Zpráva o kyberbezpečnosti: Došlo ke stahování dat od zaměstnanců státu

Zprávu brzy projedná vláda Foto: archiv

K vytvoření kopie webu státní instituce, kybersabotážím, sledování, napadání a stahování dat ze schránek zaměstnanců státu došlo v ČR v roce 2017. Nejčastěji byly napadeny státní instituce a banky. Kyberzločin mířil na představitele státu, napadeno útokem výjimečného rozsahu bylo médium veřejné služby. Volby se ale kyberzločincům nepodařilo ovlivnit ani narušit. Zprávu tento týden projedná vláda.

Vyplývá to ze Zprávy o stavu kybernetické bezpečnosti za rok 2017 Národního úřadu pro kybernetickou a informační bezpečnost.V anonymizované Zprávě lze pouze číst mezi řádky.

Hned první popis napadení českého státu  se týká „vrcholné instituce státní správy a jejích vrcholových představitelů“: „V prvním měsíci nového roku byl nahlášen incident, kdy začalo docházet k zamykání poštovních schránek zaměstnanců vrcholné instituce státní správy. Během analýzy probíhajícího incidentu se objevily nové skutečnosti, které nakonec vedly ke vzniku nového incidentu. Tento incident lze považovat za nejvážnější incident, který tým GovCERT.CZ řešil v měsíci lednu. Došlo ke kompromitaci administrátorského účtu k databázi Lotus Notes. Útočník měl přístup k emailovým schránkám pracovníků dané instituce a svého oprávnění opakovaně využíval ke sledování několika poštovních schránek, včetně vrcholových představitelů. Útočník pravidelně stahoval velký objem dat. Po spolupráci s Národním centrem kybernetické bezpečnosti přijali pracovníci dotčené instituce náležitá opatření,“ uvádí se v příloze Zprávy, která popisuje incidenty měsíc po měsíci.

Útočník vytvořil kopii státního webu

Také únorová událost se týkala státní správy: „Během února tým GovCERT.CZ řešil incident neznámého útočníka, který vytvořil kopii webových stránek státní instituce. Nicméně útočník nezůstal pouze u vytvoření této kopie, v dalším kroku si útočník zaregistroval doménu, která připomínala doménu dotčené instituce. Pod touto doménou rozesílal podvodné emailové zprávy, ve kterých nabádal ke vstupu na podvodné stránky prostřednictvím vloženého odkazu,“ popisuje Zpráva s tím, že také v březnu pokračovaly útoky na stát, zaznamenán byl i phishing mířící na představitele státu.

Zatímco v dubnu převládaly útoky na banky a napaden byl účet zaměstnance státu, který poté rozesílal nevyžádané zprávy, v květnu došlo především k masivnímu útoku na médium veřejné služby: „Začátkem května byl NCKB nahlášen masivní DDoS útok na médium veřejné služby, tento útok byl výjimečný svým rozsahem, neboť útok pocházel z celého světa. V průběhu května detekovala státní instituce skenování svých serverů, které jsou přístupné z internetu. Z provedené analýzy vyplynulo, že se jedná patrně o Mirai botnet,“ popisuje zpráva květnové kyberzločiny proti českému státu a jeho institucím.

Končící zaměstnanec vynesl data s sebou

Další zneklidňující událost se stala až v červnu, kdy státní zaměstnanec zcizil velký objem dat: „Nevšední incident musel tým GovCERT.CZ řešit v červenci, kdy došlo k nahlášení úniku dat ze strany instituce státní správy. Rozsah úniku čítal tisíce dokumentů a tyto dokumenty byly vyneseny zaměstnancem, jemuž měla vypršet pracovní smlouva,“ konstatuje k tomu Zpráva o kybernetické bezpečnosti za rok 2017.

Narušen ani manipulován kyberzločinci naopak nebyl volební systém. „V prvním měsíci posledního kvartálu probíhaly volby do Poslanecké sněmovny. V minulosti již bylo mnohokrát prokázáno, že volební systém je velmi oblíbeným cílem hackerů, kteří mají v úmyslu jakkoliv narušit průběh voleb. ČR není výjimkou a NÚKIB byl na různé situace připraven. Volební systém byl během roku 2017 prověřen a ve spolupráci s ČSÚ se pracovalo na zvýšení bezpečnosti celého volebního procesu. Ačkoliv byl zaznamenán DDoS útok na webovou prezentaci ČSÚ, především servery volby.cz a volbyhned.cz, které médiím a občanům poskytují přehled o průběžných výsledcích sčítání, nedošlo k narušení samotného sčítání ani k manipulaci s výsledky voleb,“ uvádí k tomu Zpráva.

Bitcoiny výměnou za nepokračování útoku

V posledním čtvrtletí tohoto roky byly řešeny vyděračské emaily, které po adresátech požadovaly zaplacení finančního obnosu ve virtuální měně bitcoin výměnou za neprovedení cíleného DDoS útoku, tato hrozba byly doprovázena demonstrativním útokem, tyto výhružky ukazují trend, který se opakuje každoročně, komentuje Zpráva události z konce loňského roku.

Podle výroční Zprávy o kyberbezpčnosti v průběhu roku 2017 obdrželi pracovníci GovCERT.CZ od českých i zahraničních partnerů v souhrnu 248 relevantních hlášení o kybernetických bezpečnostních incidentech. „Tato hlášení byla dále vyhodnocována ve vztahu k oblasti působnosti týmu GovCERT.CZ a následně zpracována buď vlastními prostředky, nebo předána příslušným subjektům. Za uplynulý rok tak bylo z přijatých hlášení a z informací získaných vlastními prostředky vyhodnoceno, zpracováno a vyřešeno 50 kybernetických bezpečnostních incidentů spadajících do oblasti působnosti Vládního CERT, tedy KII, VIS a veřejné správy,“ stojí ve Zprávě.

(ire)