Kybernetický útok na sítě Ředitelství silnic a dálnic (ŘSD) byla podle IT expertů sofistikovaná a připravovaná akce, která měla za cíl zlikvidovat některá vybraná data či systémy. Obnova napadených systémů může být komplikovaná i velmi zdlouhavá. Uvedli to IT odborníci, které oslovila ČTK. Podle nich by veřejné instituce měly co nejrychleji posílit svou kybernetickou bezpečnost.
Kybernetickému útoku čelilo ŘSD 17. května. Od té doby jsou nefunkční stránky dopravniinfo.cz, které informují o aktuální situaci v provozu. Organizace se také potýká s problémy při fungování vnitřních systémů, například v účetnictví nebo zakázkách. Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) v minulých dnech oznámil, že počítačové systém ŘSD napadl ransomware, čímž označuje vyděračský program, který zašifruje data a za jejich odblokování požaduje výkupné.
„Při útoku pomocí ransomwaru na organizaci obecně hrozí to, že ji může zasáhnout i více do hloubky. To znamená kromě dat a souborů může znepřístupnit i jejich zálohy nebo napadnout externí spolupracovníky, jako je například účetnictví nebo docházkový systém. To vše záleží na stavu infrastruktury dané organizace,“ řekl vedoucí pražského výzkumného oddělení společnosti ESET Robert Šuman. Podle Adama Koudely ze společnosti XEVOS si hackeři zřejmě nejprve otestovali slabiny kybernetické ochrany organizace a útok provedli následně.
Obnova systémů může být velmi komplikovaná a zdlouhavá. Podle Koudely se může ŘSD snažit dešifrovat data svépomocí nebo data obnovuje ze záloh. „To může podle mé zkušenosti trvat až měsíc od incidentu. Napadený subjekt musí navázat na poslední data, dostupná v záložním úložišti, přičemž obnova začíná nejprve u nejdůležitějších, kritických systémů,“ podotkl Koudela.
Jako ochrana proti ransomwaru je podle odborníků klíčová zejména prevence. „Jde především o důkladnou bezpečnostní strategii a důslednou průběžnou kontrolu zahrnující podrobné a dlouhodobé monitorování datových toků v síti a dobře nastavené bezpečnostní nástroje,“ popsal Šuman. Zdůraznil nutnost průběžného školení zaměstnanců, úroveň zabezpečení a odborného personálu a také nastavení procesů pro případ útoku, aby se organizace mohla co nejrychleji vrátit ke své činnosti. „Útok ransomwarem může být připravovaný dlouho dopředu a cestu mu usnadňují zranitelnosti systémů, které se nepodaří včas odstranit a opravit,“ dodal Šuman.
NÚKIB v minulém týdnu uvedl, že útočníka zná, z taktických důvodů ho zatím nezveřejní. Záměry útočníků tak nyní známé nejsou. Koudela k tomu zmínil, že jedna z možných vyšetřovacích verzí podle serveru Neovlivni.cz podezřívá samotné ŘSD z toho, že útok byl zinscenovaný, aby se zamezilo kontrole Nejvyššího kontrolního úřadu. „V minulosti jsem byl svědkem podobného útoku, který směřoval k výměně vedení nejmenované příspěvkové organizace,“ dodal Koudela.
ŘSD už dříve označilo hackerský útok za sofistikovaný a hluboký. Podle organizace však neměl ohrozit přípravu dopravních staveb či řízení provozu. Bezpečně izolované a nenarušené zůstaly také například výběr mýta a řízení a dohled v tunelových systémech. Silničáři postupně alespoň částečně oživili například asistenční linku pro řidiče, webové stránky ŘSD s kamerami na dálnicích, systémy pro komunikaci nebo elektronické nástroje pro administraci zakázek.
Mluvčí ŘSD Jan Rýdl v úterý ČTK řekl, že v drtivé většině jsou stále nefunkční hlavně interní systémy společnosti, prioritou je ale obnovení dopravních informací na dopravniinfo.cz. Zároveň organizace v těchto dnech pracuje také na oživení nejdůležitějších ekonomických programů. Odhad, kdy se podaří jednotlivé systémy znovu nahodit, Rýdl neuvedl. Škody, které útok celkově organizaci způsobil, budou silničáři průběžně vyčíslovat.
