Vyjednavač v první linii kybernetického byznysu

Článek vyšel původně v časopise Euro Platinum.

Příběh, který vám přinášíme, nevede do světa burz ani start-upů, ale do prostředí, kde se vyděračský byznys počítá v miliardách a hranice mezi zločinem a obchodem se nebezpečně rozplývá. Jan Pich, Cyber Security Director v EY Česká republika, stojí v první linii při zvládání největších kybernetických incidentů doma i ve světě. Jeho úkolem je uklidit chaos, v němž se digitální infrastruktura velkých firem hroutí, a vyjednávat přímo s útočníky o osudu zašifrovaných dat.

Z vaší praxe víme, že jste u těch největších kybernetických útoků v České republice i ve světě. Jak se k takové pozici člověk dostane? 

Působím v kybernetické bezpečnosti téměř čtrnáct let. Nejdříve jsem měl na starosti provoz monitorovacích center, kde jsme se denně potýkali s desítkami kybernetických útoků. Tato každodenní práce mi dala unikátní pohled na to, jak útoky fungují. Díky tomu jsem se postupně dostal do role, kdy neřeším jen technické útoky, ale koordinuji celý proces řešení těch největších krizí. A nedílnou součástí toho je právě vyjednávání s útočníky.

Vraťme se k tomu chaosu. Můžete nám popsat typický scénář? 

Takový chaos obvykle začne nečekaným telefonátem. Jednou mi uprostřed neděle zavolal šéf, abych byl za tři hodiny na letišti. O několik hodin později už jsem seděl v luxusním resortu na Maledivách. Zde mě čekal ředitel se slovy: „Nemůžeme se dostat k ničemu. Na obrazovkách nám svítí výhrůžná zpráva.“ V tu chvíli se zhroutila celá nervová soustava resortu: rezervace, platební terminály, elektronické klíče k pokojům, prostě všechno. Představte si to: hosté, kteří si užívají tyrkysovou lagunu, najednou nemohou platit kartou ani se dostat do svého pokoje.

A co se děje dál?

Mým úkolem je navázat kontakt se zločinci a řídit lidskou stránku krize. Každý e-mail, každá konverzace je psychologická hra. Já nekomunikuji jako oběť, ale jako partner, který hledá řešení problému. Mým hlavním cílem je získat čas a informace. Snažím se zjistit, kdo jsou, jak jsou organizovaní, jestli jsou spolehliví a zda se dá doložit, že své sliby vždy dodrží. Někdy kladu absurdní otázky jako třeba žádost o „slovo gentlemana,“ že po zaplacení data opravdu dešifrují. To sice neposkytuje žádnou záruku, ale odhaluje to, s kým máme tu čest. Z pohledu kybernetické obrany je vyjednávání v první řadě zpravodajskou operací.

Všude se mluví o tom, jak počet útoků roste. Co za tím stojí?

Masivní nárůst útoků není náhodný, ale odráží hlubokou transformaci v byznysu kyberzločinu. Víte, dřív musel být hacker programátorský génius. Dnes to tak už není. Stačí jen 40 dolarů na měsíční předplatné.

To zní trochu šíleně…

Přesně tak. Vzestup modelu Ransomware-as-a-Service (RaaS) kompletně změnil hru. Kdysi se ransomwarové skupiny musely specializovat na vývoj vlastního škodlivého kódu. Dnes si mohou ti z nich, co jsou technicky méně zdatní, koupit přístup k profesionálním nástrojům, platit měsíční předplatné nebo se dělit o zisk, často v poměru 30–40 % pro vývojáře. To výrazně snižuje překážky pro vstup do světa kyberzločinu a vysvětluje i masivní nárůst počtu obětí o 213 % v prvním čtvrtletí 2025, jak ukazují nejnovější průzkumy. Placení výkupného zkrátka nastartovalo business, který předtím neexistoval. Dnes už nejde o individuální hackery, ale o plnohodnotné, organizované podniky.

Ve své práci jistě narážíte na různé typy obětí. Jak se liší vyjednávání, kde je obětí banka, oproti případu s maledivským resortem?

Tyhle dva případy jsou jako protipóly. Pro banku, která byla napadena, není problémem jen finanční ztráta, ale především zachování veřejné důvěry. Každá hodina odstávky znamená ztracené obchodní příležitosti v řádu milionů, nemluvě o riziku, že by se panika rozšířila mezi klienty. Ve finančním světě je důvěra tou nejcennější komoditou.

