Slovenský Úrad geodézie, kartografie a katastra (ÚGKK) sa stal terčom rozsiahleho kybernetického útoku, ktorý spôsobil prerušenie činnosti katastrálnych úradov a znemožnil prístup ku kľúčovým službám.

V posledných dňoch sa otvorilo niekoľko katastrálnych odborov, tie však fungujú len vo veľmi obmedzenom režime. Postupná obnova činnosti katastra sa očakáva v najbližších dňoch, no niektorí odborníci varujú, že úplné zotavenie systémov môže trvať dlhšie.

Ďalšie zlyhanie katastra

Prečo zotavenie tak dlho trvá a o čom táto skutočnosť hovorí zatiaľ nikto nevie. Nechce o tom dokonca špekulovať ani etický hacker a CEO spoločnosti Citadelo Tomáš Zaťko.

„Toto by mal povedať ÚGKK. To, že nekomunikuje, tutlá a zahmlieva, je po zlyhaní na poli kybernetickej bezpečnosti ďalším zlyhaním – tentokrát v krízovej komunikácii. Ľudia sa boja o svoje vlastnícke práva. Boja sa že teraz prídu o svoje nehnuteľnosti. Kataster hovorí, že sa toho báť nemusia – a v tom má takmer určite pravdu. Lenže ľuďom je to ťažké uveriť, keď im to hovorí človek, či úrad, ktorý už preukázal jedno zlyhanie a práve preukazuje druhé – komunikačné,“ hovorí pre Fontech T. Zaťko.

V prípade vyvodzovania zodpovednosti v takýchto prípadoch zákon hovorí jasne. Za kybernetickú bezpečnosť je zodpovedný štatutár. Súčasťou výkonu štatutárov, čiže riaditeľov alebo predsedov, by mala byť základná znalosť princípov a zároveň aj vedomosti, čo delegovať a ako.

TASR

„Podľa Zákona o kybernetickej bezpečnosti má mať každý povinný subjekt manažéra kybernetickej bezpečnosti. Ten navrhuje presadzovanie bezpečnostných opatrení štatutárovi. Zodpovednosť je však neprenosná,“ hovorí T. Zaťko.

Nad tým všetkým vykonáva dohľad Národný bezpečnostný úrad SR (NBÚ), ktorý má aj sankčné a kontrolné právomoci. Ak inštitúcia poruší zákon, NBÚ môže nariadiť nápravu alebo udeliť pokuty. Na vnútornej úrovni môže dôjsť k disciplinárnym konaniam alebo odvolaniam z funkcie. Trestnoprávna zodpovednosť je však už téma pre právnikov a orgány činné v trestnom konaní.

Aj napriek tomu, že kataster o detailoch útoku neinformuje, je známe, že v systémoch katastra boli bezpečnostné diery. „Je takmer isté, že rozumný audítor kybernetickej bezpečnosti takéto problémy musel odhaliť a zapísať do auditnej správy. To zároveň hovorím s tým, že som auditnú správu z katastra nevidel,“ tvrdí T. Zaťko.

Veľký problém menom NCZI

Cieľmi kybernetických útokov sú všetky firmy, inštitúcie a organizácie, pričom každá má svoje silné a slabé miesta. „Každá informácia o zraniteľnosti, alebo nedostatočnej odolnosti inštitúcie je zároveň pozvánka pre kyberútočníkov,“ hovorí T. Zaťko.

Správa o kybernetickej bezpečnosti v Slovenskej republike z minulého roka hovorí o takzvanom stave súladu, či kde majú inštitúcie „väčší alebo menší“ poriadok v povinných opatreniach kybernetickej bezpečnosti. T. Zaťko tvrdí, že vynikajúce hodnotenie mal sektor energetiky a bankovníctva. Nikoho azda neprekvapí, že verejný sektor skončil s mierou súladu 47 % na predposlednom mieste a za ním je už iba zdravotníctvo.

