Dobrá zpráva: proti dnešním kybernetickým rizikům se lze poměrně spolehlivě zabezpečit. Špatná: napřed jim musíte aspoň na základní úrovni rozumět, anebo být v kvalitní profesionální péči. Ukazuje se, že to není snadno splnitelný požadavek.

Anglické slovo ransom znamená česky výkupné. Ransomware je škodlivý programový kód (v běžné řeči: počítačový virus), který zaplacení výkupného vymáhá, a to velmi silným argumentem. Zašifruje totiž všechna data v napadeném počítači.

Dešifrovací klíč dostanete, když vyděračům zaplatíte. Tedy − možná ho dostanete. Záleží na tom, zda jde o lupiče gentlemany. Občas tomu tak je, občas ne.

Koncem minulého týdne došlo k jednomu z dosud největších útoků s použitím ransomwaru. Minulý čas ale není úplně namístě, protože útok stále doznívá a může přijít další vlna. Virus je znám pod jmény WannaCry, WannaCrypt anebo WannaCrypt0r a šíří se jako příloha mailu. Dostanete soubor typu ZIP s průvodním textem, kliknete na něj a váš počítač je nakažen. Pokud nebyl řádně zabezpečen.

A to hodně počítačů není. Jak mnoho, to odhalí právě podobné masivní útoky. Momentální odhad činí asi 200 000 nakažených strojů.

Nejviditelnější obětí se stal britský systém veřejného zdravotnictví NHS (National Health Service), obrovská organizace s půldruhým milionem zaměstnanců. Formulace o "ochromení" zdravotního systému, kterou některá média použila, je přehnaná, nicméně některé nemocnice a lékařské ordinace skutečně byly mimo provoz.

Proč zrovna NHS? Protože na svém vybavení nejvíc šetří. Bezpečnostní studie, které byly k dispozici včas, mluví se o nich veřejně však až teď, ukazují, že většina počítačů v NHS používá operační systém Windows XP, starý šestnáct let. Jeho podporu ukončil Microsoft v dubnu 2014, což znamená, že od té doby se už pro něj nevydávají tzv. bezpečnostní záplaty − opravy dodatečně nalezených zranitelných míst.

Za tři roky se takových poznaných nebezpečí nakupilo hodně. Výsledek je stejný, jako když v autě ignorujete sjeté pneumatiky. Jednoho dne to dopadne špatně.

Příběh útoku virem WannaCry obsahuje několik pozoruhodných detailů. Ransomware sám o sobě nebývá technicky rafinovaný. Úspěšnost útoku závisí na tom, kolik lidí naletí a zkusí otevřít zavirovanou přílohu mailu, útočník se tedy zaměřuje na formulaci průvodního textu, na název souboru atd., aby vše vypadalo co nejlegitimněji.

WannaCry však využívá ještě dodatečný trik. Jakmile se ocitne na jediném počítači ve firemní síti, dokáže nakazit, a tedy zašifrovat všechny ostatní nechráněné. Tím se jeho účinnost ohromně zvyšuje, protože stačí, aby na podvodný mail naletěl jediný člověk v organizaci. A čím je organizace větší, tím větší zkázu taková chyba natropí.

K šíření napříč firemní sítí WannaCry využívá chybu ve Windows, kterou jako první odhalila americká tajná služba NSA, nechala si to ovšem pro sebe. Tajné služby jsou pilnými sběrateli podobných bezpečnostních rizik, využívají je pro vlastní účely. Z NSA unikla informace o balíku utajovaných chyb včetně této před pár týdny.

Microsoft reagoval vydáním záplat, výjimečně dokonce i pro již nepodporované Windows XP − v tušení mimořádně velikého průšvihu. K tomu došlo a záplaty pomohly jen někde. Mnozí uživatelé se neobtěžovali použít je.

Těžko říct, zda jim to mít za zlé. Kybernetické hrozby jsou výrazně asymetrické. Útok je levný, obrana drahá. Útočník skrytý, oběť viditelná. (Pachatel útoku WannaCry je dosud neznámý, není ani jasné, kolik peněz vybral.) Útočník je odborníkem na bezpečnost, oběť nikoli. Toto rozložení sil se jen tak nezmění a zranitelných míst bude přibývat − zejména s rozmachem internetu věcí, kdy se běžné předměty kolem nás budou stále více chovat "inteligentně", budou tedy vybaveny softwarem. A kde je software, tam je potenciální cíl útoku. Domýšlet masové napadení například samořídících aut se člověku ani nechce.

Přijatelně spolehlivé řešení přesto existuje: používat nejnovější verze operačních systémů, instalovat na ně záplaty, znát zásady bezpečného zacházení s maily, mít antivirový software, spamový filtr a firewall, zálohovat data. Kdo to neumí sám, musí si zaplatit někoho, kdo to umí. Stojí to čas a peníze − ale mnohem méně, než kolik stojí následky vážného útoku.