V polovině letošního května zasáhl masivní kybernetický útok tzv. ransomwarem stovky tisíc počítačů v nejméně 150 zemích. Škodlivý software WannaCry tyto počítače zablokoval a za jejich odblokování žádal výkupné. Jaké to má souvislosti?

Na snímku Petr Budiš

Mnoho lidí má stále ještě jen mlhavou představu, co vlastně znamená výraz „kybernetický zločin“. Nebo nad tématem mávnou rukou s pocitem, že se jich to netýká. Kybernetický zločin ale může mít vážné dopady na každého z nás. A to nejen prostřednictvím ohrožení kritické infrastruktury a vyvoláním závažné celonárodní bezpečnostní situace. Kyberzločinci totiž mají zálusk na naše peníze. Ano, i na ty vaše. S rozvojem elektronického bankovnictví a finančních transakcí probíhajících online vzrůstá riziko, že se o naše účty a platby začne zajímat také nějaký ten hacker.

            Ke kybernetickým útokům dochází stále častěji a způsobují větší škody. Podle zprávy společnosti Symantec (Internet Security Threat Report) došlo v roce 2016 k masivnímu rozvoji kybernetických útoků, zahrnujícímu mnohamilionové virtuální přepadení bank. Bangladéšská centrální banka například přišla o více než 80 milionů dolarů, když útočníci využili slabé stránky zabezpečení, infiltrovali její síť a skrze systém SWIFT provedli podvodné transakce. Podle zprávy 2016 Financial Industry Cybersecurity Report společnosti SecurityScorecard, zabývající se vyhodnocováním bezpečnostních rizik, se v minulém roce kybernetický zločin stal druhou nejčastěji hlášenou formou hospodářské kriminality. Finanční instituce jsou jeho primárními cíli a je nutné, aby využívaly řešení pro odhalování slabin v reálném čase.

Lupiči nechodí s punčochou na hlavě

Vykrádání bankovních účtů se, podobně jako zločin obecně, čím dál více přesouvá do kyberprostoru. Loupeží provedených s punčochou na hlavě ubývá a čím dál více zlodějů usiluje o získání našich peněz (nebo obecně cenných dat) z dálky, pohodlně usazených nad klávesnicí počítače. Vykrádání bankovních kont a digitální loupeže citlivých dat jsou stále sofistikovanější, a kdo dnes tvrdí, že se ho ochrana elektronické komunikace netýká, měl by se zamyslet ještě jednou.

            „21. století přineslo prudký rozvoj bankovních služeb poskytovaných prostřednictvím elektronických médií a současně s tím se o bankovní sektor začali čím dál více zajímat kyberzločinci,“ vysvětlil Ing. Petr Budiš, Ph.D. MBA, předseda představenstva společnosti První certifikační autorita, lídra v oblasti bezpečnostních technologií a certifikačních autorit. „Jejich útoky jsou stále propracovanější a dnes se snadno můžete stát obětí virtuální krádeže kdekoli v dosahu internetového připojení. Než třeba v obchodním centru s wifi zaplatíte kartou za nákup, může být váš bankovní účet úspěšně vybílen.“

            Na konci minulého roku například postihla kybernetická loupež 20 000 běžných účtů britské Tesco Bank. A pokud se domníváte, že nejste-li boháči, riziko se vás netýká, bude pro vás asi zajímavé, že se podle mluvčího banky u jednotlivých účtů šlo o „relativně malé částky“.

Statistiky českému trhu chybí, i když data existují

Pokud byste chtěli získat detailnější přehled o tom, jak časté jsou hackerské útoky na bankovní účty a transakce, zjistíte, že souhrnná data a statistiky pro český trh nejsou, minimálně veřejně, dostupné. „Takovou statistiku zatím nevedeme, jde ale o tak citlivé údaje, že bychom je ani neposkytli,“ sdělila Denisa Všetíčková z odboru komunikace České národní banky. To potvrzuje i Česká bankovní asociace. Banky si z pochopitelných důvodů informace tohoto typu chrání.

