Kybernetické zločiny jsou stále silnějším byznysem. A navíc se kolem nich sdružují čím dál lépe organizované a motivované skupiny. Výsledkem je fungující infrastruktura poptávky a nabídky – a tak si klidně můžete objednat třeba balíček kradených dat podle svého výběru.

Jen mezi roky 2015 a 2020 se náklady spojené s kyberkriminalitou ve světě zdvojnásobily na ohromujících 5,5 bilionu eur. To je v přepočtu přes 134 bilionů korun, uvádějí data Evropské komise. „Ale ta velmi rychle zastarávají. Scéna se vyvíjí tak rychle dopředu, že dnes jsme zase úplně jinde,“ vysvětluje Jan Krob z Accenture Security, divize globální společnosti Accenture zaměřené na budování a podporu bezpečnostní ochrany uvnitř společností.

Pro představu – když před dvěma roky společnosti Garmin útočníci zašifrovali data, bez kterých nemohla poskytovat služby, během pár dní raději zaplatila výkupné. To dosáhlo deseti milionů dolarů, tedy podle dnešního kurzu přes 230 milionů korun. Z toho si jde udělat obrázek, na kolik jedna mezera v bezpečnosti může firmu vyjít. Mnohá další data a zajímavosti ukazovala konference Microsoft Envision Czech Republic & Slovakia, jíž je CzechCrunch mediálním partnerem. Záznam z ní si můžete stáhnout na tomto odkazu.

„Z dostupných dat Národního úřadu pro kybernetickou a informační bezpečnost vyplývá, že na Česko směřoval v říjnu zhruba stejný počet hackerských DDoS útoků jako za předchozích devět měsíců dohromady. S útočníky bojovali například mobilní operátoři,“ popisuje Krob.

Se stejnými potížemi se potýká řada dalších firem. V Accenture se orientují na první stovku největších, jenže Krob zdůrazňuje, že problém to zdaleka není jen pro ně. Útoky se stupňují a míří na daleko víc společností.

„Množství kybernetických útoků stále stoupá, nástroje a infrastruktura pro internetové škůdce jsou totiž stále dostupnější, systémy firem nebo i lidí tak mohou napadat stále méně a méně technicky zdatní jedinci. Jen za poslední rok vzrostl počet pokusů každou vteřinou prolomit uživatelská hesla o 74 procent. Mnohé z těchto útoků následně otevřely cestu ransomwarovým napadením a požadavky na výkupné se tak více než zdvojnásobily,“ potvrzuje Dalibor Kačmář, technologický ředitel Microsoftu pro Českou republiku a Slovensko. Zmíněný ransomware je přitom zjednodušeně řečeno software, který se používá pro vydírání firem.

Tématickým „trendem“ letošního roku je válka na Ukrajině. Útočníci se například vydávají za legitimní organizace žádající o dary v kryptoměnách, údajně na podporu ukrajinských občanů. Dlouhodobě na lidi fungují i zprávy tvářící se jako informace z České pošty, například o zadrženém balíku, pro jehož uvolnění lidé mají zaslat určitý obnos. Nebo podobné téma u společnosti DHL. „Tyto dvě organizace jsou vůbec nejvíc zneužívané,“ popisuje Krob.

Ovšem stále zřetelnější je tu výrazný fenomén. „Pracovníci“ v oboru kyberkriminality jsou zřetelně profesionálové, tedy si touto činností vydělávají na život. Zároveň je potřeba stále méně expertních znalostí. A byznysová infrastruktura, ktera podporuje toto „podnikání“, je jasně vybudovaná.

Od odborníka k odborníkovi

Kybernetický útok je dnes už v podstatě spolupráce několika organizovaných skupin, uvádí Krob. Každá z nich funguje do jisté míry samostatně. A každá využívá pracovníky, kteří se navzájem neznají a jsou anonymními osobami vůči komukoliv dalšímu. Buď poskytnou k dané práci nástroj (software nebo třeba i kapacitu nejen svého počítače), nebo samotnou službu.

První skupina se dostane dovnitř sítě. Tedy získá jména, hesla a přístupy, čímž její práce končí. Hesla pak třeba běžně nabízejí uvnitř šedých struktur na internetu na prodej.

Jakmile si informace převezme druhá skupina, ta se dostane dovnitř organizace a „roztáhne se“. „Dělají jen to. Chodí po síti, koukají se po systému, mapují jej a získávají informace. Přitom se zásadně posunul časový záběr, který takový útok má: bavíme se o dnech či týdnech, nikoliv řádově o hodinách, kdy útoky probíhaly ještě před pár lety,“ popisuje Krob.

Třetí tým jsou odborníci na monetizaci. Najdou například fragment databáze, prostřednictvím kterého je možné firmu vydírat. Máte zájem o klienty čínské banky? Indickou databázi uživatelů jedné z mobilních aplikací? Nebo třeba balíček překvapení s názvem Ultra Pack 20+1? Všechno jsou to reálné příklady vystavených paklíků ukradených dat. Budou vás stát už od 100 dolarů, tedy klidně jen pár tisíc korun.

