Nové prostředky kybernetické války Bakalářská práce

(1)

Vysoká škola regionálního rozvoje a Bankovní institut – AMBIS Katedra bezpečnosti a práva

Nové prostředky kybernetické války

Bakalářská práce

Autor: Michal Kopečný

Bezpečnostní management v regionech Vedoucí práce: Ing. Vladimír Šulc, Ph.D.

Praha 2020

(2)

Prohlášení

Prohlašuji, že jsem bakalářskou práci zpracoval samostatně a v seznamu uvedl veškerou použitou literaturu.

Svým podpisem stvrzuji, že odevzdaná elektronická podoba práce je identická s její tištěnou verzí, a jsem seznámen se skutečností, že se práce bude archivovat v knihovně VŠ AMBIS a dále bude zpřístupněna třetím osobám prostřednictvím interní databáze elektronických vysokoškolských prací.

V Praze dne 20. 3. 2020 Michal Kopečný

(3)

Poděkování

Rád bych tímto poděkoval panu inženýru Václavu Šulcovi za odborné vedení, cenné rady a trpělivost při tvorbě této práce a paní magistře Jitce Pourové za jazykovou korekturu. Mé poděkování také patří všem ostatním vyučujícím vysoké školy Ambis, protože každý z nich byl pro mne inspirací.

(4)

Zadání práce

Zde vložíte (nahraďte tuto stránku) originál podepsaného zadání vaší závěrečné práce.

(5)

Anotace

Práce předkládá přehled o hrozbách a prostředcích kybernetických útoků a zainteresovaných aktérech, a to včetně pravděpodobných trendů budoucího vývoje v této oblasti s výhledem do roku 2025. K predikci vývoje zkoumá významné nastupující technologie, tedy IoT (internet věcí), 5G sítě (pátá generace mobilních sítí), kvantové počítače, AI (umělá inteligence) a drony.

Práce u těchto technologií posuzuje jejich dopad na kybernetickou bezpečnost a jejich roli v případném kybernetickém konfliktu. U některých vybraných technologií je dále provedena podrobnější analýza metodou SWOT.

Klíčová slova

kybernetická bezpečnost, kybernetická válka, IoT, 5G, kvantové počítače, AI, drony, SWOT

Annotation

The thesis presents an overview of threats and means of cyberattacks and stakeholders, including probable trends of future development in this area with an outlook to 2025. To predict the future development the thesis examines important emerging technologies, namely IoT (Internet of things), 5G networks (fifth generation of mobile networks), quantum computers, AI (artificial intelligence) and drones. The thesis assesses impact of these technologies on cyber security and their role in a potential cyber conflict. In some selected cases thesis also provides a more detailed analysis by the SWOT method.

Keywords

cyber security, cyber warfare, IoT, 5G, quantum computers, AI, drones, SWOT

(6)

6

Obsah

Akronymy a zkratky ... 9

Úvod ... 11

Teoretická část ... 13

1. Vymezení základních pojmů ... 13

1.1 Použité metody ... 13

1.1.. Studium a analýza dokumentů ... 13

1.1.. SWOT analýza ... 13

1.2 Teoretický rámec kybernetické války a kybernetické bezpečnosti ... 13

1.2.1 Tradiční a hybridní válka ... 13

1.2.2 Kybernetická válka, kyberterorismus a kybernetické zbraně ... 15

1.2.3 Aktéři ve válečném a kybernetickém konfliktu ... 17

1.2.4 Cíle kybernetických útoků ... 17

1.2.5 Kybernetická bezpečnost a kybernetická obrana... 18

1.2.6 Vývoj kybernetické bezpečnosti a obrany v NATO a České republice ... 19

2. Nejběžnější prostředky kybernetických útoků, jejich cíle a hlavní aktéři ... 22

2.1 Plošné a cílené útoky ... 22

2.1.1 Plošné útoky ... 22

2.1.2 Cílené útoky a APT (Advanced Persistent Threat) ... 22

2.2 Malware ... 23

2.2.1 Attack/hybrid frameworks ... 24

2.2.2 Ransomware a wipers ... 25

2.2.3 Worms (červy) ... 26

2.2.4 Trojans (trojské koně) ... 27

2.2.5 Rootkits ... 28

2.2.6 Botnets ... 29

2.3 Backdoors (zadní vrátka) ... 30

2.4 (D)DoS ... 31

2.5 Faktory ovlivňující úspěšnost útoku ... 32

(7)

7

2.5.1 Lidský/organizační faktor ... 32

2.5.2 Chyby a vlastnosti softwaru a hardwaru ... 33

Shrnutí teoretické části ... 34

Praktická část ... 36

3. Metodologie výzkumu ... 36

3.1 Výběr dat ... 36

3.2 Cíl výzkumu ... 37

4. Nové prostředky kybernetické války ... 38

4.1 IoT (internet věcí)... 38

4.1.1 Charakteristika ... 38

4.1.2 Význam v kybernetickém konfliktu ... 39

4.1.3 SWOT analýza ... 39

4.1.4 Vyhodnocení zkoumané technologie s výhledem do roku 2025 ... 41

4.2 5G sítě ... 41

4.3 Kvantové počítače ... 44

4.4 AI (umělá inteligence) ... 46

4.5 Drony (vyjmuto z obecnějšího celku autonomních systémů) ... 50

(8)

8

5. Výsledky výzkumu ... 55

6. Závěr bakalářské práce ... 56

7. Použitá literatura ... 59

(9)

9

Akronymy a zkratky

AI artificial intelligence umělá inteligence

AGI artificial general intelligence slabá umělá inteligence

ANI artificial narrow intelligence obecná umělá inteligence

ANN artificial neural networks umělé neuronové sítě

APT advanced persistent threat pokročilé trvalé hrozby

CCDCOE Cooperative Cyber Defence Centre of Excellence

Centrum výjimečnosti NATO pro kybernetickou obranu

CSIRT computer security incident response team

reakční tým pro počítačové bezpečnostní incidenty

DoS denial-of-service odmítnutí služby

DDoS distributed denial-of-service distribuované odmítnutí služby

DL deep learning hluboké učení

EU European Union Evropská unie

IoT internet of things internet věcí

KI kritická infrastruktura

(10)

10

ML machine learning strojové učení

NATO North Atlantic Treaty Organization

Organizace Severoatlantické smlouvy

NÚKIB Národní úřad pro kybernetickou

a informační bezpečnost

(11)

11

Úvod

V červenci roku 2016 NATO uznalo kybernetický prostor za pátou dimenzi konfliktu a potvrdilo potřebu účinné obrany v této oblasti. Reagovalo tak na nárůst kybernetických hrozeb a útoků v souvislosti s rapidním rozvojem technologií a vlivem globální propojenosti.

Tento krok NATO byl nepochybně ovlivněn i aktivitami Ruska na Ukrajině při anexi Krymu v roce 2014. Je to právě Rusko, které je spojováno s novou generací válčení kombinující hybridní a kybernetické prvky.

Rusko ale rozhodně není jediný státní aktér aktivní v kybernetickém prostoru. USA a Izrael se již roky angažují v kybernetických konfliktech s Iránem a tento střet dal také vzniknout jedné z nejslavnějších kybernetických zbraní – počítačovému červu Stuxnet, který v letech 2009 až 2010 významně ovlivnil íránský jaderný program.

Na vzestupu je i kybernetická špionáž, kde je patrná participace Číny, USA a dalších technologicky vyspělých států. V této souvislosti je i u nás známa kauza kolem čínské telekomunikační firmy Huawei, která byla západními zeměmi obviněna ze špionáže.

Podobnému obvinění ostatně před časem čelila i ruská firma Kaspersky Lab, známá svými antivirovými nástroji.

Kybernetický prostor ale není jen doménou státních aktérů. Existují zločinecké skupiny a organizace, pro které jsou počítačové útoky denním chlebem a snadným zdrojem příjmů. Rok 2019 byl ostatně rokem ve znamení ransomwaru, kdy se útočníkům u nás i ve světě podařilo úspěšně kompromitovat systémy státních úřadů, nemocnic a dalších firem a organizací.

Kybernetické útoky tedy nejsou jen nějakým teoretickým strašákem, ale velmi reálnou a aktuální hrozbou. Lze tedy očekávat, že jakýkoliv současný či budoucí mezinárodní válečný spor bude zahrnovat i konfrontaci v kybernetickém prostoru.

Tato práce se zaměřuje na konflikt v kyberprostoru, stávající a nastupující prostředky a hrozby tohoto konfliktu a zainteresované aktéry.