            Ani Národní centrum kybernetické bezpečnosti Národního bezpečnostního úřadu neposkytuje žádné konkrétní údaje o subjektech, které spadají pod zákon o kybernetické bezpečnosti (181/2014 Sb.). Kybernetickou kriminalitu řeší Policie ČR, konkrétně Národní centrála proti organizovanému zločinu. Ani policie ovšem statistický přehled o kriminálních aktivitách tohoto typu nevede, byl by totiž podle vyjádření NCOZ nepřesný a zavádějící. To však ještě neznamená, že data neexistují. A trend co nejlepšího přehledu se neustále rozvíjí. „Do budoucna plánujeme nasadit systém SIKI – sdílení kybernetických bezpečnostních incidentů, který nyní prochází legislativním procesem. S touto právní úpravou, tedy povinností bank sdílet tyto informace, přichází novela zákona o bankách. Informace z tohoto systému ovšem nebudou veřejné. Budou dostupné bankám, pobočkám zahraničních bank a ČNB,“ upřesnila Denisa Všetíčková.

            Na zabezpečení bankovních účtů, online plateb a všech informací přenášených po síti je logicky kladen stále větší důraz. Evropská unie například již v září roku 2014 vydala nařízení č. 910/2014 o elektronické identifikaci a důvěryhodných službách pro elektronické transakce na vnitřním evropském trhu (eIDAS). Účinné je od loňského léta a jednotlivá ustanovení budou nabývat účinnosti postupně v průběhu dvou let.

            Na začátku minulého roku pak vstoupila v platnost nová směrnice o platebních službách na vnitřním trhu (PSD 2), kterou členské státy mají implementovat do národní legislativy do dvou let. Má přinést větší výběr a transparentnost platebních služeb, zefektivnit platební systém a zvýšit bezpečnost elektronických plateb a posílit ochranu spotřebitele.

            „Regulatorní požadavky splníme v termínech daných regulací. Pracujeme také na nových službách, které regulace umožní. Nové služby musí být velmi jednoduché. Uspět mohou jen takové, které nezatíží klienta,“ komentovala fakta tisková mluvčí ČSOB Pavla Hávová.

            Ing. Petr Budiš z I.CA hodnotí přístup ČSOB k odpovědnosti v oblasti elektronické bezpečnosti pozitivně a zdůrazňuje nutnost toho, aby banky byly v souladu s platnou legislativou související s elektronickým transakcemi. „Zákazníci chtějí obvykle především pohodlný produkt, a to může vytvářet tlak na banky, aby činily kompromisy na úkor bezpečnosti,“ varoval.

Pohodlí není všechno

Ochrana elektronické komunikace přitom pro běžného zákazníka nemusí být nijak zásadně omezující nebo příliš komplikovaná. Někdy právě naopak a přináší jen výhody, jako například z nařízení eIDAS vyplývající zrovnoprávnění papírového dokumentu s klasickým podpisem a elektronického dokumentu s takzvaným kvalifikovaným elektronickým podpisem.

            „Některé banky mají odpovědnější přístup než jiné,“ dodal Ing. Petr Budiš. „Používají moderní technologie a neupřednostňují v rizikové míře uživatelský komfort před bezpečností.“ Například právě ČSOB, jíž je První certifikační autorita, a.s. dlouholetým partnerem v záležitostech spojených s autentizací a autorizací v oblasti elektronického bankovnictví, klade velký důraz jak na odpovědné chování uživatele, tak na vhodné hardwarové a softwarové vybavení. Pavla Hávová potvrdila, že spolupráce mezi bankou a I.CA se i nadále bude ještě prohlubovat.

            Jak je vidno, i přes stále známější rizika a stoupající počet incidentů, mezi klienty bank stále převládá tendence upřednostňovat uživatelský komfort před bezpečností. Máme pocit, že o zabezpečení se má přeci starat banka a ochranná opatření vnímáme často jako zbytečná a otravná. A finanční instituce, jejichž obchodní strategie se samozřejmě řídí poptávkou, tak často volí kompromisní řešení. Bohužel mnohdy na úkor bezpečnosti.

