Vlády sponzorují hackerské útoky na systémy jiných zemích. Finanční instituce odráží tisíc útoků denně. Firmy čelí kybernetické špionáži. Hackeři jsou levnější zbraně, než ty klasické.
Connect.cz z New Yorku: Minulý rok se v jednom městě na Floridě z ničeho nic přepnuly všechny semafory na zelenou a za malou chvíli už se na křižovatkách začala srážet auta a na silnicích se vytvořily zmatené kolony jako v nějaké absurdní scéně z amerického filmu. Softwarový systém, který celý tento dopravní komplex řídil, vůbec nevypadal porouchaně a obsluha z počátku vůbec nevěděla, kde může být problém. Později se ukázalo, že se do sítě naboural ještě nezletilý hacker a jen tak z legrace semafory přenastavil.
Podobné je to i s mnoha dalšími kybernetickými útoky po celém světě – navenek vůbec není poznat, že dané systémy byly napadeny a že jsou různými způsoby zneužívány. Nově objevený virus Red October, který kradl citlivá data z počítačů a serverů v Evropě a zemích bývalého Sovětského svazu, například zcela nepozorovaně fungoval 5 let, než se na jeho existenci přišlo. Stejné to bylo i s útoky jako Flame či Stuxnet.
„Za dobu mého působení v Bílém domě jsme narazili na mnoho sofistikovaných útoků, které budily zdání, že v napadených sítích vše funguje, jak má, ale na pozadí bylo všechno jinak,“ popisuje Howard Schmidt, který několik let působil jako šéf kybernetické bezpečnosti v úřadu amerického prezidenta Baracka Obamy.
Nenápadně pro finanční zisk
Útočníci, kteří různé systémy napadají, nechtějí být viděni. Zatímco dříve byly hackerské útoky často vedeny pro efekt, dnes se jejich role vyvinula do něčeho mnohem většího. „Dřívější útoky dělaly především obří rámus a působily velkolepě,“ popisuje v rozhovoru pro Connect.cz hlavní bezpečnostní analytik v Gartneru Lawrence Orans, „dnes jsou ale především tiché, protože jejich hlavním účelem je finanční zisk.“
Útoky jsou nenápadné, těžko odhalitelné a efektivní. Vlevo šéf Kaspersky Labs Eugene Kaspersky, vpravo bývalý šéf kybernetické bezpečnosti v Bílém domě Howard Schmidt.
To samozřejmě neznamená, že by se ani dnes nevyskytovaly mediálně vděčné kauzy. Ty ale mají na svědomí především takzvaní „hacktivisté“, jejichž motivem nebývají peníze, ale spíše chtějí upozorňovat na dění ve společnosti. I když jsou různé eskapády uskupení Anonymous hodně vidět, většina těch závažných útoků se odehrává utajeně. A jinde.
Bezpečnostní odborníci v posledních letech objevili několik dlouhodobě a komplexně fungujících útoků. „Například virus Duqu odhalený v roce 2011 nám ukázal, jak jsou veliké útoky neuvěřitelně dobře maskovány,“ konstatuje Costin Raiu, šéf globálního výzkumu a analýzy ve společnosti Kaspersky Lab. „Podobně dobře maskovaných a nebezpečných virů zcela nepochybně funguje mnoho, jejich objevení je ale nesmírně těžké.“
Největší část těchto útoků míří především na finanční organizace, které zaznamenávají až tisíc pokusů o vniknutí denně. Výrazně ohrožovány jsou také energetické, telekomunikační, dopravní a vojenské subjekty, stranou ale nezůstávají ani klasické firmy všech druhů a velikostí. „Kybernetická špionáž se pro firmy stává nejvážnější hrozbou a je jedno, jak jsou veliké,“ míní zakladatel a šéf Kaspersky Lab Eugene Kaspersky.
Toto tvrzení dokládají i konkrétní čísla. V roce 2012 zaznamenalo 91 procent firem alespoň jeden kybernetický útok a 52 procent společností sledovalo výrazný nárůst útoků oproti předchozímu roku. Více než 35 procent firem přitom přišlo o citlivá data. Zejména americké banky za poslední rok musely odrážet řadu DDoS útoků, které přetrvávají i v současnosti.
Útočníci se snaží získat soukromá data, která pak často prodávají na černém trhu. Pokud se k firemním údajům dostane konkurence, může na tom okradená společnost výrazně tratit. Operace Aurora v roce 2009 například napadla sítě velkých firem jako Google, Adobe, Yahoo, Juniper Networks a dalších.
Vlády rády kybernetické zbraně
Před největší hrozbou ale stojí zejména vlády po celém světě, které vzájemně rozpoutávají kybernetickou válku. Není například tajemstvím, že virus Stuxnet objevený v roce 2010 byl americkou vládou sponzorovaný projekt, který vyřadil z provozu část íránského jaderného programu. V loňském roce identifikovaný Gauss zase poodkryl to, že jednotlivé státy v systémech těch další hledají informace o tom, jaké mají finanční toky a jak nakládají s penězi.
Virtuální útoky způsobují fyzické škody. Šéf výzkumného a analytického týmu Kaspersky Lab Costin Raiu.
Kybernetické zbraně získávají u vlád čím dál větší oblibu, jsou totiž výrazně levnější, než zbraně fyzické. A pro hackery je útočení stále levnější. Myšlenky a techniky kybernetický zbraní totiž mohou být jednoduše kopírovány (původní část kódu Red Octoberu vznikla v Číně, kód ale přejali a upravili útočníci z rusky mluvících zemí) a útočníci navíc mohou využívat kódy sponzorované vládami.
