Náš život je na počítačích stále více závislý. Kybernetické hrozby mohou být dnes pro jednotlivé státy stejně kritické, jako útoky na další síťová odvětví. Pozornost se proto postupně přesunuje také k sítím počítačovým. I jejich napadení by totiž mohlo znamenat vážné ohrožení fungování státních institucí i státu samotného.

Oblast počítačové kriminality zažívá skutečný boom. Důležitou roli v tom obecně sehrává růst počtu zařízení připojených k internetu. V tomto směru již totiž dávno nejde jen o počítače či notebooky, ale také chytré telefony, tablety, a především celou řadu zařízení z oblasti M2M komunikace. V éře nazývané internetem, věcí nebo dokonce „internetem všeho“ (Internet of Everything) jsou totiž k internetu připojeny i rozsáhlé průmyslové či bezpečnostní systémy, jako jsou například chytré semafory a další prvky řízení dopravy ve městech či systémy veřejného osvětlení. Asi není třeba rozebírat, jaké důsledky by mohl mít například teroristický útok na tyto systémy.

Vybavený protivník

Oblast kybernetického zločinu přitom již dávno není záležitostí obrýlených uhrovatých mladíčků vytvářejících více či méně škodlivé, ale v konečném důsledku nepříliš nebezpečné počítačové viry. Jak ukazují výsledky celé řady výzkumů, počítačová kriminalita se stává svébytným průmyslovým odvětvím, byť pochopitelně spadajícím do sféry šedé ekonomiky. Například v létě publikovaný Cisco Midyear Security Report uvádí, že až v 70 procentech firem byly zjištěny stopy po takzvaném botnetu. Tedy škodlivém kódu, díky němuž je útočník schopen převzít kontrolu nad napadeným počítačem a zneužít ho k provádění dalších útoků či k jiným činnostem. Ve více než 90 % firem byl zaznamenán provoz směřující na servery, na nichž se vyskytuje malware. Loňský výzkum americké neziskové organizace CSIS (Center for Strategic and International Studies) odhadl, že kybernetické útoky připraví celosvětovou ekonomiku ročně o 500 miliard amerických dolarů.

Dosavadní způsoby ochrany proti kybernetickým útokům tak přestávají stačit. Útočníci se zaměřují na odhalení slabých míst, která pak mohou využít ke krádeži dat nebo zneužití počítačových systémů oběti. Může jít například o zastaralý a neaktualizovaný software, bezpečnostní chyby v počítačových programech nebo chyby a omyly uživatelů. Ty pak útočníci využívají k tvorbě balíčků (exploit kits), s jejichž pomocí lze provést profesionální útok i v podstatě na objednávku.

O míře profesionalizace tohoto „nového oboru“ ostatně svědčí i vývoj po loňském zatčení tvůrce jednoho z nejpopulárnějších kitů (Blackhole Exploit Kit), kdy počet podobných balíčků poklesl meziročně o 87 procent. Zároveň se ale zvýšila jejich rozmanitost. Škodlivé kódy typu exploit jsou totiž mířeny na konkrétní známé slabiny operačního systému nebo aplikace, s cílem získat přístup k napadenému počítači. Nákupem balíčku (exploit kit) lze získat prostředí pro vytváření nebezpečných kódů.

Výsledný exploit lze šířit pomocí odkazů v mailu, ale také odkazy či skrytým přesměrováním na stránkách některých serverů. Tento typ útoků lze obtížně detekovat klasickými antivirovými programy, protože není znám jeho vzorek, se kterým by bylo možné jej porovnat. Pro boj s takovými typy útoků je nutné v síti detekovat chování jednotlivých aplikací v síti a propojit tato zjištění s informacemi, například z telemetrických dat bezpečnostních senzorů nebo dalších prvků firemních sítí.

Profesionální obrana

Právě proměna bezpečnostního matrixu přivedla celou řadu států, a také celou Evropskou unii, k nutnosti legislativně upravit fungování obrany proti podobným útokům. V Česku se tato koncepce odrazila v přijetí Zákona o kybernetické bezpečnosti, který prezident republiky podepsal v srpnu tohoto roku. Tento zákon nově upravuje celou problematiku a zavádí nové povinnosti jak pro subjekty veřejné správy, tak soukromé firmy. Ačkoli by se mohlo zdát, že zákon takto nepřípustně zasahuje do soukromého sektoru, je tento postup veřejné moci logický. Je totiž zřejmé, že část potenciálně zranitelné infrastruktury, jejíž vyřazení by mohlo ohrozit fungování státu, je a bude v soukromých rukou. Velmi vhodným příkladem mohou být například telekomunikační sítě, ale i celá řada dalších.

