Kybernetické útoky dnes nie sú abstraktnou hrozbou. Sú každodennou realitou, ktorá sa priamo dotýka fungovania firiem a inštitúcií. Ako na konferencii Judgment Day 2025 zdôraznil Josef Honc zo spoločnosti Cohesity vo svojej prednáške „Realita obnovy dát pri kybernetickom útoku“, všetky útoky majú spoločného menovateľa: útočia na dáta. Dáta sú srdcom biznisu – bez nich sa zastaví prevádzka, nevznikajú objednávky, neprebieha fakturácia ani komunikácia so zákazníkmi.
Mnohé organizácie si pritom stále myslia, že „majú to pokryté“, pretože zálohujú. V praxi sa však často ukáže, že záloha je len ilúziou bezpečia. Kybernetický útok preverí nielen technológie, ale aj procesy, pripravenosť tímu a reálnu schopnosť obnovy. A najmä – ukáže, či organizácia vie, z čoho vlastne obnovovať a či dokáže bezpečne odlíšiť kompromitované prostredie od čistého.
Prečo pri kyberútoku neexistuje jednoduchý „restore“
Tradičné plánovanie kontinuity činností a disaster recovery predpokladá udalosti typu požiar, výpadok elektrickej energie, povodeň alebo hardvérové zlyhanie. V takom prípade je situácia relatívne jasná: vieme, čo sa stalo, vieme, ktoré dátové centrum alebo technológia zlyhala, predpokladáme, že zálohy predstavujú čistý stav systému a riešime predovšetkým kapacitu a rýchlosť obnovy.
Pri kybernetickom útoku je situácia úplne iná. Útočník môže byť prítomný v prostredí týždne až mesiace predtým, než sa prejaví šifrovaním alebo iným deštruktívnym správaním. Využíva pritom štandardné nástroje operačného systému, slabiny v konfigurácii, odcudzené prihlasovacie údaje a bežné administrátorské oprávnenia. Útok nie je jedna binárka, ktorú stačí nájsť podľa hashu a zmazať, ale súbor krokov a aktivít, ktoré sa dajú pripodobniť k scenáru popísanému v rámci MITRE ATT&CK.
Zásadný rozdiel oproti environmentálnym haváriám spočíva v tom, že pri kyberútoku často nevieme:
- odkedy sú systémy a dáta kompromitované,
- ktoré kópie dát sú ešte dôveryhodné,
- či útočník nevyužíva perzistenciu na úrovni operačného systému alebo identity,
- či nie sú napadnuté aj nástroje, na ktoré sa pri vyšetrovaní spoliehame.
Obnova po kyberútoku preto nezačína stlačením tlačidla „restore“, ale forenznou analýzou. Josef Honc veľmi trefne pripodobnil situáciu k vyšetrovaniu vraždy: ak z miesta činu odnesieme len mŕtve telo, problém nie je vyriešený. Je potrebné pozrieť si kamerové záznamy, zistiť, čo sa stalo predtým, či útočník neopustil scénu alebo sa neskrýva za dverami a nečaká na ďalšiu príležitosť. Pri kyberútoku je to veľmi podobné – samotná obnova dát bez pochopenia incidentu vedie k tomu, že sa útočník do prostredia vráti spolu s obnoveným systémom.
Od dostupnosti infraštruktúry k odolnosti dát
V praxi sa stále stretávame s tým, že „dostupnosť“ je chápaná primárne ako dostupnosť infraštruktúry. Redundantné diskové polia, klastrované servery a geografická redundancia riešia scenár, v ktorom technológia zlyhá, ale dáta sú v poriadku. V kontexte kybernetického útoku už však nestačí mať dáta uložené dvakrát alebo trikrát. Ak sú všetky kópie zašifrované, redundancia nepomôže.
Josef Honc na to nadväzuje aj z pohľadu rastúcej komplexnosti útokov. Phishing síce zostáva dôležitým vektorom, no prudko rastie počet útokov zameraných na zraniteľnosti. V čase, keď veľkí výrobcovia softvéru vydávajú záplaty pravidelne a útočníci ich pomocou umelej inteligencie podrobujú reverznému inžinierstvu, sa čas medzi zverejnením záplaty a dostupným exploitom skracuje na dni. Len málo organizácií nasadzuje kritické záplaty v horizonte troch až piatich dní, a tak sa práve zraniteľnosti stávajú jednou z hlavných vstupných brán.
Odolnosť preto nie je len o tom, či infraštruktúra „beží“, ale o tom, či sme schopní zachovať integritu a obnoviteľnosť dát aj v situácii, keď útočník kompromituje viacero vrstiev prostredia.
Digitálny „padák“ a úloha záloh pri vyšetrovaní incidentu
Ak útočník zasiahne nielen produkčné systémy, ale aj logy, bezpečnostné nástroje a zálohovací server, organizácia zostáva de facto slepá. Preto Josef Honc odporúča budovať tzv. digitálny „padák“ – izolované prostredie, ktoré nie je závislé od produkčnej infraštruktúry a obsahuje všetko potrebné na vyšetrovanie incidentu a obnovu:
Kľúčové je, aby toto prostredie existovalo a bolo otestované ešte pred útokom. A tu sa dostávame k tomu, čo zaznelo úplne jasne: záloha sama osebe nestačí. Rozhodujúce je, ako je zálohovacie riešenie navrhnuté, chránené a integrované do celého ekosystému kybernetickej bezpečnosti.
