Kybernetická bezpečnost ve výročních zprávách BIS
Nikdo asi nepochybuje o tom, že kybernetický prostor je v současné době předmětem širokého zájmu. Bezpečnostní informační služba ČR patří mezi instituce, která monitoruje bezpečnostní rizika spojená s informačními a komunikačními prostředky.
Centrum pro bezpečnostní analýzy a prevenci v této souvislosti analyzovalo výroční zprávy, které jsem volně dostupné na webu této instituce. Cílem bylo zjistit, jak velkou pozornost tomuto tématu BIS věnovala, a to od roku 1998 (od tohoto roku jsou výroční zprávy zveřejněné na https://www.bis.cz/vyrocni-zpravy/).
Z uvedených zpráv se samozřejmě nedá úplně vyčíst, do jaké míry se uvedenému tématu česká kontrarozvědka věnovala, ale je to spíše určitý indikátor relevantnosti daných rizik pro tuto službu. Dále je třeba zmínit, že na úrovni státní správy je kybernetické bezpečnosti věnují i další subjekty, jako je NÚKIB, Ministerstvo vnitra nebo Ministerstvo obrany.
Zprávy BIS bývají často terčem kritiky. Na jedné straně je jim vytýkáno, že nepřinášejí žádné konkrétní informace, dělají pouze obecné závěry nebo jsou jejich zjištění nepodložená. Pokud však s nějakou konkrétní informací přijdou, bývá obvykle zpochybňována. Na příkladu kybernetické bezpečnosti ale můžeme vidět, jak se toto téma v jednotlivých výročních zprávách vyvíjelo, a to s ohledem na rozvoj informační společnosti v České republice a také s ohledem na celosvětové trendy.
Obecně lze říci, že ve zprávách najdeme několik „generických“ témat v oblasti kybernetické bezpečnosti, které BIS dlouhodobě zmiňuje. V prvé řadě jsou to nestátní aktéři nebo zájmové skupiny, jejichž cílem je napadání především bankovních systémů za účelem odcizení finančních prostředků z účtů fyzických nebo právnických osob.
Významným trendem je působení skupin, jako je například Anonymous, jejichž motivy mají především politický charakter nebo tyto skupiny vyjadřují nesouhlas s celosvětovým společenským řádem apod. Dále jsou to skupiny spojené s islámským radikalismem, jejich operace vedou k získávání finančních prostředků nebo šíření propagandy.
Mezi státními aktéry jsou nejvíce zmiňovány 2 země, a to Rusko a Čína. Aktivity Ruska zintenzivnily především po vstupu ČR do NATO v roce 1999. Konkrétně se jedná o operace FAPSI (Federal Agency of Government Communications and Information). Ve spojitosti s Ruskem BIS používá termín informační válka.
V případě Číny jde hlavně o průmyslovou špionáž a zejména pak propojení firem působících v ICT sektoru na čínské zpravodajské služby. Například za rok 2013 se uvádí rostoucí podíl čínských společností Huawei a ZTE na českém telekomunikačním trhu a jejich vazby na čínské státní orgány. V době, kdy byla tato informace zveřejněna, zůstala více méně bez povšimnutí, zatímco doporučení, vydané v letošním roce NÚKIB pro státní správu, aby uvedené firmy byly vnímány jako riziko, odstartovalo vášnivou debatu o jeho oprávněnosti a podloženosti.
Časově bychom mohli zprávy rozdělit na 2 období. V první období od konce devadesátých let byla kybernetická bezpečnost spíše okrajovým tématem, mluvilo se o rizicích spojených s využíváním ICT. Přelomovým obdobím je zpráva za rok 2005, kde se BIS odvolává na „Národní strategii informační bezpečnosti“. Od tohoto roku pak úřad věnuje kybernetické bezpečnosti více pozornosti. Důvodem je rozvoj informační společnosti v ČR – digitalizace státní správy, on-line komunikace s bankami nebo dalšími úřady, masivní rozvoj sociální sítí apod.
