FINANCE.czFINANCE.cz

Regulace podle NIS2: Útok na slovenský katastr ochromil trh s byty i hypotékami

14. 1. 2025
Doba čtení: 4 minuty

Sdílet

Autor: Martin Drtina, s využitím DALL-E
Ve výhodě jsou podle právníků lidé, kteří využili advokátní nebo bankovní úschovy. Kupní cena sice zůstane zablokovaná do doby, než se situace vrátí k normálu, ale předejde se tím podvodům.

Jen každá dvanáctá česká společnost splňuje požadavky evropské kybernetické směrnice NIS2. Dalších 41 % na zavedení požadovaných opatření pracuje. Vyplývá to z výsledků dotazování mezi svými českými a slovenskými zákazníky a partnery, které provedla společnost Acronis. Nejvíce nedostatků podle tohoto srovnání vykazují obory energetika, zdravotnictví a poskytování IT řešení a služeb.

Jak přitom ukázal čerstvý případ útoku na slovenský katastr nemovitostí, podceňovat nelze ani digitální aktiva provozovaná přímo veřejnou správou. Ransomwarový útok odstavil z provozu klíčovou databázi právních vztahů k nemovitostem na území Slovenské republiky. Výpadek už trvá déle než týden a není jasné, kdy se situace finálně stabilizuje. 

Katastrální úřad včera otevřel 24 svých poboček, zejména v menších městech. Ty také obsluhují pouze svá spádová území. Dvě třetiny okresních úřadů na své otevření teprve čeká. A ani tak se nejedná o plný provoz. U poboček nefunguje rezervační systém a podání jsou přijímána pouze v listinné podobě. Příchozí návrhy zaeviduje a uloží je, aby po obnovení systému mohly být zaslány na centrálu.

Pořizujte si kopie, radí právníci

Advokátka Kateřina Zagorová v této souvislosti na síti X připomněla, že v dějinách Slovenska dosud největší kybernetický incident bude mít tvrdý dopad na tamní trh s nemovitostmi. Citelně se dotkne těch, kteří vkladové řízení zahájili ve dnech před útokem. Zaplacené kupní ceny totiž dál zůstávají ležet v advokátní či bankovní úschově, dokud se problém neodstraní a v katastru se neobjeví zápis, na jehož podkladě by bylo možné částky vyplatit.

„V horší pozici jsou ti, kteří platili napřímo, bez úschovy. Určité procento lidí se toho pokusí využít a prodat co nejdříve nemovitost znovu, i když už mají peníze z prvního prodeje,“ říká Zagorová s tím, že i z toho důvodu doporučuje na Slovensku momentálně nic nekupovat. Nelze totiž ověřit, že prodejce nemovitost opravdu vlastní. A problém to může být i do budoucna.

„Od všeho si dělejte kopie, vše si zálohujte. Určité procento transakcí nejspíše bude stiženo chybou,“ radí advokátka s tím, že katastr zřejmě bude schopen problematické transakce dle určitého období identifikovat a účastníky vyzve k doložení dokladů, včetně potvrzení, že jejich návrh na vklad byl katastrem přijat.

Dá se podle ní však předpokládat, že určitá část podkladů nebude dohledatelná a slovenský katastr bude navždy stižen pro toto období určitou nedůvěrou. „Do budoucna bude namístě požadovat kopii nabývacího titulu od prodejce, aby bylo možné ověřit, že předchozí transakce nespadala do problematického období,“ uzavírá.

Vrátka k vydírání nejčastěji otevírá phishing

Podle odborníka na cybersecurity Jiřího Hradského ze Sedlakova Legal většina ransomwarových útoků začíná phishingem. Do instituce dorazí e-mail s přílohou, kterou oběť otevře nebo vyplní své údaje, čímž umožní útočníkům přístup k citlivým údajům. „S nástupem AI se tyto útoky stávají stále sofistikovanějšími a těžko odhalitelnými,“ upozorňuje Hradský.

NÚKIB přitom už v květnu 2023 vydal doporučení, jak se na případný ransomware útok připravit. Důraz v nich klade na chytré zálohování, kdy budou existovat nejméně 3 kopie na dvou různých zařízeních, z čehož jedno bude provozované mimo organizaci. Alespoň jedna záloha pak musí být v jednom okamžiku neaktivní (offline).

Dále regulátor radí zablokovat služby otevřené do vnější sítě na nezbytné minimum a ty dostatečně zabezpečit. Instituce by dále měly omezit přístup k administrátorským účtům, skrze bezpečnostní politiky si vynutit používání dostatečně dlouhých a silných hesel. Zapomínat nelze ani na aktualizovaný operační systém se záplatovanými známými zranitelnostmi.

Když už ale k úspěšnému ransomwarovému útoku dojde, NÚKIB radí neplatit výkupné, a to za žádných okolností. Podle regulátora totiž neexistuje záruka, že útočník data skutečně odblokuje, a toto odblokování také ze systému neodstraní ani ransomware, ani další potenciálně škodlivý software. „Situace se tak i přes zaplacení výkupného může rychle opakovat,“ varuje úřad s dovětkem, že i z právního hlediska je zaplacení výkupného problematické, protože může představovat porušení zásad péče řádného hospodáře.

Bezprostředně po zjištění útoku NÚKIB doporučuje odpojit zálohovací server od sítě a maximálně omezit síťovou komunikaci mezi jednotlivými stroji. Zařízení připojená k síti se pak mají odpojit na síťové úrovni, ale není radno jej vypínat, aby nedošlo ke zničení potenciálních důkazů uložených v dočasné paměti.

Slovensko bylo rychlejší a už se řídí NIS2

Ironií osudu přitom je, že ransomwarový útok Slovensko postihl v době, kdy do svého právního řádu už mělo začleněnou směrnici NIS2, a to prostřednictvím novely kyberbezpečnostního zákona. Ta vstoupila v účinnost 1. ledna a naši východní sousedi, přestože s přípravami právní úpravy započali mnohem později, nás přinejmenším o půl roku s transpozicí směrnice předstihli.

Marketing meeting Ai a tvorba obsahu

Novelu zákona měl na starosti Národný bezpečnostný úrad, který k aktuálnímu ransomwarovému útoku na katastr nemovitostí přispěchal s vyjádřením, že katastrální úřad má k dispozici „všechny zálohy dat“ a „nehrozí, že by osoby mohly přijít o své majetky“. 

Zdůraznil přitom, že řešením incidentu je pověřen národní CSIRT.SK. Ale na další podrobnosti je NBÚ skoupý se zdůvodněním, že se na ně „vztahuje mlčenlivost podle zákona o kybernetické bezpečnosti“.

  • Chcete mít Lupu bez bannerů?
  • Chcete dostávat speciální týdenní newsletter o zákulisí českého internetu?
  • Chcete mít k dispozici strojové přepisy podcastů?
  • Chcete dostávat exkluzivní tištěný speciál Lupa 3.0?
  • Chcete získat slevu 1 000 Kč na jednu z našich konferencí?

Staňte se naším podporovatelem

ikonka

Zajímá vás toto téma? Chcete se o něm dozvědět víc?

Objednejte si upozornění na nově vydané články do vašeho mailu. Žádný článek vám tak neuteče.

Byl pro vás článek přínosný?

+10

Autor článku

Redaktor serveru Lupa.cz se zaměřením na telekomunikace, média, IT a právo. Dříve šéfredaktor Právního rádce a mluvčí Českého telekomunikačního úřadu.

Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).