NSZ V MÉDIÍCH: O kyberzločinu a hackerech v rozhovoru s expertem NSZ Tomášem Foldynou
4. 5. 2020
Kyberkriminalita nezná hranice, my se musíme řídit českými zákony, říká expert. ‚Hackera chytit umíme, stát ne‘
Lidové noviny, 4. 5. 2020, autor: Martin Shabu
Pracuje na Nejvyšším státním zastupitelství. Tomáš Foldyna (45), který je národním korespondentem pro boj proti kybernetické kriminalitě, pro ochranu práv k nehmotným statkům a kybernetickou bezpečnost, v rozhovoru pro Lidovky.cz popsal, jakými limity se musí žalobci řídit při pátrání po hackerech, kteří nedávno útočili i na české nemocnice.
„Pokud zjistíme, že útoky směřují ze zahraničí, nemůžeme tuto trestnou činnost objasňovat na území cizího státu, ale musíme požádat o právní pomoc stát, ze kterého útok vzešel. Pochopitelně to vyšetřování prodlužuje a komplikuje. Kybernetické zločiny se přitom odehrávají v řádu vteřin a minut a stopy lze smazat stisknutím jednoho tlačítka na klávesnici,“ uvedl Foldyna.
Máte nějaké bližší informace o vlně kyberútoků z počátku dubna, které směřovaly na nemocnice, Letiště Václava Havla nebo ministerstvo zdravotnictví?
Je to velice předčasné. Řízení je na samotném začátku.
Jak je těžké přisoudit odpovědnost za útoky cizímu státu?
To bývá velice složité a je třeba zdůraznit, že to není úkolem trestního řízení. Při objasňování kyberkriminality se navíc pohybujete ve světě elektronických důkazů a stop. Zdatný hacker se zpravidla snaží zdatně maskovat a navádět vyšetřovatele na falešné stopy. Je to spíše úkolem dalších státních orgánů, jako jsou například tajné služby a vláda, aby na základě informací, které se u nich sejdou, přičemž jen část z nich pochází z trestního řízení, případně určily odpovědnost státního aktéra.
Pokud by státní zastupitelství při vyšetřování zjistilo účast cizího státu, jak by s takovou informací naložilo?
Ve vztahu ke zmiňovaným kybernetickým útokům dosud nebyla zjištěna stopa, která by vedla ke státnímu aktérovi. Pokud bychom ale takovou informaci získali, bude součástí trestního spisu. Trestní řízení bude vedeno vůči konkrétní fyzické osobě, to znamená proti hackerovi, který má útok na svědomí. Popřípadě proti právnické osobě, která se může specializovat například na IT služby. Můžeme vést trestní řízení jen proti tomu, proti komu nám to umožňuje český trestní zákoník. To znamená fyzická nebo právnická osoba. Rozhodně to nejde proti státu.
Nelze přísněji postihnout ani případ, kdy by se jednalo o skupinu pachatelů?
Obecně platí: pokud je trestný čin spáchán organizovanou skupinou nebo organizovanou zločineckou skupinou, jsou v takových případech vyšší trestní sazby. Ale ve vztahu k již zmíněným kyberútokům takové informace dosud zjištěny nebyly. Jak jsem říkal, trestní řízení je na samém začátku. Vše je ve velmi surovém stavu. Není možné hodnotit motivaci útočníků ani říci, odkud byl útok veden.
Proč?
V kybernetickém prostředí lze dospět hypoteticky i k tomu, že první výsledky vyšetřování ukážou, že šlo o útok ze zahraničí. Při bližším zkoumání se však zjistí, že šlo o domácího útočníka, který jen využil technických možností, takže se útok tvářil, jako kdyby byl veden ze zahraničí. Platí to i naopak. Útok, který se tváří jako domácí, může být veden z ciziny.
Hrozí hackerům přísnější postih, když útok spáchali během nouzového stavu?
Spáchání trestného činu v nouzovém stavu státu je přitěžující okolnost.
