Počátky Měsíce kybernetické bezpečnosti najdete v roce 2012, byť pouze v podobě jednoho týdnu. O rok později byl už říjen skutečně celý naplněn aktivitami, které mají za cíl ukázat problematiku bezpečnosti v kyberprostoru. Jde o celoevropskou aktivitu, do které se zapojuje 35 evropských států.
V říjnu nás v rámci European Cyber Securty Month (ECSM 2014) v Česku čeká přes deset akcí, včetně soutěže, kterou pořádá Národní Centrum Bezpečnějšího Internetu (NCBI). Aktivity mají pomoci v navázání a prohloubení spolupráce mezi různými institucemi. Mimo to si ECSM 2014 klade za cíl aktivovat veřejnost (Andrea Kropáčová z CZ.NIC pravila, že lidi v žádném případě nechce děsit, ale naučit je vše potřebné).
Nechápejme to špatně, jak se občas u podobných aktivit stává – státní správa (a tomu odpovídající instituce) funguje jinak. Potřebuje o věcech mluvit, ujišťovat se o jejich potřebnosti a také ukázat, že to, co dělá, má nějaké výsledky. Z tohoto pohledu jsou aktivity jako ECSM prospěšné – dokáží zlepšit informovanost jak samotných institucí, tak hlavně veřejnosti. Ke které, naštěstí, podobné aktivity také ve velké míře směřují.
Na začátku letošního ročníku proběhl Kulatý stůl kybernetické bezpečnosti, kterého se účastnili zástupci institucí a firem, které se bezpečností na internetu zabývají. O čem byla řeč?
Kulatý stůl
Na kulatém stole k ECSM zaznělo, že by se otázka bezpečnosti na internetu měla uživatelům zprostředkovat jednoduchou formou, hlavně v podobě nástrojů, které jsou použitelné stejně snadno jako dnešní mobilní telefony.
Ačkoliv jsou děti na základních školách vyučovány informačním technologiím, o počítačové bezpečnosti zde „nepadá ani zmínka“. Děti tak nejsou schopné chránit své osobní údaje ani svůj osobní prostor. Podle Jitky Sládkové z Network Security Monitoring Cluster je nutné začít kybernetický prostor vnímat jinak. Školy by měly děti učit, že je součástí našeho života a že je potřeba „mít sami za sebe odpovědnost a chovat se chytře“.
Nejen školy, ale i státní správa bere otázku kybernetické bezpečnosti na lehkou váhu. Podle Aleše Špidly z Českého institutu manažerů informační bezpečnosti až přijetí Zákona o kybernetické bezpečnosti (ZOKB) vedlo k tomu, že státní instituce pochopily, že z něj pro ně vyplývají nějaké povinnosti. Instituce začaly „analyzovat“ a „přijímat opatření“. A bohužel také uvažovat stylem „kde máme právníky, ti nás z toho vysekají, ať najdou, proč pod ten zákon nepatříme“.
Špidla také uvedl, že jeho oblíbeným penetračním testem je zajít na státní instituci a požádat „mohu si u vás přečíst flashku?“ Státní zaměstnanci jsou podle něj ochotní v poště klikat na jakékoliv odkazy, zejména na něco jako „levnéponožky tečka cézet“. Státní instituce jsou přitom podle něj „narvané technologiemi“, ale často je neumí používat. Ilustroval to na příkladu žádosti o změnu firewallů, ve které nejenom nebylo jasné, o jaké firewally jde, ale hlavně se zjistilo, že sice instituce firewally má, ale nikdo z nich nečte a neanalyzuje informace.
Za bezpečnostní riziko považuje i to, že probíhají zmatečné a rychlé změny organizačních struktur. „Pevně věřím, že služební zákon do tohoto přinese stabilitu, lidé už jsou z toho unavení a nechtějí nic dělat,“ dodal.
Kybernetická válka?
Žijeme v době kybernetické války? Pavel Čeleda z Českého centra excelence pro kybernetickou kriminalitu radí tento módní a líbivý pojem zbytečně nezneužívat. Místo toho by raději mluvil o špionáži či velkých kybernetických kauzách. Podobné problémy podle něj do Česka dorazí až tak za pět let. Připomněl přitom problémy s „čínskou špionáži“ ve firmách v USA a stejné čínské jednotky útočící na Tchaj-wan a další země.
Podle Čeledy jsou ale kybernetické útoky zneužívány i při útocích vlád na opozici, krádežích osobních údajů nebo průnicích na bankovní účty. „Kybernetickou válku v pravém slova smyslu vybrané státy vedou, i když o tom nehovoří. USA samy měly výzkumný program, kde cíleně volaly po vědcích, kteří přispívají na toto téma. A řada dalších států to dělá skrytě,“ řekl. V diskuzi dále zaznělo, že dnes je prolamování ochran a průniky k datům lidí či firem jenom otázkou peněz (a částečně času).
