Hackeři už nechtějí vaše data. Číhají v elektrárnách, nemocnicích a vodovodech a čekají na správný moment
Americké bezpečnostní agentury potvrdily, že skupina Volt Typhoon se v některých sítích kritické infrastruktury držela nejméně pět let, tiše, bez krádeže dat, připravená udeřit.
Obsah článku
Zní to jako scénář akčního filmu, ale jde o závěry společného varování FBI, NSA a agentury CISA z února 2024. Část hackerských skupin přestala totiž honit databáze s osobními údaji nebo šifrovat disky za výkupné. Místo toho se soustředí na něco, co má daleko větší strategickou hodnotu: tichý, dlouhodobý přístup do systémů, které řídí dodávky elektřiny, pitné vody nebo chod nemocnic. Nejde jim o to něco ukrást. Jde jim o to být uvnitř a čekat na geopolitickou krizi nebo vojenský konflikt, kdy narušení provozu způsobí maximální škodu. Jde o aktivní přístup, který útočník měsíce či roky budoval a udržoval. A stačí jen počkat na vhodnou chvíli.
Pět let ve stínu
Skupina Volt Typhoon podle společného poradenství CISA, NSA a FBI nepoužívala klasický malware, který by spustil alarm. Pracovala s takzvanými technikami LOTL (living off the land), tedy s nástroji, které v napadených sítích již legitimně existují. Administrátorské účty, běžné systémové příkazy, standardní vzdálený přístup přes VPN. Nic, co by vypadalo podezřele.
Konkrétní kroky „číhání“ vypadaly takto:
- Průzkum prostředí – mapování celé sítě, zjišťování, kde končí kancelářské IT a kde začínají průmyslové řídicí systémy (OT).
- Krádež a obnovování přístupů – získávání administrátorských hesel, aby přístup přežil i opakované změny přihlašovacích údajů.
- Laterální pohyb – pomalý, nenápadný přesun z jednoho systému do druhého směrem k technologiím řídícím fyzický provoz.
- Mazání stop – cílené odstraňování logů a práce v běžných pracovních hodinách, aby aktivita splývala s normálním provozem.
V jednom potvrzeném případě se útočníci dostali až do řídicího systému a byli připraveni postoupit dále. Advisory uvádí, že toto chování není součástí tradiční kyberšpionáže. Cílem nebyl odposlech ani krádež dat, ale schopnost narušit fyzické funkce infrastruktury.
Bez vody do dvou hodin kolabuje nemocnice
Proč je přístup do vodáren nebo elektráren cennější než databáze s miliony záznamů? Protože výpadek základní služby má okamžitý, kaskádový dopad na život lidí.
Americká agentura CISA v listopadu 2023 potvrdila aktivní cílení na průmyslové řídicí jednotky (PLC) ve vodárenském sektoru. Konkrétní americká municipalita musela přejít na manuální provoz, tedy na ruční ovládání čerpadel a ventilů. Podle průvodce CDC pro nemocnice při výpadku dodávky vody může být provoz zdravotnického zařízení téměř zcela omezen už během několika hodin. Pak nejde sterilizovat nástroje, splachovat, chladit přístroje ani zajistit základní hygienu.
Ministerstvo zdravotnictví USA (HHS) ve svém svědectví před Kongresem popsalo, co kyberútok na nemocnici reálně znamená: odklony sanitek do vzdálenějších zařízení, rušení operací a regionální přetížení okolních nemocnic. Nejdražší ztrátou už nemusí být uniklá databáze, ale hodiny a dny, kdy nefunguje služba, kterou lidé považují za samozřejmou.
Na konferenci Critical Effect DC 2025, konané v červnu ve Washingtonu, organizátoři tuto provázanost pojmenovali přímo v názvu jednoho z panelů: „No Water, No Hospitals.“ Voda a zdravotní péče nejsou dva oddělené problémy. Jsou jeden.
Česko není mimo hru
Stejný typ hrozby se týká i české infrastruktury. NÚKIB, český ekvivalent americké CISA, už v dubnu 2020 vydal varování před rozsáhlou vlnou kyberútoků cílících zejména na zdravotnická zařízení v Česku. Šlo tehdy o období pandemie, kdy byly nemocnice pod maximálním tlakem a jakýkoli výpadek mohl mít fatální následky.
V energetice NÚKIB veřejně popsal riziko spojené s chytrými elektroměry od dodavatelů z nedůvěryhodného právního prostředí. V krajním scénáři, tedy při koordinované manipulaci s velkým počtem měřidel, pracuje regulátor s možností dominového efektu až k blackoutu na úrovni přenosové soustavy. Nejde o poplašnou zprávu, ale o oficiální regulační analýzu, která ukazuje, že český stát s kyber-fyzickými dopady v energetice počítá.
Prostřednictvím GovCERT.CZ nabízí NÚKIB koordinaci incidentů, konzultace k zabezpečení průmyslových řídicích systémů, segmentaci sítí a správě přístupů. Nástroje existují. Otázka je, kolik provozovatelů kritické infrastruktury je skutečně využívá.
Proč je tak těžké vetřelce najít
Klasický ransomware je hlučný: zašifruje data, zobrazí výkupné, provoz se zastaví. Popisovaný typ průniku je jeho pravý opak. Útočník nechce být vidět. Používá legitimní účty, nepouští vlastní software a pracuje pomalu. Proto může v síti přežít roky.
Britské Národní centrum kybernetické bezpečnosti (NCSC) navíc ve své analýze z ledna 2024 upozornilo, že umělá inteligence bariéry pro útočníky dále snižuje. AI pomáhá hlavně v průzkumu: rychlejší vyhledání zranitelných systémů, přesvědčivější phishingové e-maily a efektivnější práce s odcizenými přihlašovacími údaji. Podle hodnocení NCSC AI téměř jistě zvýší objem i dopad kyberútoků a zpřístupní sofistikované techniky i méně zkušeným aktérům.
Co mohou provozovatelé infrastruktury udělat hned:
- Aktualizovat všechny systémy vystavené do internetu, firewally, VPN brány a routery.
- Zavést vícefaktorové ověřování odolné proti phishingu.
- Centralizovat logování a skutečně logy vyhodnocovat.
- Striktně oddělit kancelářskou síť od průmyslových řídicích systémů.
- Naplánovat výměnu technologií, které už výrobce nepodporuje.
- Připravit záložní režim pro případ, že automatizace selže.
Nejsou to exotická opatření. Jsou to základy, které ale v praxi řada provozovatelů stále nemá.
Nejde jen o IT, jde o bezpečnost lidí
Debata o kybernetických útocích na infrastrukturu se postupně přesouvá z technických konferencí do roviny veřejné bezpečnosti, profesní odpovědnosti a pojistitelnosti. Připravovaný Cyber Safety Summit ve Washingtonu staví problém jako otázku standardu péče, tedy toho, jakou úroveň kybernetické ochrany by měl provozovatel vodárny nebo nemocnice garantovat, aby nesl odpovědnost za následky.
To je zásadní posun. Když se kyberútok na vodárnu přestane vnímat jako „problém IT oddělení“ a začne se posuzovat stejně jako porušení stavebních norem nebo hygienických předpisů, změní se motivace i rozpočty.
Voda teče, světlo svítí, sanitka přijede. Tři věci, nad kterými se nikdo nepozastavuje, dokud nepřestanou fungovat. Někdo uvnitř těch systémů už možná sedí a čeká. A právě to, že ho nevidíme, je celý smysl jeho přítomnosti.