Zpráva Národního úřadu pro kybernetickou a informační bezpečnost o stavu kybernetické bezpečnosti České republiky za rok 2023 přinesla znepokojivé zjištění – počet kybernetických incidentů v tuzemsku vzrostl meziročně ze 146 na 262, tedy o téměř 80 %. Za tímto nárůstem stály především pravidelné vlny DDoS útoků ruských hacktivistických skupin proti České republice.
Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) je ústředním správním úřadem pro oblast kybernetické bezpečnosti a pro vybrané oblasti ochrany utajovaných informací. Úřad každoročně vydává zprávu o stavu kybernetické bezpečnosti, ve které prezentuje statistiky kybernetických incidentů [1] v České republice za předchozí rok. Upozorňuje rovněž na rizika a výzvy, kterým může stát v oblasti kybernetické bezpečnosti v budoucnu čelit, a navrhuje adekvátní opatření.
Česká republika jako terč ruských hackerů
Největší podíl na kybernetických incidentech měly podle dat NÚKIB v roce 2023 tzv. DDoS útoky. DDoS je typ kybernetického útoku, při kterém dochází k omezení či znepřístupnění počítačových systému nebo internetových stránek, a to zpravidla v důsledku zahlcení serveru či systému velkým množstvím uměle vyvolaných požadavků.[2] V praxi to obvykle znamená, že tyto útoky zpomalují, nebo dokonce úplně znemožňují přístup k napadeným webovým stránkám či službám. Ačkoliv často cílí například na nemocnice, banky, ale i weby ústředních orgánů státní správy, do interních dat organizací nijak nezasahují.
Většinu DDoS útoků proti českým cílům měla na svědomí ruská skupina NoName057(16). Tato hacktivistická skupina se přihlásila k 55 z nich. Česká republika se tím zařadila mezi čtyři nejzasaženější státy Evropy hned po Litvě a Ukrajině (shodně 99 útoků) a Polsku (118 deklarovaných útoků). Útoky na české instituce probíhaly v několika vlnách, které obvykle reagovaly na vyjádření představitelů České republiky v souvislosti s ruskou válkou na Ukrajině.
Pozitivní zprávou je, že ačkoliv celkový počet incidentů meziročně vzrostl o téměř 80 %, počet těch, které NÚKIB klasifikuje jako „významné“, se snížil o třetinu. Velká část incidentů tak neměla závažnější dopad a ve většině případů vedla pouze k dočasné nedostupnosti napadených webových stránek.
Ruské, čínské a severokorejské útoky na evropské státy
Vedle DDoS útoků však NÚKIB zaznamenal i útoky, které měly povahu pokusů o průnik či úspěšných průniků do sítí státních institucí. Smyslem takových útoků byla s největší pravděpodobností kybernetická špionáž a dle NÚKIB za nimi téměř jistě stojí skupiny APT29 a APT28, spojované s ruskými zpravodajskými službami SVR a GRU. Činnost těchto aktérů se neomezovala pouze na Českou republiku, nýbrž byla součástí širší operace, která systematicky poškozovala spojence v EU a NATO.
Ruská federace nicméně nebyla jediným státním aktérem, kterého lze s velkou mírou pravděpodobnosti spojit s útoky proti institucím napříč evropskými státy. Úřad zaznamenal rovněž zvýšenou aktivitu hackerských skupin napojených na Čínskou lidovou republiku a Severní Koreu. Hlavní motivací těchto skupin byla taktéž snaha o destabilizaci evropských států v kontextu války na Ukrajině.
Útoky čínských a severokorejských hackerů byly časté a měly podobnou povahu jako ruské operace – zpravidla si kladly za cíl znemožnit či oslabit fungování klíčových institucí v evropských státech. Zejména severokorejské skupiny se pak zaměřovaly převážně na evropský obranný průmysl.
V roce 2023 se tak potvrdil nastolený trend kybernetických útoků, jejichž původci jsou hackerské skupiny tolerované, či dokonce přímo podporované cizími mocnostmi. V reakci na geopolitické události bylo primární motivací hackerů oslabení kybernetické infrastruktury a klíčových institucí České republiky, ale také spojenců v EU a NATO.
Hrozby a cíle útoků ve veřejném sektoru
Konkrétně kybernetické útoky ohrožovaly především sektor financí, průmyslu, energie, zdravotnictví a školství. Jednotlivé segmenty veřejného sektoru však měly z hlediska kybernetických incidentů svá specifika.
