Hackeři částečně kopírují vlny pandemie koronaviru. Podle ředitele Národního úřadu pro kybernetickou a informační bezpečnost přibývá útoků. Nebezpečí může hrozit i českým nemocnicím. „Vždy když je možnost dostat oběti pod tlak, a jsou tudíž ochotné zaplatit, tak toho útočníci v minulosti využívali,“ říká v rozhovoru pro Radiožurnál. Důvodem většího množství útoků je ale i větší počet lidí, kteří využívají online prostor.

Rozhovor Praha 11:57 21. ledna 2022 Tento článek je více než rok starý Sdílet na Facebooku Sdílet na Twitteru Sdílet na LinkedIn Tisknout Kopírovat url adresu Zkrácená adresa Kopírovat do schránky Zavřít

Národní úřad pro kybernetickou a informační bezpečnost začal vydávat měsíční reporty, kolik kyberútoků, respektive incidentů zaznamenal a musel řešit. Třeba za říjen jich je 14. Stále se přitom mluví o tom, že kyberútoků přibývá. Není to tedy nějak málo?
Není.

Neznamená to, že je ti, co mají hlásit, nehlásí?
Ty měsíce se liší. Samozřejmě. A ono to není tak, že je v Česku 14 incidentů. To, co říká a řeší NUKIB, tak je fakt špička ledovce. Nás zajímají jen ty nejdůležitější systémy. Převážně ale vycházíme z toho, co je nám hlášeno, protože existuje zákonná povinnost nám to hlásit. Občas i vlastní činností se dozvíme o něčem dalším.

Ministerstva a úřady musí zkontrolovat své systémy. Hackeři mohou zneužít nově objevenou chybu

Číst článek

Anebo to může být tak, že se někdy dozvíme o věcech, které ten subjekt ještě ani sám neví. Častokrát nám problémy hlásí i ti, kteří nemusí. Také se liší závažnosti útoků, ale abyste si nepředstavovali, že je to reflektuje, co se děje v Česku. V Česku denně probíhají tisíce a tisíce phishingových pokusů a jiných, kterými se z logiky věci prostě nemůžeme zabývat. My řešíme opravdu jen to nejdůležitější.

Velkým tématem je kyberbezpečnost nemocnic, mediálně jich je známých několik. Loni do října jste zaznamenali 24 útoků na zdravotnická zařízení. Byl některý z nich vážný?
Já v tomto roce nemohu říct, že by tam bylo něco extrémního. Určitě tam nebyly útoky takového typu, jako byl ve Fakultní nemocnici v Brně nebo benešovské nemocnici. Třeba to zasáhlo jen nějaký segment sítě nebo to bylo zachycené. Nic úplně masivního, ale určitě tam byly situace, které mohly být potenciálně hrozbou.

Čekáte další útoky na nemocnice s tím, jak se opět začíná šířit koronavirus?
Určitě se to může stát. Nemáme úplně indicie, že by se něco konkrétně chystalo. Byť tedy jsou nějaké ransomwarové skupiny, které třeba zatím nepůsobily v Česku. Víme o nich a víme, že se hodně zaměřují na zdravotnictví. Čekáme, že je možné, že se dostanou i k nám, protože začínají působit i v Evropě. Vždy když je možnost dostat oběti pod tlak, a jsou tudíž ochotné zaplatit, tak toho útočníci v minulosti využívali.

Takže podle vás útoky na nemocnice částečně kopírují vlny pandemie?
Ono se to těžko říká, protože i to prostředí hrozeb se mění. Hackerské skupiny různě zahajují činnost, pak ji přerušují. Nebo dělají, že končí, ve skutečnosti přejdou v něco jiného. Určitě množství incidentů částečně kopíruje pandemii, ale to není asi možná dáno jen tím, že by útočníci cílili více v pandemii, ale je to dáno i tím, že se víc věcí přesouvá do kyberprostoru. A to znamená, že více lidí pracuje na dálku, více začne nakupovat na internetu, je větší zátěž na IT, takže logicky tam bude i více incidentů. Pravda je, že se daleko více rozmohly ransomwary. Ale jsou v tom i jiné aspekty – třeba rozvoj kryptoměn.

Kyberzákon

Už je to rok, co začala platit nová vyhláška a pod kyberzákon patří více nemocnic než jen ty největší v Česku. Kolik jich je tam teď?
Bylo jich tam 16, než začala platit vyhláška. Pak začal od loňského ledna proces posuzování. My měli odhad, že jich bude nakonec asi 50, skoro to tak je. Dnes pod kyberzákon spadá 44 nemocnic. Snažili jsme se tu regulaci udělat chytřejší, není to jen o tom, že narostlo číslo. Šlo nám i o kvalitativní řešení. 