Práce je rozdělena do šesti hlavních částí. První kapitola definuje použité metody práce a předkládá teoretický rámec kybernetické války a kybernetické bezpečnosti. Jsou zde také uvedeny definice klíčových termínů nezbytných pro potřebu této práce. Druhá kapitola charakterizuje nejběžnější prostředky kybernetických útoků, jejich cíle a hlavní aktéry. Třetí kapitola vymezuje cíle výzkumu a výzkumné otázky. Čtvrtá kapitola využívá získaných poznatků k prognostice využití nových a nastupujících technologií v kybernetické válce,

(12)

12 u vybraných prostředků pak provádí podrobnější analýzu pomocí metody SWOT. V páté kapitole jsou sumarizovány výsledky výzkumu. Závěr práce a celkové shrnutí následuje v kapitole šesté.

Výstupem práce by měl být ucelený přehled o hrozbách a prostředcích kybernetických útoků a zainteresovaných aktérech, a to včetně pravděpodobných trendů budoucího vývoje v této oblasti s výhledem do roku 2025.

(13)

13

Teoretická část

1. Vymezení základních pojmů

1.1 Použité metody

1.1.1 Studium a analýza dokumentů

Hlavní vědeckou metodou využitou v této práci je studium a analýza dokumentů. Práce čerpá jak z publikované odborné literatury, tak z odborných médií, využívá dokumenty a statistiky bezpečnostních firem a organizací a jiné veřejně dostupné zdroje.

1.1.2 SWOT analýza

Práce k podrobnější analýze vybraných technologií využívá expertní analytickou metodu SWOT (Strenghts, Weaknesses, Opportunities, Threats). Ta byla zvolena pro svou univerzálnost, snadnost užití a dostatečnou výpovědní hodnotu.

1.2 Teoretický rámec kybernetické války a kybernetické bezpečnosti

S rozvojem a nástupem nových technologií dochází nejen ke změnám v lidské společnosti, ale také v chápání a vedení konfliktů a válek. S ohledem na tento vývoj je proto nezbytné definovat některé hlavní termíny a koncepty.

1.2.1 Tradiční a hybridní válka

Termín válka je sám o sobě značně široký pojem, protože i válka prochází historickým vývojem a lze na ni nahlížet různým způsobem ‒ např. z hlediska politického, ekonomického, psychologického, sociálního apod. Existuje tedy i celá řada definic tohoto termínu. Nelze nezmínit jednu z nejznámějších, pocházející z pera pruského generála a válečného teoretika Carla von Clausewitze, který napsal, že „Válka je jen pokračování politiky jinými prostředky.“

(14)

14 (Clausewitz 2006). Ve svém díle Ve válce dále dodává, že „válka je tedy násilným činem, jehož cílem je přimět našeho oponenta k naplnění naší vůle“ (Clausewitz 2006).

Podobným způsobem válku vnímají i McCulloh a Johnson, kteří ji obecně definují jako

„organizovaný konflikt mezi ozbrojenými státy, národy nebo jinými stranami v určitém období, k dosažení požadovaného politického/ideologického cílového stavu“ (McCulloh 2013, s. 182).

Oponenty v tradičním pojetí války pak chápou jako „vojenské organizace, jejichž chování je v souladu s vnitrostátními nebo mezinárodními zákony, pravidly, normami nebo zvyklostmi a jejichž zbraňové systémy a vybavení odpovídají obecně přijímanému standardu“ (McCulloh 2013, s. 104).

V definici NATO je tradiční válka popsána jako „konflikt, ve kterém se angažují konvenční, oficiálně státem zvolení aktéři a používají se konvenční taktiky a činnosti, přičemž dochází k respektování mezinárodních smluv, úmluv a zákonů“ (Richterová 2015, s. 4).

Pro potřeby této práce konvenční válku chápeme jako násilný, územně definovaný konflikt státních aktérů vedený běžnými vojenskými prostředky, taktikami a činnostmi. Jedná se tedy o definici, která zahrnuje většinu mezinárodních ozbrojených konfliktů 20. století.

Z přechozích definic vyplývá, že vhodným ilustračním příkladem tradičního konfliktu mohou být např. 1. a 2. světová válka.

Spojení hybridní válka (pro účely této práce volně zaměnitelné s termínem hybridní hrozba) se do podvědomí veřejnosti dostalo zejména v souvislosti s rusko-ukrajinskou krizí a následnou anexí Krymu Ruskou federací v roce 2014. V nejjednodušším pojetí se jedná o konflikt kombinující v sobě prvky konvenční/nekonvenční, pravidelné/nepravidelné a informační a kybernetické války (Puyvelde 2015). Nejedná se v žádném případě o nový koncept, hybridní konflikty lze datovat až do starověku. Aspekty hybridní války mělo například již první židovské povstání proti Římu, označované též jako první židovská válka, v roce 66 n. l. (McCulloh 2013, s. 121). I trojského koně z řecké mytologie lze chápat jako hybridní element. V moderní historii pak lze za hybridní konflikt považovat např. válku mezi Hizballáhem a Izraelem v roce 2006, konflikt v Iráku a Sýrii v roce 2013 a zejména pak již zmiňovanou anexi Krymu z roku 2014 (Andreas 2015, s. 3). Jedná se tedy o tak obecný termín, že se Puyvelde přímo v titulku svého článku Hybridní válka — existuje vůbec? zamýšlí nad tím, zda užití tohoto termínu není spíše matoucí a zavádějící, „protože prakticky každou hrozbu lze považovat za hybridní, pokud se neomezuje jen na jednu formu nebo dimenzí útoku“

(Puyvelde 2015).

(15)

15 NATO definuje hybridní hrozby tak, že „kombinují vojenské a nevojenské i skryté a zjevné prostředky, včetně dezinformací, kybernetických útoků, ekonomického tlaku, rozmístění nepravidelných ozbrojených skupin a použití pravidelných sil. Hybridní metody se používají k rozostření linií mezi válkou a mírem a pokusu o šíření pochybností v mysli cílové populace“ (NATO’s response to hybrid threats 2019). Ačkoliv se i z pohledu NATO jedná o již známé techniky boje, za nové považuje zejména narůstající rychlost, rozsah a intenzitu hybridních útoků, a to díky rapidnímu technologickému rozvoji a globální propojenosti (NATO’s response to hybrid threats 2019).

Pro potřeby této práce hybridní válku definujeme jako konflikt, který kombinuje konvenční a nekonvenční prostředky útoků působících ve vzájemné synergii a přesahuje z klasického územně definovaného bojiště i do dalších oblastí lidské činnosti včetně kybernetického prostoru.

1.2.2 Kybernetická válka, kyberterorismus a kybernetické zbraně

Výkladový slovník kybernetické bezpečnosti definuje kybernetickou válku jako „použití počítačů a Internetu k vedení války v kybernetickém prostoru. Soubor rozsáhlých, často politicky či strategicky motivovaných, souvisejících a vzájemně vyvolaných organizovaných kybernetických útoků a protiútoků“ (Jirásek 2015, s. 70). Jirásek tak vnímá kybernetickou válku jako samostatnou událost odehrávající se v delším časovém úseku a s participací více oponentů formou akce a reakce. Ačkoliv je to samozřejmě možný scénář, je třeba zvážit i asymetrickou variantu kybernetické války, kdy některý ze zúčastněných nemusí mít prostředky a technologie k protiútoku. Lze si také představit situaci, kdy je již jeden útok natolik razantní, že oponent pozbývá schopnosti reakce. Kybernetická válka tak v minimalistické formě může mít podobu jen jediného kybernetického útoku. Může dojít i k situaci, kdy si cíl útoku ani nemusí uvědomovat, že je na něj útočeno, případně není schopen odhalit identitu útočníka.

Kybernetický konflikt může být dále kombinován s jinými prostředky boje, a stává se tak součástí hybridní války. Lze si také představit scénář, v němž kybernetický útok bude spouštěčem konvenční vojenské reakce.

Je třeba rozlišovat mezi kybernetickou válkou a kyberterorismem. Zatímco kybernetická válka předpokládá angažovanost státních aktérů, kyberterorismus je chápán jako akt teroristických organizací či jiných nestátních skupin a jednotlivců. Podle Jiráska je kyberterorismus „trestná činnost páchaná za primárního využití či cílení prostředků IT s cílem

(16)

16 vyvolat strach či neadekvátní reakci. Používá se nejčastěji v kontextu extremisticky, nacionalisticky a politicky motivovaných útoků“ (Jirásek 2015, s. 71).

