Útok, který na den vyřadil z provozu servery Českého rozhlasu (ČRo), byl závažnější, než se na začátku zdálo. Rozhlas původně oznámil, že šlo o DDoS, ale už během čtvrtku připustil, že místo toho došlo k ataku na datové úložiště. V pátek veřejnoprávní vysílatel doznal, že jde o nákazu ransomwarem, která zasáhla jednoho z jeho dodavatelů.
Jak se Lupě podařilo zjistit, jde o firmu Algotech, která má s rozhlasem od roku 2022 smlouvu o provozování redakčního systému Drupal, na kterém rozhlasové weby jako iRozhlas.cz nebo Rozhlas.cz běží. Smlouva byla uzavřena na tři roky a má horní limit plnění 11 milionů Kč (bez DPH). Že jde o Algotech, potvrdil Lupě i mluvčí rozhlasu Jiří Hošna.
Ransomware by nemusel být zas tak problematický, pokud by rozhlas měl útočníky zašifrovaná či poškozená data k dispozici na zálohách. Podle informací Lupy ale útok zasáhl i zálohovací systém, a ČRo tak má k historickým datům svých webů jen omezený přístup.
Problémem přitom nejsou texty, ale multimediální soubory, jako jsou obrázky a audia ze serverů běžících na Drupalu. Rozhlas v pátek weby spustil v omezeném provozu a data se snaží obnovit z jiných zdrojů.
„V noci jsme na servery zmigrovali obrázky za roky 2019 až 2023, které souvisejí s audioobsahem a které máme uložené v rámci služby MujRozhlas.cz. Teď řešíme další migraci dat,“ řekl Lupě Hošna. Rozhlas momentálně nedokáže odhadnout, jak dlouho bude trvat, než se jeho weby vrátí k plné funkčnosti.
Ztráta záloh je povážlivá. Algotech přitom ve smlouvě s Českým rozhlasem zaručuje, že bude data zálohovat pravidelně:
Veškerá data z Diskového úložiště se zálohuji minimálně s denní frekvenci a je uchováno minimálně 30 poslednich denních, 12 poslednich týdenních a 12 posledních měsíčních
Záloha databáze se provádí každé dvě hodiny a je uchováno posledních 30 dni záloh. Jedna denni záloha je konzistentní s příslušnou zálohou souborových dat.
Objednatel má zajištěn přímý přístup k zálohám. Formát, způsob a orientační časová náročnost obnovy záloh je dokumentována. Objednatelem vymezený rozsah záloh je v dohodnutých intervalech synchronizován na prostředky Objednatele pomoci dohodnutého a šifrovaného protokolu sítě internet.
Algotech Lupě útok potvrdil s tím, že momentálně kvůli vyšetřování nebude poskytovat detailnější informace:
„V současné chvíli řešíme hackerký útok s policií ČR, konzultujeme s NÚKIB a v kooperaci s ČRo. S ohledem na tuto skutečnost nemůžeme podat detailnější informace. Přesto můžeme potvrdit, že útok byl veden na datové centrum s účelem poškodit klienta Český rozhlas. Přes jakou část infrastruktury a kdo byl útočníkem nemůžeme nyní komentovat. Útočník se po průniku zaměřil na file systém poškozeného a na zálohovací a další systémy, které poškodil. Šlo specificky o útok na ČRo s menším dopadem na interní provoz. Některé systémy jsme odstavili preventivně po dohodě s uživateli či z důvodu omezení rizika,“ napsal Lupě ve stručném prohlášení generální ředitel František Zeman.
Na konkrétní dotazy Lupy na to, jak mohly být útokem zasaženy zálohy, které obvykle bývají uloženy odděleně, do jaké míry byly záložní soubory poškozeny nebo zda jsou data uložena také na nějakých fyzických nosičích (např. páscích), Algotech neodpověděl.
ČLÁNKY DO MAILU