Rozhovor o zkušenostech s kyberútoky v ČR

"Napsal jsem mail a bylo po útocích, vůbec žádný další útok z Ruska jsme nezaznamenali," říká expert na IT bezpečnost Milan Berka.

Pod rouškou uplynulých událostí je jasné, že rok 2020 bude velmi výjimečný. I třeba z hlediska IT bezpečnosti věnovala výrazný prostor kybernetickým útokům česká média.

Kromě vánoční nadílky ransomware ve společnosti OKD, který napáchal škody v řádech miliónech korun a útoku na Benešovskou nemocnici byla v průběhu března zaznamenána aktivita cílená na další české nemocnice. Máme očekávat stále častější útoky? A co mohou společnosti činit aktivně pro svoji obranu?

Zeptali jsme se bezpečnostního manažera na odboru OIT na Krajském úřadu Plzeňského kraje a bezpečnostního ředitele u Kvalifikovaného poskytovatele služeb – eIdentity a.s., Doc. RNDr. Milana Berky, CSc. Pan docent Berka je zkušený matador a jeden z mála TOP  IT security odborníků uznávaných u nás i ve světě, spolupodílel se i na celé řadě odborných publikací i tvorbě zákonů.

Bezpečnost v ČR obecný pohled

V poslední době byla v mediálním prostoru věnována pozornost kybernetickým útokům v ČR. Zažíváme podle Vás v dnešní době opravdu výrazný nárůst kybernetických útoků v ČR?

Já bych to zase až tak tragicky neviděl. Těch útoků jsou stovky denně, někdy víc a někdy méně. Nejsou to ani tak útoky na infrastrukturu, ale spíše útoky na uživatele.

Pokud ano, s jakými hlavními typy útoku/hrozby se v praxi setkáváte?

Z hlediska útoků na uživatele jsou to dnes především cílené útoky, kdy vám přijde např. email od nadřízeného, že máte někam uhradit fakturu 500 000,- Kč a vypadá zcela normálně. Nakažené přílohy, které se po otevření připojí na internet a stáhnou další škodlivý SW, následně zašifrují disky, ke kterým má uživatel přístup.

Jak je na tom dle Vašeho názoru s úrovní zabezpečení ČR v porovnání s ostatními evropskými státy/světem?

Z mého pohledu jsme na tom srovnatelně nebo i trochu lépe, ale záleží na organizaci. Např. zdravotnictví je na tom hůře, IT firmy jsou na tom lépe, i když jsou výjimky v obou segmentech.

Vidíte rozdíly např. v zabezpečení komerčních společností nebo státních organizací?

Zase bych řekl, že je to o penězích a může být lépe zabezpečena jak státní organizace, tak i komerční subjekt. Základním problémem jsou uživatelé, nastavení práv, oddělení sítí apod. Případně další nástroje FW, sondy, End Point Security SW. Zase z toho zdravotnictví – mnohdy nejsou oddělené sítě, mnohdy je každý uživatel administrátor apod.

Které obory jsou dle Vašeho názoru nejzranitelnější?

To se nedá tak úplně přesně definovat, určitě je tam to zdravotnictví, protože lékař musí pracovat s počítačem a rozhodně to většinou není IT specialista. Zase narážíme na uživatele. Z druhé strany jsou úspěšně napadeny i IT firmy, a dokonce i ty, které se zabývají bezpečností. Pokud mají hackerské skupiny zájem a není jim líto peněz, mohou se dostat skoro všude, podobně jako některé tajné služby.

Kromě doporučení vydaného NÚKIBem, existují nějaká další doporučení pro IT security správce vyplývající ze zkušeností s vyšetřováním úspěšných útoků? (národní/mezinárodní)

Z mého pohledu je sice varování fajn a doporučení jsou taky fajn, ale bylo by dobré některé věci aktivně řešit. Např. je na vás veden útok z Ruska? Není problém dohledat IP adresu útočníka, není problém zjistit, komu patří a kontaktovat vlastníka. Moje zkušenost je taková, že pokud jsem doložil kus záznamu útoku, útok byl zastaven a už se neopakoval.

Např. NUKIBem identifikovaný útok z datového centra v Petrohradu, podíval jsem se do LOGu a skutečně to tam bylo, napsal jsem mail a bylo po útocích, vůbec žádný další útok z Ruska jsme nezaznamenali. Některé útočící servery jsou v hostingu, jsou pronajaté a mohou být i v jiných zemích, v některých se útočník dohledává hůře…

Na koho by se společnosti měly obrátit a jak by měly správně postupovat, pokud se stanou obětí kybernetického útoku?