            Nepřipouštět si svůj podíl na odpovědnosti je zrádné. Jsou to přeci koneckonců naše peníze, a je tedy naším zájmem, aby byly v bezpečí před potenciální útoky kyberzločinců. „Když si pojistíte byt, také nepřestanete zamykat dveře,“ řekl Petr Budiš. Prvním krokem k maximální ochraně našich bankovních účtů je volit takové finanční instituce, které kladou důraz na bezpečnost. Zodpovědné banky se důsledně řídí platnou legislativou a používají moderní technologie pro ověření autentizačních mechanizmů jako jsou elektronické podpisy, kvalifikované digitální certifikáty, elektronické pečeti a časová razítka, v nejvyšších dostupných standardech.

            Sebeodpovědnější přístup banky však může přijít vniveč, pokud my sami, jakožto její klienti, nebudeme respektovat hlavní principy bezpečnosti elektronické komunikace. „Aby byla komunikace s vaší bankou opravdu bezpečná, je nezbytné věnovat péči dvěma oblastem. Jednou z nich jsou technologie, nebo jednodušeji hardwarové a softwarové vybavení, a druhou je chování uživatele,“ upozornil Petr Vosála, manažer bezpečnosti elektronických kanálů ČSOB. „I ty nejmodernější technologie mají slabý článek. Tím je nezodpovědný uživatel,“ dodal a zdůraznil nutnost být při komunikaci s bankou obezřetný.

            Hackeři používají celou, neustále se obměňující a rozšiřující řadu nástrojů, kterými se pokouší získat vaše citlivá data, a dostat se tak k vašim penězům. Například při takzvaném „farmaření“ je cílem přesměrovat oběť kybernetického útoku na škodlivou webovou stránku, která vypadá jako legitimní obsah. Tedy například napodobuje webovou stránku vaší banky nebo přímo přihlašovací stránku do internetového bankovnictví.

Buďme pozorní a ostražití

Rozlišit podvodný e-mail od legitimní zprávy banky není těžké – stačí dávat pozor a respektovat bezpečnostní pravidla. „Zpráva od banky by vždy měla být elektronicky podepsaná, a ne anonymní,“ připomenul Petr Budiš. Rozhodně je pak zcela zbytečnou neopatrností otevírat jakékoli podezřelé e-mailové zprávy nebo dokonce jejich přílohy. Ty mohou obsahovat různý škodlivý software, který útočníkovi pomůže dostat se k vašim důležitým datům nebo přímo ovládnout váš počítač. Citlivé informace se navíc mohou hackeři pokusit získat i mimo kyberprostor, například po telefonu. „Hackerský útok není jen útok na IT systém, ale útok na informace,“ varoval renomovaný soukromý poradce v oblasti bezpečnosti Gen. Ing. Andor Šándor (v záloze). „Nezapomínejte, že ani po telefonu ani jiným způsobem nejste povinni sdělovat nějaké informace jen proto, že se někdo ptá. Buďte opatrní na své soukromí. Když vám někdo cizí zazvoní u dveří, tak ho hned nepozvete dál, tak proč byste otevírali pomyslné dveře v IT komunikaci?“

            V minulém roce přišel německý koncern Leoni o přibližně 40 milionů eur kvůli sofistikovanému útoku, cílícímu právě na největší bezpečnostní slabinu každého systému – člověka. Finanční ředitelka rumunské pobočky byla oklamána a sama provedla převod peněz v domnění, že následuje instrukce vedení.

            „Úspěch hackerů závisí na slabinách těch, na které útočí. Klíčová je slabost zevnitř,“ podotkl Andor Šándor. Ochrana před kybernetickým zločinem musí být samozřejmě systémová, ale nesmíme zapomínat ani na odpovědnost jednotlivce. A to nejen klienta, ale každého, kdo je do procesu zapojen. „Je přirozené, že chceme nakládat se svými penězi co nejpohodlněji,“ souhlasí Petr Budiš. „Pokud ale budeme nadále vytvářet v bankovním sektoru poptávku především po pohodlných produktech, bude jejich bezpečnostní stránka trpět.

Helena Šebestová