Kybernetický konflikt se odehrává v kybernetickém prostoru, který Jirásek definuje jako

„digitální prostředí umožňující vznik, zpracování a výměnu informací, tvořené informačními systémy a službami a sítěmi elektronických komunikací“ (Jirásek 2015, s. 70). Do kyberprostoru tedy spadá i největší globální síť — internet.

Vnímání kybernetického prostoru a kybernetického konfliktu může svádět k představě čehosi virtuálního a abstraktního, nemajícího přesah do reálného světa. Tato úvaha je samozřejmě zcela mylná. Ministerstvo obrany ČR publikovalo překlad článku z NATO Review Jak čelit kybernetické válce (Shimeall 2002), kde se předpokládá, že „kybernetický boj bude téměř určitě mít zcela reálný fyzický dopad“. Dle autorů lze očekávat různé úrovně kybernetického konfliktu, kdy „tři nejvýraznější z nich představuje kybernetická válka jako doplněk vojenských operací, omezená kybernetická válka a neomezená kybernetická válka“.

Zejména neomezená kybernetická kampaň cílená na důležitou celostátní infrastrukturu by pravděpodobně vedla k významným ztrátám na životech i k výraznému zhoršení ekonomické a sociální situace (Shimeall 2002).

V kontextu kybernetické války je také třeba definovat kybernetické zbraně, tedy vlastní prostředky kybernetického konfliktu. Mele (2014) ve svém pojednání Právní úvahy o kybernetických zbraních a jejich definici používá tuto definici: „Část zařízení, zařízení nebo jakékoli počítačové instrukce použité v konfliktu mezi státními a nestátními aktéry za účelem způsobení (přímo či jinak) fyzické újmy předmětům nebo osobám, nebo sabotáže a/nebo přímého poškození informačních systémů citlivého cíle napadeného subjektu.“ (Mele 2014, s. 58) Mele (2014) dále rozlišuje i kontext, účel a způsob útoku, kdy tyto atributy využívá k oddělení politicky motivovaných útoků a zločineckých aktivit nebo aktu špionáže. Hlavním důvodem tohoto rozlišení je předpoklad, že kriminální činnost a špionáž by samy o sobě neměly být spouštěčem mezinárodního válečného konfliktu (Mele 2014, s. 56).

S takto formulovanou definicí lze souhlasit, a je tedy třeba kybernetickou špionáž a kybernetický zločin posuzovat zvlášť, byť lze namítat, že špionáž může být podpůrným prostředkem pro případný kybernetický útok či válku a počítačová kriminalita může sloužit k financování kybernetických konfliktů. Přesto je nelze vnímat jako samostatné a plnohodnotné prostředky a projevy kybernetické války.

(17)

17 Pro účely této práce také nebudeme rozlišovat mezi kybernetickým útokem a kybernetickou válkou, protože použité prostředky útoku považujeme za totožné, byť se mohou lišit intenzitou a délkou trvání.

1.2.3 Aktéři ve válečném a kybernetickém konfliktu

V každém válečném konfliktu se angažují minimálně dva oponenti. Zatímco konvenční válka se týká zejména oficiálních státních aktérů, v případě hybridních konfliktů dochází k posunu a aktivními aktéry se stávají i nestátní složky jako milice, nadnárodní zločinecké organizace nebo teroristické sítě. Tito nestátní aktéři jsou v mnoha případech podporováni jedním nebo více státy, ve vztahu sponzor ‒ klient nebo proxy (Andreas 2015, s. 2). V kybernetickém prostoru se pak kromě hybridních aktérů mohou angažovat i nezávislí jednotlivci či malé skupiny. Z pohledu kybernetické války nicméně zůstávají nejdůležitějšími hráči státní nebo státy sponzorovaní aktéři.

Obecně lze říci, že čím technologicky vyspělejší stát, tím významnějším je hráčem v kybernetickém prostoru. Na špici tak v současnosti zůstávají USA těsně následované Čínou a Ruskem. Za významné kybernetické mocnosti lze také považovat zejména Izrael a s mírným odstupem i Velkou Británii, která v poslední době navyšuje svůj kybernetický arzenál.

Výhledově by se jí mohla stát i Indie, za černé koně lze pak považovat Severní Koreu a Irán.

Pro některé sofistikované kybernetické útoky také platí, že je u nich v řadě případů prakticky nemožné zjistit identitu či motiv útočníka. Může tak například nastat situace, kdy nelze jednoznačně rozlišit, zda se jedná o kybernetický útok státního aktéra, nebo akt kyberterorismu provedený teroristickou skupinou. O příslušnosti útočníka se tak lze jen dohadovat na základě sofistikovanosti útoku, jeho intenzitě a cíli.

1.2.4 Cíle kybernetických útoků

Cílem kybernetického útoku se může stát jakékoliv zařízení nebo služba (asset) participující v kybernetickém prostoru, a to jak přímo, tak nepřímo. Příkladem přímého participanta může být například síťové zařízení typu router nebo firewall nebo také internetová stránka vládního úřadu – tyto prvky v rámci kybernetického prostoru přímo a záměrně poskytují nějakou službu či konají nějakou požadovanou činnost. Výpadek takového prvku nebo získání kontroly nad ním však může ovlivnit i další zařízení a služby, které do kybernetického prostoru samy cíleně

(18)

18 nepřistupují – např. restart síťového prvku může způsobit výpadek interní komunikace v organizaci nebo odpojení pobočky, kompromitovaný desktop PC operátora může být použit k útoku na výrobní linku ve firmě apod.

Lze očekávat, že v případě kybernetické války budou cíle záměrně voleny tak, aby napadenému jejich výpadky či zničení způsobily maximální možné škody. Do této kategorie patří zejména prvky kritické infrastruktury.

Kritickou infrastrukturou (KI) se dle zákona č. 240/2000 Sb., o krizovém řízení a o změně některých zákonů (krizový zákon), rozumí prvek kritické infrastruktury nebo systém prvků kritické infrastruktury, jehož narušení by mělo závažný dopad na bezpečnost státu, zabezpečení základních životních potřeb obyvatelstva, zdraví osob nebo ekonomiku státu.

Provozovatelem prvků KI jsou státní instituce nebo soukromé subjekty (Ochrana kritické infrastruktury 2019). V případě KI, jejíž narušení by mělo dopad i na další členský stát Evropské unie, hovoříme o evropské kritické infrastruktuře (EKI). Dle odvětvových kritérií se pak prvky KI dělí do následujících oblastí:

• Energetika

• Vodní hospodářství

• Potravinářství a zemědělství

• Zdravotnictví

• Doprava

• Komunikační a informační systémy

• Finanční trh a měna

• Nouzové služby

• Veřejná správa

Je patrné, že některé cíle budou pro útočníka atraktivnější než jiné. Například úspěšný útok na rozvodnou síť elektrické energie (případně celou elektrárnu) by mohl mít fatální následky.

1.2.5 Kybernetická bezpečnost a kybernetická obrana

Kybernetická bezpečnost je relativně novou disciplínou, která vznikla jako reakce na kybernetické hrozby a lze ji vnímat jako součást obecnější informační a počítačové bezpečnosti.

(19)

19 Jirásek uvádí definici kybernetické bezpečnosti jako „souhrn právních, organizačních, technických a vzdělávacích prostředků směřujících k zajištění ochrany kybernetického prostoru“ (Jirásek 2015, s. 69). Jedná se tedy o koncepční a komplexní přístup k zajištění bezpečnosti v kyberprostoru. Strategie kybernetické obrany ČR zjednodušuje pro své potřeby kybernetickou bezpečnost jako „zajištění důvěrnosti, integrity a dostupnosti informací a dat v kyberprostoru“ (Strategie kybernetické obrany ČR 2018–2022 2018, s. 1). Podobně kybernetickou bezpečnost definuje i publikace Kybernetická bezpečnost (Šulc 2018, s. 9).

Tento bezpečnostní přístup je také známý jako CIA triáda (zkratka z anglických termínů confidentiality, integrity and availability).

Samostatnou a specifickou oblastí kybernetické bezpečnosti je kybernetická obrana, kterou Jirásek charakterizuje jako obranu „proti kybernetickému útoku a zmírňování jeho následků. Také rezistence subjektu na útok a schopnost se účinně bránit“ (Jirásek 2015, s. 70).

