První „kybernetická katastrofa“ v Německu poukázala na nedostatky v ochraně dat
Hackerský útok v létě 2022 téměř zcela ochromil počítačové systémy v okrese Anhalt-Bitterfeld v německé spolkové zemi Sasko-Anhaltsko. Mnoho obcí je proti takovým útokům chráněno nedostatečně. Může za to nedostatek peněz, personálu a jasné odpovědnosti. A zlepšení je v nedohlednu.
„Zpočátku si říkáte, to nemůže být tak zlé. Lidé, kteří tam pracují, s daty zacházejí rozumně, budou je mít zálohovaná a pak stačí na jeden den vypnout počítače a data obnovit. To byly moje první myšlenky. Pak samozřejmě, když člověk viděl, že to nebude tak jednoduché, obavy vzrostly.“ Když v červenci 2021 hackerský útok zcela ochromil celou správu v okrese Anhalt-Bitterfeld v Sasku-Anhaltsku, Thomas Heller se o něm dozvěděl z médií. Heller vede tři dětské domovy v Köthenu. Chvíli to vypadalo, že kvůli hackerskému útoku nebude moci svým zaměstnancům vyplácet mzdy.
„Vzhledem k tomu, že jsme téměř stoprocentně závislí na okrese, tak by to bylo těžké, kdyby tam ty platby nepřišly včas.“
Pro Hellera a jeho zaměstnance šlo o výplatu mezd ve výši přibližně 50 tisíc eur. Oslovil banky, jednal s nimi o možných krátkodobých půjčkách. Pak přišla úlevná zpráva: okres převede mzdy včas, audit bude proveden zpětně. Thomas Heller si mohl oddechnout. Pro Olivera Rumpfa však tímto práce teprve začala.
Oliver Rumpf je součástí IT oddělení okresu Anhalt-Bitterfeld a od kybernetického útoku je vedoucím technického provozu pro obnovu správy. Vše vypuklo 6. července ráno, když mu zavolal správce. Na monitoru počítače si při spuštění mohl přečíst následující zprávu: „Okrese Anhalt-Bitterfeld, jste v p****. Na nic nesahejte.“
Systém byl hacknutý, data zašifrována, nikdo už do něj neměl přístup, žádný e-mail neodešel ani nepřišel. Sociální dávky jako BaföG (pro studenty), dávky v nezaměstnanosti a příspěvky na bydlení nebylo možné v prvních dnech vyřídit, registrace vozidel fungovala jen omezeně. Jednalo se o stav nouze.
„Jako IT pracovník samozřejmě víte, co musíte udělat, jaké jsou postupy, který server vypnout jako první, o co se postarat. Ale na to, co přišlo potom, jsme nebyli připraveni,“ Říká Rumpf
Pokusil se zjistit rozsah škod. Musel komunikovat s úřady, okresním správcem, spolkovou zemí, bezpečnostními orgány, požádat externí poskytovatele služeb. Všechny kritické systémy byly odpojeny od sítě, včetně úřadů sociálních služeb, zdravotnictví a veřejného pořádku. O tři dny později vyhlásil okresní správce Uwe Schulze z CDU první kybernetickou katastrofu v Německu. O další tři dny později převzal úřad nově zvolený Andy Grabner, rovněž z CDU – změna byla plánována již delší dobu: Andy Grabner říká: „Jak velké byly škody? V tuto chvíli to nemůžeme na sto procent vyčíslit. Zatím jsme vynaložili asi 900 000 eur. Ale počítám, že než bude celý systém opět v provozu, utratíme něco mezi 1,5 a dvěma miliony eur.“
Proč my? Nikdo neví.
Okres Anhalt-Bitterfeld se stal obětí tzv. ransomwaru. Kybernetičtí zločinci infikují systémy škodlivým softwarem, který zašifruje data, a poté požadují od obětí výkupné, v tomto případě půl milionu eur, za navrácení dat. Okres se ale nechtěl nechat vydírat.
