To, že předsedu vládní sociální demokracie Jana Hamáčka pronásleduje tragikomické množství smůly a nešťastných okolností, není žádná novinka. Nejnověji se tato osobitá vlastnost vicepremiéra projevila koncem července, kdy se vyjádřil v tom smyslu, že se nevyplatí posílit zabezpečení resortních IT systémů ministerstev, přestože trendy v oblasti kyberútoků a IT bezpečnosti setrvale naznačují, že maximální zabezpečení je přesně tím, co se vyplatí nejvíc.

Nedlouho po vcelku nevinném vyjádření stojícím na pocitu, že nemá smysl zabezpečit například evidenci docházky zaměstnanců, přišla ale rána. Ministerstvo zahraničí oznámilo, že se (opět) stalo cílem systematického hackerského útoku. Ten podle zjištění Respektu cílil na české zastoupení při NATO v Bruselu a je vcelku pravděpodobné, že se odehrál v režii ruské rozvědky GRU.

Státní složky se jako obvykle nechtějí příliš rozepisovat o tom, nad jakými daty ztratily kontrolu. Podle dostupných informací se útočníci dostali přinejmenším do počítače jedné z pracovnic českého zastoupení u NATO. Metoda podobných akcí je taková, že i kdyby se podařilo ostatní datové nosiče uhájit, jediný úspěšný průlom může posloužit jako slušný odrazový můstek pro kybernetické útoky v budoucnosti.

↗

Lze očekávat, že přijde další útok na ministerstva. Bez změny jejich bídného povědomí o IT bezpečnosti se však se jen stěží něco posune k lepšímu.

Dnes hackujeme Čechy, před obědem máme hotovo

Ministerstvo zahraničí a jeho IT systémy slouží již tradičně zahraničním rozvědkám jako nešťastný otloukánek. V roce 2014 je napadli Číňané, o dva a tři roky později Rusové. Při jednom z posledních útoků získal původce — pravděpodobně opět z řad ruských rozvědčíků — přístup do zhruba 150 e-mailových schránek zaměstnanců ministerstva, ze kterých dlouhé měsíce stahoval elektronickou poštu včetně jejích příloh.

Tehdejší ministr zahraničí Lubomír Zaorálek (ČSSD) tehdy vcelku nevzrušeně prohlásil, že žádné skutečně tajné informace neunikly, protože hackeři získali kontrolu „pouze“ nad vnější e-mailovou pavučinou ministerstva, zatímco interní a skutečně důvěrná síť zůstala netknutá. Jedním dechem ale dodal, že „skutečně nevíme, jestli se obdobné ataky momentálně nedějí jinde a jak jsou vůči nim naše systémy zabezpečeny.“

Popsal tím mimoděk zásadní aspekt celé věci. Hackeři — a zvláště ti pracující pro elitní tajné služby — po sobě nezanechají vizitku a tiskovou zprávu sdělující, co měli za lubem. Podobné výpady mohou sloužit celé řadě záměrů, z nichž snaha o získání konkrétních dat je často tím posledním.

Rozvědčíky totiž pravděpodobně opravdu nezajímá, co si posílají řadoví zaměstnanci ministerstva, byť i taková informace je potenciálně zajímavá: například kvůli možnosti získat kompromitující informace a odhalit slabiny v bezpečnostní kultuře instituce, jež je vždy jen tak silná, jak je silný její nejslabší článek.

Mnohem lákavější možností je vyzkoušet své i protivníkovy dovednosti pro případ, že by bylo nutné provádět skutečně významné rozvědné či diverzní akce. Každý úspěšný průlom navíc útočníkovi poskytuje cenné informace o struktuře, na niž útočí.

Získat e-mailovou adresu na jinak utajeného pracovníka z vnitřní komunikační sítě, poučit se o tom, jaká oddělení nemají ani ponětí o existenci IT bezpečnosti, či jen vyzkoumat, jaký konkrétní software, hardware a bezpečnostní opatření protivník používá, to vše jsou potenciálně nesmírně cenné úspěchy. Ty mohou s odstupem času posloužit k zasazení zdrcujícího úderu, při kterém bude oběť — v tomto případě ministerstvo — pouze zmateně tápat, co se to k čertu děje.

Máme důvod předpokládat, že přesně to se resortu zahraničí může výhledově stát. Jeho IT zabezpečení je evidentně dlouhodobě v mizerné kondici. A hlavní problém pro český stát a jeho bezpečnostní složky spočívá v tom, že to všichni vědí.

Když si GRU vyjede na rhyby

Ruští hackeři se v poslední době činí. K vcelku rutinnímu útoku na struktury české diplomacie se jim zřejmě podařilo přidat i poměrně unikátní výpad vůči asi čtyřiceti protivníkům — z toho osmi Čechům — působícím mimo státní složky. Pomocí vysoce propracovaného (spear)phishingu, tedy zasílání e-mailů snažících se vylákat přístupové údaje k účtům, napadli novináře z deníku The Guardian, investigativce BBC, ruské nezávislé reportéry, analytiky elitní investigativní skupiny Bellingcat i představitele protiputinovského think-tanku Evropské hodnoty.

