Česká republika dosud nečelila žádnému sofistikovanému a soustředěnému kybernetickému útoku, který by cílil na kritickou informační infrastrukturu. Ve zprávě o stavu kybernetické bezpečnosti ČR za rok 2018, kterou příští týden projedná vláda, to uvedl Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB). Vzhledem k důležitosti kritické infrastruktury nelze útoky vyloučit v budoucnu, stojí v dokumentu.
Kritickou infrastrukturou rozumějí české předpisy prvky nebo systémy, jejichž narušení by mělo závažný dopad na bezpečnost státu, zabezpečení základních životních potřeb obyvatelstva, zdraví osob nebo na ekonomiku státu. Mezi tradiční prvky kritické infrastruktury patří elektrárny, přehrady, letiště nebo telekomunikační sítě. Jejich vyřazení z provozu může ochromit schopnost státu poskytovat služby, jako jsou dodávky elektřiny, tepla či vody, nebo se bránit proti konvenčnímu útoku.
Soustředěné útoky na kritickou infrastrukturu mají podle NÚKIB zpravidla několik charakteristických znaků. „Útočníci v systému za účelem sběru potřebných informací působí dlouhou dobu a jejich konečným cílem bývá získání citlivých dat nebo ovládnutí řídicích průmyslových systémů v jednotlivých prvcích kritické infrastruktury,“ uvádí zpráva. Prostřednictvím nakažení řídicích systémů škodlivým kódem mohou pak útočníci kontrolovat napadený prvek, vyřadit ho z provozu nebo v krajním případě způsobit materiální škody a ztráty na životech.
Kritická infrastruktura podle NÚKIB obecně patří mezi oblíbené cíle, ale přípravy na útoky na ni jsou náročné. „Proto zůstávají doménou spíše národních států nebo jimi sponzorovaných skupin. Ochromení jednoho či více prvků může cílovému státu způsobit vážné škody, které pro útočníky mohou být strategicky výhodné.
NÚKIB apeluje například na zabezpečení chytrých elektroměrů, které automaticky odesílají informace o spotřebě energie. Pokud budou zařízení například schopná odpojit neplatiče na dálku, nedostatečné zabezpečení mohou zneužít hackeři k plošným výpadkům. „Výrobci by tak měli dbát na jejich adekvátní zabezpečení, aby bylo riziko kybernetického útoku co nejmenší,“ uvádí úřad.