Již dříve stanovil Krizový zákon č. 240/2000 Sb. ve svém §2g některé ze sítí za kritické – jsou to takové, u nichž by narušení funkce mělo závažný dopad na bezpečnost státu, zabezpečení základních životních potřeb obyvatelstva, zdraví osob nebo ekonomiku státu. Nový Zákon o kybernetické bezpečnosti stanoví mnohem podrobněji chráněné systémy a sítě, stejně jako povinnosti při jejich obsluze.

Zákon o kybernetické bezpečnosti počítá se zřízením dvou dohledových center označovaných jako CERT. První z nich je takzvaný národní CERT, který je určen pro komunikaci zejména se soukromými subjekty, jejichž infrastruktura nespadá do kategorie kritické. Provozovatelem tohoto centra je sdružení CZ.NIC. Jeho postavení je spíše konzultační. Nemá žádné nařizovací pravomoci a jeho úkolem je spíše pomáhat jednotlivým subjektům zvládat kybernetické hrozby. Ty se ale názorům a doručením tohoto národního CERTu nemusí podřizovat, byť se dá očekávat, že to dělat budou.

Mnohem silnější postavení má podle nového zákona vládní CERT, označovaný jako GovCERT. Provozovatelem tohoto centra je Národní bezpečnostní úřad a nový zákon mu dává nikoli pouze konzultační pravomoci jako v případě národního CERTu, ale přímo nařizovací a výkonné. Paragraf 5 zákona přitom výslovně v odstavci 1 stanovuje, že „bezpečnostním opatřením se rozumí souhrn úkonů a postupů, jejichž cílem je zajištění bezpečnosti informací v informačních systémech a dostupnosti a spolehlivosti služeb a sítí v kybernetickém prostoru“. Následující odstavec pak přímo ukládá povinnost „zavést bezpečnostní opatření pro informační systém kritické informační infrastruktury, komunikační systém kritické informační infrastruktury nebo významný informační systém a vést o nich bezpečnostní dokumentaci.“ Provozovatelé kritické infrastruktury a také správci významných informačních systémů jsou tak například povinni hlásit kontaktní údaje NBÚ, zpracovávat bezpečnostní dokumentaci a zavádět bezpečnostní opatření.

Stejně tak mezi jejich povinnosti patří detekce kybernetické bezpečnostní události a hlášení kybernetických bezpečnostních incidentů NBÚ. Velmi důležité ale přitom je, že tyto subjekty jsou zároveň ze zákona povinny provádět opatření vydaná NBÚ. Zákon o kybernetické bezpečnosti totiž zcela správně předpokládá, že účinná obrana může být připravena jen na základě kontinuální analýzy bezpečnostních hrozeb a sdílení důležitých informací.

Hledání specialistů

Dostát povinnostem stanoveným Zákonem o kybernetické bezpečnosti nebude pro jednotlivé subjekty vždy úplně jednoduché. Prováděcí předpisy k zákonu předpokládají, že vzniknou tři nové pozice – manažera, architekta a auditora kybernetické bezpečnosti. U všech přitom stanovuje minimální kvalifikační předpoklady, mimo jiné řádné vyškolení a odbornou způsobilost prokazovanou praxí nejméně tři roky s řízením bezpečnosti informací, navrhováním bezpečnostní architektury, resp. (v případě auditora) s prováděním auditů systému řízení bezpečnosti informací.

Situace je o to složitější, že pro komplexní ochranu kybernetického prostoru nestačí lidé, kteří mají jen perfektní znalosti IT. Musejí se umět orientovat také v související legislativě, znát bezpečnostní procesy a přesně vědět, jak postupovat ve všech fázích kybernetického útoku. Právě takových odborníků je přitom kritický nedostatek nejen v Česku, ale i v celé Evropě. Podle údajů Eurostatu představovala oblast kybernetické bezpečnosti v roce 2011 celkem 6,7 milionu pozic. I přes rostoucí nezaměstnanost se očekává, že již příští rok bude v Evropě chybět téměř milion ICT odborníků. Česko ale patří v této oblasti ke špičce, obory spojené s IT dokončilo v roce 2009 asi 4,2 procenta studentů. Ke zvýšení tohoto počtu by mohla přispět i vloni zahájená pětiletá spolupráce společnosti Cisco s ČVUT. Navázala tak na dlouhodobou spolupráci této univerzity s českou firmou Cognitive Security, která se v únoru 2013 stala součástí Cisco a na jejíchž základech v Praze vzniklo nové výzkumné a vývojové centrum pro kybernetickou bezpečnost.

Ivo Němeček Autor je generálním ředitelem společnosti Cisco ČR.