Důsledek: 200 megabajtů z celkových 62 gigabajtů kompromitovaných dat skončilo v temné síti. Mezi nimi bylo i číslo mobilního telefonu okresního správce Andyho Grabnera. Proč útok zasáhl právě jeho okres? Na tuto otázku Grabner stále nezná odpověď: „Nejsme tak bohatí a krásní, aby se nám skutečně vyplatilo provést hackerský útok na okres Anhalt-Bitterfeld. Předpokládám, že jsme prostě byli ve špatný čas na špatném místě nebo jsme snad otevřeli malá dvířka, kudy měli útočníci snadný přístup.“
Pravdou však také je, že městská IT infrastruktura je poměrně slabá – jak finančně, tak personálně. IT specialista Oliver Rumpf říká, že je to v infrastruktuře jsou pouze tři lidé včetně něj. Na systémy, které mají usnadnit každodenní život asi 150 000 lidí – tolik jich v okrese žije. Deficit připouští i okresní správce Grabner: „Vždycky předpokládáte, že to funguje, zaměstnanci pracují, počítače běží. A tak jsme se na kyberbezpečnost nikdy stoprocentně nesoustředili. Bylo postaráno o jiné investice, jako je výstavba silnic, škol a podobně.“
Toto je omyl, který si řada obcí uvědomila až poté, co se v roce 2021 kromě Anhaltu-Bitterfeldu staly obětí kybernetického útoku také úřady ve Wittenu, Schwerinu a okrese Ludwigslust-Parchim. „Tyto útoky však vedly k přehodnocení situace v mnoha obcích,“ vysvětluje Alexander Handschuh, tiskový mluvčí Německého svazu měst a obcí:
„Je třeba si upřímně přiznat, že ne každá obec má ve své správě specialisty nebo odborníky na kybernetickou bezpečnost. Často jsou na to příliš malé a toto téma nebylo po mnoho let tolik v popředí zájmu. Handschuh se snaží říci, že na místě chybí odborníci. Jsme závislí na spolupráci s poskytovateli služeb, se státními orgány a také s BSI.“
Spolkový úřad pro informační bezpečnost, zkráceně BSI, je orgánem spolkové vlády pro kybernetickou bezpečnost a podléhá spolkovému ministerstvu vnitra. BSI každoročně zveřejňuje zprávu o stavu bezpečnosti informačních technologií v Německu. Při prezentaci aktuální zprávy v říjnu loňského roku shrnul prezident BSI Arne Schönbohm následovně: „V oblasti informační bezpečnosti jsme přinejmenším v některých oblastech v červené pohotovosti.“
Podle zprávy vzrostl počet nových variant malwaru v období od června 2020 do května 2021 o přibližně 144 milionů, což odpovídá nárůstu o přibližně 22 % oproti předchozímu sledovanému období. Tato čísla hovoří jasně: byznys s online kriminalitou roste a vzkvétá. Podle sdružení digitálního průmyslu Bitkom působí kybernetické útoky německému hospodářství každoročně škody za více než 220 miliard eur.
Devět z deseti společností je podle nich nyní postiženo kriminálními útoky. Nicméně Dirk Häger, vedoucí oddělení provozní kybernetické bezpečnosti v BSI, dochází ke stejnému závěru: „Proč však ještě nemáme po dvanácté, je fakt, že i když vezmete případy jako Sasko-Anhaltsko, v Německu se zatím nic pořádného nestalo.“
Dokonce i útok ransomwaru na Anhalt-Bitterfeld byl jen malým ohniskem vzplanutí, nikoliv požárem, říká Häger: „Obec je pro mě z definice škoda lokální. Takže se spíše obávám rozsáhlejších škod. To mi dělá starosti a tomu se snažíme zabránit.“
Hlavním problémem je závislost na IT
Podobné útoky jsou však nevyhnutelné a v budoucnu budou stále častější, předpovídá Dirk Häger: „Hlavním problémem je závislost na IT, která se bude stále zvyšovat. Kybernetické útoky na obce jsou navíc obzvláště viditelné, protože se přímo dotýkají lidí v terénu,“ dodává.
To se projevuje například tím, že lidé z okresu Anhalt-Bitterfeld musí stále jezdit do Köthenu, aby si zaregistrovali auto. Pro některé lidi z nejsevernějšího cípu okresu to může znamenat i dobrou hodinu cesty. Obecní úřady jsou proto oblíbeným cílem kybernetických útoků, přesto existuje problém s odpovědností, pokud jde o jejich ochranu v digitálním prostoru: ačkoli je oblast státní správy a administrativy považována za kritickou infrastrukturu, Spolkový úřad pro informační bezpečnost není za ochranu úřadů na zemské a obecní úrovni odpovědný. „Chyba,“ říká Manuel Atug, expert na bezpečnost IT a mluvčí nezávislé odborné pracovní skupiny KRITIS, která se zabývá ochranou kritických infrastruktur: „Spolkové ministerstvo vnitra se dívá pouze na spolkovou problematiku a říká: spolkové země a obce si dělají své, my za to neodpovídáme. V tuto chvíli je každá obec v celém kybernetickém prostoru sama za sebe a sama tyto příčiny a problémy neodstraní.“
Podle jeho názoru chybí Německu v oblasti kybernetické bezpečnosti porozumění a kompetence, navíc je zde mnoho různých aktérů na různých úrovních.