Na závěr přicházejí uklízeči. Přijdou a zlikvidují místo činu. Nepotřebují na to mnoho, v digitálním prostředí stačí již zmíněný ransomware, který jednoduše stopy po předchozích skupinách a jejich činech doslova vymaže.

Jak vyjádřit názor

Představujete si k tomu všemu osamělého hackera, člověka extrémně znalého v oblasti programování a zároveň bez sociálních vazeb, který doma dlouhé noci připravuje škodlivý program? Omyl. Hackeři dnes fungují úplně na jiném principu.

S hackery z té „špatné“ strany zákona se Krob setkává, tedy alespoň v té pomyslné rovině, už roky. Za svou kariéru na ně nahlížel jak z poradenského pohledu, tak ze strany klientů. Necelých sedm let je členem řídícího výboru ISACA Czech, neziskové asociace, která s dalšími světovými odnožemi čítá 140 tisíců odborníků ze 180 zemí a pomáhá mimo jiné řídit rizika spojená s informacemi a technologiemi.

Vysvětluje, že ve skutečnosti jde mnohem častěji o lidi, kteří veřejně vyjadřují svůj názor – a přestože škody jimi způsobené sahají do astronomických výšin, jejich motivací nemusejí být nutně peníze.

„Zajímavé pro ně je, pokud z akce získají emoci, která je baví. Jsou to pro ně takové hry – a ty byly vždycky,“ říká. Společnost například prováděla penetrační testy, tedy takové, v rámci kterých se takzvaní bílí hackeři snaží narušit obranu konkrétní firmy, za což jsou placeni a čímž jí ukážou její zranitelná místa, aby je tak mohla opravit. „Naši hackeři byli hračičkové. Předělali třeba firmě web tak, že tam měla krtečka. Spousta lidí na takové akci nevydělává peníze, ale z napadení se stává sociální zábava,“ popisuje Krob.

Nebo aktivistické téma. Je to klíčový aspekt, který už jen během posledního roku do „systému“ zřetelně přivedl hodně nových lidí i emocí. „Roste nám scéna. Začala totiž v rovině ‚jdu hackovat Rusko, protože je to morálně správné’. Hackeři můžou být třeba sedmnáctiletí aktivisté, kteří jednoho dne zjistili, že mají dost znalostí a zdroje, které se dají využít. A když jim narostlo sebevědomí s tím, že se stali například součástí útoků, pokračují. Zaútočí na společnosti, které se z Ruska nestáhly. A pak na firmy, které jsou prostě někde v cestě,“ popisuje Krob.

Když útočí vlády

Vedle více či méně na morálce a penězích založených útoků, vycházejících, řekněme, z lidu, jsou tu velmi dobře organizované agendy třeba i celých států. Kybernetické útoky vedené vládami nejsou žádný výmysl, ale velmi dobře měřitelný fakt, říká Microsoft. A jsou stále troufalejší, dokládá. Podrobně tematiku zpracoval mimo jiné v rozsáhlém reportu.

Vedle toho o jejich aktivitě velmi dobře vypovídá například mapa, která v reálném čase ukazuje, kde se v různých částech světa zrovna dějí kybernetické hrozby. Tu ukazovala Magda Popescu z oddělení digitální kriminality Microsoftu během na toto téma zaměřené a už zmíněné konference Microsoft Envision, u které je dostupný záznam.

Pokud dnes mluvíme o vinících z řad vlád, Microsoft vysvětluje, že velmi viditelné je Rusko, které usilovně pracuje na tom, aby přesvědčilo své občany a občany mnoha dalších zemí, že jeho invaze na Ukrajinu byla oprávněná, a zároveň šíří propagandu s cílem zdiskreditovat vakcíny proti covidu v západních zemích, přičemž doma propaguje jejich účinnost. „Zaznamenali jsme také rostoucí podobnost těchto operací s kybernetickými útoky,“ říká Kačmář.

Podobných virtuálních bojových front je však celá řada. Írán vystupuje proti Izraeli, Spojeným státům i Evropské unii, Čína zintenzivnila kybernetické útoky na organizace v jihovýchodní Asii s cílem posílit v oblasti svůj vliv, ale útoky měly směřovat třeba na Namibii, Mauricius či Trinidad a Tobago.

Zároveň některé země svým záměrům přizpůsobují i zákony. Například Čína tamním společnostem nařídila, aby hlásily vládě jakékoliv zranitelnosti, které v digitálním prostoru zjistí, a to ještě před tím, než o nich informují ostatní. Podle firmy Microsoft tak může země využívat takzvané „zranitelnosti nultého dne“ – tedy využít mezeru v systému, která ještě není obecně známá, případně pro ni ještě nikdo nepřipravil obranu.

