Když hackeři napadnou město: Lekce z Hlučína odhaluje, jak kyberútoky ohrožují data občanů

Prosincový hackerský útok na městský úřad v Hlučíně na měsíc ochromil jeho fungování. Ten sice neskončil únikem dat, ale rozpoutal spor o utajování informací před občany a opozicí. Incident poukazuje na zranitelnost českých obcí a novou vlnu kybernetických hrozeb.

Share
Když hackeři napadnou město: Lekce z Hlučína odhaluje, jak kyberútoky ohrožují data občanů
Hacker, foto generováno pomocí AI v nástroji Canva

Chvíli předtím, než zastupitelé Hlučína opustili po únorovém jednání svá místa, se zástupce opozice Rostislav Matuška (Hlučíňáci) vrátil ke kybernetickému útoku, který na konci minulého roku na více než měsíc ochromil fungování městského úřadu v Hlučíně. „Občanku si nešlo vyřídit ještě pár dní zpátky,“ vytýkal starostce města a odkazoval se na přetrvávající následky incidentu. Na jeho slova starostka Petra Tesková (ANO) v sále nereagovala. „Já bych si tady dovolila neinformovat na veřejném fóru o této situaci,“ poznamenala s tím, že celá záležitost se stále řeší.

Městský úřad se mezitím vrátil k běžnému provozu a systémy zasažené útokem opět fungují. Podle starostky navíc nic nenasvědčuje tomu, že by při útoku došlo k úniku osobních údajů občanů. Podle odborníka na kybernetickou bezpečnost Filipa Řezáče incident připomíná, že následky kybernetického útoku nekončí obnovením systémů. Podobné případy podle něj otevírají otázku, jak dobře jsou města na podobné útoky připravena a jaké možnosti mají při ochraně dat.

Reakcí na nárůst rizik je nové Centrum kybernetické bezpečnosti v ostravských Vítkovicích, které na začátku června otevřela společnost Xevos. Městským úřadům i firmám nabízí spolupráci při zabezpečení systémů a odhalování hrozeb. Právě vzdělávání v této oblasti představuje pro úřady další možnost, jak lépe předcházet incidentům - těch přitom jen v minulém roce Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) evidoval přes dvě stě.

Co se stalo?

Když zaměstnanci hlučínského městského úřadu v druhém prosincovém týdnu přišli do práce, nemohli se přihlásit do svých emailových schránek ani využít spisovou službu, v níž zpracovávají podání od občanů a další úkoly radnice. Kybernetický útok ochromil nejen samotné město, ale zasáhl také jeho příspěvkové organizace, jejichž zaměstnanci ztratili přístup například k doručené poště. Výpadek pocítili i občané. Téměř měsíc si nemohli rezervovat termín pro vyřízení občanského průkazu či cestovního pasu.

„Přestaly fungovat celé uživatelské profily. Když jsem chtěl s vedoucím odboru řešit nefunkční rezervační systém, nebylo to možné. Emaily jim nechodily a zpětně je nebylo možné dohledat. Co se týká IT infrastruktury, zejména v prvních dnech bylo všechno úplně mrtvé,“ popsal situaci opoziční zastupitel Matuška. 

Rozsah kybernetického útoku potvrdila také starostka Hlučína. „To znamená, že to zasáhlo všechny odbory, včetně financí. Dál pak emailové komunikace a spisové služby. Všechno to bylo zastaveno,“ popsala situaci na úřadě několik dní po útoku. Podle tajemníka městského úřadu Petra Čegana šlo o takzvaný „ransomware“ útok, který cílil na více než dvacet serverů města. 

Tento typ útoku přitom podle experta na kybernetickou bezpečnost z Vysoké školy báňské ostravské technické univerzity v Ostravě Filipa Řezáče patří k nejčastějším hrozbám, jimž úřady a veřejné instituce čelí. „Útočníci vyhledají slabinu, kterou se dostanou do systému a cílí na citlivá data, jako jsou matriky, účetnictví nebo další digitální databáze,“ vysvětluje expert. Podle něj se útočníci v systému několik týdnů skrytě pohybují a IT infrastrukturu úřadu si pozorně mapují. „Zjistí, jak celá síť funguje, co ty databáze drží, k čemu mají přístup a útočí nejčastěji opravdu na tu nejcitlivější část, tedy učetní záznamy a matriky,“ popisuje.  

Právě tyto údaje následně pomocí škodlivého kódu zašifrují, takže se k nim úřednicí nedostanou. „E-mailovou kampaní nebo přímo skrze webové rozhraní oběť poté vyzývají k zaplacení výkupného či výpalného,“ osvětluje Řezáč postupy kyberzločinců. Platba bývá podle jeho slov často vyžadována v kryptoměnách, například bitcoinech. Kolik útočníci žádají závisí zejména na rozsahu zašifrovaných dat a závažnosti útoku. „Bavíme se o desítkách, až stovkách tisíc korun. V některých případech se ale může jednat o milionové částky,“ uzavírá. 

