Nemocnice odolaly hackerským útokům. Varování padlo na úrodnou půdu, říká ředitel kyberúřadu
České nemocnice odolaly nedávným kyberútokům. Národní úřad pro kybernetickou a informační bezpečnost ale zatím nechce své varování odvolat. Podle jeho ředitele Karla Řehky všechny hrozby ještě nepominuly. „Úřad vydal před dvěma týdny varování před kyberútoky. Samozřejmě ho novelizujeme a v určité fázi, jakmile vyhodnotíme, že ta hrozba pominula, tak ho zrušíme,“ potvrdil Řehka Českému rozhlasu.
Národní úřad pro kybernetickou a informační bezpečnost před 14 dny vydal varování před útoky hlavně na nemocnice, stále platí?
To varování stále platí v tom smyslu, že jsme ho zatím neodvolali a nezrušili. Samozřejmě ho novelizujeme a v určité fázi, jakmile vyhodnotíme, že ta hrozba pominula, tak ho zrušíme. Varování bylo primárně vedené aktuálními informacemi, které jsme měli. Ty byly poměrně přesné, co se týká definice nějakého časového okna.
Takže varování bylo vydáno opravdu na nejbližší dny tak, jak to v něm bylo napsáno. V tuto chvíli bychom ho takto nevydávali, protože nás k tomu vedla konkrétní hrozba, která vyčnívala nad běžné, každodenní, ale pořád je relevantní, takže ho zatím nerušíme.
Ve varování jste zmiňovali hrozbu závažných kybernetických útoků, v čem konkrétně spočívaly?
V tomto úplně konkrétní být nemůžu. My jsme dostali informaci v podstatě od partnerů, kde informace říkala to, co je pak ve varování. Tedy, že hrozí rozsáhlé kampaně závažných kybernetických útoků. Hrozba byla vůči různým systémům, ne jen zdravotnickým, ale specificky upozorňovala zejména na zdravotnická zařízení.
Světová zdravotnická organizace čelí kybernetickým útokům. Na internet unikla hesla i e-maily
Číst článek
Byla časově vymezená, bylo tam určité časové okno, což jsme definovali jako nejbližší dny ve varování. Varování jsme vydali taky proto, aby vzbudilo pozornost a lidé si opravdu dávali pozor, byli ve střehu a připravili se.
A bylo tedy varování účinné?
Varování je preventivní opatření, takže dokazovat, že jste něčemu zabránili, je těžké. Těžko se říká, k čemu by došlo, to je do značné míry spekulace. Ale z toho co jsme dostali od různých subjektů, co nám hlásily, tak tam se to potvrdilo. Myslím, že to padlo na úrodnou půdu. Jednak lidi opravdu zpozorněli, zaváděli opatření, žádali nás o radu, asistenci, a to ne jen ze strany našich zákonných povinných subjektů, ale i třeba ostatní. To bylo velmi pozitivní.
Řada subjektů napříč republikou ve zdravotním sektoru i mimo zachytila různé pokusy o útoky, naštěstí ve všech případech se to podařilo zachytit ještě v rozumné fázi a nezpůsobilo to žádné velké škody. Takže ano, můžeme se teď poplácat po ramenou, že to varování bylo účinné, na druhou stranu my nemůžeme říct, čemu to varování zabránilo a čemu ne, to by byla spekulace.
Varování mělo úspěch, předešli jsem závažným následkům, uvádí úřad pro kybernetickou bezpečnost
Číst článek
Obecně to ale hodnotíme jako úspěšné. Navíc informace, které jsme dostali od partnerů ze zahraničí, nám potvrzovaly, že to varování bylo k věci. Některé věci, které jsme říkali, se objevily i mimo Českou republiku.
Antivirové společnosti se shodly, že jste ve varování odkazovali na virus CoViper, který znemožní nastartovat počítače, je to tak?
Ano, ale naše varování a naše informace mluvily o širší paletě toho, co by se mohlo stát, různé útoky. To, že mohl být použit CoViper, to je jedna věc, ale mohlo dojít i k tomu, že by útočníci použili jiný malware, to se nedalo vyloučit.
Poskytovatelé internetu po vydání vašeho varování zablokovali IP adresy, které jste zmiňovali, přestaly pak útoky úplně?
Já nemůžu přesně říct, že po zablokování IP adres útoky úplně přestaly, do těchto spekulací se nechci pouštět a nemám přesná data. Nicméně to varování nebylo jen o IP adresách. Byly tam i hashe (pozn. red. identifikátory) škodlivých souborů, byly tam IP adresy, ale byla tam i série komplexních opatření.
Upozornit lidi na hrozby spear phishingu (pozn. red. zacílené falešné emaily nebo zprávy ze sociálních sítí), zablokovat makra, odstavit dálkové přístupy a systémy do internetu, které nejsou nezbytné a podobně. Varování opravdu vzbudilo pozornost a lidé byli ve střehu. Různé, i nepovinné, subjekty nám hlásily věci, se kterými se až tak nesetkáváme a normálně by to třeba lidé nehlásili.
