V době, kdy se země snaží vypořádat s virem SARS-CoV-2, zkolabovala Fakultní nemocnice Brno po ransomwarovém útoku. Toho ihned využila vláda Andreje Babiše, která navrhuje novelu zákona o Vojenském zpravodajství. V rámci této novely se zavádí bezprecedentní zásah do soukromí na internetu a bezpečné komunikace mezi uživateli. Předmětem tohoto příspěvku je popsat v lidském jazyce, co je ransomware, proč navrhovaná opatření nebudou fungovat a jaká nebezpečí hrozí veřejnosti, pokud budou navrhovaná opatření zavedena do praxe.
Abychom mohli porozumět návrhu ministerstva obrany, musíme nejprve porozumět hrozbě, které chce podle svých slov ministerstvo zabránit. Fakultní nemocnice Brno (a před ní nemocnice v Benešově) byla napadena počítačovým virem, kterému se mezi odbornou veřejností říká tzv. ransomware. Ransom je anglický výraz pro výkupné. Princip takového počítačového viru spočívá v tom, že na napadeném počítači zašifruje uživatelská data a vyzve uživatele k zaplacení výkupného, pokud chce uživatel svá data získat zpět. Tento virus se do počítače dostane mnoha způsoby, například formou přílohy emailu, nebo skrze nedostatečné zabezpečení v síti, nebo skrze zavirovanou flešku někoho z personálu nemocnice.
Proč útočník zvolil jako cíl nemocnici v době koronaviru?
Nelze postavit na rovno, že útočník cíleně paralyzoval nemocnici. Útočníci často využívají tzv. crawlery, česky plaziče, nebo slídily. To jsou programy, které procházejí síť internet, klikají na odkazy, analyzují obsah a vytvářejí ohromné databáze všeho, co naleznou. Útočník potom z této databáze přečte seznam serverů, ke kterým se tyto crawlery připojily a proti těmto serverům zkouší útočník (většinou automatizovaně) provést útok. Útočník typicky neví, jestli konkrétní server patří nemocnici – je to jen další položka na seznamu. Nelze proto rovnostářsky prohlásit, že útočníci si vybrali za cíl nemocnici. Útočníci typicky útočí na všechno a všechny, zcela nedeterministicky.
Proč byla napadena právě nemocnice, a ne třeba můj soused?
Ransomwarové útoky jsou běžné a postihují desítky milionů uživatelů na celém světě. Pokud útoku padla za oběť právě nemocnice, je pravděpodobné, že nemocniční síť byla nedostatečně zabezpečená a útočník zneužil známou díru v zabezpečení nějakého článku nemocniční infrastruktury. Nemocnice, stejně jako například továrny, bývají ransomwarem zasaženy nejvíce, protože často provozují ve svých sítích speciální zařízení různého stáří, ve kterých jsou nahrány operační systémy různého stáří. Zatímco domácí uživatel si každé 3 roky koupí nový laptop s nejnovějším operačním systémem a nejnovějším zabezpečením, v průmyslovém prostředí (například ve zdravotnictví) to takhle vůbec nefunguje. Pokud nemocnice provozuje rentgenovou stanici z roku 2010, je běžné, že počítač, který rentgen obsluhuje, je rovněž součástí dodávky z roku 2010. A na něm běží operační systém, se kterým výrobce rentgen certifikoval a uvedl do prodeje třeba už v roce 2000. V nemocniční síti se tak vyskytuje počítač, na kterém běží 20 let starý operační systém se stovkami známých chyb a je práce síťového administrátora, aby takový počítač dostatečně ochránil. To někdy jde, a někdy ne.
Jak takového útočníka zjistit a odsoudit?
