V poslední době jsme byli svědky dvou mimořádně velkých útoků na dodavatelský řetězec. Koncem loňského roku se objevil útok Sunburst cílící na rodinu produktů Orion firmy Solarwinds. V červenci se pak jednalo o útok REvil, jenž napadl produkt VSA firmy Kaseya. Pirátský expert na kyberbezpečnost a kandidát do Poslanecké sněmovny Michal Marciniszyn se proto rozhodl napsat krátký komentář k závažnosti této situace.
Útok na dodavatelský řetězec je akce, při níž necílíte na svou oběť přímo, ale využijete k útoku produkt třetí strany, který vámi zamýšlená oběť užívá. Samotný dodavatel pak nemusí být napadením vůbec postižen. Tyto útoky odhalují velkou nezralost celého IT odvětví, kdy lze říct, že absence standardů a certifikací ohrožuje každého z nás. Současné útoky lze totiž označit jako jedny z největších událostí v oblasti kyberbezpečnosti za celou dobu existence virtuálního světa počítačů.
V případě Sunburstu šlo o proniknutí dovnitř společnosti Solarwinds a následnou instalaci vlastního kódu za účelem útoku na infrastrukturu jejich zákazníků. V průběhu činnosti nikdy nebylo požadováno žádné výkupné. Tento fakt velmi silně naznačuje, že se jednalo o státního aktéra, pravděpodobně o některou z ruských výzvědných služeb. Oproti tomu v případě útoku REvil bylo využito slabé místo v produktu VSA, který využívají menší IT firmy ke správě infrastruktury a dohledu na ni u svých zákazníků. Jednání aktéra v tomto případě naznačuje spíše kyberzločin, než koordinovanou činnost státních složek. Důvodem pro toto tvrzení je zašifrování disků u zákazníků a žádost o výkupné.
Co mají oba útoky společné, je demonstrace nezralosti celého odvětví. Věřím, že každý z čtenářů se již někdy setkal s nutností odsouhlasit licenční ujednání softwarového produktu. Obvykle se v něm dočtete, že výrobce není odpovědný za nic, či skoro vůbec za nic. To je nutné změnit a nastavit taková pravidla, aby více vystihovala aktuální situaci a lépe řešila odpovědnost za potenciální rizikové situace na straně dodavatele. V dnešním světě navíc kvůli kyberútokům přicházíme o obrovské peníze, případně mohou kyberútoky zavinit i ohrožení životů.
Dalším problémem je neexistence důvěryhodných certifikací softwaru. Zatímco většina inženýrských výrobků musí odpovídat homologaci a základním požadavkům na bezpečnost, u software je situace v oblasti kontroly kvality nezávislým arbitrem tristní. Zákazníci jsou nuceni kupovat zajíce v pytli a mnohdy opravdu neví, zda je software bezpečný a co všechno dělá.
Naštěstí se blýská na lepší časy. V EU běží diskuze, jež by měla vést k základní bezpečnostní certifikaci softwaru a hardwaru užívaného v kritické infrastruktuře. Bohužel, pro běžné zákazníky se tím zatím tolik nemění a budeme si muset ještě počkat, než IT odvětví po této stránce dospěje. Pro nastavení rozumných certifikací, jež ochrání právě nás, zákazníky, je však nutné společné úsilí legislativců a firem.
Česká republika disponuje skvělými IT odborníky, ale stát v digitalizaci, bezpečnosti a prevenci na síti zcela zaostává. Mnozí občané se tak nevědomky vystavují kybernetickým rizikům, aniž by byli poučeni, co v takové situaci dělat. Za svůj hlavní cíl v Poslanecké sněmovně považuji právě zvýšení kybernetické bezpečnosti státu, občanů a firem. V současné době spolupracuji s pirátskou europoslankyní Markétou Gregorovou, která je zpravodajkou nové směrnice o kyberbezpečnosti EU. Zahájili jsme tak koordinované úsilí legislativců a pomyslný míč je teď na straně firem.
Michal Marciniszyn{:target="_blank"}