„Může se to stát každé firmě“ – Kybernetický útok na firmu Parabel

Rozhovor s ředitelem Michaelem Krüsselinem a IT specialistou Jaromírem Grácem

Skoro 9 z 10 společností je ohroženo kybernetickými útoky. Vyplývá to z reprezentativní studie německého svazu digitálních technologií Bitkom, na které se podílelo více než 1000 firem ze všech odvětví. Svou zkušenost má i Parabel. Firma, která pro výrobce strojů a zařízení a automobilový průmysl vyvíjí a vyrábí technické produkty. O hackerském útoku, ze kterého Parabel nakonec vyvázl v podstatě se zdravou kůží, jsme hovořili s jeho ředitelem Michaelem Krüsselinem a IT specialistou Jaromírem Grácem.

Kdy a jak jste zjistili, že něco není v pořádku?

Grác: Hned ráno, krátce před sedmou, mi kolegové hlásili, že nefunguje SAP. Okamžitě jsem jel do práce, zkontroloval servery a zkusil se do SAPu přihlásit. Servery byly online, ale SAP hlásil chybu. Na server SAP jsem se nemohl přihlásit ani jako administrátor. Okamžitě mi bylo jasné, že máme problém v celé firmě, nejen u jednotlivých zaměstnanců. Zkusil jsem restartovat server, ale ani to nepomohlo. Potom jsem ještě na serveru zkontroloval protokoly ve Windows, chtěl jsem zjistit, jestli například večer proběhla aktualizace, ta ale neproběhla. To bylo vše, co jsem v tu chvíli mohl dělat. Nahlásil jsem problém firmě ABIA, která nám spravuje SAP. Asi za hodinu nebo dvě bylo jasné, že náš SAP je poškozen, některá data byla smazána a některé služby poškozeny a pravděpodobně došlo k hackerskému útoku. Kontaktoval jsem tedy firmu NWT, která nám spravuje servery.

Co jste se od nich o hackerském útoku dozvěděl?

Grác: Tam zjistili, že náš server už dva dny sledoval neznámý „host“. Zaměřil se na SAP, nahrál na něj hackerské programy a skripty a pokusil se zničit zálohy serveru. Dále zkusil server SAP zašifrovat, tomu ale zabránil náš antivirový program, hacker ho nedokázal odinstalovat. Firma NWT zálohovala server SAP pro další šetření a obnovila verzi serveru před útokem. Díky zálohovací technologii obnova trvala asi půl hodiny, mnohem více času zabrala kontrola serveru SAP a celého prostředí. Bylo potřeba zjistit, jestli se útočník nedostal i na další zařízení nebo servery.

Ředitel Michael Krüsselin

Takže hacker chtěl zablokovat nebo odcizit vaše data a potom vymáhat výkupné?

Krüsselin: Ano, kdybychom o data přišli, pravděpodobně by to udělal. Naštěstí jsme žádná data v SAPu neztratili, měli jsme zálohu z předchozího dne. Ani ne před půl rokem jsme si pořídili nový antivirový software a ten nás zachránil před nejhorším. Policie nám řekla, že firmy, které zažily podobné útoky a měly ten samý antivirus jako původně my, ochráněny nebyly.

Jinými slovy – vyvázli jste z toho se zdravou kůží.

Krüsselin: Prozatím ano.

To jsme rádi. Jak takové útoky probíhají a jak se před nimi můžeme chránit, to jsou pro naše členy velmi důležité informace. Určitě je potřeba udělat audit kybernetické bezpečnosti.

Krüsselin: Přesně tak. Věděli jsme, jaké zkušenosti měli ostatní, a proto jsme se před časem začali tímto tématem intenzivněji zabývat a lépe jsme se zabezpečili. To nás zachránilo. Jak říkáte, vyvázli jsme se zdravou kůží.

Můžete vyčíslit přibližnou škodu?

Krüsselin: Údržba a servis nás stály asi 50 000 korun. Kromě toho jsme jeden a půl dne nemohli pracovat v SAPu. To znamená, že jsme nemohli posílat nabídky, nemohli jsme vystavovat faktury, nemohli jsme zpracovávat objednávky. Tyto škody odhadnout nemůžeme.

Máte nějakou představu, jak se ten nezvaný host na váš server dostal? Mohl za to někdo z vašich zaměstnanců, ať už úmyslně, nebo neúmyslně? Občas se kritizuje home office, protože například připojení přes VPN může být vstupní branou pro hackery.

Grác: Těžko říct. Útok může probíhat například přes nedostatečně zabezpečené služby, přes kamerový systém, přes mobilní telefon. Dneska má každý zaměstnanec mobilní telefon s mobilními daty. Když je ve veřejné síti, může ho napadnout hacker. A najednou máte ve firemní síti infikované zařízení a v systému je okamžitě „díra“. Hacker může získat přístup do interní sítě a zneužít ho. Jediné, co víme, je, že IP adresa, ze které došlo k útoku, byla ze zahraničí. Kompletní informace o protokolech atd. může policii předat pouze náš poskytovatel internetu. Musíme tedy počkat, co policie zjistí.

Proč si myslíte, že se terčem útoku stal právě Parabel? Nebo se hackeři chovají tak nějak jako krávy – spasou všechno, co mají kolem sebe?

Krüsselin: Myslím, že se to může stát každé firmě. Pravděpodobně šlo o globální útok, hackeři hledali zajímavé adresy a jejich slabiny. Policie nám řekla, že v té době došlo k podobným útokům i na další firmy. Jsou toho názoru, že je to organizovaná skupina.

“O všem se příliš mnoho mluví a málo koná.”

Co myslíte, kdo by teď měl podniknout nějaké kroky k tomu, aby se to v budoucnu neopakovalo? Musí něco změnit SAP, musí se o to postarat firmy samy? Očekáváte, že vám pomůže stát?

Krüsselin: Přáli bychom si, aby nám stát pomohl, ale nevěříme, že to udělá. O všem se příliš mnoho mluví a málo koná. Naší firmě je letos 25 let. Pomoci od státu jsme se nikdy nedočkali. Vždycky jsme si pomáhali sami a tak tomu bude i v budoucnu. Jinak to nejde.

Co by mohl udělat veřejný sektor?

Krüsselin: V každém případě by měl postupovat restriktivněji v oblasti trestního práva, zpřísnit tresty. Možná by i policie měla být v této oblasti aktivnější. Je to komplexní problém, netýká se jenom firem, ale i soukromých osob, každého z nás.

Rozhovor: Christian Rühmkopf

Foto: Parabel

Leave a Reply

Your email address will not be published. Required fields are marked *