Právě takovémuto simulovanému napadení čelilo přednedávnem i všech sedm stovek zaměstnanců krajského úřadu. Bez varování či předchozího upozornění – jako při opravdovém kybernetickém útoku, za nímž stojí někdo se zlými úmysly.

Architekt kyberbezpečnosti Petr Staněk potvrzuje, že v rámci testu byl spuštěn cvičný útok. S cílem zjistit, jak velký podíl pracovníků se nechá nachytat – a v případě, že by nešlo o simulaci, ale opravdu o počínání někoho s nekalými úmysly, otevře útočníkovi cestu do elektronických systémů zaměstnavatele.

Úspěch? Když odolá 50 procent

Výsledky jako „očekávané“ označil vedoucí odboru bezpečnosti a krizového řízení Roman Sviták. Konkrétní čísla ale neuvedl. „Někteří pak přiznávali, že klikli i ze zvědavosti, co se za tím skrývá,“ konstatoval. A ukázalo se, že test přinesl konkrétní výsledek: přispět ke zvýšení ostražitosti. „Když pak kolega rozesílal anonymní dotazník, někteří pracovníci volali, aby si ověřili, jestli je to v pořádku,“ připomněl Sviták. Dotazovali se, jestli to zase není nějaká „nachytávka“ – nebo přímo něco podezřelého.

Ilustrační foto
Lze vypnout internet v celém Česku? Kouzelné červené tlačítko není, hlásí úřady

Deníku Sviták řekl, že pokud při takovýchto testech, jež se označují jako penetrační, „selže“ méně než polovina zaměstnanců, považuje se to za dobrý výsledek. I v tomto případě bylo cílem předstíraného útoku zjistit situaci – a následně reagovat tak, aby se počínání zaměstnanců posunulo směrem k větší bezpečnosti a oni byli opatrnější. Jak? To se u bezpečnostních řešení neprozrazuje. „Prostě přijmout patřičná opatření podle zjištěného stavu,“ konstatoval Sviták.

V pravou chvíli – a hlavně nakvap

Test zacílený na úředníky předstíral sofistikovaný útok, připomněla hejtmanka Petra Pecková (STAN). „Přímo z našich řad,“ upřesnila, že cílem bylo ověřit, jak budou zaměstnanci reagovat na e-mail tvářící se jako vnitrofiremní: rozesílaný v rámci úřadu. Poslat takovouto předstíranou zprávu, která se tváří jako sdělení od někoho, o jehož důvěryhodnosti netřeba pochybovat, většinou pro zkušenějšího útočníka nepředstavuje vážnější problém.

Test na krajském úřadu podle Svitákových slov zkopíroval skutečný hackerský útok, kterému jistá společnost skutečně podlehla. Architekt kyberbezpečnosti Staněk upřesnil, že se zde spojilo několik faktorů: zdání důvěryhodnosti s přesnou načasovaností a jistým nátlakem; přesněji pocitem časové tísně. Konkrétně? Týden před výplatou dostali zaměstnanci úkol rychle vyplnit do excelové tabulky citlivé údaje…

Hacker - Ilustrační foto
Účet za kyberútok na benešovskou nemocnici kraj platí i dva roky po napadení

Pokud jde o kybernetickou bezpečnost krajských nemocnic – a vzpomínky na malér v Benešově zdaleka nevymizely – i tam se dělá řada opatření, z nichž mnohá nejsou na první pohled vidět; připraveny jsou také plány případného postupu a s větší důsledností se dbá na nákup technických zařízení, která pomohou posílit ochranu.

Zaměstnanci se třeba mohou setkávat se školeními – ale například i s novou úrovní zabezpečení přístupů. Minulostí by tak měla být třeba praxe, kdy se do počítače na oddělení přihlašovaly všechny sestřičky stejným heslem (které případně ještě „pro jistotu“ mohlo být nalepené na monitoru).