Snaha ochromit české nemocnice v době pandemie přes počítače podle mnohých hraničí s teroristickým činem. Jak se na to díváte vy?
Samozřejmě i teroristický trestný čin lze spáchat prostřednictvím počítačové sítě. Muselo by to ale směřovat k teroristickému následku. To znamená k ohrožení ústavního zřízení nebo obranyschopnosti republiky. Musely by být naplněny pojmové znaky teroristických trestných činů. Dovedu si představit, že by někdo kybernetickým útokem na počítačovou síť způsobil explozi v elektrárně, což by vedlo ke ztrátě značného množství lidských životů a cílem by bylo ohrozit obranyschopnost země.
Ale útoky byly vedeny právě na zdravotnická centra, která kvůli tomu mohla mít problém s léčbou pacientů…
Ve vztahu k probíraným útokům ale nebylo zjištěno, že by jejich smyslem bylo ohrozit ústavní zřízení nebo obranyschopnost státu. Všechny útoky se navíc podařilo odrazit.
Je trestný i neúspěšný pokus o kyberútok?
Pokus rozhodně trestný je.
Díval jsem se do trestního zákoníku: za neoprávněný přístup k počítačovému systému hrozí maximálně osm let. Jsou podle vás tresty za kybernetické zločiny dostatečně přísné?
Trestný čin proti počítačovému systému, kdy se někdo nabourá do vašeho počítače nebo vám pošle ransomware (vyděračský software – pozn. red.) a žádá o výkupné, je méně závažný. Vždy ho ale lze kombinovat s dalším trestným činem. V případě ransomware by šlo o trestný čin vydírání. Pokud by to směřovalo k teroristickému útoku, nastupovaly by trestní sazby za teroristický trestný čin. Ty jsou podstatně přísnější.
S jakými triky na zastření identity se setkávají vyšetřovatelé při pátrání po hackerech?
Narážíme na technické problémy. Může jít o maskování IP adres. Kyberkriminalita nezná hranice, zatímco my se musíme řídit českými zákony a mezinárodními úmluvami a hranice respektovat. Pokud zjistíme, že útoky směřují ze zahraničí, nemůžeme tuto trestnou činnost objasňovat na území cizího státu, musíme požádat o právní pomoc stát, ze kterého útok vzešel. Pochopitelně to vyšetřování prodlužuje a komplikuje. Kybernetické zločiny se přitom odehrávají v řádu vteřin a minut – a stopy lze smazat stisknutím jednoho tlačítka na klávesnici.
Kolik hackerů se v Česku podařilo za poslední dobu zadržet?
Takovou statistiku nemám k dispozici. Existují statistiky počtu trestných činů spáchaných v kyberprostředí. Poměr spáchaných trestných činů a odhalených pachatelů neznám. To by věděla policie.
Pamatujete si, že by se u nás podařilo odhalit pachatele nějakého rozsáhlejšího kyberútoku na kritickou infrastrukturu státu?
Těch útoku bylo relativně málo. Ať už šlo o nemocnice, nebo v minulosti o útoky na ministerstva, trestní řízení stále běží, a proto se to nedá říci. Není ani moc srovnání s minulostí.
Kyberútoky na nemocnice vyšetřují okresní a krajské kriminálky a dozorují je tamní žalobci. Není namístě – vzhledem k závažnosti této problematiky – posunout ji směrem k vrchním státním zastupitelstvím?
Když se podíváte na příslušnost vrchních státních zastupitelství, už dnes je velmi široká. Vede to k vytížení obou vrchních zastupitelství a státních zástupců, kteří živé kauzy zpracovávají. Rozšiřovat portfolio trestných činů, jimiž by se zabývalo jenom vrchní státní zastupitelství, nepovažuji za smysluplné.
