Hlavní navigace

Říjen měsícem kybernetické bezpečnosti: žijeme v době kybernetické války?

 Autor: Isifa
Daniel Dočekal

Evropský měsíc kybernetické bezpečnosti přichází opakovaně pod taktovkou ENISA a ve spolupráci s českým Národním Centrem Bezpečnějšího Internetu.

Počátky Měsíce kybernetické bezpečnosti najdete v roce 2012, byť pouze v podobě jednoho týdnu. O rok později byl už říjen skutečně celý naplněn aktivitami, které mají za cíl ukázat problematiku bezpečnosti v kyberprostoru. Jde o celoevropskou aktivitu, do které se zapojuje 35 evropských států.

V říjnu nás v rámci European Cyber Securty Month (ECSM 2014) v Česku čeká přes deset akcí, včetně soutěže, kterou pořádá Národní Centrum Bezpečnějšího Internetu (NCBI). Aktivity mají pomoci v navázání a prohloubení spolupráce mezi různými institucemi. Mimo to si ECSM 2014 klade za cíl aktivovat veřejnost (Andrea Kropáčová z CZ.NIC pravila, že lidi v žádném případě nechce děsit, ale naučit je vše potřebné).

Nechápejme to špatně, jak se občas u podobných aktivit stává – státní správa (a tomu odpovídající instituce) funguje jinak. Potřebuje o věcech  mluvit, ujišťovat se o jejich potřebnosti a také ukázat, že to, co dělá, má nějaké výsledky. Z tohoto pohledu jsou aktivity jako ECSM prospěšné – dokáží zlepšit informovanost jak samotných institucí, tak hlavně veřejnosti. Ke které, naštěstí, podobné aktivity také ve velké míře směřují.

Na začátku letošního ročníku proběhl Kulatý stůl kybernetické bezpečnosti, kterého se účastnili zástupci institucí a firem, které se bezpečností na internetu zabývají. O čem byla řeč?

Kulatý stůl

Na kulatém stole k ECSM zaznělo, že by se otázka bezpečnosti na internetu měla uživatelům zprostředkovat jednoduchou formou, hlavně v podobě nástrojů, které jsou použitelné stejně snadno jako dnešní mobilní telefony. 

Ačkoliv jsou děti na základních školách vyučovány informačním technologiím, o počítačové bezpečnosti zde „nepadá ani zmínka“. Děti tak nejsou schopné chránit své osobní údaje ani svůj osobní prostor. Podle Jitky SládkovéNetwork Security Monitoring Cluster je nutné začít kybernetický prostor vnímat jinak. Školy by měly děti učit, že je součástí našeho života a že je potřeba „mít sami za sebe odpovědnost a chovat se chytře“.

Nejen školy, ale i státní správa bere otázku kybernetické bezpečnosti na lehkou váhu. Podle Aleše Špidly z Českého institutu manažerů informační bezpečnosti až přijetí Zákona o kybernetické bezpečnosti (ZOKB) vedlo k tomu, že státní instituce pochopily, že z něj pro ně vyplývají nějaké povinnosti. Instituce začaly „analyzovat“ a „přijímat opatření“. A bohužel také uvažovat stylem „kde máme právníky, ti nás z toho vysekají, ať najdou, proč pod ten zákon nepatříme“. 

Špidla také uvedl, že jeho oblíbeným penetračním testem je zajít na státní instituci a požádat „mohu si u vás přečíst flashku?“ Státní zaměstnanci jsou podle něj ochotní v poště klikat na jakékoliv odkazy, zejména na něco jako „levnéponožky tečka cézet“. Státní instituce jsou přitom podle něj „narvané technologiemi“, ale často je neumí používat. Ilustroval to na příkladu žádosti o změnu firewallů, ve které nejenom nebylo jasné, o jaké firewally jde, ale hlavně se zjistilo, že sice instituce firewally má, ale nikdo z nich nečte a neanalyzuje informace.

Za bezpečnostní riziko považuje i to, že probíhají zmatečné a rychlé změny organizačních struktur. „Pevně věřím, že služební zákon do tohoto přinese stabilitu, lidé už jsou z toho unavení a nechtějí nic dělat,“ dodal.

Kybernetická válka?

Žijeme v době kybernetické války? Pavel ČeledaČeského centra excelence pro kybernetickou kriminalitu radí tento módní a líbivý pojem zbytečně nezneužívat. Místo toho by raději mluvil o špionáži či velkých kybernetických kauzách. Podobné problémy podle něj do Česka dorazí až tak za pět let. Připomněl přitom problémy s „čínskou špionáži“ ve firmách v USA a stejné čínské jednotky útočící na Tchaj-wan a další země.

