I po půl roce pokračuje vyšetřování rozsáhlého hackerského útoku na Český rozhlas. Podle ČRo byla za červnovým útokem stejná skupina, která ve stejné době napadla i společnost Omnipol. Kybernetická rizika vůči médiím celosvětově rostou. V Česku ale bylo napadení rozhlasu podle Národního úřadu pro kybernetickou a informační bezpečnost letos jediným podobným incidentem.

Hackeři napadli servery Českého rozhlasu v červnu během mezinárodní konference o Ukrajině, kterou rozhlas pořádal. Ředitel ČRo René Zavoral záhy nezvykle otevřeně označil možného pachatele:

„Potvrdilo se, že stopy vedou ke skupině hackerů, která je velmi sofistikovaná, má vazby na Ruskou federaci, byla to mimochodem hackerská skupina, která v ten den napadla například i Omnipol (výrobce radiolokačních systémů či letadel L 410 NG, pozn. red.),“ řekl tehdy.

HlídacíPes.org žádal o zpřístupnění podrobné zprávy o důsledcích útoku podle zákona o svobodném přístupu k informacím, rozhlas to však odmítl s odvoláním na obchodní tajemství, možné ohrožení své vlastní bezpečnostní a IT infrastruktury i s odkazem na zmíněné policejní vyšetřování

Na tom trvá rozhlas i půl roku poté: „Můžeme potvrdit, že se jednalo o stejnou skupinu, kterou vyšetřuje nejen Policie ČR, ale také Europol,“ dodává mluvčí ČRo Jiří Hošna.

Více detailů však i s ohledem na probíhající vyšetřování dodávat nechce. Stejně jako zmíněná další napadená firma Omnipol: „Vyšetřování incidentu stále probíhá, a proto nebudeme poskytovat žádné informace,“ říká ředitelka komunikace Omnipolu Marika Přinosilová.

To, že se policie případem nadále zabývá, potvrzuje i Ondřej Moravčík z policejního prezidia. „S mediálními domy je komunikace nastavena a evidujeme pouze jednotky takovýchto případů za posledních několik let,“ doplňuje.

Podrobná zpráva jen neveřejně

Rozhlas tvrdí, že mezitím obnovil většinu zasažených dat: „V tuto chvíli internetové prezentace mají cca přes 95% vráceného vizuálního obsahu a přes 80% audio obsahu, přičemž automatická restaurování běží ještě pro některý audio obsah, který je kompletně dostupný v našich interních systémech,“ shrnuje mluvčí Hošna.

„Externí datové centrum, které provozuje internetové servery mujRozhlas, iRozhlas a rozhlas.cz, prošlo forenzním auditem, kontrolou pro identifikaci škodlivých kódů, posílením bezpečnostních sond, rozšířením politiky zálohování nad rámec smluvních závazků,“ dodává. Rozhlas také podle něj po útoku provedl penetrační testy pro své webové prezentace.

Podrobnější informace o hackerském útoku a jeho důsledcích nedávno obdrželi členové Rady Českého rozhlasu. Ta s vyloučením veřejnosti na své schůzi koncem listopadu projednala podrobnou zprávu, která se útoku věnuje.

HlídacíPes.org žádal o zpřístupnění tohoto dokumentu podle zákona o svobodném přístupu k informacím, rozhlas to však odmítl s odvoláním na obchodní tajemství, možné ohrožení své vlastní bezpečnostní a IT infrastruktury i s odkazem na zmíněné policejní vyšetřování.

„Poskytnutím požadovaných informací by došlo k významnému ohrožení bezpečnostních opatření povinného subjektu, což by mohlo vést ke ztížení výkonu veřejné služby v oblasti rozhlasového vysílání. Zveřejnění těchto informací by mohlo způsobit značné riziko zneužití poskytnutých informací,“ stojí v rozhodnutí o odmítnutí žádosti.

NÚKIB: Letos jediný takový incident

Při červnovém napadení serverů ČRo, respektive společnosti Algotech, která pro rozhlas některé servery provozuje, šlo o takzvaný ransomware útok. Při něm útočníci infikují počítačovou síť a zašifrují uložená data. Následně výměnou za dešifrovací klíč požadují zaplacení výkupného.

Za útokem mohl stát software kyberzločinecké skupiny Play. Ten ve svém červnovém monitoringu bezpečnostních incidentů v kyberprostoru zmiňuje i Národní úřad pro kybernetickou a informační bezpečnost.

Letos taková vlna útoků postihla například řadu maďarských nezávislých médií a následně i Mezinárodní tiskový institut (IPI), který se dlouhodobě zastává maďarských novinářů proti zásahům ze strany vlády Viktora Orbána

Počet červnových incidentů se podle něj pohyboval nad průměrem posledních dvanácti měsíců. Z šesti červnových případů, kterými se NÚKIB zabýval, měl Play na svědomí tři.

„Jen za rok své existence má minimálně sto obětí a jejich počty dál rostou. Geografické rozložení napadených organizací navíc jasně ukazuje, že Česká republika je vysoko v hledáčku jeho operátorů,“ konstatoval úřad.

Ten také letos poskytl Českému rozhlasu metodickou a analytickou pomoc: „Kromě zmíněného útoku na Český rozhlas NÚKIB za letošní rok neeviduje incidenty, které by se týkaly médií,“ shrnuje mluvčí úřadu Eva Rajlichová.

Útoky na Slovensku i v Maďarsku

Ve světě však kyberútoky představují pro média čím dál větší problém, a to i blízko za hranicemi Česka. Jde často o takzvané DDoS útoky, při nichž se útočníci snaží síť nebo webovou stránku přetížit velkým množstvím falešných nebo nevyžádaných požadavků a tím omezit její výkon, zpomalit nebo zcela „shodit“.

Letos taková vlna útoků postihla například řadu maďarských nezávislých médií a následně i Mezinárodní tiskový institut (IPI), který se dlouhodobě zastává maďarských novinářů proti zásahům ze strany vlády Viktora Orbána. Analýza IPI ukázala, že za útoky na jeho centrálu i na maďarské redakce velmi pravděpodobně stála stejná skupina pachatelů.

Pod útokem byla letos i některá slovenská média: „Útoky směřují primárně na články související s válkou na Ukrajině. Díky tomu je zjevné, že útoky přicházejí z Ruska,“ popsal v polovině srpna útok na svou vlastní IT infrastrukturu slovenský zpravodajský portál Aktuality.sk. Ten se dlouhodobě staví výrazně kriticky k proruským postojům staronového slovenského premiéra Roberta Fica.

Od jara do léta zaznamenal portál více než padesát takzvaných DDoS útoků, což podle provozovatelů webu znamená více než stoprocentní nárůst oproti běžnému stavu.

„Hybridní válka, které jsme svědky i na Slovensku, zahrnuje různé techniky. Její součástí jsou i útoky na média, která fakticky informují o situaci na Ukrajině a na Slovensku,“ napsal server ve zmíněném srpnovém redakčním prohlášení.