Bezpečnostné diery sú „pozvánkou“ pre kyberzločincov. Ak napadnú túto inštitúciu, môžu ťa vydierať
Slovenský Úrad geodézie, kartografie a katastra (ÚGKK) sa stal terčom rozsiahleho kybernetického útoku, ktorý spôsobil prerušenie činnosti katastrálnych úradov a znemožnil prístup ku kľúčovým službám.
V posledných dňoch sa otvorilo niekoľko katastrálnych odborov, tie však fungujú len vo veľmi obmedzenom režime. Postupná obnova činnosti katastra sa očakáva v najbližších dňoch, no niektorí odborníci varujú, že úplné zotavenie systémov môže trvať dlhšie.
Ďalšie zlyhanie katastra
Prečo zotavenie tak dlho trvá a o čom táto skutočnosť hovorí zatiaľ nikto nevie. Nechce o tom dokonca špekulovať ani etický hacker a CEO spoločnosti Citadelo Tomáš Zaťko.
„Toto by mal povedať ÚGKK. To, že nekomunikuje, tutlá a zahmlieva, je po zlyhaní na poli kybernetickej bezpečnosti ďalším zlyhaním – tentokrát v krízovej komunikácii. Ľudia sa boja o svoje vlastnícke práva. Boja sa že teraz prídu o svoje nehnuteľnosti. Kataster hovorí, že sa toho báť nemusia – a v tom má takmer určite pravdu. Lenže ľuďom je to ťažké uveriť, keď im to hovorí človek, či úrad, ktorý už preukázal jedno zlyhanie a práve preukazuje druhé – komunikačné,“ hovorí pre Fontech T. Zaťko.
V prípade vyvodzovania zodpovednosti v takýchto prípadoch zákon hovorí jasne. Za kybernetickú bezpečnosť je zodpovedný štatutár. Súčasťou výkonu štatutárov, čiže riaditeľov alebo predsedov, by mala byť základná znalosť princípov a zároveň aj vedomosti, čo delegovať a ako.

„Podľa Zákona o kybernetickej bezpečnosti má mať každý povinný subjekt manažéra kybernetickej bezpečnosti. Ten navrhuje presadzovanie bezpečnostných opatrení štatutárovi. Zodpovednosť je však neprenosná,“ hovorí T. Zaťko.
Nad tým všetkým vykonáva dohľad Národný bezpečnostný úrad SR (NBÚ), ktorý má aj sankčné a kontrolné právomoci. Ak inštitúcia poruší zákon, NBÚ môže nariadiť nápravu alebo udeliť pokuty. Na vnútornej úrovni môže dôjsť k disciplinárnym konaniam alebo odvolaniam z funkcie. Trestnoprávna zodpovednosť je však už téma pre právnikov a orgány činné v trestnom konaní.
Aj napriek tomu, že kataster o detailoch útoku neinformuje, je známe, že v systémoch katastra boli bezpečnostné diery. „Je takmer isté, že rozumný audítor kybernetickej bezpečnosti takéto problémy musel odhaliť a zapísať do auditnej správy. To zároveň hovorím s tým, že som auditnú správu z katastra nevidel,“ tvrdí T. Zaťko.
Veľký problém menom NCZI
Cieľmi kybernetických útokov sú všetky firmy, inštitúcie a organizácie, pričom každá má svoje silné a slabé miesta. „Každá informácia o zraniteľnosti, alebo nedostatočnej odolnosti inštitúcie je zároveň pozvánka pre kyberútočníkov,“ hovorí T. Zaťko.
Správa o kybernetickej bezpečnosti v Slovenskej republike z minulého roka hovorí o takzvanom stave súladu, či kde majú inštitúcie „väčší alebo menší“ poriadok v povinných opatreniach kybernetickej bezpečnosti. T. Zaťko tvrdí, že vynikajúce hodnotenie mal sektor energetiky a bankovníctva. Nikoho azda neprekvapí, že verejný sektor skončil s mierou súladu 47 % na predposlednom mieste a za ním je už iba zdravotníctvo.