TASR - Jakub Kotian

Ďalší hackerský útok by mohol mať ďaleko väčšie následky. Všetko však závisí od zvoleného cieľa hackerov. Veľkým problémom by mohli byť ministerstvá, Úrad na ochranu osobných údajov či napríklad Národné centrum zdravotníckych informácií SR (NCZI).

„NCZI by bol veľkým problémom nielen pri verzii ransomvéru, ktorá dáta zašifruje a tým znefunkční bežnú prevádzku. Ešte horší by bol variant, ktorý údaje skopíruje a bude hroziť ich zverejnením. Útočníci potom môžu vydierať postihnutú organizáciu, aj ľudí, ktorých údaje majú,“ vysvetľuje T. Zaťko. Ransomvérové gangy túto verziu nátlaku zvyknú využívať, pričom zvlášť citlivé je to práve pri medicínskych informáciách.

Na otázku, ktoré inštitúcie na Slovensku sú dnes najviac ohrozené najpresnejšie odpovedajú auditné správy z konkrétnych organizácií, no tie nie sú verejné. Podľa T. Zaťka však vždy závisí od motivácie útočníka. Ak ide o ransomvérové gangy, ktoré sú primárne motivované finančným ziskom, často si vyberajú obete, kde očakávajú vysokú šancu zaplatenia výkupného.

„Ak ide o štátom sponzorovaných hackerov, tí môžu útočiť na inštitúcie zamerané na zahraničnú politiku, obranu, energetiku alebo iné strategické sektory, a to buď s cieľom viditeľne narušiť ich prevádzku, alebo dlhodobo a nenápadne získavať citlivé informácie,“ vysvetľuje T. Zaťko.

Potrebné sú riešenia a investície

Podľa reportov firiem zameraných na kybernetickú bezpečnosť, dlhodobo sú cieľmi kybernetických útokov verejná správa, zdravotníctvo a finančný sektor. Treba však rozlišovať útok a samotný kybernetický incident. Organizácie s vysokou kyberodolnosťou totiž dokážu útokom odolať a eliminovať ich.

Ak by útoky cielili na odvetvia ako zdravotníctvo, doprava či energetika, reálne hrozí riziko narušenia kritickej infraštruktúry. „Medzi najznámejšie príklady kybernetického útoku na kritickú infraštruktúru patria útoky z decembra 2015 a decembra 2016 na ukrajinskú rozvodnú sieť elektriny. Tie sú spájané s hackerskou skupinou Sandworm a tá zase s ruskou tajnou službou GRU,“ hovorí T. Zaťko.

V menšej miere máme skúsenosť aj na Slovensku. V roku 2017 sa napríklad udial ransomvérový útok na nemocnicu v Nitre. Útok na kataster je však na Slovensku najdrsnejší a najzásadnejší. Väčší incident v oblasti kybernetickej bezpečnosti tu ešte nebol.

Rozdiely v úrovni bezpečnosti sú obrovské od organizácie ku organizácii. Toto platí v každej krajine. Slovensko sa však nachádza v čase konsolidačných opatrení a investície do kybernetickej bezpečnosti rozhodne nie sú nízke. Podľa odborníka je však implementácia kyberbezpečnostných riešení nevyhnutná aj v čase, keď má štát ambíciu šetriť.

„Dajú sa robiť rýchle a efektívne kroky, ako je uplatnenie technológií, využívanie služieb strediska bezpečnostných operácií – SOC, či testy odolnosti. Posilnenie bezpečnosti je však dlhodobý proces,“ dodáva T. Zaťko.

Niektoré opatrenia sa dajú urobiť veľmi rýchlo. Dlhodobo udržateľná kybernetická bezpečnosť si ale vyžaduje systematický prístup, pravidelné testovanie a priebežné zlepšovanie. Je to neustály proces, pretože hrozby sa vyvíjajú a v kybernetickej bezpečnosti neexistuje statický cieľový stav.

Čítajte viac z kategórie: Novinky