Témata obsažená ve výročních zprávách za období 1996 – 2005
Zpráva za období 1996 – 1997 se IT technologiím a rizikům moc nevěnuje. Zmínku nalezneme až v další zprávě z roku 2000, která hodnotí léta 1998 – 1999, kde se hovoří o zájmu o nové nebo strategicky významné technologie nebo počítačové systémy. Tento fenomén je dáván do souvislosti s přípravou ČR na vstup do NATO. Najdeme zde konstatování, že ČR se tak stává předmětem i dezinformačních kampaní, především ze strany Ruska.
Otázkám informační bezpečnosti se více věnuje až zpráva z roku 2002, která si všímá aktivit ruské Federal Agency of Government Communications and Information
„V nedávné době FAPSI také zahájila operace v rámci státního a mezinárodního kryptografického trhu. V oblasti „informační války“ plní FAPSI jak obranné, tak útočné úkoly. Na jedné straně hraje ústřední roli v ochraně ruské informační a komunikační sítě, na druhé straně se pokouší získat tajné informace infiltrováním se do vnitřních komunikačních systémů zahraničních společností a vládních institucí. FAPSI také shromažďuje komunikační hardware, kryptologické algoritmy a další s tím spojený materiál, čímž se snaží udržet kontakt s posledním rozvojem pokrokových komunikačních technologií a bezpečnostních vynálezů a metod.“ BIS zde poprvé používá termín informační válka, zejména ve spojitosti s Ruskem.
Výroční zpráva za rok 2003, zmiňuje šíření poplašných zpráv o údajných problémech některých našich bankovních ústavů. „Alarmující informace byly anonymně rozesílány z internetu formou e-mailů a krátkých textových zpráv (SMS) na mobilní telefony.“
Služba zjistila, že se nejednalo o systémově organizovanou akci řízenou jedním člověkem, nebo skupinou osob. „Mnohé nasvědčuje, že „útočníci“ si tímto způsobem mohli ověřovat a testovat důvěru klientů ve vybraných bankovních domech a na základě obranné reakce peněžních ústavů zjišťovat jejich finanční situaci.“
Určitý přelom bychom našli ve zprávě, která hodnotí situaci v roce 2005 a věnuje bezpečnosti informačních a komunikačních systémů celý jeden odstavec. Zpráva se ale omezuje na obecné konstatování nového fenoménu a zmiňuje „Národní strategii informační bezpečnosti“, na základě které BIS plnila jednotlivé úkoly. Také v dalším roce se BIS omezuje na konstatování, že kyberšpionáž a kyberterorismus jsou hrozby, na které je třeba se připravit.
Témata obsažená ve výročních zprávách za období 2006 – 2017
Ve zprávě za rok 2007 se hovoří o kybernetickém útoku na státní správu v Estonsku. Tato zpráva se poprvé obšírněji věnuje kybernetické bezpečnosti. Dále uvádí, že došlo k útokům na několik set domén a poukazuje na malou připravenost našich podniků na ochranu před kybernetickými útoky a na ochranu svého know-how. V souvislosti s bankovním sektorem poukazuje na phishingové útoky. Obecně varuje před zranitelností systémů a nutnosti koordinovaného úsilí i na mezinárodním fóru.
Také v roce 2008 se zpráva věnuje útokům zejména v bankovním sektoru. Některé operace dává do souvislosti s islamistickými extremistickými skupinami.
V roce 2009 BIS uvádí už konkrétní aktivity, které byly spojené se zajištěním bezpečnosti při našem předsednictví v EU. BIS jako zpravodajská služba ČR, která v té době předsedala Radě EU, šetřila za pomoci zahraničních partnerů elektronický útok zaměřený na informační systémy účastníků summitu G20 v Soulu.
Dále prověřovala nelegální diskuzní fóra, kde docházelo k obchodu s osobními údaji. Uvádí se i aktivity BIS při zajištění ochrany informačních systémů, jejíž poškození by mělo vliv na chod státu.