Za mimořádně kritický sektor označil NÚKIB energetiku. Až 63 % dotazovaných organizací uvedlo, že se v průběhu roku staly obětí pokusu o kybernetický útok. Energetika byla častým cílem zahraničních hackerů zejména kvůli snaze České republiky a EU přeorientovat se na nové energetické trhy. Vliv na kyberbezpečnost energetického sektoru měl i izraelsko-palestinský konflikt, v souvislosti s kterým byly evidovány útoky na český vodohospodářský sektor ze strany proíránských hackerů. Obecně však byla aktivita íránských skupin v porovnání s předchozími lety méně intenzivní.
V rámci bankovního sektoru se útoky zaměřovaly především na omezení dostupnosti bankovních služeb prostřednictvím DDoS útoků. Časté však bylo i využívání phishingu [2], spoofingu [3] či krádeže identit zaměstnanců bank.
V oblasti zdravotnictví jednoznačně dominoval phishing a podvodné e-maily, zatímco počet ransomwarových [4] útoků již od roku 2020 postupně klesá. I přesto však ransomwarové útoky nadále představují velmi významnou hrozbu – v porovnání s útoky zaměřenými na dostupnost služeb jsou s nimi totiž spojeny podstatně závažnější reputační a finanční dopady. I proto se Česká republika v roce 2023 při příležitosti mezinárodního summitu International Counter Ransomware Summit ve Washingtonu spolu s dalšími 40 státy připojila ke společnému prohlášení proti platbám výkupného při ransomwarových útocích.
Pro útočníky představuje dlouhodobě atraktivní cíl také vzdělávací sektor, který v porovnání s ostatními sektory zaznamenal nadprůměrný počet pokusů o phishing. Phishing měl pak ve vzdělávacím sektoru zpravidla formu podvodných e-mailů – ty představovaly téměř dvě třetiny pokusů o průnik do sítě.
Širší kontext kybernetických incidentů
Zjištění NÚKIB jsou obzvláště znepokojivá, zasadíme-li je do kontextu vlivových operací Ruska a Číny proti západním zemím. Ostatně sám NÚKIB neupozorňuje pouze na kybernetické útoky, ale také na další druhy kybernetických hrozeb ze strany daných států. V roce 2023 kupříkladu poukázal na nebezpečí aplikací TikTok a WeChat, a to kvůli možnému zneužívání uživatelských dat subjekty napojenými na Čínskou lidovou republiku.
Podobně se vyjadřuje i Evropská agentura pro bezpečnost sítí a informací (ENISA), která mimo jiné varuje před novými trendy v oblasti kybernetických hrozeb. Dle ENISA dochází ke zneužívání generativní umělé inteligence skupinami s vazbami na Rusko, Čínu, Írán a Severní Koreu, a to nejen za účelem zefektivnění kybernetických útoků, ale také k ovlivňování veřejného mínění prostřednictvím dezinformací a zkreslených narativů.
Narůstající počet kybernetických útoků je tak pravděpodobně důsledkem širších destabilizačních snah Ruska, Číny a jejich spojenců, na což poukazuje také výroční zpráva BIS, o které jsme psali v zářijovém Bulletinu (s. 3). Tyto snahy následně vedou k oslabování klíčových veřejných institucí a demokratického státního aparátu, a v důsledku toho demokracie jako takové.
Jak z toho ven?
Na závěr se nabízí otázka, jaká opatření by měl stát v boji proti nastolenému trendu přibývajících kybernetických útoků přijmout. NÚKIB ve své výroční zprávě upozorňuje především na problém nedostatku financí – více než polovina respondentů z oblasti veřejného sektoru uvedla, že finance vyčleněné na kybernetickou bezpečnost své instituce pokládá za nedostatečné.
Absence adekvátních finančních prostředků se následně projevuje i v nedostatku odborného personálu zajišťujícího kybernetickou bezpečnost v příslušných institucích. Problému pak nepomáhá ani nedostatečné proškolování a absence preventivního testování zaměstnanců.
Ke zvýšení odolnosti veřejných i soukromých subjektů a k posílení prevence má od poloviny roku 2025 sloužit nový zákon o kybernetické bezpečnosti z pera NÚKIB, který převede do českého právního řádu evropskou bezpečnostní směrnici NIS2. V porovnání s doposud platným zákonem o kybernetické bezpečnosti z roku 2014 přitom výrazně rozšíří množinu organizací, které budou nově spadat pod kybernetický zákon.