Navíc v bankovním sektoru se většinou neplatí výkupné, protože je tam historicky silná regulace, která banky nutí mít robustní kybernetickou obranu. Díky tomu jsou banky obvykle připravené útok minimalizovat a rychle se z něho zotavit. Na druhou stranu, dnešní dvojité vydírání, kdy útočníci kromě šifrování dat hrozí i jejich zveřejněním, mění podstatu útoku na krizi reputace. To je oblast, se kterou se ve státní správě i v kritických službách začíná naplno pracovat až s evropskou směrnicí NIS2, která se teď uvádí do praxe.

Pro luxusní resort je primárním cílem ochrana reputace a komfortu klientů.

Takže platit, nebo neplatit?

To je ta klíčová otázka. Na Maledivách jsme tehdy rozjeli hru, že chceme server na zkoušku, jako takovou „gentlemanskou dohodu“, že po zaplacení dostaneme dešifrovací klíč. Útočník nám tehdy poslal klíč k jednomu serveru. A zrovna trefil ten master server s nejdůležitějšími daty, který jsme potřebovali! Zbytek jsme postavili na zelené louce a útok tím eliminovali. Tento útok nás tak stál jeden bitcoin, který měl tehdy hodnotu asi 10 tisíc dolarů. Tím ale nechci říct, že by se mělo platit. Spíš naopak. Nechci finančně podporovat kyberzločin. Každá platba jen motivuje další útočníky.

Skutečné náklady útoku tedy nejsou jen ve výkupném?

Přesně tak. Skutečné náklady jsou v dlouhodobých dopadech na reputaci, právních bitvách a provozních ztrátách. Je to strategické prohlášení o hodnotách a odolnosti organizace. Úspěch nespočívá v tom, že zaplatíte, ale že útočníky nefinancujete a dokážete se rychle a efektivně postavit na nohy.

Kromě bank a luxusních resortů, na jaké další sektory se tito útočníci rádi zaměřují?

Primárním cílem jsou sektory s vysokou hodnotou dat a kritickými službami. Mezi oblíbené patří například zdravotnictví, kde jsou cenné lékařské záznamy, ale i energetika a doprava, protože jejich odstavení má obrovský dopad na chod celé země. Poslední dobou ale vidíme, že útoky směřují i do výrobních firem. Ty totiž často mají zastaralou infrastrukturu, která je snadno zranitelná.

Jak se firmy po takovém útoku vlastně chovají? Co je pro ně největší výzva?

Z mé zkušenosti je to šok. Ze dne na den se zhroutí léta budované procesy a firma je v totálním chaosu. Největší výzvou je panika a nedostatek informací. Vedení si často neví rady, jak komunikovat s klienty, zaměstnanci nebo médii. Viděl jsem firmy, které po útoku naprosto selhaly v komunikaci, což vedlo ke ztrátě důvěry. Byznys je závislý na důvěře a to platí dvojnásob po kybernetickém incidentu. Proto je pro mě klíčová nejen technická stránka řešení, ale i krizová komunikace a obnova důvěry.

Co by tedy firmy měly dělat, když se do takové situace dostanou?

Tou nejdůležitější věcí je zachovat chladnou hlavu a nepropadat panice. Ale to se snadno řekne a hůře udělá. Proto je klíčové mít po ruce externího koordinátora, který je v takové situaci jako čerstvá krev. Má zkušenosti s podobnými krizemi a dokáže je odřídit. Přijde do firmy bez emocí, rychle vyhodnotí situaci a začne jednat podle předem připraveného plánu. V EY například dokážeme díky naší globální síti okamžitě mobilizovat týmy, které se specializují na forenzní analýzu, kybernetickou bezpečnost i IT. To je naprosto klíčové, protože rychlost je rozhodující.

Co je tedy v takovém momentě vaší hlavní rolí?

Já jsem ten, kdo to všechno koordinuje a drží pohromadě. Zatímco útočníci se snaží narušit byznys, já musím zajistit, aby firma fungovala a řešila kritické záležitosti. Nejdůležitější je pro mě vrátit ji do normálního stavu a obnovit důvěru, která je po takovém incidentu vždy narušena.