Ďalší hackerský útok by mohol mať ďaleko väčšie následky. Všetko však závisí od zvoleného cieľa hackerov. Veľkým problémom by mohli byť ministerstvá, Úrad na ochranu osobných údajov či napríklad Národné centrum zdravotníckych informácií SR (NCZI).
„NCZI by bol veľkým problémom nielen pri verzii ransomvéru, ktorá dáta zašifruje a tým znefunkční bežnú prevádzku. Ešte horší by bol variant, ktorý údaje skopíruje a bude hroziť ich zverejnením. Útočníci potom môžu vydierať postihnutú organizáciu, aj ľudí, ktorých údaje majú,“ vysvetľuje T. Zaťko. Ransomvérové gangy túto verziu nátlaku zvyknú využívať, pričom zvlášť citlivé je to práve pri medicínskych informáciách.
Na otázku, ktoré inštitúcie na Slovensku sú dnes najviac ohrozené najpresnejšie odpovedajú auditné správy z konkrétnych organizácií, no tie nie sú verejné. Podľa T. Zaťka však vždy závisí od motivácie útočníka. Ak ide o ransomvérové gangy, ktoré sú primárne motivované finančným ziskom, často si vyberajú obete, kde očakávajú vysokú šancu zaplatenia výkupného.
„Ak ide o štátom sponzorovaných hackerov, tí môžu útočiť na inštitúcie zamerané na zahraničnú politiku, obranu, energetiku alebo iné strategické sektory, a to buď s cieľom viditeľne narušiť ich prevádzku, alebo dlhodobo a nenápadne získavať citlivé informácie,“ vysvetľuje T. Zaťko.
Najviac kybernetických bezpečnostných incidentov v roku 2023 bolo hlásených zo sektorov verejná správa, bankovníctvo a zdravotníctvo. Podľa T. Zaťka je veľká pravdpodobnosť, že mnohé firmy či organizácie bezpečnostné incidenty ani nehlásia, ak im to priamo neprikazuje zákon. V tejto správe NBÚ rovnako uvádza, že organizácie často zlyhávajú pri monitoringu a riadení zraniteľností, na základe čoho nie sú schopné reagovať na prípadné hrozby v adekvátnom čase.
Vo všeobecných nedostatkoch úrad upozorňuje, že sa zanedbáva údržba zastaraných a výrobcom nepodporovaných zariadení, pretože predstavujú vysoké finančné a personálne zaťaženie. Následkom je nedostatočné riadenia aktualizácií alebo adekvátneho znižovania ohrozenia.
Potrebné sú riešenia a investície
Podľa reportov firiem zameraných na kybernetickú bezpečnosť, dlhodobo sú cieľmi kybernetických útokov verejná správa, zdravotníctvo a finančný sektor. Treba však rozlišovať útok a samotný kybernetický incident. Organizácie s vysokou kyberodolnosťou totiž dokážu útokom odolať a eliminovať ich.
Ak by útoky cielili na odvetvia ako zdravotníctvo, doprava či energetika, reálne hrozí riziko narušenia kritickej infraštruktúry. „Medzi najznámejšie príklady kybernetického útoku na kritickú infraštruktúru patria útoky z decembra 2015 a decembra 2016 na ukrajinskú rozvodnú sieť elektriny. Tie sú spájané s hackerskou skupinou Sandworm a tá zase s ruskou tajnou službou GRU,“ hovorí T. Zaťko.
V menšej miere máme skúsenosť aj na Slovensku. V roku 2017 sa napríklad udial ransomvérový útok na nemocnicu v Nitre. Útok na kataster je však na Slovensku najdrsnejší a najzásadnejší. Väčší incident v oblasti kybernetickej bezpečnosti tu ešte nebol.
Rozdiely v úrovni bezpečnosti sú obrovské od organizácie ku organizácii. Toto platí v každej krajine. Slovensko sa však nachádza v čase konsolidačných opatrení a investície do kybernetickej bezpečnosti rozhodne nie sú nízke. Podľa odborníka je však implementácia kyberbezpečnostných riešení nevyhnutná aj v čase, keď má štát ambíciu šetriť.
„Dajú sa robiť rýchle a efektívne kroky, ako je uplatnenie technológií, využívanie služieb strediska bezpečnostných operácií – SOC, či testy odolnosti. Posilnenie bezpečnosti je však dlhodobý proces,“ dodáva T. Zaťko.
Niektoré opatrenia sa dajú urobiť veľmi rýchlo. Dlhodobo udržateľná kybernetická bezpečnosť si ale vyžaduje systematický prístup, pravidelné testovanie a priebežné zlepšovanie. Je to neustály proces, pretože hrozby sa vyvíjajú a v kybernetickej bezpečnosti neexistuje statický cieľový stav.
Čítajte viac z kategórie: Novinky
Ďakujeme, že čítaš Fontech. V prípade, že máš postreh alebo si našiel v článku chybu, napíš nám na redakcia@fontech.sk.
Teraz čítajú

Bizarná naháňačka v Bratislave. Slovák utekal polícii na kolobežke rýchlosťou 100 km/h (+video)

Slovákom môže zdražieť kúrenie aj tankovanie. 10 štátov sa pridalo k vzbure proti Bruselu

Slovensko sa vzbúrilo proti rozhodnutiu EÚ. GMO vydesilo 300 vedcov, odborníkov a organizácií

