Autoři: Michal Kandráč; Pavel Amler

Publikováno na blogu: 22. 2. 2021

V médiích nedávno proběhla zpráva o ransomware útoku na polskou vývojářskou společnost CD PROJEKT, která stojí za úspěšnými herními sériemi Zaklínač anebo zbrusu nový Cyberpunk 2077. Po porodních bolestech spojených s vydáním Cyberpunku 2077 se tak jedná o další významnou kontroverzi ve světě gamingu spojenou se společností CD PROJEKT.

O co vlastně v dané věci šlo shrnujeme společně s naším praktickým doporučením ke kybernetickým útokům níže.

CD PROJEKT si v posledních měsících prochází noční můrou každé vývojářské společnosti. Prosincové vydání nejočekávanější hry roku 2020 – Cyberpunk 2077 – se totiž opravdu nepovedlo. Hra i přes rekordní prodeje obsahovala velké množství chyb a díky špatné optimalizaci byla na „staré“ generaci konzolí (PS4 a XboxOne) prakticky nehratelná. Prvotní nadšení hráčů tak vystřídalo zklamání, kdy zákazníci hromadně požadovali vrácení peněz a některé online obchody dokonce CyberPunk 2077 úplně stáhly z prodeje (např. PlayStation Store).[1] Na „áčkový“ titul se tak jednalo o nevídanou kontroverzi.

Aby toho nebylo málo, CD PROJEKT začátkem února oznámila, že její servery napadli hackeři.[2] Společně s tímto oznámením CD PROJEKT zveřejnila zprávu hackerů, ve které útočníci uvedli, že (i) získali kopie zdrojových kódů her (včetně CyberPunku 2077 anebo Zaklínače 3) a obchodních dokumentů CD PROJEKT, (ii) získané informace ze serverů CD PROJEKT odstranili a samotné servery zašifrovali, a (ii) požadují po CD PROJEKT zaplatit do 48 hodin výkupné, jinak získané informace prodají anebo poskytnou herním žurnalistům.

Jelikož CD PROJEKT odmítla s hackery jakkoli vyjednávat, byly ukradené zdrojové kódy po uplynutí lhůty (údajně) prodány na darknetu za několik milionů dolarů anonymnímu kupci. Částka byla prý natolik vysoká, že hackeři se zavázali předmětné informace dále nezpřístupňovat.[3] Tento závěr samozřejmě nahrává různým spekulacím ohledně ne/úspěchu aukce jakož i skutečnosti, že anonymním kupcem mohla být samotná společnost CD PROJEKT. To se však zřejmě nikdy nedozvíme (pokud někdo předmětná data nezveřejní).

Co tedy z výše uvedeného plyne? V první řadě se jedná o další ránu pro reputaci CD PROJEKT, která ve spojení s nepovedeným vydáním Cyberpunku 2077 a souvisejícími investorskými žalobami pravděpodobně povede k dalšímu snížení hodnoty této společnosti. Mimo jiné se také ukazuje, že pokud ransomware útok provádí profesionálové, mohou ukradená data, a tím pádem i cenné duševní vlastnictví či obchodní tajemství/know-how, velice rychle skončit v rukou třetích osob.

Výše uvedené pouze podtrhuje skutečnost, že dodržování kybernetické bezpečnosti nabývá v kontextu dnešní digitální doby na stále větší důležitosti. V praxi je však efektivní prevence a řešení kybernetických útoků souhrnem mnoha faktorů. Nezbývá tedy než doufat, že společnosti CD PROJEKT se podaří veškeré přešlapy ustát a my si tak v budoucnu budeme moci spíše než herních skandálů užívat samotných her. Přijít o studio, které nám umožnilo hrát za Geralta z Rivie kvůli ransomware útoku by přeci jen byla škoda.

Na závěr pro úplnost shrnujeme desatero kybernetické bezpečnosti, které by měl mít každý v kontextu kybernetických útoků na paměti:

1. IT řešení. Pořiďte si účinné IT řešení pro ochranu Vašich dat, popř. prověřte, zda jsou Vaše současná řešení dostatečná/aktuální. Dobré IT řešení dokáže často hackery zastavit, popř. alespoň odradit či zpomalit.
2. Personál. Mějte vždy k dispozici IT odborníky, kteří dokáží včas identifikovat a vyřešit probíhající, popř. provedený, kybernetický útok na Vaše systémy. Bez dobrých „ajťáků“ kybernetický útok pravděpodobně nevyřešíte.
3. Školení. Provádějte školení Vašich pracovníků a pravidelně se informujte o aktuálních možnostech kybernetických útoků a zásadách kybernetické bezpečnosti. Čím méně vzdělaný pracovník, tím větší riziko úspěšného kybernetického útoku.
4. Dodavatelé. Proveďte audit smluv s Vašimi současnými dodavateli, abyste se ujistili, že tito Vám musí v případě kybernetického útoku schopni poskytnout potřebnou podporu. Poslední věcí, co chcete při kybernetickém útoku na servery řešit je dostupnost Vašeho poskytovatele hostingu.
5. Řízení rizik. Mějte k dispozici odborníky, se kterými budete moci v případě potřeby konzultovat právní a bezpečnostní rizika konkrétního kybernetického útoku, popř. strategii dalšího postupu. Obecné řešení totiž nemusí vždy fungovat.
6. Interní pravidla. Vypracujte/aktualizujte dokumenty popisující Vaší bezpečnostní politiku včetně rolí jednotlivých pracovníků a krizových scénářů, jak obecně postupovat u určitých typů kybernetických útoků. Ušetříte tak čas pro určení vhodné reakce.
7. Vzory. Připravte si vzorová podání pro nahlášení kybernetického útoku příslušným úřadům (např. ohlášení Úřadu pro ochranu osobních údajů) a jiným orgánům (např. trestní oznámení). Vzory Vám umožní (i) rychle splnit Vaše zákonné povinnosti, (ii) vyhnout se tak zbytečným správním pokutám, a (iii) angažovat orgány státní moci, které Vám mohou s kybernetickým útokem pomoci.
8. Zálohy. Svá data vždy bezpečně a pravidelně archivujte na oddělených záložních serverech. Předejte tak riziku kompletní ztráty dat.
9. Recovery plány. Implementujte strategii, která Vám po kybernetickém útoku co nejrychleji umožní navrácení do původního stavu. Předejdete tím dalším ztrátám.
10. Připravte se na nejhorší. Počítejte s tím, že některá Vaše data opravdu mohou být v případě kybernetického útoku prodána, popř. ztracena. Svůj nejcennější/nejcitlivější majetek proto vždy chraňte více úrovněmi zabezpečení.

[1] Viz například https://www.playstation.com/en-us/cyberpunk-2077-refunds/

[2] https://twitter.com/CDPROJEKTRED/status/1359048125403590660.

[3] Startovací cena za ukradená data začínala na 1 mil. USD, cena za okamžitý odkup byla stanovena na 7 mil. USD. https://www.theverge.com/2021/2/10/22276664/cyberpunk-witcher-hackers-auction-source-code-ransomware-attack