Bezpečnost | Rozhovory | Kybernetická bezpečnost

Česko zasáhl největší DDoS útok v historii. V čem byl specifický? Mohl být řízený z Ruska? Rozhovor s Tomášem Křešťákem z O2

Tematický speciál 3. prosince 2022
Reportáž z Las Vegas a prapůvodní sestavy Týdne Živě a Týdne mobilně

V posledním říjnovém týdnu se operátoři v Česku potýkali s jedním z největších kybernetických útoků v historii. Jeho cílem bylo přetížit tuzemský internet a odstavit služby firemních zákazníků, firem a státních organizací. Útočníci překvapili intenzitou i délkou útoku.

Přečtěte si rozhovor s ředitelem fixních služeb Tomášem Křešťákem z O2, který byl součástí krizového štábu. O2 síť díky usilovné práci odborníků náporu odolala a klíčové služby zůstaly nedotčeny.

O2_Tomáš Křešťák_DSC3429.jpg

Začněme obecně, jak se podle vás v poslední době změnila bezpečnost na internetu?
Internet je místo, které se neustále mění, stejně tak i kybernetické útoky. Dochází k vývoji, učíme se my, ale učí se i útočníci. Bezpečnostní situace ve světě se jednoznačně zhoršila. Útoků je stále víc, ale pro nás se toho změnilo velmi málo. Mění se pár technik a způsobů obrany, ale podstata zůstává stejná. Stále se potýkáme s útoky, které jsme znali již dříve.

Mění se nějak postavení kyberbezpečnosti ve společnosti?
Dříve byla bezpečnost ve službách více schovaná, ačkoli jsme ji také museli řešit. Dnes toto téma více rezonuje. Je skvělé, že se zvětšuje povědomí občanů a firem. Vidím daleko větší úsilí, které tomuto tématu firmy věnují. I přesto, že to stojí čas a peníze. 

Co jsou to vlastně ty DDoS útoky a jaké jsou jejich trendy v poslední době?
DDoS obvykle cílí na infrastrukturu zákazníka nebo operátora. Tyto útoky přichází z ostatních sítí. Jejich cílem je zahlcení a přetížení lokální sítě, která je pak zcela nefunkční. Stát, firmy, potažmo jednotliví lidé se pak nemohou dostat k důležitým datům a nemohou pracovat. Já internet rád přirovnávám k dálnici. Takový DDoS útok je jako obrovské množství aut, které dálnici ucpou a znemožní na delší čas provoz.

Pokud se to útočníkům povede, může jít o velký problém, protože taková dálnice neslouží jen obyčejným autům, ale také policii nebo sanitkám. Pro nás je ale jinak DDoS útok vlastně velice standardní a nijak ojedinělý.

Čemu jsme tedy vlastně na konci října čelili a v čem byl útok speciální?
DDoS útoky začaly v pondělí 24. října ráno. Unikátní byla ale délka a rozsáhlost incidentu. Šlo skutečně o masivní atak. Celé to trvalo vlastně tři dny v různých cyklech. Obvyklá délka takových incidentů je v řádu hodin.

Speciálnost DDoS útoků spočívá v jejich spontánnosti. Na malwary nebo phisingy jsme totiž schopni se alespoň trochu připravit. Instalace “vadného” kódu nebo mailu je zachytitelná před jeho spuštěním. DDoS útok se ale spustí a běží. Musíte být pořád ostražití. I proto máme v O2 SEC (Security expert center), kde se na bezpečnost dohlíží 24 hodin denně, každý den v týdnu. 

Problémy ale nemělo pouze O2. O jak velký útok vlastně šlo a je možné, že za něj může geopolitická situace?
Šlo opravdu o mimořádně velký incident. Velikostí třeba jen pětkrát menší než jsou největší útoky na velké americké digitální giganty jako je Google nebo Microsoft, což je na zemi velikosti České republiky opravdu masivní akce. Od února letošního roku se počet objednaných útoků, které evidujeme, evidentně zvětšuje. Ale jestli byl tento atak objednaný v Rusku z politických důvodů, to si netroufnu tvrdit. Naším protivníkem není objednatel, ale ten, kdo útok vyrobil. Útok byl veden z různých směrů, zemí a sítí. Internet nezná hranic. 

Kdy a jak jste zjistili, že se děje něco abnormálního?
V pondělí ráno nám obrovsky narostl provoz na síti. Okolo osmé hodiny byl provoz na internetu vlastně dvojnásobný než obvykle. To byl první alarm, že se něco děje. Dále jsme zjistili, že většina provozu na některých linkách byla abnormální, že tam byl zkrátka jasný cíl přetížit vybrané IP adresy.

Jaké nástroje, techniky a opatření jste používali k obraně? 
Nejdůležitější je lidský nástroj, tedy O2 SEC, to běží neustále. Lidé zde permanentně sedí a vyhodnocují. K tomu máme řadu složitých softwarů na spravování, které hlídají anomálie. Klíčová je i konfigurace v síti. Opět se vrátím k přirovnání k dálnici. Když se nám po naší internetové dálnici prohání nechtěná auta, umíme je díky konfiguraci zastavit nebo zpomalit. Náš hlavní cíl je, aby naše dálnice byla stále průjezdná pro běžné užívání. 

Situaci v O2 řešil krizový štáb. Jak fungoval?
Já jsem byl členem tohoto štábu, ačkoli musím podotknout, že určitě ne tím nejdůležitějším. Činitelé v něm musí mít velkou zodpovědnost i pravomoc, aby byli schopni situaci rychle řešit. Moc se mi líbilo, jak byla reakce u nás hbitá. Štáb byl svolán během chvilky, nic nás nezaskočilo. Vše probíhalo velmi rychle. A to byl za mě jeden z klíčů k úspěšném zvládnutí útoků.

Spolupracujete s dalšími operátory a komunitou?
Samozřejmě.  My jsme sice mezi operátory konkurenty, ale v tomto případě existuje určitá nadřazenost. Musíme spolupracovat, abychom společně udrželi internet funkční. Nechci zacházet do detailů, ale v této oblasti je vzájemná pomoc doma i v zahraničí ohromně důležitá. Např. NIX.CZ jako peeringový bod v rámci České republiky na to má celý proces.

Jak O2 komunikovalo se zákazníky?
Klíčové je, aby se útoky netajily. Veřejnost o nich musí být informována. Potýkat se s problémy při útoku není žádná ostuda. Kromě DDoS je ale třeba koukat i na jiné incidenty. Je třeba přistupovat k bezpečnosti komplexně. Ideálním postupem pro firmy je najít si zkušenou partnerskou společnost, která s nastavením pomůže. V O2 poskytujeme zákazníkům třeba již výše zmíněný SEC, který i v případě tohoto incidentu mnoho lidí uchránil před problémy a finanční ztrátou.

Další článek: Reportáž z Las Vegas a prapůvodní sestavy Týdne Živě a Týdne mobilně

Témata článku: , , , , , , , , , , , , , , , , , , ,