Určitě NUKIB a taky Policie ČR, např. NCOZ - https://www.policie.cz/ncoz.aspx, pokud vznikla škoda, pokud ne, zkoušel bych to řešit tak, jak bylo popsáno výše.

Jak moc je těžké zjistit původ kybernetického útoku?

Není moc těžké zjistit, odkud je útok veden, pokud to nejsou DDoS útoky, ale je problém někdy zjistit, kdo je za tím. Např. jednou jsem narazil na útok z Marseille, ovšem, když jsem se podíval na ten server, zjistil jsem, že na něj je připojený uživatel z Pákistánu… Dohledal jsem jméno, IP adresu, jeho WWW stránky. Ale ani tady nevíte, jestli je to skutečně útočník nebo oběť. Klidně ho mohl někdo napadnout a zneužít jeho identitu. Takže tady bych byl hodně opatrný s úsudky, kdo útočí.

Z pohledu legislativy a činných orgánů, lze podle Vás účinně zabránit opakování kybernetického útoku?

Podle mne z daného místa ano, ale pokud si útočník pronajme servery např. v Hong Kongu nebo Brazílii nebo v Panamě, bude se vám zdát, že útočí někdo jiný. Podle typu útoku lze zjistit podobnost, ale podobný SW pro útok mohou používat různí útočníci…

Útoky na české společnosti

V mediálním prostoru byla několikrát zmíněna kampaň na české nemocnice a úřady. Z jakého důvodu se domníváte, že byly nemocnice pro útočníky vděčným cílem? Myslíte, že s tím souvisí jejich úroveň zabezpečení?

Nerozdělené segmenty sítí, špatné řízení uživatelských účtů včetně administrátorských, nedostatek peněz na financování obranných technologií, staré verze informačních systémů a stanic v interní síti. Nedostatečné proškolení uživatelů.

Již několik měsíců identifikujeme zvýšený nárůst phishingových kampaní. Dá se určit, zda zvýšená frekvence phishingu je cílena přímo na české organizace, případně přímo na konkrétní české subjekty?

O tom jsem už psal výše, pokud účetní v nejmenované nemocnici dostane podložený email od nadřízeného, že má zaplatit nějakou fakturu na půl milionu, je to cílený útok…

Ale zase, obecně stačí zvednout telefon a toto si ověřit přímo u nadřízeného. Prostě hodně je to o vzdělávání uživatelů. Pochopitelně hraje roli i filtrace mailů, SPAM prochází v určitém procentu i přes SPAMové filtry.

Máte Vy sám osobní zkušenost v poslední době s nějakými kybernetickými útoky?

Tak na mne osobně a soukromě nikdo neútočí už asi od roku 2012… Ale z hlediska práce jsem řešil ten útok z Petrohradu (útok na nemocnice?), ale také útok z USA, někdo zneužil bezpečnostní produkt firmy Qualys. Obojí se vyřešilo prostřednictvím mailu a útoky se víckrát neopakovaly. Proto jsem to uváděl výše, mnohdy stačí minimální akce a je po problémech. Jinak útočné maily se řeší stále, ale uživatelé se už tak vypracovali, že se okamžitě ozývají při podezřeních a technici IT to jdou hned řešit a prověřovat. Je to náročné, je to hodně práce, ale funguje to.

V jakém typu organizací jste útoky řešil?

Nemocnice, veřejná správa, mobilní operátor.

Popis scénáře útoků

Jak útoky proběhly? Byly to útoky cílené nebo náhodné?

Cílené na infrastrukturu ostatní podle někde získaných emailových adres.

Jaký byl scénář útoku? Útočilo se pomocí phishingových kampaní?

Ano, to také, těch útoků je dnes asi 90%.

Mířily útoky na konkrétní zranitelnosti (např. RDP vystavené ven), na prolomení hesel apod.?

To nikde vystavené není, ale např. na zranitelnosti starších verzí PHP, Jomla, WordPress apod.

Stačilo nakazit jeden počítač v interní LAN a z toho se už rozšířily všechny následné kroky útoku?

No, naštěstí jsem zažil pouze vždy maximálně jeden zavirovaný osobní PC, jinak bych s tím měl dost velký osobní problém jako odpovědná osoba. Bylo by to tak na rituální sebevraždu…

Podařilo se identifikovat celý postupný řetězec útoku?