Těžko. Identifikace osoby, nebo osob, které jsou za útok odpovědné, je téměř nemožná pro IT experty po celém světě. Je potřeba si uvědomit, že útok na síť nemocnice není nějaký zdlouhavý proces, kdy po celou dobu šifrování dat sedí za klávesnicí člověk, který, jako ve filmech, zběsile píše na klávesnici. V době, kdy probíhá šifrování dat, už útok dávno skončil. Bombastická prohlášení cizích vlád, i naší, že „stopy vedou do Ruska,“ nebo že „experti vysledovali stopu do Brazílie“, jsou totální nesmysly. Každý uživatel internetu, kdekoliv na světě, si za cenu 3 amerických dolarů může koupit službu takzvané VPN sítě. To znamená, že uživatel se ze své domácí IP adresy připojí do sítě poskytovatele VPN a od toho okamžiku veškerá komunikace tohoto uživatele běží přes tuto VPN síť. Jako Čech se může uživatel připojit do VPN sítě v Německu a od toho okamžiku se bude pro všechny ostatní tvářit, jako by to byl Němec. Využívání ruských VPN sítí je populární, protože poskytovatelé těchto sítí buď nemají zákonnou povinnost sbírat data o skutečných IP adresách svých uživatelů anebo, pokud je sbírají, je ruská vláda nepředává západním vládám. Pokud tedy infekce nemocničního počítače proběhla z IP adresy v Rusku (a ne třeba z flešky zdravotní sestry, která se chtěla v práci dívat na film), vůbec to neznamená, že útočník je rovněž v Rusku. Sledovat peníze je rovněž velmi obtížné, protože útočníci používají pro platbu výkupného tzv. kryptoměny. Sledování pohybu kryptoměn je ve většině případů velmi transparentní, problém je, že není jasné, kdo pohyb provádí a komu účet patří.
Řekli jsme si tedy, že napadení ransomwarem nelze s jistotou předejít, a také, že nejde útočníky jednoduše dopadnout.
Jak se řeší napadení ransomwarem?
Soukromí vlastníci továren a firem nemohou nařizovat poskytovatelům internetu a provozovatelům datových center, že budou do svých sítí instalovat neznámé kusy elektroniky, které dělají bůhví co. Dobrý systémový administrátor se připravuje na napadení sítě s úplně stejnou důležitostí, jako se snaží napadení předcházet. Kromě zabezpečení podnikové sítě je tedy důležité mít proces obnovy sítě a umět tento proces dokončit v případě, že k napadení skutečně dojde. Komerční firma je po napadení ransomwarem schopna pokračovat v provozu obvykle během 24 až 48 hodin od první detekce napadení. Systémový administrátor obvykle celou síť vypne a znovu začne zprovozňovat jednotlivé servery a stanice jednu po druhé. Některé stanice obnoví ze záloh (které musí mít), jiné napadeny třeba vůbec nebyly. Je nezbytné, aby měl systémový administrátor pro tuto situaci připraven krizový plán, ve kterém jasně popisuje, jak celou síť vypnout, jaké části sítě izolovat a jakým způsobem, a jak provádět proces obnovy záloh. Tento plán se v případě napadení sítě aktivuje a personál IT oddělení vykonává jednotlivé body krok za krokem.
Lze napadení zabránit zcela?
Nelze. Žádný počítačový specialista nedokáže síť zabezpečit tak, že ochrání počítače před napadením skrze díry, které ještě ani nebyly objeveny. Počítačoví odborníci tak celé sítě navrhují právě tak, aby se s napadením dokázali vypořádat, až k němu dojde. Že k němu dojde, je jisté a automaticky se s takovou eventualitou počítá.
Fungovalo by opatření ministerstva obrany v tomto případě?
Ne. Zázračný síťový prvek, který analyzuje veškerý provoz v internetu nemůže poskytnout nemocničnímu zařízení žádnou ochranu před napadením ransomwarem. Uvedená opatření, která jsou zmiňována v návrhu zákona, jsou pouze analytického charakteru. Jinými slovy, zařízení může útok zjistit, ale nemůže mu zabránit. Vojenská rozvědka, i kdyby zjistila, že na nemocniční zařízení probíhá nějaká forma útoku, by v tom okamžiku nemohla se situací vůbec nic udělat a útok v okamžiku zastavit. Právě naopak, návrh zmiňuje poměrně zdlouhavý rozhodovací proces, ve kterém by muselo Vojenské zpravodajství nejprve rozhodnout, jak s informací nejlépe naložit, komu ji předat a jaké státní složky aktivovat.
Jak má stát ochránit nemocnice a jiné klíčové státní služby?
Poskytnout těmto zařízením dostatek prostředků, aby si mohla najmout skutečné odborníky, kteří jejich sítě skutečně zabezpečí a připraví postupy pro případ napadení. Protože takhle se s hrozbou napadení vypořádal soukromý sektor zcela úspěšně.
Jaké nebezpečí představuje návrh ministerstva obrany?