Pokus, ne však úspěšný

Výhružný e-mail s požadavkem na zaplacení výkupného dostalo také vedení městského úřadu v Hlučíně. „Přišli jsme na něj poté, co jsme podali trestní oznámení na neznámého pachatele. Samozřejmě jsme na něj nijak nereagovali, já jsem jej ani neviděla osobně, ale mám od personálního tuto informaci,“ popsala reakci úřadu starostka Tesková. 

Vedení města následně během vyšetřování oslovilo externí společnost Noibit, která prověřovala možný únik osobních a citlivých dat z městského systému. Jak redakci Okraje potvrdil tajemník města Petr Čegan, analýza neprokázala, že by ze sítě samosprávy došlo ke krádeži citlivých informací. „Bezpečnostní zařízení, které sleduje náš síťový provoz, nezaznamenalo transfer velkých objemů dat. Lze tedy předpokládat, že došlo k pokusu, nikoliv však úspěšnému,“ uvedl. 

Podle Úřadu pro ochranu osobních údajů je analýza síťového provozu běžným způsobem, jak ověřit, zda při kybernetickém útoku mohlo dojít k úniku dat. Zároveň však upozorňuje, že ani nezvýšený datový provoz nemusí s jistotou znamenat, že se útočníkům nepodařilo získat alespoň část informací.

Většina samospráv podle kyberbezpečnostního experta Filipa Řezáče postupuje v podobných situacích podle stejného scénáře. Ten zní: požadované výkupné neplatit a útok nahlásit policii. Ne všechny příběhy napadených měst však však končí stejně jako ten hlučínský. Řada samospráv o zašifrovaná data nenávratně přijde.

„Nestává se, že by došlo k uvolnění dat a jejich odšifrování. Troufám si říct, že ve státní správě končí devět z deseti případů tak, že dojde k jejich nenávratné ztrátě. Města nezaplatí, data zmizí a následuje dlouhodobá obnova ze záloh,“ popisuje Řezáč. Jako příklady takto ochromených úřadů uvádí hackerský útok na datovou síť olomouckého magistrátu před pěti lety nebo napadení slovenského Úřadu geodézie, kartografie a katastru (ÚGKK) ze začátku roku 2025. Útok tehdy zcela ochromil tamní systémy a policie případ stále vyšetřuje.

Do kontrastu přitom dává soukromý sektor, kde firmy častěji přistupují k zaplacení "výpalného". „Dokonce vznikla statistika prezentovaná před dvěma lety na bezpečnostním fóru na pražské ČVUT, že dvě třetiny malých středních podniků v České republice už si drží nějaký fond v kryptoměně, řekněme pro strýčka příhodu, kdyby došlo tady k tomu problému, ať mohou rychle reagovat,“ uzavírá Řezáč. 

(Ne)komunikace města?

Vedle dotazů na dopady kybernetického útoku kritizovali opoziční politici v Hlučíně i způsob, jakým radnice o celé situaci informovala. Podle Rostislava Matušky (Hlučíňáci) vedení města o důsledcích kybernetického útoku poskytovalo směrem k veřejnosti jen minimum informací. 

Stranou podle něj zůstali i opoziční zastupitelé. „I nám jako zastupitelům byly omezeny služby a nikdo nás s tím neseznámil. Nevěděli jsme, kdy se to rozběhne, co to obnáší, nebo kde můžeme najít dokumenty, které potřebujeme k jednání. Doteď přesně nevíme, co se konkrétně stalo,“ popsal Matuška, který pracuje také v jedné z příspěvkových organizací města. „Rozumím tomu, že to je stále v nějakém řešení a ne vše mi mohou říct, ale já jsem na své dotazy nedostal žádné odpovědi,“ vytýkal vedení netransparentnost. 

Jeho kritiku starostka odmítá. „My jsme hned po kyberútoku vydali tiskovou zprávu a během období, kdy byly funkce omezeny, jsme informovali dále. V měsíčníku, který vydáváme, občané informováni byli,“ oponovala. 

Pokud by vedení města otevřeně sdělilo, které systémy byly nefunkční nebo jaká protiopatření IT pracovníci zaváděli, poskytlo by tím podle Teskové útočníkům přímou zpětnou vazbu. Nesouhlasí ani s kritikou, že zastupitelé neměli dostatek informací. „Nejsou to zaměstnanci úřadu. Nicméně, pokud se někdo zeptá, tak mu informaci předáme,“ uvedla.

Hackerskému útoku se vedení města věnovalo ve třech krátkých příspěvcích zveřejněných na městském webu a v radničním zpravodaji.

Jeden ajťák na všechno

Podle mluvčí města Kristiny Skulinové se útočníci do systému pravděpodobně dostali přes bezpečnostní chybu v síťovém zařízení, kterou údajně nebylo možné předem odhalit. Jedním z důvodů, proč nedostatky v systému samosprávy neodhalí včas, je podle experta Řezáče dlouhodobě podfinancovaná kyberbezpečnost i chybějící IT specialisté na radnicích. Města si sice často najímají externí společnosti, které jim zabezpečení nastaví, tím ale péče mnohdy končí. 