Miliardy hrozeb, biliony signálů

Scéna kyberkriminality vůbec není zanedbatelná. Je to vidět právě na datech Microsoftu, který od loňského do letošního léta denně analyzoval 2,5 miliardy koncových bodů, zablokoval skoro 35 miliard ohrožení identity a 37 miliard e-mailových hrozeb. Na denní bázi syntetizuje 43 bilionů signálů pomocí sofistikované analýzy dat a algoritmů umělé inteligence tak, aby porozuměla digitálním hrozbám a kriminální kybernetické činnosti a dokázala před nimi chránit.

Pracuje tu na tom přes 8,5 tisíce inženýrů, výzkumníků, datových vědců, odborníků mnoha zaměření: těch na kybernetickou bezpečnost, lovců hrozeb, geopolitických analytiků či investigativců. A to v 77 zemích. Vývojové centrum má jen v Česku víc než tisícovku zaměstnanců, což znamená, že je tuzemská pobočka největším vývojovým hubem ve střední a východní Evropě. Počet pracovníků za poslední roky vzrostl o víc než 250 procent v oblasti engineeringu, produktového managementu, designu a datové vědy. A tím je nejrychleji rostoucí IT společností na českém trhu.

Nejde ale jen o čísla. Firma věří, že digitalizace umožňuje růst produktivity, zároveň je ale třeba zajistit jí bezpečné prostředí. Její snahu ocenila i společnost Gartner, která společnost jmenovala lídrem v takzvaném magickém kvadrantu v oblasti správy bezpečnostních informací a událostí. To znamená, že firma umí hrozby jak vyhodnocovat, tak na ně reagovat.

Jen několik týdnů stará IDC studie Microsoftu ukazuje, že lídři organizací v Česku vyhodnotili malware, hacking a další podobné druhy útoků jako vůbec největší bezpečnostní hrozbu, následovanou rizikem záměrných i nezáměrných nebezpečí zevnitř firmy. Až pak se objevují hrozby ze spolupráce s třetími stranami, z práce z domova, cloudových služeb nebo digitalizace a zavádění nových technologií.

Většina českých a slovenských institucí vidí znalosti v kyberbezpečnosti jako nejdůležitější technologickou dovednost. Přitom jako svůj nejdůležitější úkol v této oblasti vnímají bezpečné zajištění identit uživatelů a jejich přístupů. Ovšem, nejde to tak jednoduše: v tuzemsku nejčastěji společnostem v lepším zabezpečování vlastní infrastruktury brání jak nedostatek financí, tak znalostí.

Bezpečnost v soukromých firmách se tak spíš pohybuje v rovině vydírání podobného typu, jako v úvodu zmíněný případ napadené společnosti Garmin. „Zřídka se objevuje i průmyslová špionáž typu ukradení receptu u velké čokoládovny. Většina ale směřuje k ohrožení bezpečnosti nebo vůbec funkčnosti firem,“ vysvětluje Krob z Accenture Security.

Útočníci pak často využívají zmíněný ransomware: typ programu, který znepřístupní data a systémy uvnitř společnosti, takže jej „monetizační pracovníci“ můžou využít a kontaktovat firmu s nabídkou ceny, za kterou by byla ochotná data získat zpět. Tedy stejně jako v případě Garminu.

Přesto – ne každá firma je na takové taktiky ochotná přistoupit. „Ve Spojených státech přestaly vyděračské taktiky fungovat. Firmy si raději se svými odborníky přístupy ‚ukradly‘ zpět, nebo se jednoduše smířily s tím, že data ztratily,“ popisuje Krob. Ovšem ransomware je letos zpátky na vzestupu.

Není to stejné po celém světě. V Evropě a Spojených státech se třeba snížil počet případů ransomwaru. Trvale ale roste počet phishingových útoků. To jsou ty, které se vydávají za běžnou e-mailovou zprávu, případně moderněji zprávu zaslanou do nějaké z komunikačních aplikací. A jsou to zároveň ty typy, které ukazují zranitelnost, jakou ve firmách představují zaměstnanci, a proti kterým se lze poměrně obtížně bránit.

Phishingové útoky se můžou totiž tvářit velmi profesionálně. Jako e-mail přijít od lidí, kteří běžně přesně ten typ zprávy odesílají. Představte si recepční, která vám píše, že máte někam kliknout pro příjem balíčku, který čeká na recepci. Nebo účetního, jenž posílá v příloze potřebnou fakturu a v kopii zprávy jsou adresáti, kteří tam obvykle při takové výměně komunikace bývají.

Firmy si sílu útoků uvědomují. I jejich technologie se vylepšují. „Je to jako kriminální scéna. Zločinci mají techniky a policisté jim jdou v zádech, co nejvíc to jde. Kyberbezpečnost je stejná. Extrémně se zvedá počet nástrojů, dokážou vidět víc, dokážou víc ubránit, rychle reagovat. A zavádějí se nové techniky, snahy automatizovat nebo využívat data sesbíraná umělou inteligencí,“ naznačuje Krob.