Jak se pro boj s počítačovou kriminalitou daří vychovávat policejní kádry? Podle Oldřicha Krulíka z Policejní Akademie ČR v Praze (PA CŘ) je vzdělávání pouze „jednou nohou trojnožky“, kterou se jeho škola zabývá. Ale abych pravdu řekl, tak na otázku vlastně nakonec vůbec neodpověděl – místo toho jsme se dozvěděli něco o GIS, simulaci povodňových vln či šíření oblaku nebezpečných látek. Zbylé dvě nohy trojnožky na kulatém stole byly hlavně reklamou na to, co je PA ČR. Trochu škoda, když padne otázka, na kterou se nedozvíme odpověď.
Výrobci krabiček
Dominik Jambor z Aukro.cz komentoval rostoucí počty incidentů týkajících se zákazníků aukčního portálu. „Otázka podvodů a bezpečnosti je pro nás stěžejní a tři miliony zákazníků vytvářejí velice lákavé prostředí pro podvodníky,“ uvedl. Firma má několik týmů, které se bezpečností zabývají. Důležitá je prevence a nezbytné je s podvodníky držet krok. Zároveň je podle něj nevhodné uživatele děsit – některé tlaky na uživatele totiž mají často i opačný efekt, než bylo původně zamýšleno.
A jak se české policii daří stíhat kybernetické zločince, kteří navíc často útočí z ciziny? Podle Pavla Tuleje z Policejního prezidia Policie ČR roste počet kybernetických incidentů, které „končí u policie“. Útoky jsou stále sofistikovanější a komplikovanější, ale policejní týmy nerostou, spíše z nich odcházejí lidé. Policie tak má nedostatek kvalifikovaných a zkušených expertů, schopných zajišťovat stopy či analyzovat sítě směřující do zahraničí.
„Lidská blbost je neomezená a lidé jsou v dobré víře schopni na internetu otevřít cokoliv a odeslat to kamkoliv,“ komentoval Tulej situaci s nedostatečným povědomím uživatelů na internetu.
Zaznělo ale také, že dnes „jsme masírování výrobci zařízení, které zajišťují bezpečnost a zjednodušují ji na úroveň krabiček“. Bohužel jsem nestihl zaznamenat, kdo tato slova pronesl. Dotyčný zároveň upozorňoval na to, že dnešní snadno detekovatelné hrozby rozhodně nejsou tím největším problémem: „cyber se dnes stal bojovým nástrojem, a to, co se dnes děje v oblasti potenciálního hackingu bankovních systémů, nemá obdoby“. Kybernetický útok dnes může uživatelům způsobit vysoké škody – nejde přitom o problém typu, že jim někdo ukradne identitu, ale že jim třeba vybere peníze z účtů, nebo nepůjde proud.
S námi přišel zákon
Pochyby o praktické aplikaci nového zákona o kybernetické bezpečnosti (ZOKB) rozebral Vladimír Rohel z Národního centra kybernetické bezpečnosti u Národního bezpečnostního úřadu (NCKB NBÚ).
Podle Rohela se v NCKB „rozhodli dělat vše trochu jinak, než je na NBÚ zvykem – tedy maximálně transparentně“. Zmínil ale také jednu dost podstatnou věc – zásadní rozdíl v chápaní světa firmami, státní správou a akademickou sférou. Panuje tady vzájemné nepochopení obav komerčních firem a toho, co naopak musí řešit úředníci a úřady.
Podle Rohela je ZOKB kompromisem, který zahrnuje i pohledy právníků, kteří do původních tří skupin přišli se svými vlastními názory. Nakonec ale byla zohledněna i technická stránka problému. „Pirátská strana nám to také připomínkovala, lidově řečeno nám do toho na začátku házeli vidle. Až pak pochopili, že u toho jsou normální lidé, takže dnešní ZOKB obsahuje i připomínky, které dodala právě Pirátská strana,“ řekl Rohel. Uvedl také, že po zveřejnění vyhlášek, tedy na počátku příštího roku, očekává řadu seminářů, které novinky v zákoně osvětlí.
Co je dnes největší kyberhrozba?
Závěrečná otázka kulatého stolu neměla žádnou jasnou odpověď. V diskusi zazněla řada věcí: sociální inženýrství, mobilní telefony, útoky na seniory…
Podle Rohela je největší hrozbou pro stát, který má za úkol chránit důležité systémy, že sice všichni znají Facebook či Seznam, ale nikdo nepřemýšlí nad tím, že dnes počítače řídí například elektřinu. Znovu také připomněl, že je nutné lidi vzdělávat, začít už na základní škole.
Andrea Kropáčová poměrně správně upozornila, že většina „kyberhrozeb“ je dnes součástí Internetu a musíme s nimi co nejlépe a co nejzodpovědněji umět pracovat, reagovat na ně a řešit je. Podle ní je největším problémem to, že ač jsou k dispozici technologie, postupy i infrastruktura, vždy něco zhavaruje na lidském prvku. Tedy na tom, že na důležitých místech sedí lidé, kteří problémům nerozumí a nemají zájem je zodpovědně řešit.
