Slovensko se potýká s rozsáhlým kybernetickým útokem na Úřad geodézie, kartografie a katastru, který provozuje slovenský katastr nemovitostí. Kvůli útoku úřad uzavřel všechny své pobočky a aktuálně pracuje na obnově kritických systémů ze svých záloh. „Je to jeden z nejvýznamnější úřadů, který na Slovensku máme. Nepamatuji si, že by se nějaký podobný útok na Slovensku dříve udál,“ hodnotí situaci Boris Mutina, bezpečnostní expert firmy Excello.

Rozhovor Bratislava 12:48 9. ledna 2025 Sdílet na Facebooku Sdílet na Twitteru Sdílet na LinkedIn Tisknout Kopírovat url adresu Zkrácená adresa Kopírovat do schránky Zavřít

Co se na Slovensku stalo?
Už během 5. ledna byli zaměstnanci slovenského katastrálního úřadu informováni, že pokud přijdou do práce, nemají zapínat počítače. Z dalších informací jsme se dozvěděli, že 6. ani 7. ledna katastrální úřady nebudou fungovat, respektive budou fungovat v úplně minimálním režimu. Až poté zveřejnila média informaci, že došlo s největší pravděpodobností k útoku s pomocí ransomwaru, který ovlivnil funkci informačních systémů Úradu geodézie, kartografie a katastra.

Ransomware patří mezi hlavní kyberhrozby. Výkupné doporučujeme neplatit, říká česká cyber atašé

Číst článek

Stránky úřadu navenek působí, že funguje běžně, nicméně žádné služby úřad poskytovat nemůže.
Ano, běžné webové prezentace jsou dostupné, ale služby úřad neposkytuje. Znamená to, že všechny informační systémy, ze kterých čerpá informace, jsou nedostupné.

Jestli si v Česku pamatujete útok na Ředitelství silnic a dálnic, tak tohle je něco obdobného co do rozsahu. Tam taky došlo k omezení služeb stejným způsobem, tedy nepřicházely e-maily, nebylo možné dohledat informace, které by měla organizace běžně poskytovat. To stejné se teď děje na Slovensku.

Co to z praktického hlediska pro lidi na Slovensku znamená?
Pro běžného občana nastává problém při převádění nemovitostí, ať už jde o koupi, či prodej. Ovlivní to samozřejmě všechny soudní spory, ve kterých figurují nemovitosti, dědická řízení budou určitě taky zastavená. Stejně tak se to dotkne exekucí, exekutor totiž nebude moci udělat soupis nemovitého majetku. Nebude možné zřídit si trvalý pobyt na nové adrese, ani si založit firmu, protože i pro určení sídla firmy potřebujete list vlastnictví a souhlas vlastníka nemovitosti.

Předpokládám, že postižené tím útokem budou i banky, protože nebude možné zřídit věcné břemeno na nemovitosti při žádosti o hypotéku. Vyplácení a refinancování hypoték se tedy zřejmě také pozastaví, což ovlivní zase realitní byznys.

Už jste uvedl, že šlo s největší pravděpodobností o útok pomocí ransomwaru. Už víme, co ti útočníci chtějí? Zveřejnili nějaké podmínky? Objevily se části ukradených dat někde na internetu?
Z dostupných informací pouze víme to, že šlo o ransomware. S kolegy z bezpečnostní komunity v Česku a na Slovensku pozorně sledujeme všechny známé skupiny, jestli se někde k útoku vyjádří, protože tyto skupiny se zpravidla pochlubí vždycky tím, že se nějaká organizace stala jejich obětí. Stále ale nevíme, o jakou skupinu jde, kdy a kde případně dojde ke zveřejnění ukradených dat, ani co ti útočníci chtějí. Ale dá se předpokládat, že budou chtít nějaké dost velké výkupné. Vždy se to odvíjí od toho, jak důležitá ta organizace je.

A slovenský katastrální úřad je velmi důležitou institucí.
Ano, je to jeden z nejvýznamnější úřadů, který na Slovensku máme. Už jen to propojení s činnostmi v občanském a byznysovém životě je opravdu veliké. Nepamatuji si, že by se nějaký podobně významný útok na Slovensku dříve udál.

Obava o zálohy

Zpravodajské servery píšou, že data katastru nebyla dostatečně zálohovaná. Úřad ale na tiskové konferenci před polednem uvedl, že data zálohovaná má a pracuje se na jejich obnově. Víme, jak dlouho může obnova dat trvat?
Zatím nám v tomto chybí bližší informace. Faktem je, že obnova po takovém útoku – v případě toho nejlepšího scénáře, kdy by existovaly zálohy, které je možné použít – může trvat několik dní.

3:10

Zastaralé počítače, absence IT odborníků a nízké zabezpečení. Realita neziskových organizací v Česku

Číst článek

Podle těch posledních informací víme, že aktuálně úřad prověřuje, zda jsou zálohy ve stavu, aby je mohli použít na obnovení systémů. Záloha totiž musí splňovat mimo jiné kritérium integrity: nesmí být poškozená, při ransomwarových útocích ničí ale často útočníci i zálohy. Musí být také dostupná a připravená na použití v blízké době. A nakonec musí být aktuální. Představte si, že děláte pravidelné zálohy každý týden. Při ztrátě dat pak musíte tento týden dopracovat a chybějící data doplnit.

Jak mohlo k průniku do systému dojít?
Podle statistik výrobců antivirových produktů k tomu nejčastěji dochází pomocí phishingových útoků či zneužití přihlašovacích údajů, které si uživatel uložil ve svém prohlížeči. Odtud je mohl útočník získat a na dálku se připojit do organizace, zvýšit si oprávnění a kompromitovat celý systém.

S tím souvisí i otázka, zda architektura a infrastruktura toho systému byla na podobný útok připravená. Zda se používaly nejaktuálnější operační systémy a další komponenty, nebo zda byl systém starý a měl už být dávno vyřazený, protože neměl podporu. Podle dostupných informací z bezpečnostní komunity je právě tohle ten případ, že se používaly staré komponenty, systémy, které jsou už dávno za hranicí životnosti. Mohla to tedy být kombinace těchto dvou faktorů.

Takže chápu správně, že si za to podle vás může úřad sám? Že udržoval staré systémy, neobnovoval je a byl tak vůči útočníkům zranitelný?
Asi bych to takhle úplně negeneralizoval, protože těch důvodů, proč byl ten útok úspěšný, bude více. Ale toto je určitě jeden z nich. Všechny důvody se budou zjišťovat v průběhu vyšetřování a na základě těchto zjištění se následně zabezpečuje takzvaný přímý vektor. Tedy způsob, jak se ten útočník do organizace dostal a kompromitoval ji.

Z vaší zkušenosti: jak dlouho bude pravděpodobně trvat, než se dozvíme nějaké bližší informace o útočnících a celém útoku?
Z mých zkušeností a chování námi sledovaných skupin vím, že k tomu oznámení dochází – v případě, že se ta skupina s napadenou organizací nedohodla nebo s ní nenavázala kontakt – po nějakých pěti až sedmi dnech. Takže si myslím, že si ještě tak dva dny počkáme a pak zjistíme, kdo za tím byl.

Tomáš Pika Sdílet na Facebooku Sdílet na Twitteru Sdílet na LinkedIn Tisknout Kopírovat url adresu Zkrácená adresa Kopírovat do schránky Zavřít