Moderné platformy ochrany dát, akou je Cohesity, už nevnímajú zálohu len ako pasívny archív. Zálohy sa stávajú aktívnym zdrojom pravdy a nástrojom na detekciu útokov. V zálohovaných dátach je možné sledovať anomálie – zmeny objemu, entropiu dát typickú pri šifrovaní či prítomnosť indikátorov kompromitácie (IoC) v metadátach, registroch alebo súborovej štruktúre. V niektorých prípadoch sa dokonca stáva, že práve zálohovací systém ako prvý upozorní na to, že sa deje niečo podozrivé – napríklad tým, že zrazu zálohuje namiesto bežných sto gigabajtov výrazne menší alebo naopak výrazne väčší objem dát.
Záloha tak plní dve roly: zdroj „čistých“ dát pre obnovu a zároveň senzor, ktorý pomáha odhaliť, že v prostredí niečo nie je v poriadku ešte skôr, než dôjde k plnej deštrukcii.
Tri príbehy obnovy: pripravený, čiastočne pripravený a nepripravený
Aby ukázal, ako veľmi záleží na príprave, Josef Honc zdieľal tri príklady zákazníkov z Česka a Slovenska, ktorí čelili kybernetickému incidentu.
V prvom prípade išlo o organizáciu, ktorá mala jasne definované, čo je pre ňu minimálne nutné na obnovenie prevádzky, mala integrované bezpečnostné a zálohovacie riešenia a tím vedel, ako postupovať. Hoci došlo k obmedzeniu prevádzky, firma bola schopná fungovať v obmedzenom režime a postupne sa vrátiť do normálu.
Druhý prípad reprezentoval zákazníka, ktorý síce mal zálohy a čiastočnú predstavu o tom, čo robiť, no chýbala mu hlbšia integrácia a pripravenosť. Výsledkom bol plný výpadok na dlhšie obdobie, hoci sa nakoniec podarilo obnoviť dáta a rozbehnúť biznis.
Tretí prípad ukázal, čo sa stane, keď sa organizácia spolieha na to, že „nejako to pôjde“. Zálohy existovali, ale architektúra odzrkadľovala typické chyby – zálohovací server závislý od produkčného prostredia, slabé oddelenie oprávnení, minimálna integrácia s bezpečnostnými nástrojmi. Firma obnovovala prostredie, útočník zostal prítomný, útok sa zopakoval a proces museli opakovať niekoľkokrát. V praxi to znamenalo výrazne dlhší výpadok, vyššie náklady a stratu dôvery.
Spoločným menovateľom bolo to, že kvalita obnovy nebola daná len použitou technológiou, ale kombináciou: architektúry, pripravených procesov, práce s ľuďmi a schopnosti využiť zálohované dáta ako zdroj informácií pri vyšetrovaní.
Ako získať realistický obraz o vlastnej odolnosti
Cieľom prednášky nebolo firmám nahnať strach, ale ponúknuť realistický pohľad na to, ako vyzerá kybernetická odolnosť v praxi. Josef Honc preto odporúča, aby si organizácie položili súbor kľúčových otázok – či už formou interného cvičenia, alebo napríklad prostredníctvom nezávislého Cyber Resilience Assessment, kde sa systematicky prechádza architektúra, procesy, zodpovednosti aj technológie.
Ak viete na tieto otázky odpovedať „áno“, zvyšujete šancu, že v deň incidentu nebude záloha len pekným slovom v dokumentácii. Ak pri viacerých otázkach váhate, je vhodný čas premyslieť, ako nastaviť zálohovanie, obnovu a integráciu so bezpečnostnými riešeniami tak, aby tvorili jeden celok.
Chcete ísť viac do hĺbky? Pozrite si záznam prednášky aj rozhovor s Josefom Honcom
Tento článok zachytáva kľúčové myšlienky z prednášky na Judgment Day 2025, no mnohé detaily, príklady a technické súvislosti najlepšie vyniknú v kontexte celej prezentácie. Odporúčame preto pozrieť si záznam prednášky Josefa Honca „Realita obnovy dát pri kybernetickom útoku“, kde uvidíte aj konkrétne architektonické princípy či spôsob, akým môže zálohovacie riešenie podporiť forenznú analýzu incidentu.
Zároveň sme s Josefom Honcom pripravili aj krátky rozhovor, v ktorom sa dozviete napríklad:
- prečo sa až pri reálnej obnove ukáže, či bola záloha skutočnou istotou alebo iba ilúziou bezpečia,
- ako sa dá už podľa zálohovaných dát a ich zmien zachytiť, že sa v prostredí „niečo deje“, ešte pred tým, než útok naplno prepukne,
- akú jednu vec by podľa neho mala urobiť každá firma, ktorá to s prípravou na kybernetický incident myslí vážne.
Ak chcete zvýšiť odolnosť vašej organizácie voči kyberútokom a pozrieť sa na zálohovanie nie ako na pasívnu poistku, ale ako na aktívny nástroj kybernetickej bezpečnosti, naši špecialisti v Alanata vám radi pomôžu nastaviť stratégiu, architektúru aj konkrétne riešenia – vrátane platforiem, akú prináša Cohesity.
