Platí jim za to, aby na ně útočili. Aby ukázali, kde jsou zranitelní a našli cesty dovnitř systémů a ukradli data nebo třeba i změnili nastavení přístrojů. Vše, co je k tomu běžně potřeba, je notebook připojený k wi-fi. Takzvaní bílí hackeři společnosti Appsec pronikají do firem a institucí, které si to u nich objednají. Ty totiž stále častěji chtějí vědět, jak snadno jsou napadnutelné. Často velmi snadno, říkají odborníci i úřady, které kybernetickou bezpečnost v Česku mapují.

„Počet útoků rozhodně roste. Zatímco před dvěma či třemi lety jsme se při testování s problémem ukradených dat setkali třeba dvakrát, jen za první měsíce letoška už třikrát či čtyřikrát,“ popisuje Adam Paclt, spoluzakladatel společnosti Appsec.

Hackeři, kteří pro tuto společnost pracují, objevují zranitelnosti u společností, které si je objednají. Jejich práce někdy může vypadat prostě jako pár minut s počítačem v čekárně doktora – podle Paclta se velmi rychle lze dostat třeba na seznam pacientů i s jejich diagnózami. Jindy se dá „vystudovat“ školu během pár dní.

„Všechny údaje jsou dnes vedeny v systémech. Když se do nich dostanete, můžete vytvořit celý profil, vyplnit, kde kdo chodil do školy, kde a kdy se přihlásil ke zkoušce a jak ji udělal. Na velkých vysokých školách by to nikdy nikdo neodhalil. Je to scénář, který jsme u jednoho zákazníka dokázali provést,“ popisuje Paclt případ, kdy jen takovou akcí člověk získal titul během tří dnů.

Přes obecná očekávání hackeři mnohdy nepotřebují žádné zvláštní vybavení

Útoky nejsou zdaleka vedeny jen na veřejné instituce, byť u nich bývá ochrana mnohdy slabší – ne však nutně, zdůrazňuje Paclt. Bránit se jim musí větší i menší firmy, které si to uvědomují a které si zmíněné testovací útoky platí. Ale získat přístup jde i k věcem napojeným do online prostředí, od chytrých hodinek po přístroje v domácnosti.

I počet napadení právě zařízení ve firmách a domácnostech roste. Jedním z motivů jsou krádeže dat a špehování. Přihlašovací údaje, e-maily, adresy, platební karty, telefonní čísla a podobně lze výhodně prodat na darknetu. „Hacknuté kamery lze zase jednoduše použít ke špionážním účelům nebo vydírání. Pokud útočníci proniknou do zařízení, mohou jej zneužít různými způsoby, měnit jeho funkce, způsobit na něm škody nebo jej použít k šíření malwaru na další zařízení a jako nečekaný vstupní bod při útoku na podnikovou síť,“ popisuje Miloslav Lujka ze společnosti Check Point Software Technologies.

Ohrožené zdravotnictví

Balíčky dat ukradených z firmy nebo přístupy k vlastním zašifrovaným údajům je někdy možné získat za úplatu v řádech 10 až 200 tisíc eur, tedy za statisíce nebo několik milionů korun. Jindy je důvodem k útokům jen skutečnost, že hackeři zkrátka zkouší, co můžou. Výrazně se ale projevují i politické boje a zájmy států.

Stát, respektive jeho instituce, má obecně s útoky řadu zkušeností a potřebu vylepšit ochranu jmenují kyberbezpečnostní specialisté často. Vyšší prioritu přesto oblast získala právě až loni.

„Od začátku války na Ukrajině, která stojí za zvýšenou aktivitou hackerů, jsme zaznamenali nárůst poptávky státního sektoru po IT zabezpečení přibližně o 50 procent. Stát ale pořád nemá jasná kritéria k hodnocení práce IT firem, což komplikuje implementaci ochrany před útoky,“ říká Adam Koudela, odborník ze společnosti Xevos. Zmiňuje, že české instituce zabezpečení dlouhodobě podceňují.

Podle Národního úřadu pro kybernetickou bezpečnost dojde v Česku každý měsíc v průměru ke dvěma útokům směřovaným právě na něj. K nejčastějším cílům napadení patří oblast zdravotnictví. V ní můžou pachatelé vedle škod řádově za desítky milionů korun taky ohrozit pacienty. „K úspěšnému útoku opravdu někdy prostě stačí zmáčknout enter,“ říká Paclt. Podle něj úroveň ochrany zařízení záleží především na specialistech, které úřad nebo společnost zaměstnává.

Další pracovní e-mail

Když společnost Anect mapovala, jak útoky na firmy typicky probíhají, z dat vyšlo najevo, že při přístupu do sítě jsou slabým místem především uživatelé, tedy zaměstnanci. A často s poměrně vysokým povědomím o kybernetických rizicích a možných formách útoků. Při vyřizování e-mailů se ale mohou snadno napálit, stačí, když mají podvodné zprávy šikovně napsaný text.

„Jejich nebezpečí spočívá v tom, že vypadají jako součást pracovní rutiny oběti,“ popisuje Petr Mojžíš, bezpečnostní architekt Anectu. Paclt popisuje, že co se týče firem, ohrožené jsou v Česku téměř jakékoliv obory, s výjimkou bank, které i k interním pohybům v síti přistupují velmi přísně.

Na druhou stranu stoupá i počet firem, které se o to, jak bezpečnost řešit, aktivně zajímají. „Téma kyberneticko-informační bezpečnosti začínají řešit i společnosti, které ho dosud nebraly v potaz,“ potvrzuje Kateřina Hůtová, zakladatelka a šéfka společnosti Cybrela, která takové služby dodává desítkám firem včetně globálních hráčů.

Český právní řád po nich alespoň nějaký druh aktivity bude vyžadovat s plánovanou letošní implementací evropské směrnice, která má posilovat unijní kybernetickou bezpečnost a sblížit pravidla pro její zajišťovaní napříč členskými státy. Povinnosti zřejmě nastanou až za víc než rok, přípravy na straně firem už ale prý probíhají.