Mělo by ŘSD zaplatit výkupné, které po něm vyžadují hackeři? Experti si myslí, že ne
Ředitelství silnic a dálnic (ŘSD) zvažuje zaplacení výkupného hackerům, kteří jim zablokovali servery a zaměstnancům znemožnili jakýkoliv přístup do systému. Je to ale rozumné? Experti přes IT pro server iROZHLAS.cz odpovídali v anketě na otázky spojené s útokem, se kterým se státní instituce potýká.
„S teroristy se nevyjednává,“ odpověděl na otázku, jestli je rozumné kyberzločincům výkupné zaplatit, etický hacker Daniel Hejda. „Vždy je to ale samozřejmě na zvážení postižené společnosti, jaké jsou dopady kyberútoku. U státních institucí je navíc potřeba zohlednit dopady na občany a celkový způsob poskytování služeb a to, že pokud státní instituce nebude fungovat, tak jestli se nezhroutí ekosystém, který se kolem ní točí,“ vysvětlil.
Kyberútok na Ředitelství silnic a dálnic byla připravovaná akce s cílem zničit data, tvrdí experti
Číst článek
Pokud k zaplacení výkupného dojde, nemají ale společnosti záruku, že svá data od hackerů dostanou zpět. „To záleží na tom, kdo je zablokoval. Ale pokud jde o nějakou etablovanou ransomware skupinu, ty si většinou nedovolují neposkytnout ta data zpátky, protože pak už by jim v budoucnu při dalších útocích nemusel zaplatit někdo další. Jim jde o zisk. Za sebe si myslím, že záruky, že data opravdu vrátí, ale neexistují,“ vyjádřila se specialistka na informační bezpečnost Zuzana Pechová.
Podle expertů se také kybernetickým útokům nedá zcela zabránit. Nejčastěji k nim dochází skrze sociální inženýrství. „To znamená, že útočníci nějakým způsobem zmanipulují zaměstnance napadené společnosti, aby na svém počítači spustil kód. Zmanipulují jej například tím, že mu zavolají a vydávají se za technickou podporu, případně mu zašlou e-mail s přílohou, která ten nebezpečný kód obsahuje,“ vysvětlil etický hacker Lukáš Antal.
Etický hacker
Člověk, který se snaží prolomit obranu a infiltrovat se do interních sítí společností v jejich zájmu. Hledá trhliny a mezery v zabezpečení, kterých by mohli kyberzločinci využít a výsledky své práce předává společnostem, které je využívají k posílení bezpečnosti.
Expertům IT jsme položili tyto otázky:
1. Dalo se kyberútokům na ŘSD předejít?
2. Je rozumné výkupné kyberzločincům zaplatit?
3. Do jaké míry je v případě zaplacení požadované částky reálné a běžné, že hackeři data skutečně odblokují? Existují nějaké záruky?
Na otázky odpovídali:
Lukáš Antal, spoluzakladatel a etický hacker společnosti TandemSec
Zuzana Pechová, specialistka informační bezpečnosti
Daniel Hejda, spoluzakladatel a etický hacker společnosti Cyber Rangers
Lukáš Antal
1. V případě, že se jedná opravdu o cílený útok nějaké sofistikované skupiny, tak předcházet něčemu takovému ne že by bylo nemožné, ale je to velice obtížné. Jelikož sám dělám etický hacking (viz box), tak vím, že pokud se ten účastník cíleně zaměří na tu společnost a má dostatečné schopnosti a motivaci, případně finanční prostředky, tak je obrana velice obtížná. Netvrdím, že nemožná, ale opravdu velice obtížná.
Útok na ŘSD
Kyberzločinci po ŘSD požadují podle ředitele společnosti Radka Mátla výkupné v řádu desítek milionů korun.
2. To je složitá otázka. Na to nemám co říct. Tady asi lze jen udělat analýzu, jaké by byly náklady na obnovení sítě, a porovnat je s náklady na výkupné. Samozřejmě pak tady máme také morální faktory. Totiž tím, že by to výkupné zaplatili, tak by více tu skupinu motivovali k provádění dalších útoků.
3. V této oblasti záruky stoprocentně neexistují. Z vlastní zkušenosti, co jsem viděl, tak ale společnosti, které byly postižené ransomwarem, po zaplacení výkupného dostaly zpět přístup ke svým datům poměrně často. Pro ty hackerské skupiny, které útočí prostřednictvím ransomwaru, je to de facto byznys.
Oni si v tom kybersvětě budují jméno a nechtějí si ho poškodit tím, že jejich oběť ví, že někdy v historii po zaplacení výkupného společnosti přístup k jejím datům nevrátili. Lze říct, že servis hackerských organizací už je na profesionální úrovni. Komunikujete přímo s nimi různými šifrovanými tunely, smlouváte s nimi o výši výkupného. Troufám si tedy tvrdit, že ve většině případů když zaplatíte, tak zašifrovaná data kyberzločinci dešifrují.