Ta kritéria nebyla jen počet lůžek a urgentní příjem, jak to bylo dříve. Snažili jsme se řekněme o princip regionálnosti a princip jedinečnosti. Rozlišili jsme různé specializace. Sledovali jsme i regionální pokrytí. Máte třeba u sebe tři velké nemocnice, typicky v Praze. Když jedna přestane fungovat, pořád můžete pacienta převézt kousek vedle. Pak jsou ale nemocnice, které nejsou tak velké, ale široko daleko kolem nich není jiné zařízení.

Co to pro nemocnici znamená, že je regulovaná?
Začíná to tím, že nám musí nahlásit kontaktní údaje a my jí dáme ty naše. Je to velmi důležité. Zní to možná jednoduše, ale když dnes chcete předat informace nemocnicím – a nejsou v tom systému zahrnuté – tak je těžké vůbec dostatečný počet těch lidí rychle kontaktovat. To se nám ukázalo i v praxi.

To bylo na jaře 2020, kdy jste vydali varování pro nemocnice, že jim hrozí útok?
Ano, ale byly to i další věci. Někdy máme informace, které je dobré předat třeba i neregulovaným subjektům. Je ale problém, jak informace předat. Nikde není něco jako distribuční seznam, kam co posílat. Potřebujete vědět, že to v konkrétní nemocnici přijde správné osobě. Tím vlastně začíná ta regulace – že máte nahlášené kontaktní údaje na správné lidi a toto i prověřujeme a děláme na to cvičení. Mimo to samozřejmě musí naplňovat technická a organizační opatření z vyhlášky. Délky hesel, administrátorská hesla, uchovávání logů, analýza rizik, co musí být pokryté v dodavatelských smlouvách…

Mají na to nemocnice kapacity? Najednou jich desítky začaly patřit pod kyberzákon. Mají nové povinnosti, ale peníze navíc jim na to nikdo nedal…
Nebylo to tak nečekané. Signály dostávaly dost v předstihu. Ty kyberútoky byly asi nejsilnějším signálem. První velký byl už v roce 2019. Dopředu se komunikovalo se zřizovateli, ať už s ministerstvem zdravotnictví, nebo Asociací krajů. Asi pro nikoho není překvapení, že se s tím sektorem mělo něco dělat. Mají taky rok jako přechodné období. A samozřejmě pokud některé věci z nějakých důvodů, třeba smluvních, prostě nemohou aplikovat hned, tak i na to se myslí. I to je možné. Ale za předpokladu, že to mají nějak pokryto, že o tom vědí, že nějak pracují s rizikem a mají plán, jak tu situaci vyřešit.

Možnosti zabezpečení

Má NÚKIB i možnost nemocnicím pomoct?
Jako do máločeho jsme dali tolik úsilí jako do sektoru zdravotnictví za poslední rok. A samozřejmě ta regulace není jen nevýhoda. Nemocnice má najednou třeba páku na zřizovatele, vyžadovat více zdrojů. Druhá věc je, že regulovaný subjekt automaticky spadá do našeho radaru, věnujeme mu větší pozornost a samozřejmě ale i větší podporu – různé audity, skeny zranitelností, penetrační testy nebo vzdělávání.

Riziko útoku hackerů v Česku je podle kyberúřadu vyšší. Pozor má dát vládní sektor i významné firmy

Číst článek

Jak se ke kyberbezpečnosti staví ministerstvo zdravotnictví?
Tlačíme na ministerstvo, aby i z tohoto resortu vzešla nějaká strategie kybernetické bezpečnosti, aby prostě udávali nějaký směr v tomto sektoru. Třeba u státní správy jsme chtěli, aby si povinné subjekty udělaly komunitu manažerů kybernetické bezpečnosti. Dost často se potýkají s podobnými problémy. Tím si můžou budovat své know-how, scházet se, vyměňovat zkušenosti a nejlepší praxi. Začíná to nějak fungovat. My to neřešíme, to je jejich iniciativa, ale nabídli jsme jim v tom veškerou podporu.

Od letošního roku se rozšiřuje vyhláška na některé systémy krajů nebo Prahy, úřady nebo soudy. Má kyberúřad kapacity spravovat stále větší množství institucí, které spadají pod kyberzákon?
Naše regulace je podle mě opravdu chytrá. Je hodně založená na přístupu na základě analýzy rizik a nechává velkou míru autonomie. Je založená na dodržování principů, a ne na dodržování nějakých konkrétních kroků.

Kapacity na to, abychom každého vodili za ruku a dělali mu veškerý servis a chodili mu tam dělat audity a tak – to určitě mít nebudeme. Jsou to stovky a stovky systémů v Česku. Ale to asi není ani cílem, protože si myslím, že i tam je potřeba vždy odstupňovat důležitost a rizika. Regulace nám ale dává nějakou vymahatelnost jednotného standardu napříč státem.

Jana Magdoňová Sdílet na Facebooku Sdílet na Twitteru Sdílet na LinkedIn Tisknout Kopírovat url adresu Zkrácená adresa Kopírovat do schránky Zavřít