Jedna appka mala Slovákom zjednodušiť cestovanie. Vyzerá to však na národnú hanbu za 26 mil. eur

Veľký LG OLED televízor kúpiš teraz len za 799 eur. Má špičkový obraz, vieme, komu sa skutočne oplatí
NAJČÍTANEJŠIE ZO STARTITUP

MIMORIADNE Výbuch vo firme na západe Slovenska: Po explózii propánových fliaš hlásia zranených
PREMIUMFinančný sprostredkovateľ otvorene: Takúto províziu dostávame, nič nie je zadarmo (ROZHOVOR)

NOVÝ PRIESKUM Veľký zvrat v dôvere Slovákov: Uhrík preskočil Fica aj Šimečku, prvenstvo si drží Pellegrini

Súčasní tridsiatnici už nedostanú dôchodky od štátu. Milan Dubec vysvetľuje, čo ťa zachráni pred chudobou v starobe

MIMORIADNE Na strednom Slovensku zomrela žena po konzumácii syrových nití. Potvrdili nebezpečnú baktériu
- 24 hod
- 48 hod
- 7 dní
-
- Obrovský zvrat vo Volkswagene. Autá pre kľúčový trh už nedodá zo Slovenska, zaplaví ho lacnejšou Čínou
- Tepelné čerpadlo alebo plynový kotol? Prepočítali sme, čo sa dnes Slovákom oplatí viac
- Netflix ešte podobnú vec neurobil. Najväčší trhák príde neskôr a úplne inak, než ktokoľvek čakal
- Nemáš doma klimatizáciu? Byt vieš ochladiť aj lacnejšie, no väčšina ľudí robí jednu zásadnú chybu
- Známa firma vyvinula prvý spaľovací motor s palivom budúcnosti. Trvalo im to 3 roky a v Európe dostali zelenú
-
- Obrovský zvrat vo Volkswagene. Autá pre kľúčový trh už nedodá zo Slovenska, zaplaví ho lacnejšou Čínou
- Tepelné čerpadlo alebo plynový kotol? Prepočítali sme, čo sa dnes Slovákom oplatí viac
- Netflix ešte podobnú vec neurobil. Najväčší trhák príde neskôr a úplne inak, než ktokoľvek čakal
- Nemáš doma klimatizáciu? Byt vieš ochladiť aj lacnejšie, no väčšina ľudí robí jednu zásadnú chybu
- Známa firma vyvinula prvý spaľovací motor s palivom budúcnosti. Trvalo im to 3 roky a v Európe dostali zelenú
-
- Obrovský zvrat vo Volkswagene. Autá pre kľúčový trh už nedodá zo Slovenska, zaplaví ho lacnejšou Čínou
- Známa firma vyvinula prvý spaľovací motor s palivom budúcnosti. Trvalo im to 3 roky a v Európe dostali zelenú
- Slováci robia pri kúpe klimatizácie rovnakú chybu. V horúčavách za ňu draho zaplatia
- Majú vydržať desaťročia, no kapú po 3 rokoch. LED žiarovky doplácajú na marketingovú lož
- Svätý grál batérií je už na dosah. Nemci vyriešili záhadu, ktorá roky brzdila revolúciu
Google definitívne prehral. EÚ potvrdila rekordnú pokutu za Android
Čínska automobilka mieri vysoko. Do roku 2030 chce ovládnuť až 5 % európskeho trhu
Ázijský tiger spúšťa veľkú investíciu. Do výroby čipov naleje viac než 500 miliárd dolárov
Holandsko úplne zmenilo svojich dodávateľov energií. Rusov nahradilo USA, dovoz prudko stúpol
Európa zrýchľuje budovanie obrovských batérií. Podporí projekty, ktoré majú stabilizovať elektrické siete
Poľsko masívne posilní dovoz plynu. Chystá niečo, čo pomôže celej strednej Európe
Slováci si rýchlo zvykli na nový spôsob platenia. Štátne platby prekonali 5 miliónov eur
NAJČÍTANEJŠIE ZO STARTITUP

MIMORIADNE Výbuch vo firme na západe Slovenska: Po explózii propánových fliaš hlásia zranených
PREMIUMFinančný sprostredkovateľ otvorene: Takúto províziu dostávame, nič nie je zadarmo (ROZHOVOR)

NOVÝ PRIESKUM Veľký zvrat v dôvere Slovákov: Uhrík preskočil Fica aj Šimečku, prvenstvo si drží Pellegrini

Súčasní tridsiatnici už nedostanú dôchodky od štátu. Milan Dubec vysvetľuje, čo ťa zachráni pred chudobou v starobe