Nyní je zřejmé, že opatření ministerstva obrany těmto útokům neumí zabránit, ani předcházet. Co tedy tento návrh znamená? V důvodové zprávě návrhu se můžeme dočíst:
„Cílem detekce a identifikace definovaných jevů v kybernetickém prostoru v žádném případě není narušovat soukromí nebo tajemství zpráv a – to je třeba zdůraznit – rozhodně neopravňují Vojenské zpravodajství sledovat obsah komunikace konkrétních osob (pro tento typ jednání nadále a výhradně platí pravidla pro použití zpravodajské techniky), ale pouze signalizovat určité přesně definované negativní jevy související s kybernetickým prostorem (k nástrojům detekce blíže viz zvláštní část důvodové zprávy).“
Důvodová zpráva opakovaně zmiňuje detekci přesně definovaných negativních jevů, ale neuvádí, jaké to jsou. Ve zvláštní části důvodové zprávy, potažmo v § 16 navrhovaného znění zákona se dozvíme následující:
„Nástroje pro odhalování kybernetických útoků budou předem nadefinovány, aby upozornily na fakt, že hrozí nebo již probíhá kybernetický útok či hrozba.“
„Zaznamená-li systém v síti nějakou formu anomálie, anebo ohrožení, zaktivuje se a vyšle signál, který bude impulzem pro další kroky.“
„Návrh ustanovení § 16c umožní disponovat velmi omezeným rozsahem dat – pouze o záchytu předem definovaných ukazatelů (nejčastěji se bude jednat o tzv. indikátory kompromitace, případně jevy nasvědčující, že se chystá masivní kybernetický útok)“
Anomálie. Identifikátory. Nástroje. V terminologii síťových administrátorů nemají tyto pojmy vůbec žádný smysl. Návrh nijak nespecifikuje, jaká konkrétní data jsou analyzována a uchovávána, jaké konkrétní hrozby spadají do působnosti obrany České republiky. V textu se lze sice dočíst, že toto opatření nemá umožnit vojenskému zpravodajství sledovat obsah komunikace konkrétních osob, ale nezmiňuje, co přesně se myslí obsahem komunikace. Obsah komunikace mezi dvěma lidmi neobsahuje pouze text „Ahoj, jak se máš“, ale celý datový balík informací, které k takové zprávě eviduje poskytovatel služby, a konečně také informace, které k takové zprávě eviduje poskytovatel, nebo poskytovatelé internetové sítě. Obsah komunikace konkrétních osob je totiž celá datová zpráva, která putuje z jednoho konce do druhého, a tak i prostá analýza těchto dat znamená kompromitaci soukromí komunikace osob, které spolu komunikují. Celá věta uvedená v odstavci 2 na straně 21 návrhu je tedy oxymoron. Funkce zařízení, „umožňujícího provádět cílenou detekci jevů nasvědčujících existenci kybernetického útoku nebo hrozby a jejich identifikaci“ je popsáno zcela nedostatečně, gumově, a umožňuje vojenskému zpravodajství instalovat jakékoliv zařízení kamkoliv, ke komukoliv, kdo provozuje „veřejnou komunikační síť nebo poskytující veřejně dostupnou službu elektronických komunikací.“ Nejedná se tedy pouze o datová centra, ale o poskytovatele internetového připojení, provozovatele eshopu, nebo třeba automobilky, která má schopnost vzdáleně sledovat provozní údaje vozidel. Je to gumový zákon, který umožňuje sledovat cokoliv, kohokoliv, kdykoliv a za jakýmkoliv účelem. Zákon totiž umožňuje prohlásit, že aktivita konkrétní osoby je podezřelá, nebo vykazuje identifikátory anomálie a na základě tak nekonkrétního prohlášení umožňuje Vojenskému zpravodajství sledovat komunikaci takové osoby v internetu. Nenechme se uchlácholit tvrzením, že zařízení má sledovat velmi omezené rozsahy dat, nebo indikátory kompromitace. Protože tyto pojmy nejsou nikde v návrhu zákona, ani v důvodové zprávě vysvětleny, může jít o analýzu jakýchkoliv dat jakéhokoliv druhu internetové komunikace, mezi kterýmikoliv uživateli.
Přínos tohoto opatření pro bezpečnost České republiky je přinejmenším diskutabilní a schopnost zabránit útokům takového druhu, jako proběhl právě v brněnské nemocnici, je nulová. Senát by měl tento legislativní zmetek odmítnout a vyzvat předkladatele k předložení takového návrhu zákona, ze kterého je patrné jaká data budou analyzována a za jakých podmínek.