Zuzana Pechová
1. Kybernetickému útoku se obecně u společností nedá předejít nikdy. Celá příprava na ně a ochrana firem tkví v tom, že tušíme, že nějaký útok přijde, snažíme se nemít veškerá data dostupná z jednoho místa, aby nebylo jednoduché se dostat ke všemu najednou, takže nastavujeme principy přístupových oprávnění, zálohování, které je jednoduché udělat, ale bývá složité získat zálohy zpět, aby s nimi nešlo manipulovat. Dále sledujeme atypické události v síti a připojení v systémech.
Hackeři chtějí po Ředitelství silnic a dálnic desítky milionů. Organizace zvažuje, že zaplatí
Číst článek
Zkrátka děláme vše pro to, abychom poznali, že se něco děje, následně dokázali zpětně rozebrat do detailů, co se přesně dělo a abychom měli jistotu, že se zálohami, které děláme, tak nikdo nemanipuloval a můžeme je použít v případě nouze. Těch postupů a technických řešení je celá řada. Zálohování dat je obecně nejmenší věc, kterou lze dělat.
2. Rozumné to rozhodně není. S jídlem roste chuť, takže ty hackerské skupiny, které provádějí útoky, jsou při zaplacení výkupného motivovány, aby je v budoucnu prováděly znova. Z pohledu té firmy ovšem, pokud jim nezbývá nic jiného, tak pak držím palce. I když pak získají ta data zpátky, tak nemají jistotu, že s těmi daty útočníci nemanipulovali a nenechali v nich nějaké překvapení do budoucna. Opravdu tedy není rozumné jim platit a ještě méně rozumné je následně ta data používat.
3. To záleží na tom, kdo je zablokoval. Ale pokud jde o nějakou etablovanou ransomware skupinu, ty si většinou nedovolují neposkytnout ta data zpátky, protože pak už by jim v budoucnu při dalších útocích nemusel zaplatit někdo další. Jim jde o zisk. Za sebe si myslím, že záruky, že data opravdu vrátí, neexistují. Ale osobně jsem dosud vyjednávání o výkupném nevedla.
Daniel Hejda
1. Protože ještě není oznámený vektor (způsob průniku, cesta, kterou se hacker dostane do systému – pozn. red.) útoku, tak lze jen velmi těžko říct, zda tomu šlo zabránit, nebo ne. Z vlastní zkušenosti mohu říct, že u většiny těch útoků, které byly mířeny na Českou republiku, tak šlo o relativně jednoduché vektory, kterým by zabránit šlo.
Konkrétně v případě ŘSD ale nevím, protože vyjádření, které společnost poskytla i informace, které poskytl Národní úřad pro kybernetickou a informační bezpečnost, řekly jen to, že se jednalo o velmi sofistikovaný útok, ale úroveň sofistikovanosti zatím nikdo neodhalil ani neřekl, takže těžko říct, zdalipak se tomu dalo zabránit.
Úřad pro informační bezpečnost: Česku hrozí kvůli situaci na Ukrajině kyberútoky a kyberšpionáž
Číst článek
2. Myslím si, že ne. S teroristy se nevyjednává. Vždy je to ale samozřejmě na zvážení postižené společnosti, jaké jsou dopady kyberútoku. U státních institucí je navíc potřeba zohlednit dopady na občany a celkový způsob poskytování služeb a to, že pokud státní instituce nebude fungovat, tak jestli se nezhroutí ekosystém, který se kolem ní točí.
Aspektů, jestli zaplatit, nebo ne, je tedy spousta. Obecně říkám, že by se to dělat nemělo. Je ale důležité to posuzovat případ od případu, jestli budou dopady a jaké.
3. Záruky určitě neexistují. Nemáte pachatele a nikoho, koho byste vedli před soud v případě, že dohodu nedodrží. U spousty dekryptorů (název pro program či algoritmus, který rozkódovává zakódovaná data – pozn. red.) můžou být navíc programátorské chyby. Mnoho systémů nebylo přístupných, i když hackeři po zaplacení výkupného dekryptor společnostem poskytli právě z toho důvodu, že obsahovaly programátorské chyby.
Dále je potřeba rozlišovat mezi skupinami, které očekávají, že se k nim budou oběti vracet, tedy řekněme ti, kteří mají vyšší výši výkupného a mají nějaké portály fungující 24/7 a tak dále, tak u těch je větší pravděpodobnost, že zaplatí, než když budete jednat se skupinou, která s vámi komunikuje jen e-mailem a sporadicky.
Záruky nikdy neexistují. Jestli po zaplacení výkupného hackeři zašifrovaná data společnosti zpřístupní, je pak otázkou jejich kredibility na černém trhu. Pokud ano, tak si chtějí v rámci byznys modelu šířit jméno a neposkytnutí dat po zaplacení výkupného by jim ho poškodilo.