Motivací zemí útočit na systémy ostatních často nemusí být poháněny vidinou krádeže dat a finančními zisky, ale slouží také jako prevence. „Vlády někdy útočí na jiné země z toho důvodu, aby je v kybernetické sféře oslabily a napadené země nezaútočily první,“ vysvětluje Raiu. Neobvyklé není ani zneužívání zcizených informací. Čína například v roce 2011 otestovala vlastní „neviditelnou“ stíhačku J-20, která se v mnohém podobá americkému stroji F-35, na jehož tvůrce byly vedeny útoky.
Kybernetické útoky na státní infrastruktury mohou být velice účinné. Jak ukazuje v úvodu zmíněný příklad semaforů na Floridě, prakticky vše je dnes řízeno pomocí počítačů a sítí. Teoreticky tak není problém například odstavit elektrickou rozvodnou síť, ovládnout rafinerie či vodní přehrady. Zejména rozvojové země pak mohou být podle odborníků extrémně ohroženy útoky na jejich armády. „Stuxnet jednoznačně ukazuje na to, jak je možné pomocí softwaru způsobit fyzické škody,“ upozorňuje Raiu.
Země po celém světě už dlouhou dobu podepisují různé dohody o neútočení a zákazu vyzbrojování, to ovšem platí pouze pro fyzický svět. Ten virtuální je divoký a nesvázaný pravidly. Na podepsání lejster v tomto duchu to prozatím nevypadá. „Možná až se Stuxnet a další útoky obrátí proti jejich tvůrcům,“ myslí si Kaspersky.
Jednotlivé země prozatím budují vlastní centra a strategie kybernetické ochrany. Evropská unie počítá s tím, že se na ochraně virtuálního prostoru budou podílet i soukromé společnosti. Eurokomisařka pro digitální agendu Neelie Kroes teď na ekonomickém fóru v Davosu řešila se zástupci těchto firem další koncepce a plán rozvoje.
V Česku pak v rámci Národního bezpečnostního úřadu vzniká zákon o kybernetické bezpečnosti, který počítá třeba s tím, že se soukromé společnosti budou muset řídit sepsanými pravidly a stát bude moci vyvolat stav kybernetického ohrožení země.
Těžko analyzovatelné útoky
Odhalené velké útoky jako Gauss, Red October, Flame či Stuxnet spojuje především jedna věc – jejich rozsáhlost a komplexita. Za vytvořením takových projektů musí stát zástup prvotřídních IT odborníků a ještě větší zástup finančních investic. Prakticky všechny velké bezpečnostní společnosti na světě se snažily podrobněji analyzovat kód viru Gauss, žádné z nich se to ale zatím nepodařilo. „Flame ukázal, jak jsou tyto viry propracované. Kompletní analýza by nám trvala přes 10 let,“ tvrdí Raiu.
Na Evropu a země bývalého SSSR útočil komplexní virus
„Na světě existují 2 firmy, které mohou Flamu porozumět – jsme to my a společnost, která vlastní zdrojový kód,“ žertuje Eugene Kaspersky. Nové technologie navíc vznikají a přichází velice rychle po sobě. „V oblasti bezpečnosti nemáme dostatek času na to se všem hrozbám okamžitě přizpůsobovat.“
Nedostatek je také IT odborníků, kteří bezpečnosti rozumí. „Potřebujeme jich víc,“ tvrdí Howard Schmidt. S bývalým Obamovým kybernetickým poradcem souhlasí i Eugene Kaspersky: „Vlády musí investovat do vzdělávání v počítačové bezpečnosti,“ míní. Tím nejsou myšleny pouze speciální bezpečnostní obory na univerzitách, ale také výuka základní počítačové bezpečnosti na školách. Americká vláda už například spustila program, který s takovou výukou začíná u malých školáků. S podobnou myšlenkou si hraje i česká politická reprezentace.
„Spousta bezpečnostních odborníků, které znám, začínali jako hackeři,“ usmívá se Schmidt. „Ale ne jako kriminální hackeři, ale jako ti, kteří vše dělali pro legraci,“ upřesňuje.
S tím, jak hackeři a útoky čím dál více ohrožují nejenom vlády, ale i firmy, se začíná tato problematika více řešit na nejvyšší úrovni vedení soukromých společností. Kybernetická bezpečnost už často není pouze záležitostí IT odborníků, ale spadá přímo pod nejvyšší manažery, pro které je ochrana dat a know-how zásadní. „Je pouze otázka času, kdy špičkové ekonomické a manažerské univerzity budou učit budoucí šéfy kybernetickou bezpečnost. Je to důležité,“ věří Schmidt.
I přesto je stále velké procento firem, které útoky podceňují. „Když byl například napaden průmysl s ropou a plynem v Íránu, mnoho dalších firem z tohoto odvětví se řídilo klasickým pocitem, že toto se stalo jiným a jim nic takového nehrozí a že Írán je daleko,“ popisuje Schmidt své zkušenosti. Ve virtuální skutečnosti je ale vzdálen pouhých pár milisekund.
Společnosti po celém světě v loňském roce utratily jenom za bezpečnostní produkty přes 32 miliard dolarů a další miliardy pak padly na konzultace, tvorbu strategií, procesů a podobně. Pro menší firmy, které nemají na ochranu svého digitálního prostoru neomezené prostředky, podle odborníků platí alespoň několik základních věcí: je třeba neustále aktualizovat aplikace (přes starší verze programů Adobe Reader, Internet Explorer, Java a Microsoft Office do počítačů proudí nejvíce škodlivého kódu) a používat aktualizovaná 64bitová Windows 7 a prohlížeč Chrome.