„Když se podíváte na německou architekturu kybernetické bezpečnosti, je stále složitější a složitost je nepřítelem bezpečnosti. A pokud zde nejsou jasně dané kompetence a neprobíhá dialog, pak to nemohu napravit tím, že do této místnosti naházím ještě více hráčů, kteří se mezi sebou ještě méně koordinují a kde se to ještě více komplikuje. A proto tento obraz nazývám kybernetickým nebem rozptýlení odpovědnosti.“
Pod pojmem kybernetické nebe si Atug představuje publikaci nadace Stiftung Neue Verantwortung, think-tanku pro digitální technologie, politiku a společnost. Publikace ukazuje architekturu německé státní kybernetické bezpečnosti, včetně několika národních propojení a mezinárodních rozhraní – nepřehledný obraz. Architektura kybernetické bezpečnosti zahrnuje úřady, organizace a lidi, kteří se zabývají hrozbami a ochranou v digitálním prostoru, jako je Bernd Schlömer: „Jsem státním tajemníkem pro digitalizaci ve spolkové zemi Sasko-Anhaltsko a také v roli CIO, což znamená zástupce zemské vlády pro informační a komunikační technologie.“
Před svou funkcí vrchního ředitele pro informace byl Schlömer mimo jiné spolkovým předsedou Pirátské strany, v roce 2015 přestoupil k FDP a do roku 2021 zasedal v berlínské Sněmovně reprezentantů za Svobodné demokraty. Schlömer také kritizuje institucionální a komisní džungli v Německu. Roztříštěné kompetence jsou podle něj skutečnou překážkou kybernetické bezpečnosti. Jedním z příkladů je podle něj Rada pro plánování IT, orgán, který má fungovat jako spojovací článek mezi spolkovou vládou a vládami jednotlivých zemí v otázkách IT. Jako CIO Saska-Anhaltska je zde Schlömer povinným členem. Říká: „Je to důležitý orgán. Je zde tolik podmínek: pokud nesouhlasí spolková vláda, pokud nesouhlasí tři finančně nejsilnější spolkové země, pokud není dvoutřetinová většina, pokud není tříčtvrtinová většina usnesení, pak není žádné usnesení. Neexistuje kontrola plnění rozhodnutí, a to vše lze zorganizovat mnohem lépe.“
Schlömer by v tomto bodě rád viděl zefektivnění procesů. A větší iniciativu spolkové vlády – uvádí příklad: „V případě zákona o přístupu online by spolková vláda měla možnost již mnoho let vytvářet standardizační specifikace. Nikdy tak neučinila, ale vždy seděla se založenýma rukama a obracela se na výbory a pracovní skupiny.
