Sportisimo, Rohlik.cz či Košík.cz jsou jen některé z firem, které se v posledních měsících musely potýkat s následky kybernetických útoků hackerů. Ve všech případech šlo o určitý druh ransomwaru, což je typ škodlivého softwaru, který uzamkne nebo zašifruje firemní data. Útočníci pak pro jejich odblokování požadují výkupné, typicky vyplácené v kryptoměnách. Často může jít o vysoké desítky až stovky milionů korun, záleží na velikosti napadené společnosti.
V tu chvíli management firem řeší zásadní dilema: platit, či neplatit? A dá se o ceně vyjednávat? „Otřepaná fráze zní, že s teroristy se nevyjednává. V případě kyberútoků na firmy to ale neplatí zcela. Rozhodující je, jaký je rozsah škod a co vše je ještě podnik schopen zachránit,“ říká Václav Svátek, majitel a generální ředitel společnosti ČMIS. Ta se kromě cloudových služeb specializuje i na něco, co sám Svátek popisuje jako Ransomware „pohotovost“.
Co si pod pojmem Ransomware pohotovost představit?
Já už jsem dávno rezignoval na to vysvětlovat firmám, že by měly mít alespoň nějaká základní pravidla pro kybernetickou bezpečnost. Že by bylo dobré, že až k útoku dojde, aby alespoň trochu věděly, co mají dělat, a měly v rukách nějaké karty. Tato osvěta se moc s účinkem nesetkala, takže jsem si řekl, že bude možná lepší nabízet službu jakési pohotovosti pro tyto nemocné zanedbané firmy, které se stanou cílem útoku. Je to jako s lidmi, kteří o sebe dlouhodobě nepečují, pijí hodně alkoholu, kouří a nezdravě jedí. V jednu chvíli potřebují, aby se o ně někdo postaral. A to podobné děláme my, akorát s firmami a v oblasti kybernetické bezpečnosti.
To tedy v praxi znamená co?
Volají nám firmy, které jsou už napadené a nevědí si moc rady. A nutno říct, že to neví většina podniků, pokud pominu ty největší korporáty ze sektorů kritické infrastruktury, jako jsou největší banky nebo energetické společnosti. Když napadená firma zavolá, je nutné situaci ihned řešit, co nejrychleji diagnostikovat příčinu, co nejvíce eliminovat škody a zabránit dalším únikům dat. Vždy je klíčový čas. Většina IT oddělení přitom nemá příliš tušení co dělat. A pokud to alespoň trochu vědí, může jim kompletní diagnostika trvat kvůli nedostatku pracovních kapacit i tři dny. Když my na případ nasadíme 10–15 specialistů, zvládneme to klidně v řádech hodin.
Pravdou totiž zůstává, že kdo útok nezažil, vůbec netuší, co všechno to obnáší. Nejde jen o zašifrování dat, ale i o celkovou komunikaci – se zaměstnanci, zákazníky i dodavateli. Jedni nemohou pracovat, druzí nakupovat a třetí chtějí proplatit faktury. Kybernetický útok může ochromit kompletně celý chod firmy, na všech frontách.
Václav Svátek
Vystudoval jadernou vědu na Fakultě jaderné a fyzikálně inženýrské (FJFI) při ČVUT (1998-2004).
Po dokončení studií dostal nabídku pracovat jako technik v jaderné elektrárně Temelín. Raději ale pokračoval v podnikání, se kterým začal již během vysoké školy. Společnost Českomoravské informační systémy zabývající se informačními technologiemi založil v roce 2004.
Firmu v roce 2012 přejmenoval a transformoval v současný ČMIS. Primárním byznysem společnosti je nabídka IT, cloudových a kyberbezpečnostních služeb. Mezi její klienty patří například Rohlik Group, Košík.cz, Central Group, Sportisimo, Albatros Media, Zetor nebo FTMO.