„Proběhne to v rámci jednoho cyklu, ale pak už se nic neděje. Na úřadech pak chybí někdo, kdo by se staral o aktualizace a pravidelně kontroloval, jestli nastavení odpovídá aktuálním trendům a podobně,“ vysvětluje Řezáč. Na řadě radnic pak vzniká situace, kdy jeden IT pracovník zajišťuje prakticky celý provoz. „Dělá všechno od videokonferencí přes instalaci počítačů až po správu síťové infrastruktury a klíčových systémů,“ dodává. 

Příčinu Řezáč vidí mimo jiné v nízkém finančním ohodnocení ajťáků na úřadech, které nemůže ani zdaleka konkurovat soukromým firmám. „Tím pádem tam končí srdcaři, nebo třeba lidé po škole, kteří chtějí nabrat zkušenosti,“ říká. Podle něj navíc města v této oblasti spoléhají na jediného zaměstnance, který má na starosti prakticky celý provoz. „To je, jako kdyby jedna účetní zároveň seděla na pokladně, vedla účetnictví celého úřadu a ještě vybírala poplatky za psy nebo popelnice. To prostě nemůže dělat jeden člověk,“ přirovnává.

Zaměstnanci IT oddělení podle něj stále nebývají vnímáni jako klíčová součást fungování úřadu. „Není to tak zažitá profese na úřadě jako člověk na dopravu nebo účetní. IT je pořád pro spoustu lidí ve vedení měst něco tajemného, co nejde vidět,“ popisuje expert, který je přesvědčený, že se nejedná o okrajový obor, ale o oblast, které je potřeba věnovat se naplno. „Selektivní zakázky, které problém zalepí na dva roky, nestačí. Zapotřebí je opravdu soustavná činnost,“ uzavírá Řezáč.

Město Hlučín je však pozitivní výjimkou. Na zdejším IT odboru totiž stabilně působí čtyři odborníci.

Jak dál?

Kyberútok přiměl vedení města k urychlení modernizace zabezpečení a posílení dohledu nad sítí. Za posílení dosavadního systému město na začátku roku zaplatilo téměř 300 tisíc korun. Podle vedoucího odboru informatiky Pavla Provazníka zároveň průběžně probíhají školení zaměstnanců zaměřená na kybernetickou bezpečnost. „Vedoucí pracovníci navíc získávají další informace k bezpečnostním rizikům, s tím, že je mají předat svým kolegům,“ vysvětluje Provazník. 

Opoziční zastupitel Matuška ale tvrdí, že žádná doporučení ani školení o kyberbezpečnosti po útoku nezaznamenal. „Město nespravuje jen samo sebe, ale i příspěvkové organizace, kterým nešlo žádné opatření, ani školení. Nebyli jsme o tom nijak pořádně informováni,“ kritizuje postup města i z pozice zaměstnance Základní školy Hlučín - Rovniny, která je příspěvkovou organizací města.

Vzdělávání zaměstnanců příspěvkových organizací je ale podle Provazníka záležitostí vedení těchto organizací, město se jim nevěnuje. „V případě zájmu jsme samozřejmě připraveni jim v této oblasti být nápomocní,“ dodává vedoucí IT oddělení.

Jak chce město svou odolnost vůči podobným útokům posílit do budoucna ale zatím není jasné. „Bavíme se o tom a hledáme, jak to udělat co nejefektivněji, abychom to zvládli co nejrychleji a nejlépe,“ komentuje starostka Tesková. 

Podobných kybernetických útoků meziročně přibývá. Jen v březnu evidoval Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) dvacet takových případů. Zároveň na města, školy a další veřejné instituce dopadají nové povinnosti vyplývající z evropské směrnice NIS 2, která výrazně rozšiřuje okruh organizací odpovědných za kybernetickou bezpečnost. 

„Města najednou zjistila, že do toho spadají, ale vůbec neví, co mají dělat proto, aby splňovaly podmínky,“ říká expert Řezáč, který ze strany měst na univerzitě zaznamenal zájem o přednášky na toto téma. Jednorázové školení ale podle něj nestačí. Jedná se o dlouhodobý proces, který zahrnuje nastavení procesů tak, aby byla bezpečnost naplněna a zákon byl dodržen. 

S novými pravidly se navíc potýká i samotný NÚKIB. Zatímco dříve dohlížel zhruba na šest stovek organizací kritické infrastruktury, po rozšíření zákona jich má být více než 13 tisíc. „Takže to taky nebude hned, kdy někdo zaklepe v Hlučíně a řekne: ak ukažte mi, jak to tady funguje,“ poukazuje Řezáč na omezenou kapacitu úřadu.


Článek editoval Jan Cibulka

Read more