Zákon o online přístupu ukládá federálním, státním a místním orgánům veřejné správy povinnost nabízet své administrativní služby elektronicky prostřednictvím administrativních portálů do konce roku 2022. Podle loňského hodnocení Normenkontrollrat – poradního orgánu spolkové vlády – však digitalizace veřejné správy v Německu zaostává. Normenkontrollrat si klade otázku, zda se digitalizace ve státní správě může do konce roku 2022 podařit, když ji má na starosti tolik lidí, a tak složité struktury. A Bernd Schlömer také připouští, že je téměř nemožné dodržet časový plán: „Pravidelně si vyměňuji názory s příslušnými CIO spolkových zemí. Ti jsou v současné době velmi opatrní, pokud jde o úspěšné dosahování cílů, ale to je jasné i všem zúčastněným, takže budeme v digitalizaci pokračovat i po termínu 2022.“
Společně proti kyberzločinu
Schlömer usiluje o užší spolupráci s BSI a o vytvoření aliance s obcemi v oblasti informačních technologií, aby se digitalizace v jeho spolkové zemi posunula kupředu. Kromě toho ministerstvo infrastruktury a digitálních záležitostí v současné době zkoumá možnost zřízení organizace pro kybernetickou pomoc v Sasku-Anhaltsku – aby bylo v budoucnu lépe vyzbrojeno proti útokům: „Cílem spolkové země je zahájit pilotní projekt v průběhu roku 2022,“ uvedlo ministerstvo v odpovědi na dotaz Deutschlandfunk. Jednalo by se o první projekt svého druhu v celém Německu. S myšlenkou organizace kybernetické pomoci, zkráceně CHW, přišla jako první odborná pracovní skupina KRITIS. Pracovní skupina ve svém dokumentu píše: „Jako skupina rychlé reakce by CHW měla být schopna v krátké době reagovat na závažné mimořádné události a poskytovat pomoc na místě příslušným IT systémům. Primárním cílem je vždy ochrana obyvatelstva před následky selhání nebo omezení kritické infrastruktury nebo její kritické zásobovací služby.“
Aby v případě útoku, jako byl ten v Anhalt-Bitterfeldu, mohla být pomoc nabídnuta rychle a nemusely být okamžitě povolány německé spolkové ozbrojené síly a BSI – a občané nemuseli čekat měsíce na registraci svých aut nebo se v lepším případě bát o své sociální dávky. Organizace kybernetické pomoci, která by se spoléhala na dobrovolníky, by však potřebovala také souhlas ministerstva vnitra Saska-Anhaltska – nejvyššího orgánu pro řízení katastrof ve spolkové zemi. Tam se však za odpovědnou považuje spolková vláda, jak ministerstvo písemně uvádí: „Základní obava pracovní skupiny KRITIS o jednotky rychlé reakce v případě velkých kybernetických incidentů je oprávněná. O tom, zda a jakou organizační formu takový dobrovolnický tým pro případ rozsáhlých incidentů nalezne, musí rozhodnout spolková vláda.“ Problém je tedy opět v otázce odpovědnosti.
Dalším řešením, které odborníci doporučují pro lepší ochranu před kybernetickými útoky, je myšlenka obecního CERT neboli Computer Emergency Response Team. Takové krizové týmy již existují pro různé úřady, firmy, federální vládu a pro spolkové země. Například o Sasko-Anhaltsko se stará CERT-Nord, který má na starosti také Šlesvicko-Holštýnsko, Hamburk a Brémy a poskytuje preventivní informace nebo reaguje v případě, že došlo k útoku. „Městský CERT by mohl fungovat jako pojistka,“ vysvětluje Manuel Atug z pracovní skupiny KRITIS, „a pokud by byla obec napadena, mohla by mít podporu tohoto obecního CERTu. I velmi malé obce, které by pak samozřejmě mohly být zlikvidovány, jsou skvěle chráněny.“
Podobné koncepty již existují v Severním Porýní-Vestfálsku, Porýní-Falci a Sársku. Pro Sasko-Anhaltsko zatím neexistují žádné konkrétní plány na zřízení obecního CERTu. Okres Anhalt-Bitterfeld chce zejména po předloňském kybernetickém útoku modernizovat svůj personál, říká správce okresu Andy Grabner: „Nyní zřizujeme samostatnou odbornou kancelář a určitě budeme potřebovat ještě jednu nebo dvě další.“
Kromě toho budou zavedena další bezpečnostní opatření v oblasti IT. S tím však půjde ruku v ruce i více omezení pro zaměstnance, vysvětluje IT úředník okresu Oliver Rumpf: „Například soukromé používání internetu během polední přestávky, to bude zrušeno. Uživatelé si již nebudou moci sami nic instalovat, což bylo dříve povoleno také proto, aby se ulevilo EDP a IT oddělení.“
V současné době Rumpf a jeho tým pracují na tom, aby do systému opět nacpali asi 160 speciálních programů, které jsou potřebné pro chod administrativy. Podle okresního správce Andyho Grabnera však bude zřejmě chvíli trvat, než bude vše fungovat. „Plně funkční budeme v dubnu či květnu 2023,“ odhaduje.
Od kybernetického útoku již uplynuly skoro dva roky. Pro Anhalt-Bitterfeld je to dobře investovaný čas, říká Oliver Rumpf, protože: „Útočníci jen čekají, až jim řekneme: Ahoj, jsme zpátky. A pak bude asi velmi zajímavé sledovat, kolik útoků na okres opět podniknou. A proto si musíme být jisti, že nebudeme riskovat. A rozhodně už nenecháme žádné mezery otevřené.
Armin Sandmann
Autor je spolupracovníkem redakce v Německu
Plzeňské drony slaví deset let