V roce 2010 zpráva zmiňuje monitoring systémů podporující e-government, dále pak elektronické útoky na emaily pracovníků zahraničních ambasád. „Útoky se tak jako u osobních počítačů zaměřují především na nejrozšířenější a nejpoužívanější produkty informačních a telekomunikačních služeb a zařízení. Výsledkem je nárůst incidentů u produktů, jako jsou tzv. chytré mobilní telefony, sociální sítě typu Facebook nebo LinkedIn.“
Zpráva za rok 2012 se věnuje některých zájmovým skupinám, jako Anonymous, která si získala množství sympatizantů z řad české mládeže. Útoky „hacktivistických“ skupin jsou podle BIS velmi demonstrativní a jejich cílem je ukázat nespokojenost se sociálními či politickými jevy.
Ve zprávě za rok za 2013 se poukazuje na potenciální nebezpečí pro ČR díky rostoucímu podílu čínských společností Huawei a ZTE na českém telekomunikačním trhu, neboť obě společnosti jsou podezřívány ze spolupráce s čínskými zpravodajskými službami a podílu na výzvědných aktivitách.
Zpráva za rok 2014 zmiňuje zájmy hackerů a spolu s tím i zranitelnost některých systémů a aplikací, především v bankovním sektoru. „BIS upozornila v minulém roce Českou národní banku (ČNB) na skutečnost, že se ocitla na seznamu cílů k provedení rozsáhlých DDoS útoků proti národním bankám a významným bankovním institucím tzv. západního světa.“
Dalším předmětem zájmu hackerů byly informační systémy MZV. BIS se zabývala získáváním informací o zneužívání informačního systému Ministerstva zahraničních věcí (MZV) Visapoint.
V roce 2015 byly v oblasti státem řízené či podporované kybernetické špionáže nejzávažnější hrozby pro ČR Ruská federace a Čínská lidová republika. „Cílem elektronických útoků se mohou stát desítky malých společností, které si nemohou dovolit provozovat vlastní server pro libovolnou vlastní webovou aplikaci (např. většina e-shopů).“
V průběhu roku 2016 BIS zjistila, že členové české hackerské skupiny objevili zranitelná místa na webových portálech několika státních institucí a na serveru hostujícím internetové stránky významného českého státního představitele. V závěru roku informovala BIS o plánech českých Anonymous uskutečnit elektronické útoky proti webovým portálům českých státních institucí v rámci akce Million Mask March (celosvětový hromadný pochod organizovaný „hnutím“ Anonymous), která se konala 5. listopadu 2016.
„Kampaň APT28/Sofacy je v současné době zřejmě nejaktivnější a nejviditelnější ruskou kyberšpionážní kampaní s velice rozmanitými oblastmi působnosti – od primárních oblastí diplomacie a vojenství přes vědu a výzkum až k akademické sféře.“
V roce 2017 byly kybernetické útovy vedeny směrem k MZV. Dále, mezi nejaktivnější kyberšpionážní kampaně patřila ruská kampaň APT28/Sofacy. Ta podle zprávy necílí jen na data samotná, ale se stále větší intenzitou se zaměřuje na krádeže osobních údajů a přihlašovacích údajů do informačních a komunikačních systémů, které mohou být dále využity k pozdějším sofistikovaným spearphishingovým útokům. Kyberšpináž ze strany Ruska je připisována zpravodajské službě FSB a vojenské zpravodajské službě GRU. „V souvislosti s touto kampaní odhalila BIS několik útoků proti českým vojenským cílům, z nichž k nejzávažnějším patřily kompromitace několika soukromých emailových účtů patřících osobám spojeným s Ministerstvem obrany a Armádou ČR a kompromitace IP adresy patřící MO ČR/AČR malwarem známým pod názvem X-Agent.“
Analýza CBAP
1295