To právě nikdy není jisté. Když to odlehčím, tak je možné, že ruského hackera napadl předtím americký hacker, toho ale předtím mohl taky napadnout čínský hacker… Takže já se nepouštím do vyšetřování takových věcí, já řeším zamezení dané věci. Vyšetřování je věcí Policie ČR.

Jak dlouho útok trval, než byl úspěšně dokončen/zastaven?

Obvykle je to řešeno podle nebezpečnosti, obvykle do 24 hodin.

Jak jste útok odhalili? Jaké byly metody investigace infikovaných zařízení?

Většinou sondy v síti a na koncových zařízeních.

Z kterých systémů a jejich logů se podařilo identifikovat zpětné kroky útoku?

Útoky u nás zachycují systémy IPS/IDS, End Point Security, SIEM. Byly to v podstatě jenom pokusy o útoky. Sondy jsou umístěny jak ve vnitřní, tak ve vnější síti, existuje centrální monitoring a centrální informační upozornění, SIEM některé věci přímo předává do systému HelpDesk, vytváří zde incidenty.

Nasazení a vyladění těch věcí není úplně triviální. Více to nebudu komentovat, protože by to byla reklama na produkty některých firem, produkty, které znám a nebylo by to správné vůči firmám, jejichž produkty jsem nevyzkoušel.

Bylo možné útok detekovat na úrovni sítě nebo endpointů?

Obojí, útoky na infrastrukturu většinou na úrovni sítě, útoky na uživatele, pokud projdou, na úrovni End Pointů.

Byly nějaké indicie nebo anomálie na úrovni endpointů nebo sítě, které signalizovaly útok a daly se odhalit a útoku se ubránit?

Ano, záznamy ukazují odkud kam jde útok a skoro vždy byla zastaven, pro jistotu je ale potřeba někdy to fyzicky zkontrolovat.

Jaké jste podnikli první kroky? Jaké byly Vaše první kroky po identifikaci úspěšného kompromitování IT infrastruktury z pohledu minimalizování škod?

Při napadení např. šifrovacím virem je potřeba prostě PC vytáhnout nejlépe hned ze zásuvky.Jinak jsem úspěšné kompromitování infrastruktury naštěstí nezažil.

Mohli se správci napadených systémů útoku účinně bránit?

V řadě případů ano, nastavením systémů, povolením jenom některých portů a jenom odněkud apod. 

Kontaktovali jste policii nebo jiné kompetentní organizace?

U nás nikde škoda nevznikla, přesto máme kontakty osobní na lidi jak z NUKIBu, tak od Policie ČR a některé věci s nimi probíráme a dělíme se s nimi o své zkušenosti. Třeba útoky z okolí Moskvy zastavila Policie ČR ve spolupráci s Ruskou milicí. Přes všechny politické peripetie tyto metody zatím stále efektivně fungují.

Jak byl ve finále útok úspěšný – dopady? Jaké byly škody? Materiální/finanční/personální/jiné?

Škody jsou v podstatě pouze na úrovni spotřebovaného času pracovníků IT nebo uživatelů.

Jak bylo ovlivněno fungování organizace?

Nebylo ovlivněno.

Vyhodnocení a doporučení

Mělo to podle Vás nějaký psychologický efekt na majitele/vedení/správce/uživatele?

Ano, je větší vůle investovat do ochranných opatření.

Jaké byly příčiny útoku?

Co se týká ransomware a zašifrování zařízení, většinou jde podle mne o získání financí, příčinou  úspěšných útoků je především malá vzdělanost uživatelů v dané oblasti, zastaralé operační systémy, neaktualizované, nesprávné nastavení práv apod. Problém jsou i nefunkční zálohy nebo jejich trvalé připojení k zálohovaným systémům.

Jaké kroky jste provedli po odvrácení bezprostředního nebezpečí? Bylo nějak zabráněno opakování podobných incidentů – buď z Vaší strany nebo ze strany kompetentních úřadů/policie?

Tyto věci já z přímé zkušenosti neznám, protože u nás nikdy k velkému napadení systémů nedošlo, jenom z doslechu vím, jak to bylo jinde. Po takových napadeních je podle mne nezbytná celá reinstalace systémů, změna architektury sítě a případně uživatelských oprávnění. Měly by být odděleny zálohy systémů a zálohy dat. Důležité je nemít stále připojené zálohy a zálohy provádět např. přes FW z iniciativy zálohovacího zařízení a ne naopak.