Kyberútoky i další případy počítačové kriminality exponenciálně narůstají. Státní zastupitelství musí jít spíš cestou specializace státních zástupců na nižších státních zastupitelstvích. To znamená, musíme mít síť perfektně vyškolených a připravených státních zástupců na okresech a v krajích, kteří problematice rozumějí a budou umět spolupracovat s policií. To se nám daří. Nemáme sice specializovaná státní zastupitelství, ale školíme jednotlivé specialisty.
Je to dostatečně silná síť?
Příprava státních zástupců reaguje vždy s nějakým zpožděním. Dnes je kyberkriminalita problematikou, kterou se Nejvyšší státní zastupitelství i nejvyšší státní zástupce zabývá velmi pečlivě. Počty kurzů i spolupráce s policií a Národním úřadem pro kybernetickou a informační bezpečnost se rozrůstají. Máme síť specializovaných státních zástupců. Pravidelně se setkávají. Justiční akademie pro ně pořádá školení. Jejich počet a kvalitu považuji za adekvátní. Jak bude trestná činnost dál narůstat, budeme se tomu muset přizpůsobit a zvýšit i počet expertů.
Z vnějšího pohledu se může zdát, že se u nás odehrávají kybernetické zločiny, ale málokdy je slyšet o odhalených pachatelích. Čím to je?
Policie je při odhalování trestné činnosti na poli kyberkriminality úspěšná. Ať už se to týká internetových podvodů, dětské pornografie, nebo drogové trestné činnosti páchané prostřednictvím internetu. Spíš se to nemedializuje. Někdy ani policie nechce, aby se vědělo o policejních metodách a postupech. Veřejnost lze v tomto směru uklidnit. Policie má dobré specialisty i techniku.
Jak je to s trendy na poli kyberkriminality?
Je to poslední roky stále stejné. Drogy, zbraně, dětská pornografie a podvody na internetu. To jsou čtyři základní oblasti, kde je nejvíc případů.
Jak vypadá situace na poli objasňování útoků na kritickou infrastrukturu státu?
Když se řekne, že byl proveden útok na nemocnici, vypadá to poměrně děsivě, ale otázkou je, co bylo jeho cílem. Pokud by bylo cílem ohrozit životy a zdraví lidí, bude to malér. Tam bychom se mohli bavit i o terorismu. Zatím ale případy ukazovaly na motiv vydírání. Pachatelé pomocí ransomware zablokovali síť a požadovali výkupné. To je trestná činnost, která se dříve odehrávala v tradičním prostředí, ale dnes se přesunula na internet. Spadá to do oblasti podvodů.
Jste si vědom útoku za účelem výkupného na státní infrastrukturu?
Takové útoky se odehrávají, ale není to směřované proti kritické infrastruktuře. Po internetu běhají podvodné e-maily se zavirovanými přílohami. Můžete je rozkliknout, a dojde k zablokování pracovní sítě. To ale není útok proti konkrétní instituci jako třeba nemocnici, ale útok, který směřuje k zablokování počítačů a následnému vydírání s účelem získat majetkový prospěch z odblokování sítě. Tam se nemůžeme bavit o cíleném útoku. Dnes se to stane v nemocnici, zítra na úřadě, kde zaměstnanec omylem rozklikne přílohu e-mailu od odesílatele, kterého nezná. A zkolabuje celá síť.
Těch útoků na zdravotnická zařízení různě po republice bylo přece jen víc. Útočilo se i na letiště a ministerstvo zdravotnictví. Lidovky.cz popsaly i útoky na ČEZ Distribuce a ministerstvo vnitra. Je vůbec možné, aby to spáchal jednotlivec?
Na poli kyberkriminality je možné všechno. Berte v úvahu, že stisknutím jednoho tlačítka enter můžete způsobit tři stovky útoků. Stačí rozeslat škodlivý software na neuzavřený okruh adres. Tím je útok poměrně jednoduchý. V tom spočívá i riziko kyberkriminality. Zatímco v reálném světě útočník může zaútočit na jeden objekt, v síti může namířit na neomezený počet cílů.