Podle Čeledy jsou ale kybernetické útoky zneužívány i při útocích vlád na opozici, krádežích osobních údajů nebo průnicích na bankovní účty. „Kybernetickou válku v pravém slova smyslu vybrané státy vedou, i když o tom nehovoří. USA samy měly výzkumný program, kde cíleně volaly po vědcích, kteří přispívají na toto téma. A řada dalších států to dělá skrytě,“ řekl. V diskuzi dále zaznělo, že dnes je prolamování ochran a průniky k datům lidí či firem jenom otázkou peněz (a částečně času). 

Jak se pro boj s počítačovou kriminalitou daří vychovávat policejní kádry? Podle Oldřicha KrulíkaPolicejní Akademie ČR v Praze (PA CŘ) je vzdělávání pouze „jednou nohou trojnožky“, kterou se jeho škola zabývá. Ale abych pravdu řekl, tak na otázku vlastně nakonec vůbec neodpověděl – místo toho jsme se dozvěděli něco o GIS, simulaci povodňových vln či šíření oblaku nebezpečných látek. Zbylé dvě nohy trojnožky na kulatém stole byly hlavně reklamou na to, co je PA ČR. Trochu škoda, když padne otázka, na kterou se nedozvíme odpověď.

Výrobci krabiček

Dominik JamborAukro.cz komentoval rostoucí počty incidentů týkajících se zákazníků aukčního portálu. „Otázka podvodů a bezpečnosti je pro nás stěžejní a tři miliony zákazníků vytvářejí velice lákavé prostředí pro podvodníky,“ uvedl. Firma má několik týmů, které se bezpečností zabývají. Důležitá je prevence a nezbytné je s podvodníky držet krok. Zároveň je podle něj nevhodné uživatele děsit – některé tlaky na uživatele totiž mají často i opačný efekt, než bylo původně zamýšleno.

A jak se české policii daří stíhat kybernetické zločince, kteří navíc často útočí z ciziny? Podle Pavla TulejePolicejního prezidia Policie ČR roste počet kybernetických incidentů, které „končí u policie“. Útoky jsou stále sofistikovanější a komplikovanější, ale policejní týmy nerostou, spíše z nich odcházejí lidé. Policie tak má nedostatek kvalifikovaných a zkušených expertů, schopných zajišťovat stopy či analyzovat sítě směřující do zahraničí.

„Lidská blbost je neomezená a lidé jsou v dobré víře schopni na internetu otevřít cokoliv a odeslat to kamkoliv,“ komentoval Tulej situaci s nedostatečným povědomím uživatelů na internetu.

Zaznělo ale také, že dnes „jsme masírování výrobci zařízení, které zajišťují bezpečnost a zjednodušují ji na úroveň krabiček“. Bohužel jsem nestihl zaznamenat, kdo tato slova pronesl. Dotyčný zároveň upozorňoval na to, že dnešní snadno detekovatelné hrozby rozhodně nejsou tím největším problémem: „cyber se dnes stal bojovým nástrojem, a to, co se dnes děje v oblasti potenciálního hackingu bankovních systémů, nemá obdoby“. Kybernetický útok dnes může uživatelům způsobit vysoké škody – nejde přitom o problém typu, že jim někdo ukradne identitu, ale že jim třeba vybere peníze z účtů, nebo nepůjde proud.

S námi přišel zákon

Pochyby o praktické aplikaci nového zákona o kybernetické bezpečnosti (ZOKB) rozebral Vladimír RohelNárodního centra kybernetické bezpečnosti u Národního bezpečnostního úřadu (NCKB NBÚ).  

Podle Rohela se v NCKB „rozhodli dělat vše trochu jinak, než je na NBÚ zvykem – tedy maximálně transparentně“. Zmínil ale také jednu dost podstatnou věc – zásadní rozdíl v chápaní světa firmami, státní správou a akademickou sférou. Panuje tady vzájemné nepochopení obav komerčních firem a toho, co naopak musí řešit úředníci a úřady.

Podle Rohela je ZOKB kompromisem, který zahrnuje i pohledy právníků, kteří do původních tří skupin přišli se svými vlastními názory. Nakonec ale byla zohledněna i technická stránka problému. „Pirátská strana nám to také připomínkovala, lidově řečeno nám do toho na začátku házeli vidle. Až pak pochopili, že u toho jsou normální lidé, takže dnešní ZOKB obsahuje i připomínky, které dodala právě Pirátská strana,“ řekl Rohel. Uvedl také, že po zveřejnění vyhlášek, tedy na počátku příštího roku, očekává řadu seminářů, které novinky v zákoně osvětlí.