Čekáme kyberútoky na nemocnice, zatím to vždy bylo v pátek, říká digitální zmocněnec Martin Zeman
Číst článek
Ministr zdravotnictví v médiích několikrát zopakoval, že se nemocnice útokům ubránily, znamená to, že útočníci neobjevili žádnou zranitelnost v IT systémech nemocnice nebo opravdu už cíleně napadli dané zařízení?
Vím, že někde byly pokusy v tom smyslu, že to opravdu jen zkoušeli a vůbec se nepodařilo tam dostat. Někde probíhalo skenování systémů z vnějšku a hledali zranitelnosti. To bylo zaznamenané. V nějakém případě se to podařilo zablokovat ve vnějším perimetru, než se to dostalo dovnitř. Byl tam částečný průnik, ale bylo to odkloněné a nedostalo se to ke zranitelným systémům.
To bylo v ostravské fakultní nemocnici?
Já nechci mluvit za dané subjekty, to nám nepřísluší. Ale v médiích zazněla ze strany Ostravy nějaká podobná prohlášení.
Byly v něčem tyto útoky jiné než ty dosavadní?
Z těch analýz, co máme, se v podstatě pokaždé jednalo o něco jiného, bylo to různé. My v tom nevidíme vzorec jednoho útočníka.
Zatím ale útočník nemocnice napadal skrz email…
To tak vždy není. Často se nabízí phishingové (pozn. red. falešné emaily) a spearphishingové kampaně, obecně v bezpečnosti nejslabším článkem bývá člověk. Občas někdo něco rozklikne, co nemá.
Počítače v Psychiatrické nemocnici Kosmonosy ochromil kyberútok. Péče o pacienty není ohrožena
Číst článek
Proto vždy zdůrazňujeme to, že je důležité poučovat lidi o těchto hrozbách. To je jedna věc, ale není to jediná možnost útoku. V minulosti byly využity třeba vzdálené přístupy, k čemuž nahrává koneckonců i současná doba, kdy lidé pracují vzdáleně z domova.
Byla to tentokrát cílená kampaň jen na Českou republiku?
Já nejsem v pozici, abych prohlásil, jestli na Českou republiku byla nějaké cílená kampaň. Z těch informací, které jsme měli, tak to bylo opravdu na systémy a zdravotnická zařízení v České republice, tak jak jsme to ve varování řekli. Ale pouštět se do spekulací, jestli to bylo součástí nějaké velké kampaně, to bych nechtěl.
Jste v kontaktu i se zahraničními partnery, od nich tedy nevíte, že by řešili stejné problémy, jako vy v Česku?
Já teď nejsem schopen říct, co a v jakém rozsahu proběhlo jinde. Já vím, že některé věci, co jsme říkali, tak se nám potvrdilo ze zahraničních zdrojů, že některé státy na ně taky narazily. Nejsem schopen statisticky doložit, jestli to cílilo na Českou republiku specificky. Zároveň jsme měli důvod se domnívat, že nějaká prvotní fáze útoku už může probíhat, proto jsme přistoupili k varování.
Podle ministerstva zdravotnictví, některé útoky byly vedené z ruských IP adres, co to znamená a lze tak vypátrat, kdo za útokem stojí?
Já nechci komentovat, co říkají jednotlivá ministerstva. Nicméně co bych chtěl zdůraznit je, že NÚKIB rozhodně nedal ven žádná prohlášení oficiální nebo neformální, která by se týkala atribuce útoků. To je velmi komplikovaná věc, vyžaduje nějakou dobu, součinnost několika orgánů.
Kvůli nedávnému kybernetickému útoku v Brně musí nemocnice v Česku lépe zabezpečit své IT systémy
Číst článek
Obecně si myslím, že i pokud bychom chtěli nějakou takovou atribuci přiznávat veřejně, tak teď je na to docela brzy. Ale od nás rozhodně nic takového nešlo. Já vím, že se v mediálním prostoru pohybovaly různé teorie, ale rozhodně to nemá původ na NÚKIBu.
Jakým způsobem jste s nemocnicemi spolupracovali?
Už před varováním těch útoků bylo víc. Na konci loňského roku byl útok na nemocnici v Benešově, pak Fakultní nemocnici Brno a Psychiatrickou nemocnici Kosmonosy. Ze statistik, co mám, tak za první ti měsíce letošního roku jsme řešili 23 kybernetických incidentů, tím ale neříkám, že jen ve zdravotnictví.
My jsme vydali reaktivní opatření, tím jsme už nějakým způsobem reagovali na zabezpečení zdravotnických zařízení. To fungovalo jako povinný pokyn pro zákonné subjekty a zároveň jako doporučení pro ty ostatní. Vědělo se, a bylo to tak hodnoceno i v zahraničí, že zdravotnická zařízení jsou v době pandemie zranitelná vůči útokům. Snažili jsme se jim dávat vzdělávací materiály, třeba k těm spear phishigovým kampaním.
