Světu chybí plán společné reakce na útoky, je to „tikající kybernetická bomba“

Absence globálního politického řešení kybernetických útoků a neochota jednotlivých států spolupracovat při reakci na tyto incidenty představuje největší riziko pro mezinárodní kybernetickou stabilitu. Na právě probíhající konferenci RSA 2021 v San Francisku na to upozornila bezpečnostní společnost Kaspersky, jež k tomuto tématu uspořádala panelovou diskusi s odborníky z Interpolu, Fóra pro reakce na incidenty a bezpečnostní týmy (FIRST) a švýcarského ministerstva zahraničních věcí.

Odmítání vzájemné spolupráce je podle bezpečnostních expertů společnosti Kaspersky doslova „tikající kybernetickou bombou“. Nedostatečné sdílení informací a minimální vzájemná důvěra představují hlavní překážku pro vznik jednotného mechanismu mezinárodní reakce na globální kybernetické útoky. Proto bývají zejména útoky na dodavatelské řetězce v posledních letech velmi úspěšné. Zvláště pak kvůli zvýšené poptávce po digitalizaci veřejné správy a služeb, již sebou přinesla pandemie Covid-19. Organizace, které překotně digitalizují a nemají s přechodem na tento nový typ služeb zkušenosti, jsou kvůli tomuto rychlému vývoji mnohem zranitelnější než kdykoli v minulosti.

Zranitelnosti vznikají globálně, reakce by měly být také globální

Digitální transformace vytváří prakticky ze všech organizací softwarové společnosti, které se musí spoléhat na řadu externích dodavatelů. To však zvyšuje riziko útoku, protože takto dodávané služby mohou obsahovat skryté zranitelnosti a další slabá místa, a ta poté ohrožují vzájemně propojené uživatele – ať již jde o průmyslové giganty, běžné společnosti, ale i jednotlivé státy. Kvůli různým neshodám mezi zeměmi však dosud nevznikl žádný plán společné reakce na útoky směřované na dodavatelské řetězce. Neexistuje ani jednotný manuál, jak by se měla napadená společnost chovat a na koho se obrátit s žádostí o pomoc.

„Když dojde k útoku, lidé nevytočí číslo 911 ani nezavolají policii. Obvykle jsme až druhým nebo třetím místem, na které se obrátí kvůli zabezpečení jejich IT, ale měli bychom být mezi prvními, kdo se bude takovým incidentem zabývat – společně s CERT (Computer Emergency Response Team, mezinárodní skupina pro odhalování zranitelností a informování o bezpečnostních rizicích) a partnery dané společnosti napříč různými státy,“ uvedl Craig Jones, ředitel oddělení boje s počítačovou kriminalitou v Interpolu, podle něhož je v zájmu každého, aby se podobné incidenty vyšetřily a získalo se o nich co nejvíce informací. „Přispěje to k zajištění lepší bezpečnosti kritické IT infrastruktury,“ vysvětlil Jones.

V jednotě je síla, rozdělený svět jen nahrává zločincům

„Kyberzločinci milují situaci „rozděl a panuj“ – pokud jsme rozděleni, zločin jen kvete. To je také důvod, proč jsme se připojili k této důležité výzvě, která je mnohem naléhavější než potřeba technických řešení, a to, jak budeme všichni vzájemně lépe spolupracovat,“ doplnil Serge Droz, předseda Fóra pro reakci na incidenty a bezpečnostní týmy (FIRST).

„Jako globální komunita potřebujeme nejprve najít konsensus v tom, jak přesně má platit mezinárodní právo v kyberprostoru, jak by měla být chráněna lidská práva v prostředí internetu a jak by měly být implementovány normy odpovědného chování státu a jaká je role dalších zúčastněných stran. A za druhé musíme také dodržet to, na čem jsme se dohodli a zajistit, aby ti, co porušují dohody, nesli odpovědnost za své činy,“ konstatuje Jon A. Fazun, zvláštní vyslanec pro kybernetickou zahraniční politiku švýcarského ministerstva zahraničních věcí (FDFA).

Příkladem takové spolupráce je podle Fazuna Ženevský dialog o odpovědném chování v kyberprostoru, kterému předsedá švýcarské ministerstvo zahraničních věcí a realizuje jej společnost DiploFoundation. „Jde o skvělou možnost, jak budovat lepší důvěru a užší kontakty v rámci komunity, zejména pak v průmyslu, které vedou k utváření společné vize digitální bezpečnosti a důvěryhodného, bezpečného a stabilního kyberprostoru,“ dodal Fazun.

Společná reakce na incidenty je rychlejší a účinnější

Také společnost Kaspersky věří, že bezpečnější svět pro všechny lze stavět pouze na vzájemné důvěře a spolupráci. Podle Kaspersky sílí potřeba globálního mechanismu, který bude řešit rozsáhlé a významné kybernetické incidenty zasahující členské země OSN a jejich kritickou infrastrukturu.

„Tento mechanismus může být založen na vzniku národních kontaktních míst, jež by poskytovala bezpečnostní doporučení při řešení konkrétních útoků. Tato místa by sloužila také jako „konečné stanice“ při oslovování národních úřadů pro kybernetickou bezpečnost, donucovacích orgánů nebo odborníků z oblasti kybernetické bezpečnosti a pokud by to bylo třeba, sloužila by i výměně technických informací. Je důležité, aby lidé, kteří reagují na mimořádné události, zůstali neutrální. Takový mechanismus by zajistil nejen prostředky pro včasnou a koordinovanou globální reakci a zmírnění následků incidentů, ale také by pomohl navýšit technické a provozní kapacity globální komunity, čímž by přispěl k větší kybernetické stabilitě,“ věří Anastasiya Kazakova, hlavní manažerka Public Relations ve společnosti Kaspersky.

Že je taková společná reakce potřeba, naznačují aktivity několika zločineckých skupin, které Kaspersky sleduje již delší dobu a které cíleně útočí na dodavatelské řetězce. Využívají přitom zranitelnosti v aktualizacích softwaru, takže uživatelé, kteří jsou požádáni o instalaci opravy, si mohou stáhnout do svého zařízení zadní vrátka (backdoor) a otevřít své IT systémy útočníkům. Jedním z nedávných příkladů je backdoor Sunburst, který se šířil prostřednictvím údajné aktualizace softwaru SolarWinds Orion a stáhlo si jej přes 18 tisíc uživatelů z řady veřejných i soukromých organizací po celém světě.