Strategie kybernetické obrany ČR ve svém pojetí uvádí, že „působnost kybernetické obrany se od bezpečnosti liší především povahou a intenzitou útoků, aniž by bylo možné vymezit úplně přesná kritéria. Připravenost na kybernetické útoky proto musí být komplexní a nemůže se zaměřit pouze na sféru bezpečnosti, ale je nutné vybudovat schopnosti i proti útokům, které lze vyhodnotit jako způsobilé aktivovat obranu státu“ (Strategie kybernetické obrany ČR 2018– 2022 2018, s. 2). Polčák pak používá formulaci z Národní strategie Francie pro obranu informační infrastruktury, že „kybernetickou obranou se rozumí využívání technických a netechnických nástrojů obrany státních zájmů v kybernetickém prostoru za účelem ochrany systémů, které jsou pro jeho fungování kritické“ (Polčák 2016, s. 138).

Vztah mezi kybernetickou bezpečností a kybernetickou obranou je tedy poměrně volně definovaný. Pro účely této práce budeme kybernetickou obranu chápat tak, že do oblasti kybernetické bezpečnosti přidává schopnost aktivně reagovat a odolávat kybernetickým útokům.

1.2.6 Vývoj kybernetické bezpečnosti a obrany v NATO a České republice

NATO má od roku 2015 definovanou strategii obrany vůči hybridním hrozbám, kterou lze stručně shrnout jako „být připraven, odradit agresora od útoku, a pokud nelze útočníka odradit, bránit své spojence proti jakýmkoliv hrozbám“ (NATO’s response to hybrid threats 2019).

S ohledem na kybernetické hrozby pak NATO učinilo v minulých letech několik zásadních rozhodnutí. Na summitu NATO konaném ve Varšavě v roce 2016 byl kyberprostor označen za

(20)

20 pátou dimenzi konfliktu, a stal se tak ze strategického pohledu stejně významným jako jiné oblasti možného válečného střetu, tedy země, voda, vzduch a vesmír (Cyber defence 2019).

Toto rozhodnutí znamená, že vážný kybernetický útok na členskou zemi NATO může být dle článku 5 chápán jako útok proti celé alianci. Ve stejném roce se spojenci rovněž zavázali (Cyber Defence Pledge) navýšit své jednotlivé schopnosti kybernetické obrany. Kybernetická obrana se tedy stala integrovanou součástí kolektivní obrany NATO (Cyber defence 2019).

V rámci dalšího posilování kybernetické připravenosti NATO došlo v roce 2018 k založení Operačního kybernetického centra (CYOC) v belgickém Monsu. Tato vojenská složka NATO by měla zahájit činnost v roce 2023 „a bude zodpovědná jak za defenzívní, tak ofensivní kybernetické akce vůči terorismu, státem sponzorovaným hackerům a ‚zlotřilým‛

(rogue) státům“ (Bussoletti 2018). Důležitou roli má i výzkumné a školicí Centrum výjimečnosti NATO pro kybernetickou obranu (CCDCOE) sdružující odborníky z členských zemí a jednotlivých zainteresovaných oblastí (armáda, výzkum, průmysl apod.). Pod hlavičkou CCDCOE probíhá i mezinárodní cvičení kybernetické bezpečnosti Locked Shields, kde se velice dobře umisťují čeští experti (Český tým se letos umístil na druhém místě v LOCKED SHIELDS 2019).

CCDCOE také pro potřeby NATO iniciovala tvorbu dokumentu Tallinnský manuál, který je příručkou aplikace mezinárodního práva v kybernetickém konfliktu a kybernetické válce. Původní dokument z roku 2013 se v roce 2017 dočkal aktualizace, a je tak nyní k dispozici jako Tallinnský manuál 2.0 – o mezinárodním právu použitelném pro kybernetické operace (Tallinn Manual 2.0 2017).

Česká republika na vývoj v oblasti kybernetické bezpečnosti reagovala vydáním zákona č. 205/2017 Sb. (zákon o kybernetické bezpečnosti). V rámci tohoto zákona došlo ke vzniku Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB), který převzal kompetence od Národního bezpečnostního úřadu. Zákon také vymezuje povinnosti správců nebo provozovatelů informačních systémů kritické informační infrastruktury, významných informačních systémů a základních služeb (zákon č. 205/2017 Sb.). Novelizace zákona o kybernetické bezpečnosti z roku 2017 je transpozicí směrnice 2016/1148 Evropského parlamentu a Rady Evropské unie ze dne 6. července 2016 o opatřeních k zajištění vysoké společné úrovně bezpečnosti sítí a informačních systémů v Unii (směrnice NIS).

(21)

21 Z Národního bezpečnostního úřadu se dále vyčlenilo Národní centrum kybernetické bezpečnosti (NCKB), jež se stalo výkonnou sekcí nově vzniklého Národního úřadu pro kybernetickou a informační bezpečnost.

Dalším legislativním počinem vlády bylo vydání vyhlášky o kybernetické bezpečnosti č. 82/2018 Sb., o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška č. 82/2018 Sb.).

V rámci Akčního plánu k Národní strategii kybernetické bezpečnosti pro období let 2015–2020 bylo kybernetickou obranou České republiky pověřeno Vojenské zpravodajství.

Pomoci mu v tom má rovněž vznikající Národní centrum kybernetických operací (NCKO).

„Jeho úkolem bude vytvoření účinného systému obrany v kybernetickém prostoru tak, aby Česká republika byla schopna zastavit a případně odvrátit kybernetické útoky, a tím zabezpečit ochranu civilního obyvatelstva a infrastruktury.“ (Vojenské zpravodajství zajišťuje kybernetickou obranu České republiky 2018) Kybernetickou obranou se v tomto kontextu rozumí zajišťování obrany státu ve smyslu zákona o zajišťování obrany České republiky (Vojenské zpravodajství zajišťuje kybernetickou obranu České republiky 2018).

(22)

22

2. Nejběžnější prostředky kybernetických útoků, jejich cíle a hlavní aktéři

Během kybernetického útoku může být použita celá řada technik a nástrojů, a to dle požadovaného záměru, schopností a možností útočníka. Tato kapitola charakterizuje nejběžnější prostředky a cíle, včetně nejznámějších případů užití.

2.1 Plošné a cílené útoky

2.1.1 Plošné útoky

Převážná většina kybernetických útoků souvisí s kybernetickou kriminalitou, a tedy snahou útočníka se snadno obohatit anebo způsobit škodu. Útočník typicky neřeší, kdo je jeho oběť, jeho útok má plošný (objemový) charakter a každý úspěšně kompromitovaný systém pro něj představuje zisk. Jak uvádí Šulc (2018, s. 32), útočník „hledá nejjednodušší, nejrychlejší a nejlacinější způsob, jak do daného systému proniknout, kompromitovat ho a poté využít.

Pokud útočník hned napoprvé neuspěje, jde dál a nezdržuje se, chová se totiž naprosto racionálně, neboť ví, že brzy jistě narazí na jinou firmu, která bezpečnost absolutně neřeší a do které bude snadné proniknout“.

Plošné útoky tedy obvykle nebývají významně sofistikované a lze se jim poměrně úspěšně bránit.

2.1.2 Cílené útoky a APT (Advanced Persistent Threat)

Jedná se o typ útoku zaměřeného na konkrétní organizaci nebo osobu (Šulc 2018, s. 37), přičemž se využívá celá škála pokročilých technik a prostředků. Útočníkem je obvykle státní aktér, bohatá firma nebo významná zločinecká organizace, protože tento typ útoku je většinou velmi náročný technologicky, časově i finančně.

Ačkoliv lze termín cílený útok a APT používat prakticky zaměnitelně, je třeba zmínit, že Jirásek (2015, s. 87) rozlišuje APT a jednorázové cílené útoky, kdy APT definuje jako

„dlouhodobé a vytrvalé infiltrování a zneužívání cílového systému za pomoci pokročilých a adaptivních technik (na rozdíl od běžných jednorázových útoků)“. APT tedy chápe tak, že

(23)

23 k cílenému útoku přidává prvek dlouhodobosti až trvalosti. Útočník cíl nejen kompromituje, ale aktivně se snaží si tento získaný přístup co nejdéle udržet a využívat.

Cílené útoky představují jednu z nejvíce nebezpečných forem útoku a neexistuje proti nim jednoznačná a stoprocentní ochrana. Rizika spojená s takovou formou útoků lze jen snížit vhodnou aplikací prostředků a procesů informační a kybernetické bezpečnosti.