Společně se sdružením CZ.NIC jsme jim nabízeli routery a byla tam i nabídka na monitoring zranitelností, která byla ušitá na míru pro zdravotnická zařízení. Zdarma jsme jim nabídli i eLearningové školení pro běžné zaměstnance i na vyšší úrovni pro manažery kybernetické bezpečnosti.
Zároveň jsme sdíleli s našimi partnery a myslím, že to šlo i částečně do nemocnic, naše analytické výstupy a doporučení. A pak to varování.
Ostravská nemocnice odrazila kybernetický útok, vyřazení sítě v době epidemie zůstává velkou hrozbou
Číst článek
Vy jste několikrát zmiňoval časové okno, kdy ty útoky měly nastat, mohl byste být v tomto konkrétní?
To úplně nemůžu. Od prvotního obdržení informací do vydání varování jsme na to měli jeden den plus minus. Noc a část dne bych řekl. Co se týká těch samotných informací, tak ty hovořily o nějakých datech, ale my jsme na základě analýzy vyhodnotili, že to riziko se nedá přesně vymezit. Proto jsme vydali „v nejbližších dnech“.
Nejbližší dny jsme považovali v rámci jednoho týdne řekněme, tři, čtyři, pět dní. My bychom upozornili na nějaké datum a útočník by mohl zaútočit hned poté. Zároveň jsme ale chtěli záměrně uvést, že to riziko, které je tam neustále, je teď opravdu vyšší a aktuální.
Měl NÚKIB dostatek lidí, aby mohl být nemocnicím nápomocen?
Ten problém jsme neřešili jen my, ale i ministerstvo zdravotnictví a ÚZIS (pozn. red. Ústav zdravotnických informací a statistiky), který s těmi nemocnicemi komunikuje. Ale že by došlo k tak vážné situaci, že bychom museli zasahovat na místě a pomáhat jim řešit nějakou závažnou věc, jak to bylo třeba v Kosmonosech nebo fakultní nemocnici, tak k tomu naštěstí nedošlo.
My jsme ale měli připravené kapacity i nad rámec toho, co máme běžně. Byli nachystaní s ochrannými pomůckami a auty vyrazit do terénu.
Varování jste vydali před 14 dny, útoky měly trvat asi týden, máte už teď zpracované nějaké analýzy a vyhodnoceno, co se tedy stalo?
Konkrétní závěr jsme ještě neformulovali, takže nechci teď spekulovat.
Varování kyberúřadu sdílel i americký ministr zahraničí Mike Pompeo, setkali jste se s nějakou odezvou i u jiných států?
Setkali jsme se s reakcemi různých partnerů, nebyly to jen Spojené státy, které nám vyjadřovaly solidaritu, a ptali se nás, jestli nám můžou nějak pomoct. Samozřejmě v okamžiku, kdy se bavíme o nějakých zahraničních vyjádřeních, tak to není záležitost NÚKIBu.
Schválí vláda novou pravomoc pro Vojenské zpravodajství? Mělo by se starat o kyberobranu Česka
Číst článek
To jsou zahraničně politické věci a tady je u nás hlavní hráč ministerstvo zahraničních věcí. Nicméně my jsme se zahraničními partnery komunikovali, odezvu typu deklarace solidarity a nabídka pomoci, tu jsme měli od více států.
Můžete být konkrétnější? Jaké státy a jaká pomoc?
Tady nechci být konkrétní, protože to už zasahuje do zahraničně politické roviny. Třeba ale i v rámci Evropy, Evropské služby pro vnější činnost (ESVA), probíhala poměrně intenzivní diskuse, jestli by k tomu neměli zaujmout nějaký postoj a vydat prohlášení a podobně.
Tohle jsou věci, které jdou spíš za zahraniční politikou, jdou mimo nás. Odezva obecně od států partnerských, spojeneckých i evropských se vyjadřovala v duchu odpovědného chování v kybernetickém prostoru.
Problém kybernetického zabezpečení českých nemocnic ukázal v poslední době hlavně případ benešovské nemocnice, teď Brno. Vnímáte, že se nějak mění přístup k zabezpečení českých nemocnic?
Rozhodně ano, protože teď kolem toho běží opravdu velká diskuse ze strany nemocnic. Několik posledních měsíců bude teď, jak se říká v angličtině, „wake up call“ pro dost lidí. Myslím si, že si ještě víc uvědomí důležitost kybernetické bezpečnosti. Neříkám, že to nevnímají, ale ono je to naprosto přirozené.
Ty organizace jsou orientované na výkon v tom, co dělají. Pro ně je prioritou poskytování zdravotní péče, tohle řeší. Myslím si ale, že daleko víc než kdy dřív vnímají, že opravdu je potřeba se bezpečnosti věnovat, i té kybernetické.