V nejobecnější rovině je pak třeba zvyšovat celospolečenské povědomí o aktuálních rizicích, která jsou se světem informačních technologií spojena. Úroveň mediální gramotnosti, kritického myšlení či vzdělávání o základech kybernetické bezpečnosti jsou totiž základním východiskem obranyschopné informační společnosti a v prevenci kybernetických útoků hrají naprosto klíčovou roli.
Poznámky
[1] Kybernetickým incidentem se rozumí situace, kdy došlo k narušení bezpečnosti informací v systému. Může se tedy jednat o napadení různými druhy škodlivých kódů apod.
[2] DDoS útoky (z anglického distributed denial-of-service attack) jsou podmnožinou tzv. DoS útoků (denial-of-service attack). Od těch se odlišují tím, že DDoS útoky probíhají koordinovaně z mnoha zařízení současně.
[3] Phishing představuje podvodné jednání útočníků s cílem vylákat z obětí citlivé informace, případně je přimět k určité akci, a to zpravidla prostřednictvím podvodných emailů, zpráv či telefonátů.
[4] Spoofing je typ kybernetického útoku, během kterého dochází k podvržení a následnému zneužití legitimních telefonních čísel.
[5] Ransomware je druh škodlivého softwaru, který po své aktivaci zašifruje data uživatele a znemožní přístup k nim, dokud oběť nezaplatí výkupné. Často dochází také ke zveřejnění těchto dat.
Zdroje
Bezpečnostní informační služba. (2024). Výroční zpráva Bezpečnostní informační služby za rok 2023. Dostupné z: https://www.bis.cz/vyrocni-zpravy/vyrocni-zprava-bezpecnostni-informacni-sluzby-za-rok-2023-47d0b95d.html
ESET software spol. s.r.o. Ransomware. Dostupné z: https://www.eset.com/cz/ransomware/
Evropská agentura pro bezpečnost sítí a informací. (2024). Enisa Threat Landscape 2024. Dostupné z: https://www.enisa.europa.eu/publications/enisa-threat-landscape-2024
Portál veřejné správy. (2024). Hlášení kybernetických bezpečnostních incidentů. Dostupné z: https://portal.gov.cz/sluzby-vs/hlaseni-kybernetickych-bezpecnostnich-incidentu-S10769
Národní úřad pro kybernetickou a informační bezpečnost. (2021). Akční plán k Národní strategii kybernetické bezpečnosti České republiky na období let 2021 až 2025. Dostupné z: https://nukib.gov.cz/download/publikace/strategie_akcni_plany/akcni_plan_2021-2025.pdf
Národní úřad pro kybernetickou a informační bezpečnost. (2023). Česká republika se připojila k prohlášení proti platbám výkupného při ransomwarových útocích. Dostupné z: https://nukib.gov.cz/cs/infoservis/aktuality/2039-ceska-republika-se-pr…
Národní úřad pro kybernetickou a informační bezpečnost. (2013). Doporučení pro případ napadení DDoS útokem - jak se zachovat a jak postupovat. Dostupné z: https://nukib.gov.cz/download/publikace/doporuceni/Doporuceni_DDoS.pdf
Národní úřad pro kybernetickou a informační bezpečnost. (2021). Národní strategie kybernetické bezpečnosti České republiky na období let 2021 – 2025. Dostupné z: https://nukib.gov.cz/download/publikace/strategie_akcni_plany/narodni_strategie_kb_2020-2025_%20cr.pdf
Národní úřad pro kybernetickou a informační bezpečnost. (2024). Nový zákon o kybernetické bezpečnosti. Dostupné z: https://portal.nukib.gov.cz/informace/legislativa/zakon-o-kyberneticke-…
Národní úřad pro kybernetickou a informační bezpečnost. (2024). Zpráva o stavu kybernetické bezpečnosti ČR za rok 2023. Dostupné z: https://nukib.gov.cz/download/publikace/zpravy_o_stavu/Zprava_o_stavu_kyberneticke_bezpecnosti_CR_za_rok_2023.pdf
National Cyber Security Centre. SVR cyber actors adapt tactics for initial cloud access. (2024). Dostupné z: https://www.ncsc.gov.uk/news/svr-cyber-actors-adapt-tactics-for-initial-cloud-access
Zákon č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů.
Fotografie
NÚKIB ve své výroční zprávě pravidelně informuje o kybernetických hrozbách za příslušný rok. Autor: Národní úřad pro kybernetickou a informační bezpečnost, 19. červenec 2024, zdroj: web NÚKIB, úpravy: ořez z výroční zprávy.