2.2 Malware

„Malware je obecný název pro škodlivé programy. Mezi škodlivý software patří počítačové viry, trojské koně, červy, špionážní software.“ (Jirásek 2015, s. 115) Obecně lze říci, že každý škodlivý kód, který běží na prostředcích (PC, počítačová sít apod.) oběti nebo tyto prostředky užívá ke své činnosti či šíření, je tedy malware. Malware lze dále podle jeho vlastností (účel, způsob šíření apod.) dělit do několika skupin. Některé z nich budou zohledněny v této kapitole.

Nicméně je třeba si uvědomit, že řada sofistikovaného malwaru poslední generace může mít hybridní vlastnosti – např. kombinuje schopnosti červa a rootkitu, a proto není snadné jej jednoznačně zařadit.

Rankin (2018) a Šulc (2018, s. 26‒46) zmiňují řadu metod, které malware může využívat ke svému šíření.

Mezi tyto metody šíření malwaru (vektory útoku) patří například:

• Instalace samotným útočníkem v již kompromitovaném prostředí

• Botnet (Systém je v první fázi infikován bot agentem a ten pak na základě pokynů C&C serveru na takto kompromitovaný systém instaluje další malware.)

• Phishing (Využívá principu sociálního inženýrství, kdy oběti přijde zdánlivě důvěryhodná zpráva – zpravidla e-mail, IM nebo SMS a ta buď již sama obsahuje malware, nebo dotyčného přesměruje na podvodnou stránku apod. Důvěřivá oběť pak malware sama stahuje, instaluje či spouští.)

• Spear-phishing (Varianta předchozí metody přímo cílená na konkrétní oběť – zpráva může obsahovat osobní informace, je odeslána z e-mailu kolegy nebo z jeho telefonního čísla apod.)

• Drive-by-download (neúmyslné stažení/spuštění škodlivého programu – zpravidla se využívá chyby v OS, internetovém prohlížeči nebo poštovním/IM klientovi. Oběti se

(24)

24 pak malware nainstaluje např. při návštěvě infikované webové stránky nebo otevřením e-mailové zprávy. Na rozdíl od phishingu si zde oběť není vůbec vědoma, že dochází ke stažení či spuštění nějakého programu.)

• Watering hole/supply chain attack (Útočník infikuje zdroj, který oběť považuje za důvěryhodný – například nastraží trojanizovanou aplikaci nebo drive-by-download útok na stránkách dodavatele apod.)

• Worm (Malware typu červ se v kompromitovaném prostředí dokáže šířit sám tím, že vyhledává na síti jiná zařízení, kde detekuje zranitelnosti v OS, aplikacích nebo zabezpečení, a takto zranitelné komponenty infikuje svou kopií. Některé verze malwaru dokážou z nakažených systémů získat e-mailové kontakty a na tyto adresy se pak samy rozesílají, vyžívají tedy k šíření i metod jako spear-phishing apod.)

Je tedy opět patrné, že některé techniky mají plošný charakter (nezáleží na tom, kdo bude oběť), jiné jsou specificky cílené na konkrétního adresáta (Šulc 2018, s. 26‒46).

2.2.1 Attack/hybrid frameworks

Do této skupiny patří vysoce specializovaný malware, většinou určený k útoku na specifické cíle (např. konkrétní typ technického vybavení), a dále také malware, který kombinuje více vlastností, a nelze jej proto jednoznačně zařadit jinam.

Představitelem této kategorie může být například malware Triton/Trisis, který útočí na průmyslové bezpečnostní systémy firmy Schneider Electric. Triton si vysloužil přezdívku

„nejnebezpečnější malware na světě“, když se mu v roce 2017 téměř podařilo způsobit explozi v petrochemickém závodě v Saudské Arábii. Předpokládá se, že tento konkrétní nástroj pochází z Ruska (Giles 2019).

Za zmínku stojí i malware Industroyer/Crashoverride, poprvé detekovaný slovenskou firmou ESET v roce 2017. Tento software stojí za útokem na elektrickou síť Ukrenergo a v roce 2016 způsobil hodinový blackout v Kyjevě na Ukrajině. Kromě několika vektorů útoku na vysokonapěťové přepínače obsahuje i dodatečné backdoor komponenty, umožňuje komunikaci se C&C serverem pomocí TOR protokolu a obsahuje wiper, který z disku maže vybraná data a v závěru způsobí pád celého OS. I tento software je pravděpodobně ruského původu (Osborne 2018).

(25)

25 Je zajímavé, že Triton i Industroyer měly zřejmě v úmyslu způsobit daleko větší škody a jen chyba na straně útočníka zabránila naplnění těchto záměrů.

Malware tohoto typu je většinou instalován samotným útočníkem na kompromitované systémy oběti (Triton/Trisis), případně je šířen pomocí botnetu. Některý malware pak k distribuci využívá i dalších technik jako (spear) phishing (zřejmě Industroyer/Crashoverride), watering hole attack, drive-by-download apod. V některých případech může framework mít i schopnosti červa (worm) a sám se pak šíří v prostředí oběti (Stuxnet).

Lze předpokládat, že takto specializovaný software, který umí přesáhnout z digitálního do fyzického světa, bude jednou z klíčových komponent kybernetické války. Pravděpodobným cílem pak budou průmyslové podniky a zejména energetický sektor, a to i kvůli stávajícím, často zastaralým systémům (Magdoňová 2019).

2.2.2 Ransomware a wipers

„Ransomware je program, který zašifruje data a nabízí jejich rozšifrování po zaplacení výkupného.“ (Jirásek 2015, s. 97) Hned na úvod je třeba říci, že ransomware nelze považovat za prostředek kybernetické války. Je spíše typickým příkladem nástroje použitým při kybernetické kriminalitě.

Ransomware je zde nicméně uveden z několika důvodů – v roce 2019 došlo k řadě významných útoků pomocí ransomwaru. Cílem byly jak nemocnice, tak městské úřady nebo komerční firmy (Novinson 2019). Tyto útoky tak poukázaly na zranitelnost informačních systémů napříč různými obory činnosti, a potvrdily tak oprávněnost obavy z kybernetických útoků.

Ransomware lze také dále modifikovat a předělat jej např. na malware typu wiper.

Wiper je škodlivý software, který cíleně ničí data na zařízení, která dokázal infikovat.

Příkladem modifikovaného ransomwaru je například varianta 2017 Petya. Tato varianta již neumožňuje obnovu dat a je určena k jejich cílenému ničení (Cyber-attack was about data and not money, say experts 2017). Nové verze ransomware/wiper softwaru na sebe také nabalují funkčnost typickou pro jiné typy malwaru, např. se dokážou šířit podobně jako červ (ransomware WannaCry) nebo je k jejich šíření využito botnetu (Varování o hrozbě Emotet- Trickbot-Ryuk 2019). Takto zdokonalený wiper software v arzenálu státního aktéra lze již považovat za efektivní prostředek případného kybernetického konfliktu.

(26)

26 V Česku mezi nejznámější oběti ransomware útoků patří nemocnice v Benešově, která musela po výpadku počítačových systémů dočasně omezit svůj provoz (Benešovská nemocnice se začne vracet do běžného provozu 2019), a společnost OKD, jež byla nucena přerušit těžbu na Karvinsku (OKD po hackerském útoku obnovila těžbu v dolech na Karvinsku 2019). V obou případech se zřejmě jednalo o ransomware Ryuk (Varování o hrozbě Emotet-Trickbot-Ryuk 2019).

Lze předpokládat, že malware typu ransomware/wiper bude významnou hrozbou i v následujících letech.

2.2.3 Worms (červy)

„Červ je autonomní program (podmnožina Malware), schopný vytvářet své kopie, které rozesílá do dalších počítačových systémů (sítí), kde vyvíjí další činnost, pro kterou byl naprogramován. Často slouží ke hledání bezpečnostních skulin v systémech nebo v poštovních programech.“ (Jirásek 2015, s. 37) Hovoříme-li tedy o malwaru tohoto typu, máme na mysli zejména jeho schopnost se samostatně šířit.

Jedním z historicky prvních programů tohoto typu byl červ Morris, který si získal pozornost médií v roce 1988 a je považován za první vážný internetový útok (The Morris Worm 2018).

Z pohledu kybernetické války je pak asi nejvýznamnější červ Stuxnet, nazývaný též

„otec kybernetických zbraní“. Stuxnet, zřejmě vyvinutý ve spolupráci USA a Izraele, byl v letech 2009 až 2010 použit k útoku na íránský závod na obohacování uranu v Natanzu.

Schopnosti tohoto červa byly takové, že je doposud považován za nejdražší a nejnáročnější projekt v historii malwaru. Stuxnet údajně obsahoval bezpečnostní certifikáty ukradené legitimním softwarovým společnostem, využíval několika zero-day zranitelností a uměl se šířit jak po počítačové síti, tak přes USB zařízení. Má se za to, že úvodní infekce pocházela z USB disku zaměstnance nebo dodavatele. Vlastní útok měl tři fáze. V první fázi červ infikoval systémy s OS MS Windows. Ve druhé fázi detekoval, zda je nainstalovaný Siemens Step7 software, který dále kompromitoval a získal přes něj přístup k PLC (programovatelný logický automat) ovládajícímu centrifugy pro obohacování uranu, který následně také infikoval.

V poslední fázi pak Stuxnet používal dvě různé techniky k vlastnímu poškození centrifug – jednak úpravou frekvence měnil rychlost rotace centrifugy nad a pod bezpečné provozní hodnoty a dále způsoboval přetlakování centrifugy, a tedy zvýšenou zátěž rotoru. Stuxnet

(27)

27 rovněž dokázal skrýt svou přítomnost jednak proto, že měl kontrolu na komunikací s PLC, a také užitím funkcí rootkitu. Má se za to, že během jednoho roku dokázal Stuxnet v Natanzu poškodit pětinu centrifug a přispěl ke zpomalení íránského jaderného programu (Ivezic 2018).

Z pohledu schopností útoku a nebezpečnosti lze za nástupce Stuxnet v současnosti považovat zejména malware Triton/Trisis a Industroyer/Crashoverride. Ty ale (zatím) postrádají schopnost autonomního šíření typického pro červa, a jsou proto zařazeni do kategorie Attack/hybrid frameworks.

2.2.4 Trojans (trojské koně)

„Program, který plní na první pohled nějakou užitečnou funkci, ale ve skutečnosti má ještě nějakou skrytou škodlivou funkci. Trojský kůň se sám nereplikuje, šíří se díky viditelně užitné funkci, kterou poskytuje.“ (Jirásek 2015, s. 119) Tato definice je poměrně striktní, za trojského koně by asi bylo vhodnější považovat vše, co klame uživatele o svém záměru. Příkladem může být například bankovní trojský kůň Emotet. Ten se nejčastěji šíří pomocí phishingu (rozesíláním nevyžádaného e-mailu) a původně sloužil ke sběru citlivých (bankovních) informací.

V nové generaci je Emotet již natolik modulární, že formuje vlastní botnet a užívá se k instalaci dalšího malwaru. Tato kombinace z něj také učinila jednu z nejvýznamnějších bezpečnostních hrozeb roku 2019 (Varování o hrozbě Emotet-Trickbot-Ryuk 2019). Ačkoliv je Emotet většinou klasifikován jako trojský kůň (byť v poslední generaci je daleko významnější jeho role botnetu a zavaděče dalšího malwaru), nenaplňuje Jiráskovu definici, protože uživateli nenabízí žádnou patrnou užitečnou funkci.

Budeme-li se nicméně držet Jiráskovy definice, pak vhodným příkladem trojského koně může být případ populárního programu CCleaner pro MS Windows. Útočníkům se v roce 2017 podařilo proniknout do sítě firmy Piriform (nyní Avast), kde dokázali CCleaner infikovat malwarem Floxif a Nyetya. Je zajímavé, že CCleaner byl cílem útoku i v roce 2019, kdy se útočníkovi podařilo kompromitovat síť firmy Avast. V obou případech se předpokládá, že se jednalo o útok čínských hackerů (Cimpanu 2019).

S růstem popularity mobilních zařízení se i tyto stávají oblíbeným cílem autorů trojských koňů. Nedávno tak došlo k objevení botnetu Geost, který zřejmě již od roku 2016

(28)

28 krade citlivá data uživatelům platformy Android. Využívá k tomu infikované verze legitimních aplikací vystavené na webových stránkách třetích stran (Schick 2019).

Jistotu ale nemají ani uživatelé oficiálního obchodu Google Play. Dle zprávy firmy ESET bylo jen v září 2019 nalezeno na Google Play 172 škodlivých aplikací, které dohromady představovaly více než 335 miliónů instalací (Stefanko 2019).

Trojské koně nejsou ale jen záležitostí nezkušených a naivních uživatelů. Populární programovací jazyk Python používá tzv. The Python Package Index (známý pod zkratkou PyPI). Jedná se o oficiální softwarový repozitář, který formou balíčků umožňuje sdílení softwaru třetích stran (např. dodatečných Python knihoven apod.). Od roku 2017 bylo v tomto repozitáři odhaleno několik knihoven obsahujících škodlivý kód. Útočníci v detekovaných případech spoléhali na snadnou zaměnitelnost jména podvrženého a oficiálního balíčku – např.

„jeIlyfish“ vs. „jellyfish“. Nepozorný programátor nebo administrátor tak snadno mohl nainstalovat trojanizovanou verzi knihovny (Cimpanu 2019, Two malicious Python libraries caught stealing SSH and GPG keys).

Je jednoznačné, že trojské koně představují významnou hrozbu, protože útočníkovi nabízí prakticky neomezenou funkcionalitu – od vytvoření backdooru až po začlenění zařízení do botnetu, a to při poměrně vysokém stupni úspěšnosti infekce (např. díky užití metody watering hole/supply chain attack).

2.2.5 Rootkits

„Programy umožňující maskovat přítomnost zákeřného software v počítači. Dokáží tak před uživatelem skrýt vybrané běžící procesy, soubory na disku, či další systémové údaje. Existují pro Windows, LINUX i UNIX.“ (Jirásek 2015, s. 99)

Má-li být škodlivý software úspěšný, pak v mnoha případech nestačí, aby jen plnil svou funkci, ale také aby ji plnil co nejdéle. Je tedy v zájmu autorů takového kódu jeho přítomnost v kompromitovaném systému zamaskovat. Toto je právě role rootkitu.

Termín rootkit pochází ze spojení anglických slov root, což je tradiční jméno pro účet administrátora na unixových systémech, a kit, které znamená nástroje nebo sadu aplikací.

Zjednodušeně se tak může jednat o programy, které v systému běží s nejvyšším oprávněním, dokážou modifikovat části systému a jeho chování, ukrýt soubory, běžící procesy apod.

Útočníkovi pak rootkit většinou umožňuje nakažený systém vzdáleně ovládat, umí zachytávat

(29)

29 hesla a jiné citlivé informace, instalovat další malware apod. Rootkit může být velmi obtížné v systému detekovat, zejména pokud se mu podaří skrýt v jádru operačního systému nebo dokonce ve firmwaru zařízení (Thakkar 2020).

Příkladem škodlivého softwaru používajícího funkci rootkitu může být třeba již dříve zmiňovaný červ Stuxnet. Z novějších přírůstků pak stojí za zmínku například malware Scranos pro MS Windows. Ten se šíří pomocí trojanizovaných aplikací, jako jsou e-book čtečky, video přehrávače apod. Tyto aplikace jsou dokonce pro vzbuzení větší důvěryhodnosti digitálně podepsané, pravděpodobně však zcizeným certifikátem. Po spuštění se Scranos spojí s C&C serverem a stáhne další komponenty, které mu umožňují infikovat běžné internetové prohlížeče.

Scranos se pak z prohlížeče snaží ukrást přihlašovací a platební údaje, zejména pak cílí na Facebook, YouTube, Amazon a Airbnb. V případě YouTube Scranos dokáže i skrytě spustit prohlížeč Chrome v debugovacím módu a nepozorovaně na pozadí přehrávat ztlumená videa, přihlašovat se ke kanálům a proklikávat reklamy (Sheridan 2020).

Pro operační systém Linux se zase nedávno objevil malware HiddenWasp. Kombinuje vlastnosti trojského koně, rootkitu a RAT (remote access tool). HiddenWasp je typicky instalován na již kompromitovaný systém, kde po instalaci využívá funkce rootkitu k maskování své existence, zatímco komponenta trojského koně komunikuje s C&C serverem a plní jeho instrukce. Instalační script si také do systému přidává uživatele, takže útočník má i po odstranění toho malwaru dále přístup k serveru (Sanmillan 2019).

Je nepochybné, že rootkits pro svou užitečnost budou důležitou součástí kybernetického arzenálu, a to jak kriminálních organizací, tak státních aktérů.

2.2.6 Botnets

„Síť infikovaných počítačů, které ovládá jediný cracker, který tak má přístup k výpočetnímu výkonu mnoha tisíců strojů současně. Umožňuje provádět nezákonnou činnost ve velkém měřítku – zejména útoky DDoS a distribuci spamu.“ (Jirásek 2015, s. 30)

Jak plyne z definice, botnet je vlastně seskupení infikovaných zařízení, která lze centrálně ovládat a ta pak automaticky plní pokyny útočníka. Dnes ale již rozhodně neplatí, že botnet kontroluje jediný cracker. Tyto sítě jsou využívány dobře organizovanými kriminálními skupinami i státními aktéry (Constantin 2018). Případný zájemce si dokonce může za poplatek botnet pronajmout jako službu (What is a botnet? 2017).

(30)

30 Tradiční botnet se skládá z klientské části, která se instaluje na kompromitované zařízení a jeden či více C&C (command and control) serverů, ze kterých pak klient přebírá pokyny k činnosti. Modernější verze botnetu pak používají decentralizovanou P2P (peer-to-peer) topologii, kdy funkci C&C serveru může plnit i každý klient. Takto organizovaný botnet tedy nemá centrální a snadno zranitelné místo, a je proto obtížné zamezit jeho činnosti (What is a botnet? 2017).

Botnet lze využít prakticky k jakémukoliv typu útoku. V současnosti jsou botnety používány zejména k masovým útokům typu DDoS (odepření služby z důvodů zahlcení zdrojů), pro šíření spamu a k šíření dalšího malwaru.

V předchozí části práce byl již jako příklad zmíněn botnet Emotet, často kombinovaný s malwarem Trickbot a ransomwarem Ryuk (Varování o hrozbě Emotet-Trickbot-Ryuk 2019) a botnet Geost pro platformu Android (Schick 2019).

Botnety dnes představují jednu z největších bezpečnostních hrozeb a je nepochybné, že budou hrát klíčovou roli i v případné kybernetické válce.

2.3 Backdoors (zadní vrátka)

„Skrytý softwarový nebo hardwarový mechanizmus obvykle vytvořený pro testování a odstraňování chyb, který může být použit k obejití počítačové bezpečnosti.“ (Jirásek 2015, s. 131) Na rozdíl od malwaru je backdoor (zadní vrátka) úmyslem nebo opomenutím dodavatele zařízení či softwaru. Existence backdooru nemusí nezbytně znamenat zlý úmysl, může se jednat o způsob, jak zařízení na dálku diagnostikovat, rekonfigurovat nebo oživit v případě technických problémů (Backdoor 2019). Jedná se nicméně o špatnou praxi nebo častou chybu ze strany dodavatele, a takové jednaní je citlivě vnímáno zákazníky.

Backdoor může být součástí jak operačního systému, tak ovladačů nebo jiného programového vybavení, ale může být také ukryt ve firmwaru zařízení apod. Většinou se jedná o skrytý účet nebo nějakou službu zabezpečenou pevně nastaveným a nezměnitelným heslem, případně o jiný mechanismus umožňující znalé osobě přístup do systému.

Backdoor je většinou nedokumentovaný, a administrátor si tedy není vědom, že vůbec existuje, a že jeho zařízení je tak potenciálně nezabezpečené a vzdáleně přístupné.

(31)

31 Za backdoor nicméně nelze považovat výchozí nastavení hesel a služeb, kdy se očekává, že administrátor provede řádnou konfiguraci, během níž hesla změní a služby zabezpečí.

Významné společnosti jako Apple, Facebook a Google také často čelí tlaku vládních organizací, které umístění backdooru do produktů těchto firem požadují, a to pro získávání důkazů během vyšetřování trestných činů. Všechny tyto firmy takový požadavek (zatím) oficiálně odmítly (Backdoor 2019).

V poslední době byl backdoor objeven v některých produktech firmy Fortinet ‒ ta obsahovala pevně nastavený SSH klíč umožňující přístup uživateli „tunneluser“ (Arghire 2020). Známé jsou i časté a daleko závažnější bezpečnostní chyby americké firmy Cisco (Thomson 2019), která patří mezi nejvýznamnější dodavatele síťových prvků a zařízení.

Backdoor je také v současnosti symbolem politického a obchodního boje. Čínská firma Huawei byla nedávno západem (Software i hardware společností Huawei a ZTE je bezpečnostní hrozbou 2018) obviněna ze špionáže a umísťování backdoorů do svých produktů. Je samozřejmě otázkou, do jaké míry jsou tato tvrzení pravdivá, protože Huawei je jedním z hlavních hráčů při budování nastupujících 5G sítí, a tedy významným konkurentem americkým firmám (McCarthy 2019).

Je nicméně nesporné, že backdoor představuje potenciální bezpečnostní slabinu, kterou případný útočník může zneužít k proniknutí do systému nebo například k vyřazení zařízení z provozu (útok typu DoS).

2.4 (D)DoS

„Odmítnutí služby je technika útoku na internetové služby nebo stránky, při níž dochází k přehlcení požadavky a k pádu nebo nefunkčnosti a nedostupnosti systému pro ostatní uživatele, a to útokem mnoha koordinovaných útočníků.“ (Jirásek 2015, s. 78) Tato definice není úplně přesná, obecně lze za DoS považovat vlastně jakýkoliv útok vedoucí k odmítnutí (neposkytnutí) služby – může sem tedy patřit i restart síťového prvku, vynucení pádu aplikace apod. V případě DDoS se jedná o masový a koordinovaný útok (většinou z botnetu), kdy oběť není schopna svými zdroji obsloužit příchozí požadavky, a dojde tak k přehlcení služby. Pak není možné přistoupit na internetové stránky, na nichž útok probíhá, nebo poštovní server není schopen přijímat nové zprávy apod. Cílem (D)DoS útoku tedy není krádež dat, ale snaha o vyřazení nějaké služby z činnosti nebo alespoň její zpomalení.

(32)

32 Příkladem může být útok z března 2019 na rozvodnu elektrické sítě na západě USA, který způsobil výpadky v kontrolním centru. Incident, původně reportován médii jako „první útok svého druhu“, se nakonec ukázal poměrně banálním zneužitím chyby v neaktualizovaném firewallu, který vedl k jeho opakovanému restartu. Jednalo se tedy o poměrně primitivní útok typu DoS (Sobczak 2019).

Běžnější jsou ale útoky typu DDoS, které díky narůstající rychlosti internetu a rozvoji botnetů získávají na intenzitě. Zpráva o stavu kybernetické bezpečnosti České republiky za rok 2018 zmiňuje útok na platformu Github, který dosahoval síly až 1,35 Tb/s. NÚKIB v tomto dokumentu dokonce konstatuje, že „DDoS útok, který přesahuje velikost 1 TB/s, by v České republice pravděpodobně nenarušil pouze dostupnost napadených webových stránek, ale ovlivnil by také páteřní linku a s ní související infrastrukturu“ (Zpráva o stavu kybernetické bezpečnosti České republiky za rok 2018 2019). V předchozích letech byly významné DDoS útoky vedeny například i proti poskytovateli DNS služeb Dyn (Klicnar 2016), českým zpravodajským portálům (Vyleťal 2013) nebo v souvislosti s protesty v Hongkongu proti službě Telegram (Hamilton Asher 2019).

DDoS jsou tedy poměrně snadnou, ale efektivní formou útoku. Lze očekávat, že k takovým útokům bude dále docházet, a to jak ze strany kriminálních skupin, tak státních aktérů.

2.5 Faktory ovlivňující úspěšnost útoku

Existuje řada faktorů, které činí kybernetický útok možným a úspěšným. Mezi hlavní lze zařadit:

2.5.1 Lidský/organizační faktor

Jedná se o okolnosti, které uživatel nebo organizace může aktivně ovlivňovat, ale z nějakého důvodu tak nečiní. Za zmínku stojí například:

• Neznalost a chování uživatelů (Uživatelé si rizik spojených s použitím výpočetní techniky nejsou vědomi nebo je podceňují.)

• Chybějící koncepce bezpečnosti (V organizaci chybí jasně definovaná bezpečnostní politika, analýza rizika, bezpečnostní audity, školení uživatelů apod.)

(33)

33

• Nedostatečné vybavení (Chybí základní bezpečnostní prvky jako např. antivirus nebo firewall.)

• Špatný design/špatná volba vybavení (Single point of failure, software nebo hardware postrádají vhodnou funkcionalitu.)

• Nedostatečná údržba vybavení (Neinstalují se aktualizace, používá se zastaralé programové vybavení nebo zastaralá zařízení apod.)

• Špatná konfigurace software nebo hardware (Prostředí je neodborně nastavené.)

• Chybějící dohled a monitoring (Chybí audit přístupů a činností, nedochází ke sběru a analýze logů apod.)

• Chybějící nebo nedostatečné prvky fyzické bezpečnosti (Není zabezpečen přístup k výpočetní technice cizím osobám apod.)

2.5.2 Chyby a vlastnosti softwaru a hardwaru

Jedná se o okolnosti, které uživatel nemusí znát, a není tedy schopen je příliš ovlivnit.

• Backdoor (Software nebo hardware umožňuje přístup třetí straně.)

• Zero-day chyby (Software nebo hardware obsahuje zneužitelnou chybu, která nemusí být známa ani dodavateli, neexistuje tedy ještě oprava.)

• Špatná konfigurace softwaru nebo hardwaru (Může být součástí dodávky, pak se jedná o lidskou chybu dodavatele.)

Řada uvedených faktorů je samozřejmě ovlivněna ekonomickými možnostmi uživatele.

Zejména koncoví uživatelé a malé organizace nemusí mít dost prostředků k adresování všech rizik. Některé typy útoků (např. DDoS) zase mohou přesahovat možnosti běžného uživatele se bránit. V takových případech je nutná spolupráce s provozovatelem infrastruktury a internetového připojení, případně přímo s CSIRT.CZ nebo NÚKIB.

(34)

34

Shrnutí teoretické části

Teoretická část práce definovala rámec kybernetické války a kybernetické bezpečnosti a shrnula vývoj v této oblasti v NATO a České republice. Práce dále představila nejběžnější aktéry participující v kybernetických konfliktech a jejich typické cíle, přičemž došlo k následujícím zjištěním:

• Navzdory silné rétorice NATO je sporné, zda by kybernetický útok na členský stát aliance opravdu vedl ke spuštění pátého článku severoatlantické smlouvy o vzájemné obraně (zatím v tomto směru chybí precedens).

• Jako nejzávažnější se jeví scénář kybernetického útoku, kdy útočícím je státní aktér a cílem prvek či prvky kritické infrastruktury.

• U sofistikovaných kybernetických útoků lze očekávat přesah z virtuálního světa do světa fyzického, tedy vznik reálných hmotných škod, a to včetně ohrožení lidského zdraví a života.

• Kybernetickým útokům nelze jednoznačně zabránit, lze jen vhodnou aplikací prostředků a procesů informační a kybernetické bezpečnosti řídit úroveň rizika, kterou tyto hrozby představují.

Práce dále diferenciovala typy kybernetických útoků dle zaměření na plošné a cílené a charakterizovala základní prostředky takových útoků, a to s ohledem na zvolenou definici kybernetické války a kybernetických zbraní. Jmenovitě došlo k zohlednění následujících prostředků kybernetických útoků:

• Malware (attack/hybrid frameworks, ransomware a wipers, worms, trojans, rootkits, botnets)

• Backdoors

• (D)DoS

U všech těchto prostředků byly uvedeny příklady užití jak státními, tak nestátními aktéry s ohledem na aktuálnost a kvalitu zdrojů.

Zkoumání těchto prostředků také umožnilo identifikovat některé hlavní faktory ovlivňující úspěšnost kybernetických útoků. Ty jsou uvedeny v samostatné kapitole teoretické části a dělí se na dvě hlavní skupiny:

(35)

35

• Lidský/organizační faktor

• Chyby a vlastnosti softwaru a hardwaru

Toto dělení je důležité, protože lze předpokládat, že lidské a organizační faktory jsou ovlivnitelné a zejména u provozovatelů prvků KI musí být vhodně adresovány. Jedná se navíc o faktory, které do jisté míry ovlivňují i skupinu druhou a přispívají hlavní měrou k celkové míře rizika kybernetických hrozeb.

Poznatky získané při tvorbě teoretické části práce jsou použity v následující kapitole v rámci praktického výzkumu.

(36)

36

Praktická část

3. Metodologie výzkumu

Praktická část práce navazuje na část teoretickou a představuje kvalitativní výzkum zaměřený na nové technologie, které svou povahou mohou ovlivnit průběh kybernetického konfliktu.

Hlavní metodou užitou během výzkumu je studium a analýza dokumentů. Jako zdroj výzkumu slouží publikovaná odborná literatura a odborná média. Práce také využívá dokumenty a statistiky bezpečnostních firem a organizací a jiné veřejně dostupné zdroje. U některých zvolených technologií pak práce nabízí podrobnější analýzu pomocí expertní analytické metody SWOT.

3.1 Výběr dat

Práce se zaměřila na technologické trendy, které jsou považovány za klíčové pro roky 2019 a 2020. K získání dat k výzkumu byl použit následující postup:

1. Získání technologických trendů v oblasti výpočetní techniky pro roky 2019 a 2020, a to pomocí internetových vyhledávačů Google, Bing a DuckDuckGo

2. Analýza a čištění získaných dat (využity znalosti z teoretické části práce) 3. Výběr dat k výzkumu (využity znalosti z teoretické části práce)

Data k výzkumu byla následně finalizována na pět vybraných technologií:

1. IoT (internet věcí) 2. 5G sítě

3. Kvantové počítače 4. AI (umělá inteligence)

5. Drony (vyjmuto z obecnějšího celku autonomní systémy)

(37)

37 Ze zkoumání byly vyloučeny technologie nebo jejich aplikace, které nesplňují definici kybernetické zbraně. Zejména sem patří tyto oblasti:

• Kybernetická špionáž (není prostředkem kybernetické války)

• Deepfakes, sociální media, fake news, trolling (nejsou prostředkem kybernetické války)

• Autonomní vojenské systémy jiné než drony (nejsou prostředkem kybernetické války)

3.2 Cíl výzkumu

Výzkum si klade za cíl zodpovědět u každé zvažované technologie následující tři výzkumné otázky:

1. Co daná technologie přináší nového?

2. Jakým způsobem může tato technologie ovlivnit kybernetický konflikt?

3. Jaké lze u zkoumané technologie identifikovat vlastnosti a trendy pro potřeby SWOT analýzy?

Pro zodpovězení vytyčených otázek je použit následující postup:

1. Charakteristika dané technologie (nezbytný teoretický úvod a stručný popis technologie)

2. Stručný scénář zvažující roli dané technologie v kybernetickém konfliktu

3. SWOT analýza (identifikace silných, slabých stránek, příležitostí a hrozeb dané technologie)

Protože výsledkem zkoumání je prognóza, je třeba stanovit časový rámec její platnosti. Práce proto zvažuje výhled na období 2020 až 2025.

(38)

38

4. Nové prostředky kybernetické války

Vývoj kybernetické války bude dán rychlostí a schopností jednotlivých aktérů adoptovat nové technologie. Lze tedy předpokládat, že významné technologické trendy, jako je například IoT (internet věcí) nebo umělá inteligence, budou nějakým způsobem militarizovány a přítomny v budoucích konfliktech. Tato kapitola se pokusí vybrané technologie dále analyzovat a zhodnotit jejich možný význam v případném budoucím kybernetickém střetu.

4.1 IoT (internet věcí)

4.1.1 Charakteristika

IoT je generický pojem, který lze interpretovat jako „síť propojených zařízení, které ke své činnosti využívají různé druhy čidel a senzorů, Internet a cloud. Získaná senzorická data jsou Internetem předávána cloudovým aplikacím k analýze a řídící činnosti“ (The Internet of Things

| The IoT Portal 2019).

Zjednodušeně lze IoT chápat jako „chytrá“ zařízení připojená k internetu, která si umí povídat mezi sebou a/nebo s člověkem.

IoT není nová technologie, ale v současnosti získává na pozornosti a představuje jednu z nejrychleji rostoucích IT oblastí. Předpokládá se, že v roce 2020 bude již více než 20 miliard připojených IoT zařízení. Současně je to také platforma, která bude čelit řadě bezpečnostních problémů (IoT Growth And Security: 12 Predictions On What's Ahead 2019).

Příkladem IoT mohou být:

• Věci denní potřeby (chytré hodinky, sportovní náramky apod.)

• Chytré domácnosti (inteligentní zásuvky, termostaty, žárovky, ledničky apod.)

• Chytrá města (inteligentní veřejná osvětlení nebo svoz odpadu apod.)

• Průmysl 4.0 (chytré výrobní linky, inteligentní sklady apod.)