Ministerstvo vnitra odhalilo kybernetický útok na jeden ze systémů úřadu. Jak oznámil šéf resortu Vít Rakušan z hnutí STAN, při incidentu neunikly osobní údaje občanů ani tajné informace státu. Netýká se ani systémů policie, hasičů, ani klíčových registrů státu. „Na začátku je nějaká motivace. Zločinec ví, proč to dělá," řekl pro Radiožurnál expert na kyberbezpečnost, etický hacker, Martin Haller ze společnosti Patron-IT. Rozhovor Praha 17:54 11. července 2025

Jestliže podle ministra Rakušana nebylo cílem získat výkupné, co za tím může být?

Bez nějakých dalších informací by to byla spekulace. Je důležité vědět, který ze systému byl napadený, kdo byli pachatelé, jak se do systému dostali a jaký byl rozsah kompromitace.

Spousta lidí si představí to, že se ten útok musel odehrát dneska (ve čtvrtek pozn. red.), ale věc je taková, že pokud by to byli státní aktéři, tak ti zpravidla v těch systémech bývají po dlouhou dobu nedetekovaní. To znamená, že ten útok mohl proběhnout už několik týdnů, měsíců zpátky, ale až ve čtvrtek došlo k detekci toho incidentu.

Pokud pan ministr říkal, že se to netýká systému policie, ani hasičů, ani klíčových registrů. Také řekl, že to nesouvisí, respektive že to nijak nenarušuje volby. Dá se odhadovat, kam ten útok mohl mířit?

To bohužel nedá. To nedokáže nikdo z nás bez těch informací říct. Každá organizace nebo firma má spoustu systému. Můžete mít systém třeba na objednávání jídel, kamerový systém, informační, systém pro správu emailu, dokumentů a další. My vůbec netušíme, který z těch systémů to byl a dokud nám to neřeknou, nemůžeme soudit.

Může to souviset s blížícími se sněmovními volbami?

To také nedokážeme říct.

Stopování útočníků

Jak těžké je a bude vystopovat původce útoku?

Zpravidla je to složité. Jsou tam dvě překážky, kvůli kterým je to těžké. Jedna věc je to, že v těch napadených firmách nebo organizacích je často nedostatek technologií, které by zachytily dostatek stop během toho útoku.

Je to stejné, jako kdyby vám někdo vykradl třeba kancelář a vy jste tam neměl kamerový systém. Bude také těžké zjistit, jak ti pachatelé vypadali, kolik jich bylo - muž, žena, výška, váha.

Další věcí je, že ti útočníci se snaží maskovat. Nedělají to ze svého domácího počítače, ze své domácí přípojky, ale schovávají se za další prvky, které už častokrát prolomili. Bývají to nějaké přípojky domácností, anonymizační služby, nebo nějaké VPN služby. Proto to bývá zpravidla těžké.

Jak se takové útoky provádějí?

Na začátku je nějaká motivace. To znamená, že ten zločinec ví, proč to dělá. Buď pro získání financí, nebo to dělá za účelem špionáže, pro radost, nebo pro svoji víru či přesvědčení.

Když ví, co a proč chce udělat, tak se snaží získat nějaký prvotní přístup do organizace nebo do firmy. Bývají to phishingové útoky, nalezení nějaký zranitelnosti té firmě nebo sociální inženýrství, kdy někoho přesvědčí, aby udělal nějakou akci, kterou neměl udělat.

Potom se ty další cesty rozchází podle toho, co je motivací toho útočníka, může to být právě to nasazení toho ransomwaru za účelem získání prostředků za navrácení dat. Anebo špionáž či třeba poškození těch systémů, aby nefungovaly po nějakou dobu.

Jak odhalit útok předem?

Jak těžké je odhalit takový útok ještě předtím, než způsobí škody?

Záleží na možnosti té oběti. Představte si, že by se někdo v hospodě vychloubal, že půjde vyloupit nějakou kancelář. Pokud jste dobře zabezpečen a máte kontakty, tak se už třeba o tom dozvíte, protože máte v té hospodě odposlech nebo nějakou spojku. A ta vám řekne, že se na vás někdo chystá. V takovém případě můžete zabránit tomu problému ještě dřív, než se stane.

V opačném případě se to ty oběti dozví až s nějakým odstupem času. Tady se zase můžu vrátit k tomu, jak jsem říkal, že útoky cizích států bývají často dlouhou dobu nedetekovaný.

Když vás totiž přijde někdo vyloupit a ukradne vám televizi a počítače, tak si toho všimnete hnedka další den. Pokud ale přijdete k sobě domů, nebo do kanceláře ve chvíli, kdy vám ukradl jenom nějaký šanon, kterých tam máte stovku, tak si toho všimnete třeba za rok nebo za půl roku.

No a ve chvíli, kdy k vám někdo přijde a nic vám neukradne a nechá vám tam jen odposlouchávací zařízení, tak si toho nemusíte všimnout nikdy. Proto je těžké tomu zabránit a odhalit to včas. Záleží na tom, jaká je motivace těch útočníků a proč to dělají.

Z pohledu etického hackera, jak kvalitně jsou zabezpečeny české instituce. Je bezpečnostním opatřením věnována dostatečná pozornost?

Řekl bych, že poslední roky je jim věnovaná obrovská pozornost. Měli jsme spoustu incidentů, které byli medializované. Zároveň se teď řeší nový zákon o kybernetické bezpečnosti. Takže v IT komunitě se tomu věnuje každý.

Nevyřešíme to přes noc

Problém je ale v tom, že firem i organizací máme spoustu a nasbírali jsme obrovský technologický dluh. Potrvá roky, než to vyřešíme. Změnit zabezpečení v těch firmách a organizacích je velice pracná záležitost a my nemáme neomezenou pracovní kapacitu. Je to stejné jako s tím, že nám chybějí nemovitosti. Také to není věc, kterou vyřešíme přes noc, že by se začaly rychleji stavět.

Bezpečnostní informační služba ve čtvrtek zveřejněné výroční zprávě zmiňuje Čínu v souvislosti s případem stavby pozemní družicové stanice ve Vlkoši na Hodonínsku. Podle BIS existovalo reálné nebezpečí, že čínská společnost, která se měla podílet na stavbě, by mohla to zařízení využít k vojenským a zpravodajským účelům. Ukazuje to, že je v případě čínských společností na místě obezřetnost?

Asi ano. Co se týče čínských firem, tak i jiné země vydávají různá varování pro další firmy nebo o dalších značkách, kterým bychom se měli vyhnout. Řekl bych, že v oblasti americké bezpečnosti je obezřetnost na místě vždy. Je jedno, jestli se bavíme o výrobcích Číny nebo nějakého jiného státu.