Co je dnes největší kyberhrozba?

Závěrečná otázka kulatého stolu neměla žádnou jasnou odpověď. V diskusi zazněla řada věcí: sociální inženýrství, mobilní telefony, útoky na seniory… 

Podle Rohela je největší hrozbou pro stát, který má za úkol chránit důležité systémy, že sice všichni znají Facebook či Seznam, ale nikdo nepřemýšlí nad tím, že dnes počítače řídí například elektřinu. Znovu také připomněl, že je nutné lidi vzdělávat, začít už na základní škole.

Andrea Kropáčová poměrně správně upozornila, že většina „kyberhrozeb“ je dnes součástí Internetu a musíme s nimi co nejlépe a co nejzodpovědněji umět pracovat, reagovat na ně a řešit je. Podle ní je největším problémem to, že ač jsou k dispozici technologie, postupy i infrastruktura, vždy něco zhavaruje na lidském prvku. Tedy na tom, že na důležitých místech sedí lidé, kteří problémům nerozumí a nemají zájem je zodpovědně řešit.

Našli jste v článku chybu?

8. 10. 2014 13:06

Zen (neregistrovaný)

"Prostě policie žádné odborníky nemá"
Nechci pocitat, kolik lidi melo stejny nazor a pak se DOST divilo. Byla i pekna kniha na toto tema (preklad vychazel na pokracovani tusim v prielom-u)


7. 10. 2014 9:45

Jacke (neregistrovaný)

Obávám se, že pan Tulej také není odborníkem v této oblasti. Potenciální hacking bankovních systému? Nesmysl, současné útoky zneužívají nedostatečnou ochranu na straně uživatele. Další má poznámka směřuje k tomu, že policie není schopná analyzovat "sítě směřující do zahraničí". Co to jako je? Sítě v internetu jsou propojené, takže pokud si policie neporadí se síťovým provozem, tak si asi neporadí ani s trestnou činností v internetu. Prostě policie žádné odborníky nemá a pokud ano, tak je dost sc…

Podnikatel.cz: Zařízení pro EET zbytečně, vrátí vám peníze

Zařízení pro EET zbytečně, vrátí vám peníze

DigiZone.cz: Mňam TV splnila slib a odešla z DVB-T

Mňam TV splnila slib a odešla z DVB-T

Root.cz: Firefox hodí za rok přes palubu stará rozšíření

Firefox hodí za rok přes palubu stará rozšíření

DigiZone.cz: Zdeněk Gerlický: nový ředitel nangu.tv

Zdeněk Gerlický: nový ředitel nangu.tv

Měšec.cz: Jak levně odeslat balík přímo z domu?

Jak levně odeslat balík přímo z domu?

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

Podnikatel.cz: Chaos u EET pokračuje. Jsou tu další návrhy

Chaos u EET pokračuje. Jsou tu další návrhy

DigiZone.cz: Vedení ČRo: personální změny od ledna

Vedení ČRo: personální změny od ledna

Podnikatel.cz: Udávání kvůli EET začalo

Udávání kvůli EET začalo

Podnikatel.cz: K EET. Štamgast už peníze na stole nenechá

K EET. Štamgast už peníze na stole nenechá

Podnikatel.cz: 3, 2, 1..EET startuje. Na co nezapomenout?

3, 2, 1..EET startuje. Na co nezapomenout?

Root.cz: Kamery Sony se dají ovládnout na dálku

Kamery Sony se dají ovládnout na dálku

Podnikatel.cz: Alza.cz má StreetShop. Mall.cz více výdejních míst

Alza.cz má StreetShop. Mall.cz více výdejních míst

Vitalia.cz: Mondelez stahuje rizikovou čokoládu Milka

Mondelez stahuje rizikovou čokoládu Milka

Vitalia.cz: To nejhorší při horečce u dětí: Febrilní křeče

To nejhorší při horečce u dětí: Febrilní křeče

120na80.cz: Popraskané rty? Některé balzámy stav zhoršují

Popraskané rty? Některé balzámy stav zhoršují

Vitalia.cz: Analýza letáků: Na co lákají do prodejen?

Analýza letáků: Na co lákají do prodejen?

Měšec.cz: Vklad na cizí účet je draze zpoplatněn (přehled)

Vklad na cizí účet je draze zpoplatněn (přehled)

Root.cz: 250 Mbit/s po telefonní lince, když máte štěstí

250 Mbit/s po telefonní lince, když máte štěstí

120na80.cz: 5 nejčastějších mýtů o kondomech

5 nejčastějších mýtů o kondomech