Ve stejném roce Svátek založil i mezinárodní projekt AppOnFly, který uživatelům poskytuje okamžitý přístup k virtuálnímu serveru s Windows prostřednictvím webového prohlížeče z jakéhokoli zařízení.
Asi před rokem a půl začala ČMIS provozovat také jakousi kyberbezpečnostní „pohotovost“. Tuto službu mohou využívat firmy, které potřebují okamžitou pomoc, zejména při ransomwarových útocích.
ČMIS má více než 50 zaměstnanců, její tržby za poslední fiskální rok (který skončil letos v červnu) činily zhruba 204 milionů korun se ziskem EBITDA (před započtením úroků, daní a odpisů) přibližně 42 milionů korun.
Co se děje poté, kdy se situace po útoku trochu stabilizuje? Jaký je typicky další postup?
Postup je většinou takový, že útočníci napadené firmě pošlou například e‑mailem informace, jak se s nimi má spojit. Komunikace probíhá třeba přes chatovací aplikaci Signal anebo na jiných platformách, jež používají trošku pokročilejší šifrování. Zde musím jen vzpomenout na jednu poměrně bizarní situaci, kdy se jedna napadená firma nedokázala kvůli technickým potížím s hackery spojit a ti tak do společnosti sami zavolali a ptali se, kde je problém a proč se jim nikdo neozývá. Útočníci samozřejmě chtějí, aby s nimi podnik komunikoval, protože jedním z primárních cílů je dostat z firmy nějaké peníze.
Tím se dostáváme k zásadní otázce: má firma výkupné za odblokování dat platit, nebo ne?
Zde je naprosto zásadní, jak velký je rozsah škod. Pokud má firma zálohy a dokáže většinu dat a systémů obnovit v jiném prostředí – a případné nenávratné ztráty jsou pro ni akceptovatelné –, pak se doporučuje neplatit nic. Jsou tu ovšem případy, kdy napadená firma nemá v ruce absolutně žádné karty. Pak se situace kompletně mění.
Jak?
Vysvětlím na poměrně nedávném případu jedné velké firmy s miliardovými obraty. Byl jsem zrovna na dovolené v Japonsku, obdivoval jsem tamní chrámy a najednou mi zvoní telefon. Na druhé straně IT oddělení této firmy s tím, že jejich systémy jsou pod rozsáhlým kyberútokem. Firma přišla o veškerá produkční data a útočníci jí ukradli i kódy ke klíčovému informačnímu systému, který řídil přijímání objednávek, nákup i distribuci. Takový software se ve firmě vyvíjí klidně 10, 15 let. Vzhledem k tomu, že firma neměla prakticky žádné zálohy, byl její manévrovací prostor prakticky nulový. V takovém případě jsme jí doporučili vyjednávat a případně zaplatit, protože bez odblokování těchto klíčových kódů to může firmu klidně položit.
Dá se o ceně nějak vyjednávat?
V první řadě je potřeba si uvědomit své možnosti. Na druhé straně proti mě stojí profesionálové, kteří rozhodně nepodcenili rešerši, a pokud jde o velkou firmu, moc dobře díky veřejně dohledatelným zdrojům vědí, jak je na tom po finanční stránce. Čili pokud má podnik miliardové obraty, s jedním milionem korun se útočníci nespokojí. Obecně doporučuji nechat si dát první nabídku a tu se postupně snažit snižovat.
Jsou hackeři ochotni dát „slevu“?
Jsou. Většinou to funguje tak, že jako první nastřelí tu vyšší částku, aby pak případně mohli jít s cenou níž, pokud je první nabídka pro napadenou firmu neakceptovatelná. Proto je ale velice důležité, aby podnik neukazoval své karty – vůbec nesděloval, jak moc vážné jsou škody, co vše má zálohované nebo v jaké fázi je obnovování systémů. Důležité je také nespěchat a mezi každou odpovědí nechat klidně den, dva. Když odpovídám každých pět minut, je jasné, že mě tlačí čas. Čili nějakou dobu počkat a pak zkusit nahodit třeba čtvrtinu původní ceny. Je to trošku jako na tureckém tržišti.