Máte Vy sám nějaké doporučení? Jaká opatření by měly firmy/organizace učinit proti stále rostoucí hrozbě kybernetického útoku?

Ano, větší vůle investovat do ochranných opatření, motivace vlastních zaměstnanců, školení. My sice oficiálně nefungujeme v režimu 7/24, ale v případě potřeby jsme dosažitelní a v podstatě jsme schopni řešit problémy 24 hodin denně…

 

Děkujeme za rozhovor panu Doc. RNDr. Milanu Berkovi, CSc.

Rozhovor realizoval Ing. Karel Klumpner, MSc. (ředitel společnosti), COMGUARD a.s.


Přidejte Váš názor

Opište text z obrázku, prosím:

Komentáře k článku (7)

  • Reagovat

    Neznámý autor

    08.06 2020, 17:41

    Zaujímavý článok. Počuli ste niečo aj o útoku na jednu veľku firmu v Chorvátsku ak áno, kde sa podľa Vás stala najvúčšia chyba?

    • Reagovat

      Neznámý autor

      09.06 2020, 13:46



      Útok na Chovatskou firmu je myšlen asi viz. článek: https://www.zdnet.com/article/croatias-largest-petrol-station-chain-impacted-by-cyber-attack/

    • Reagovat

      Milan Berka

      09.06 2020, 14:03

      Ne, nebudu hádat, já se spíše věnuji firmám, kde působím nebo pro které něco dělám.

  • Reagovat

    David Nejerál

    10.06 2020, 15:49 |  nejeral@mou.cz

    Dobrý den,

    v tomto dokumentu:

    https://nku.cz/assets/publikace-a-dokumenty/ostatni-publikace/zprava-o-digitalizaci-verejne-spravy.pdf

    potvrdilo NKÚ (str. 19-20), že množství IT pracovníků ve státním IT tvoří 3,3% zaměstnanců, zatímco ve finančním sektoru je to 9,5% a ve světě obecně 5,7%. V naší nemocnici tvoří pracovníci IT pouze 1,7% zaměstnanců a to jsme na tom ještě velmi dobře.

    Je vůbec možné s tak málo lidmi síť kvalitně zabezpečit? Na co byste doporučil se zaměřit v otázce bezpečnosti v nemocnicích nejdříve? Připadá mi, že přestože náš ministr zdravotnictví prohlásil, že pacientská data jsou mnohdy hodnotnější, jak ta v bance, tak se děje opravdu jen velmi málo pro změnu stavu v nemocnicích.

    Je dost nepříjemné, že i přes poslední průšvihy v některých nemocnicích to nevypadá, na nějaký větší posun. Anebo se mýlím?

    • Reagovat

      Milan Berka

      11.06 2020, 12:09

      Dobrý den,

      podle mne bych až tak počet pracovníku neřešil, spíš bych řešil množství peněz, z těch pak můžete zaplatit jak svoje pracovníky, tak případně externí firmy, které se budou o něco starat. Jenom na IT bezpečnost by mělo jít asi 4-5% rozpočtu organizace. Záleží pod co spadáte - MZ, Kraj, město...

      Na co se zaměřit? Jenom pár bodů, jinak je to na delší materiál...

      1. Segmentace sítí

      2. Uživatelské role a účty

      3. Školení uživatelů, může být i on-line, nemusí to přijít na moc peněz, může to být i zdarma Např.

      https://www.alef.com/cz/ransomwarove-utoky.c-576.html

  • Reagovat

    Milan Berka

    11.06 2020, 18:51

    Tak jenom pro zajímavost, dnes pokusy o SQL Inject z IP 5.101.156.254.

    RIPE

    • role: Abuse-C Role
    • nic-hdl: AR16577-RIPE
    • abuse-mailbox: abuse@beget.ru
    • mnt-by: BEGET-MNT
    • address: Beget LLC
    • address: Karla Faberzhe st., n. 8B
    • address: 195112
    • address: St. Petersburg
    • address: RUSSIAN FEDERATION
    • e-mail: manager@beget.ru
    • created: 2013-12-18T14:35:42Z
    • last-modified: 2020-04-02T17:22:16Z
    • source: RIPE

    mail na abuse@beget.ru
    reakce supportu do 1 minuty... Skoro neuvěřitelné.