Postiženo bylo ale také mnoho zahraničních společností, které měly na Ukrajině navázané obchodní vztahy, a byly tedy připojeny k ukrajinským sítím. Celosvětový dopad ransomwaru NotPetya byl odhadem vyčíslen na více než 10 miliard amerických dolarů. Tato událost je tak dobrou připomínkou toho, že i když mohou být útoky na první pohled cílené na jednu zemi, vždy existuje velké riziko dopadu na vedlejší aktéry a způsobení vedlejších škod.
Kybernetické útoky nerespektují státní hranice
S aktuální eskalací konfliktu na Ukrajině se vystupňovaly také tamější kybernetické útoky a staly se nedílnou součástí asymetrického konfliktu 21. století, ve kterém nerovní protivníci používají nekonvenční strategie a taktiky k zajištění svých cílů. Jak konvenční vedení boje, tak i nekonvenční taktiky lze ale považovat za úzce spojené oblasti, jak také uvedl Michal Cebák, vedoucí výzkumné laboratoře ESET v Brně, v nedávném rozhovoru pro server Lupa.cz.
Ať už se současný konflikt bude vyvíjet jakkoli, je zcela pravděpodobné, že geopolitické napětí zůstane ještě nějakou dobu vysoké. Vlády jednotlivých zemí, které aktivně podporují Ukrajinu nebo Rusko, se mohou stát terčem kybernetických útoků, jejichž cílem bude narušit jejich fungování, způsobit škody a získat informace. Již nyní vidíme, jak si hackerské skupiny vybírají strany a vstupují do kybernetického boje na základě svých sympatií. Složitost celé situace pak roste také se zavedením velkého počtu sankcí, což představuje hrozbu odvetných kybernetických útoků na vysoce hodnotné cíle, jako je kritická infrastruktura, orgány veřejného sektoru a přední podniky, například finanční instituce.
Moderním cílem kybernetických útoků je dodavatelský řetězec, a to jak fyzický, tak digitální. Mnohá z rizik, která byla v roce 2017 zaznamenána u ransomwaru NotPetya, by se tak dnes mohla projevit v mnohem horší podobě. Již jsme například byli svědky obrovských škod způsobených firmám a institucím prostřednictvím zneužití nástrojů pro správu IT, jako v případě SolarWinds Orion, Kaseya Virtual System Administrator či Centreon.
S cílem zabránit rozsáhlým dopadům těchto zneužití vydávají různé národní instituce, včetně NÚKIB v České republice, varování a rady, jak postupovat, pokud země čelí zvýšeným kybernetickým hrozbám. A také tato doporučení překračují hranice jednotlivých států. Jak už bylo několikrát řečeno, riziku jsou vystaveny i společnosti, které jsou zdánlivě daleko od současného válečného konfliktu. Zdánlivě méně zajímavé podniky mohou být právě ideálním výcvikovým táborem pro budoucí útoky většího rozsahu.
Příprava na kybernetické útoky
Následky kybernetického útoku mohou být velmi stresující, a proto je lepší s nimi počítat a připravit se na ně. Základem je nepropadat panice, čehož nejlépe dosáhnete školením zaměstnanců a pravidelnými revizemi bezpečnostních zásad a opatření. Klíčem k úspěchu je sestavení plánu, který bude řešit a popisovat, na jaké oblasti je třeba se bezprostředně po útoku prioritně zaměřit a co je třeba krok za krokem udělat. Takový plán zajistí kontinuitu podnikání a obnovu toho nejdůležitějšího po útoku.
Pokud máte ve firmě na starosti kybernetickou bezpečnost, pamatujte, že hrozby se budou i nadále vyvíjet co do objemu i sofistikovanosti. Zůstaňte tak především ostražití. Buďte upřímní ohledně rizik, kterým je vaše organizace vystavena. Jsou cíle, produkty či služby vaší organizace navázány na kritickou infrastrukturu nebo klíčové vládní procesy? Jste součástí dodavatelského řetězce podporujícího klíčové služby? Pokud je odpověď záporná, je přesto dobré vypracovat plán. Pokud je odpověď ano, zhodnoťte své potřeby s odborníky na kyberbezpečnost.
Rychlý checklist pro případ kybernetického útoku:
- Aktualizujte si plán pro zachování kontinuity podnikání. Zjistěte, jak by mohla firma fungovat během a po kybernetickém útoku, zatímco přístupy k systémům mohou být omezeny.
- Proveďte cvičný krizový scénář. Ujistěte se, že všichni ví, jaká je jejich role a co se od nich očekává.
- Aktualizujte seznam krizových kontaktů – komu zavoláte?
- Zvažte také dodavatelský řetězec třetích stran a to, jakou roli hrajete v dodavatelských řetězcích ostatních. Firmy, na které jste navázáni a firmy, které jsou navázány zase na vás, musí mít zásady kybernetické bezpečnosti, které jsou v souladu s těmi vašimi.
- Posilte svůj kyberbezpečnostní tým, především osoby na klíčových pozicích. Možná budou muset provádět zásadní změny a rychle reagovat přímo během incidentu.
- Sledujte podezřelé a neznámé chování v síti. Doporučujeme implementovat řešení EDR, které týmům zajistí visibilitu a pomůže rozeznat kybernetický útok již v ranné fázi.
- Pokud nemáte dostatek zdrojů na řešení závažných incidentů, zadejte tuto kritickou odpovědnost externím dodavatelům. Zvažte také uzavření smlouvy s poskytovatelem správcovských služeb.
- Uspořádejte školení o kybernetické bezpečnosti pro všechny zaměstnance, které jim připomene, aby neotevírali přílohy a neklikali na neznámé nebo nedůvěryhodné odkazy.
Pokud vás zajímá vývoj kybernetických hrozeb v posledních letech na Ukrajině více do hloubky, můžete shlédnout náš nejnovější webinář. Připravili ho pro vás bezpečnostní experti z ESETu, kteří se výzkumu malwaru na Ukrajině dlouhodobě věnují:
