Článek
Přesně před měsícem – v úterý 17. května – napadli dosud neznámí hackeři počítačovou síť Ředitelství silnic a dálnic (ŘSD). Státní organizace se ze sofistikovaného útoku, kdy vyděrači použili tzv. ransomware a zašifrovali veškerá data, dosud zcela nevzpamatovala.
Šéf ŘSD Radek Mátl v rozhovoru pro Seznam Zprávy přiznává, že státní organizace o zhruba polovinu z celkového objemu dat přijde, protože má k dispozici jen zálohovací pásky, kam se ukládala jen část souborů – prý kvůli úspoře nákladů.
Klíčové systémy byly podle Mátla už obnoveny a výstavba a údržba dálnic tak může normálně pokračovat. Přesto, podle některých zdrojů, je však denní provoz ŘSD po útoku stále znatelně narušen – nelze například ve vnitřní síti posílat dokumenty.
ŘSD se k těmto informacím, stejně jako k problémům, které způsobilo zálohování, předtím odmítlo opakovaně vyjádřit.
Podle našich informací by ten váš problém nemusel být tak fatální, kdyby neselhalo zálohování dat. Říká to hned několik zdrojů redakce přímo z ŘSD.
Já nevím, s kým jste mluvili, ale patrně ty zdroje neznají problematiku do potřebného detailu. I já, když se bavím s našimi lidmi po republice, slyším hlasy, že to mělo být zálohované a nemusel z toho být takový problém. Ano, laický pohled je takto jednoduchý, ale ono to tak jednoduše nefunguje.
My jsme obrovský podnik s obrovským množstvím dat a s obrovským množstvím aplikací, systémů a informací. Samozřejmě jsme pravidelně zálohovali, měli jsme aktivní servery, měli jsme i záložní servery, to všechno fungovalo. Bohužel útok byl tak sofistikovaný, že nám hackeři dokázali napadnout jak ty aktivní servery, tak se dokázali dostat i k těm záložním. Což je prostě nešťastná událost.
Na těch zálohovacích serverech nezůstalo nic?
Ne, tam nemáme k dispozici nic, to je všechno zašifrované. Máme jen to, co bylo uloženo „offline“ na páskách.
Zálohovací magnetické pásky prý nesplnily účel.
Je to jinak. Ty pásky máme k dispozici a právě díky nim teď můžeme obnovovat spoustu systémů a díky nim jedeme teď třeba už naplno v zakázkovém systému, v účetním programu atd. Zálohovali jsme na pásky pravidelně, naposledy 1. května. Ale všechno na nich nemáme.
Proč?
Kdybychom zálohovali na pásky úplně všechno, v pravidelných intervalech, budou to kamiony a kamiony pásek, které bychom museli někde uchovávat. A bylo by to ekonomicky strašně nákladné. Ano, teď zpětně se zdá, že jsme to měli dělat, ale my jsme se snažili chovat ekonomicky. Zálohovali jsme na pásky jen ty nejdůležitější systémy, je jich asi šest nebo sedm. To dnes máme k dispozici. Všechno jsme to už z těch pásek „vytahali“, nebo postupně vytahujeme.
Museli bychom uchovávat kamiony a kamiony pásek. A bylo by to ekonomicky strašně nákladné. Ano, teď zpětně se zdá, že jsme to měli dělat,
Co vám tedy už funguje?
Je to určitě zakázkový systém, kde jsou tisíce zakázek, i s historií. K 1. květnu, kdy proběhlo poslední zálohování před útokem, máme veškerá data. A dočistili jsme to, takže zakázky vypisujeme, administrujeme. Já sám jsem dnes (ve středu) schválil asi 15 zakázek a kolegové další desítky. Prakticky je tam jen nějaké třítýdenní zpoždění.
Co se týče účetnictví, to je to samé. Máme tam veškeré faktury, veškeré záležitosti do 1. května, všechno máme k dispozici. Jediné, co potřebujeme, je „narovnat“ květen. I ve spolupráci s dodavateli řešíme faktury z toho mezidobí po útoku. Pro představu: ŘSD dostane za měsíc nějakých 2500 faktur. Tak to je jediné, co musíme ještě „dočistit“.
Máme i v chodu i personální systém, veškerá data zaměstnanců. I díky tomu dostali lidé výplatu za květen. Máme v chodu i systém docházkový, systém majetkoprávního vypořádání… Mohl bych pokračovat. Buď už máme data obnovená, nebo je každým dnem obnovujeme.
Ztracená práce zaměstnanců
O jak velký objem dat jste přišli?
Bude to ve výsledku asi polovina. Největší problém z toho asi budou disková pole. Šlo o společná disková pole, kam si naši zaměstnanci ukládali svoji práci, nějaké své záležitosti, ta bohužel nemáme zálohovaná. A potom tam nemáme spisovou službu. A některá další data – geoportály a tyto věci, ale to se nám snad podaří obnovit ve spolupráci s dodavateli.
Co cítíte jako největší ztrátu?
Vůči našim zaměstnancům jsou to určitě ta disková pole. To, co si lidé neuložili přímo do svého počítače – koncová zařízení se nám totiž podařilo ochránit – tak o to bohužel přišli. Samozřejmě, že řada věcí lze ještě dohledat třeba v mailech, jelikož jsme nepřišli o mailovou historii, nebo ve spolupráci s firmami, co to pro nás dělali, ale jsou některá data, která se ztratila „nadobro“. A lidé to třeba budou muset dělat znovu, nějak to rekonstruovat. To je bohužel fakt. A to je samozřejmě i nápor na zaměstnance.
Klíčové z hlediska státu je, aby to nemělo dopad na výstavbu silnic a dálnic. Můžete vypisovat nové tendry, můžete platit dodavatelům?
V tom není problém.
Mluví se o tom, že nemáte k dispozici i smlouvy s dodavateli.
To pravda není. V tom obnoveném zakázkovém systému máme uloženy i smlouvy, to všechno máme.
Největší ztráty? To, co si lidé neuložili přímo do svého počítače – koncová zařízení se nám totiž podařilo ochránit – tak o to bohužel přišli.
Neuvažovali jste o tom, že během té pauzy pošlete některé lidi raději domů, když mnozí z nich poslední týdny nemohli pracovat nebo byli odkázáni jen na papír?
Mě by zajímalo, kdo toto říká, že je odkázaný na papír. Víte, tady spousta lidí dříve bojovala proti samotné digitalizaci. Když jsme zaváděli spisovou službu, říkali, co nám to tady pan generální vymýšlí, takové složitosti, a teď si najednou titíž lidé stěžují, že se musí vracet k papíru.
Platba hackerům? Ukončená záležitost
Řekl jste pro Hospodářské noviny, že stále ještě zvažujete, zda by nebylo výhodnější jim zaplatit. Jak to je nyní?
Ono to bylo trošičku nešťastně interpretované. Já jenom říkám, že je tu na jedné straně nějaký požadavek vyděračů a vedle toho jsou tu i náklady na obnovu dat a aplikací. A otázka tedy zní, jak postupovat z hlediska řádného hospodáře. A já prostě musím posoudit a vyloučit i další možnosti.
Nicméně také říkám, že já o placení vyděračům neuvažuji, jen jsem si potřeboval dát na stůl všechna stanoviska. Jelikož NÚKIB (Národní úřad pro kybernetickou a informační bezpečnost) i policie říkají, že to (zaplacení) možné není, tak i pro mě je to už ukončená záležitost. My jsme ani nikdy do žádného vyjednávání nevstoupili, navíc si nedovedu představit, jak a z čeho bychom to platili.
Bavil jste se na toto téma i s ministrem dopravy Martinem Kupkou?
Pana ministra informuji o aktuálním stavu a o situaci, ale tohle jsme spolu neřešili. Pokud vím, i on do médií řekl, že vyděračům se neplatí. S tím souhlasím. Byl by to i precedent, který by podnítil další útočníky.
Teď přitvrdíme
Zamýšleli jste se nad tím, co byste teď měli dělat jinak, aby se to už neopakovalo?
Poučení z toho samozřejmě musí nějaké být, z každé krize je třeba se poučit. Nechci tvrdit, že tady bylo všechno dokonalé a že my jsme jenom oběti. Já jsem už zadal forenzní audit, zadali jsme si i studie, jakým způsobem dál pokračovat. Měl bych z toho mít ve velmi krátké době závěry. Budeme se snažit nastavit nový systém, novou ochranu, nový systém zálohování. Ale je třeba vždy zvážit tři aspekty – míru kybernetické bezpečnosti, komfort uživatelů a cenu.
My jsme i dříve balancovali. Bohužel jsme asi nebalancovali tak, jak bychom měli. Takže teď trochu přitvrdíme, snížíme ten komfort uživatelů,
Co je prioritou?
To je otázka. Můžeme tady z toho udělat třeba nedobytný Pentagon – zavést třífaktorové přihlašování, přes klíčenky, přes SMS, bez možnosti externího vstupu do VPN, každý týden měnit hesla. Bude to ale také znamenat, že z domova už nic neuděláte, jen v práci na interní síti, omezíte komfort uživatelů a bude to nákladnější. A teď potřebujete všechny tyto tři aspekty skloubit, vybalancovat.
My jsme i dříve balancovali. Bohužel jsme asi nebalancovali tak, jak bychom měli. Takže teď trochu přitvrdíme, snížíme komfort uživatelů, uděláme do těch systémů nějaké selektivní přístupy, omezíme i přístup na internet, omezíme přístup externistů. A budeme do toho muset dát více peněz, než jsme dávali, budeme muset personálně posílit IT oddělení. Bohužel si myslím, že je to problém celé státní správy, že tato oblast je podfinancovaná.
Mluví se o tom, že vyděrači požadují řádově desítky milionů. Nechci rozvíjet konspirační teorie, ale je možné, že ve skutečnosti jim nejde o peníze, jen vás chtěli poškodit?
Může to být také tak, ale nechci se plést do práce NÚKIB nebo policie. Ale i tuto variantu je třeba brát v úvahu. Nelze vyloučit, že ta částka, kterou vyděrači požadují, byla jen tak „nahozena“ a je to celé pouze útok proti České republice. Koneckonců jsme podnik, který spravuje důležitou infrastrukturu. Však také ten útok byl velmi sofistikovaný, poprvé u nás použitý, je málo pravděpodobné, že by byl veden někým z Česka.