Phishing není sám o sobě novinkou. Nová je v tomto případě značná sofistikovanost útoku na nestátní cíle, jeho systematická příprava, stejně jako to, že se terčem staly e-mailové schránky u švýcarského poskytovatele ProtonMail.

Ten se dlouhodobě těší oprávněné důvěře díky důrazu na soukromí uživatelů, end-to-end šifrování a snaze o propojení bezpečnosti s intuitivním a snadným užíváním. Generální ředitel ProtonMailu Andy Yen phishingový útok označil za nejdůmyslnější, se kterým se kdy setkal. A není divu.

Podle důkladné analýzy vypracované Bellingcatem si útočníci v přípravné fázi zaregistrovali několik internetových domén, jež se následně měly tvářit jako regulérní stránka ProtonMailu. Potom začali rozesílat e-maily na veřejně neznámé adresy cílů, které pravděpodobně získali z již dříve nabourané schránky člověka, který si s dotyčnými psal.

Zprávám se podařilo obejít propracované filtry ProtonMailu. Obsahovaly několik druhů varování, podle kterého se někdo pokusil zcizit přístup k účtu, a vyzývaly uživatele, aby si co nejdříve změnili heslo. Odkaz na změnu přístupových údajů ovšem vedl na kvalitně vypracovanou falešnou stránku. Byl o to nenápadnější, že jej v některých verzích phishingových e-mailů doplňovaly odkazy na stránky spadající pod skutečný ProtonMail.

Když se napadený na návnadu chytil a do hackery připravené stránky zadal své údaje, automatizovaný skript zřejmě provedl něco nečekaného: synchronizaci se skutečnou doménou a takzvaným dvoufázovým zabezpečením účtu, jež standardně — například v internetovém bankovnictví — ověřuje, že legitimní uživatel pracuje na legitimní doméně.

Následné převzetí účtu bylo otázkou minut. Kolik schránek se podařilo útočníkům nabourat a jaká data z nich postahovali, není zřejmé. I když podle výkonného ředitele Evropských hodnot Jakuba Jandy nedošla ohrožení žádná citlivá data, pravděpodobné je, že se o konkrétních dopadech útoku lze jen dohadovat. Přesnou metodiku hackerů totiž znají jen oni sami.

Ostatně i jejich příslušnost k ruské GRU lze vyvodit pouze z nepřímých důkazů. K těm podle Bellingcatu patří mimo jiné lingvistická analýza zdrojového kódu či korelace registrátorů falešných domén útoku a dřívějších spolupracovníků hackerské divize ruské rozvědky.

Novináři se adaptují, ministerstva zřejmě nikoli

Hysterie není na místě. Kybernetické útoky se děly a dít budou a již dávno patří do výbavy každé pořádné ofenzivní rozvědky. Stále platí, že není na místě militarizace veřejné debaty a neustálé řinčení pojmem „hybridní válka“. Neprobíhá válka. To, co se děje, je stále mnohem bližší zkusmému okopávání protivníka, se kterým se výhledově — teoreticky — můžeme pustit do boje.

Jestliže za zmíněnými útoky opravdu stojí GRU, nutno říci, že toto okopávání provádí s gustem a bez servítek. A bude v tom pokračovat tím veseleji, čím chaotičtější a prázdnější bude reakce. Zatímco novináři a analytici vystupující proti Putinovi se ze sofistikovaného phishingu jistě rychle poučí a přijmou patřičná opatření, u českých ministerstev to předpokládat nelze.

Vláda v oblasti bezpečnosti dlouhodobě preferuje obranu před fiktivními hrozbami, jako jsou cizinci či jejich občanství, případně obecné a netransparentní rozšiřování pravomocí tajných služeb. Na rovině IT se stát naopak zaměřuje na šmírování vlastních občanů, například skrze plošné zařizování policejních jednotek hackovacími nástroji typu Cellebrite, jejich využití ale v praxi do jisté míry pokulhává, případně jej (naštěstí) lze přebít silnějším kalibrem i ze strany člověka, který se v počítačové bezpečnosti počítá mezi laiky.

Obranou IT infrastruktury se stát samozřejmě zabývá i systematicky především pomocí Národního úřadu pro kybernetickou a informační bezpečnost. Často ale zůstává u apokalyptických teorií o tom, co by se stalo, kdyby se někdo rozhodl vyřadit kritické systémy například ve zdravotnictví či dopravě. Potíž je v tom, že i zde se namísto jasného opatření počítá s vojenským tajnůstkářstvím a možností plošně sledovat kyberprostor bez dostatečně důvěryhodné ochrany před zneužitím.

Zkrátka lze očekávat, že přijde další útok na ministerstva, stejně jako to, že v jeho rámci uniknou nějaká data. Na obecné rovině přetrvává problém bídného povědomí o IT bezpečnosti, bez které se jen stěží něco změní k lepšímu. Agresivní hackerské oddíly zahraničních mocností disponují plnou strategickou iniciativou a nic zatím nenaznačuje tomu, že by se jí hodlaly vzdát.