Kde je nejslabší článek v zabezpečení firem?
Z našich dlouhodobých analýz vyplývá, že jednoznačně největší zranitelnost ve firmách je samotný IT administrátor. Když to přeženu, ten kdyby se zbláznil, tak tu firmu dokáže systematickou prací – aniž by si toho někdo všimnul – výrazně poškodit až klidně položit. Jsou to lidi, kteří mají důvěru, takřka neomezený přístup a také možnosti, jak obejít bezpečnostní systémy. Když se rozhodnou dělat neplechu, tak než si toho tamní security týmy všimnou, může to trvat i hodiny. Proto je nutné se těmto pracovníkům věnovat – zcela bez přehánění – i po psychologické stránce a zjišťovat, jak se cítí, jaký je jejich rodinný život a zdali třeba nemají problém s alkoholem či drogami.
Narazili jste někdy na případ, že se firemní IT administrátor, jak vy říkáte, „zbláznil“ a způsobil záměrně nějakou škodu?
Jednou jsme se setkali s případem, kdy měl šéf IT oddělení jedné firmy pocit, že jej chce generální ředitel vyhodit. Proto si zřídil zadní vrátka do firemního systému a nainstaloval tam aplikaci pro vzdálený přístup zvaný AnyDesk, aby tam v případě potřeby zřejmě mohl nějak škodit, případně stáhnout nějaká citlivá data. Stalo se ale to, že útočníci tato zadní vrátka využili a zašifrovali celou firmu. Onen generální ředitel tomu nejdříve vůbec nechtěl věřit.
Poněkud tragikomické také bylo, že zmíněný šéf IT oddělení svou vinu popíral a tvrdil, že on to nebyl. Přitom byl jediným člověkem ve firmě, který podobná oprávnění a přístupy měl, takže důkazy hovořily jednoznačně proti němu a nakonec jej usvědčily.
Stáhněte si přílohu v PDF
Těch silných příběhů je ale vícero. Vzpomenu ještě na jeden, kdy firma přišla ransomwarovým útokem o data a také o kompletní účetnictví. Když to oznámili tamní mzdové účetní, psychicky se zhroutila a musela být hospitalizována. Nedokázala se smířit s tím, že najednou přišlo vniveč dvacet let její práce.
Jak se tomu bránit?
V případě těch administrátorů je klíčové, aby ve firmě nebyl jeden „bůh“ s přístupem všude. Jde o určitou logickou segmentaci. Začíná to tím, že člověk, který má přístup k produkčním datům, nemá přístup k zálohám. Pak děláme vše pro to, aby bezpečnostní tým byl oddělený od provozního. Obecně pak doporučujeme pracovat se softwarem, který tamní IT pracovníci znají a umějí s ním pracovat. Protože se setkáváme i s tím, že i zcela běžné systémy, jako je firewall, firmy neumějí používat. Například jej ve snaze, aby mezi sebou mohla některá oddělení snáze komunikovat, přenastaví tak, že jej de facto deaktivují. Radíme, aby se firmy nebály poradit s odborníkem, a především apelujeme na to, aby zálohovaly. To je v podstatě pravidlo číslo jedna.
Článek byl publikován ve speciální příloze HN Kybernetická bezpečnost.
Přidejte si Hospodářské noviny
mezi své oblíbené tituly
na Google zprávách.
Tento článek máteje zdarma. Když si předplatíte HN, budete moci číst všechny naše články nejen na vašem aktuálním připojení. Vaše předplatné brzy skončí. Předplaťte si HN a můžete i nadále číst všechny naše články. Nyní první 2 měsíce jen za 40 Kč.
- Veškerý obsah HN.cz
- Možnost kdykoliv zrušit
- Odemykejte obsah pro přátele
- Ukládejte si články na později
- Všechny články v audioverzi + playlist
