Pohled na účastníky mezinárodní konference k bezpečnosti kyberprostoru
Pod tímto názvem se pod patronací Nakladatelství Sdělovací technika uskutečnil třetí ročník mezinárodní konference k aktuálním otázkám bezpečnosti kyberprostoru. Mezi tématy nechyběly aktuální informace o ochraně kyberprostoru v podmínkách České republiky v kontextu s legislativou Evropské unie, dotváření směrnice EU k bezpečnosti informací a příprava implementace evropské legislativy do naší národní.
Hovořilo se rovněž o skrytých nebezpečích v podobě agregátorů, úloze praktického prověřování stavu IT bezpečnosti i security managementu. Mezi přednášejícími nechyběli například Mgr. Tomáš Flídr z Národního bezpečnostního úřadu, Ing. Jaroslav Pejčoch z AFCEA v ČR, Doc. Ing. Václav Jírovský, CSc, z Fakuty dopravy ČVUT nebo Ing. Igor Tomeš, CSc ze DNS, a. s. či Ing. Robert Malý ze společnosti NESS Czech s. r. o. a řada dalších odborníků.
Ukazuje se, žetechnologický vývoj a ekonomické změny nutí státní správu k outsourcingu různých kapacit do velkých společností a soukromých podnikatelských subjektů, a tak se citlivá data dostávají do rukou různých skupin i jednotlivců. Vzhledem k propojení systémů může jejich napadení poškodit nejen počítače a data, ale také narušit obranné systémy tím, že usnadní neautorizovaným subjektům proniknout do těchto zařízení. Například telekomunikační systémy dnes plně digitalizované a přístupné prostřednictvím IP sítí představují slabá místa z hlediska bezpečnosti. Jak se tedy nejlépe bránit?
Jak zmínil Tomáš Flídr, celý kyberprostor je třeba rozdělit na vládní a národní CERT, přičemž první zmíněná část především tvoří kritickou informační infrastrukturu. V případě nebezpečí ohrožujícího náš kyberprostor, by pak mohl státní CERT zasahovat do národního. Základem pro rozdělení kompetencí na úrovni vedení státu i pro chování dalších subjektů se stane nově se tvoří legislativa EU, která shrne připomínky jednotlivých členských zemí a návrh dotvoří. Od letošního února již platí směrnice EU o síťové a informační bezpečnosti, která určuje základní standardy, jež by se měly promítnout do prováděcích předpisů fungování subjektů, pro něž budou tyto standardy určující, pro jejich informování, koordinaci. Podle názoru odborníků je však směrnice EU až příliš vše určující, přičemž členské státy by si měly samy určit podle konkrétních podmínek, co je za daných okolností rozhodující, a teto princip, jak byla na konferenci zmíněno, bude – alespoň z pohledu příslibu vlády expremiéra Nečase – při konečných jednáních Česká republika obhajovat. Rada EU připomínky členských zemí posoudí v průběhu příštího roku a nová směrnice k bezpečnosti kyberprostoru by měla vstoupit v platnost nejpozději v průběhu roku 2016.
Na konferenci se hovořilo rovněž o tom, co je nezbytné bránit a v čem spočívá největší nebezpečí pro ohrožení informací a dat u nás i obecně. Nejvíce ohroženy mohou být především mobilní sítě, internet, energetika, logistika a samozřejmě platební terminály, tedy vše, co je v provozu 24 hodin denně a na čem jsme my sami i celá ekonomika nejvíce závislí. Přitom útočníky mohou být kromě amatérů zejména profesionálové zaměřující se na oblast byznysu a obrany a bezpečnosti. Pokud se týká nejvýznamnějších faktorů zranitelnosti, patří sem kromě naprosté ignorace bezpečnosti především procesy centralizace, globalizace a standardizace. Podcenit nelze ani sebelépe navržený a fungující systém, který by se za určitých okolností – jak se již v minulosti nejednou stalo – mohl stát zneužitelnou tzv. civilní zbraní.
Nelze také v případě potřebných legislativních úprav a navazující standardizace, autorizace, certifikace, nebrat v potaz i odvrácenou stranu mince, tedy možné narušení soukromí, omezení přístupu či riziko zneužití osobních dat. Znamená to tedy najít rozumnou míru bezpečnosti a zajistit tak rovnováhu a omezit možné dopady zákonných omezení. Lidé jako uživatelé IT technologií si až příliš neuvědomují, co vše se za pozadím skrývá, jaká spousta informací, dat, mnohdy lehce dostupných a zneužitelných.
Hovořilo se také o nebezpečích, zdálo by se až za hranicí sci-fi, například o supersystémech vytvořených díky stále dokonalejším technologiím, které by se ovšem po překročení určité hranice, tedy v bodu zlomu, mohly vymknout svým tvůrcům z rukou a vyvolat nepředvídatelný exces s nedozírnými důsledky. Je tedy asi namístě i díky podobným konferencím, připomenout si, co vše vlastně kyberprostor tvoří, jakými pravidly bychom se v zabezpečení jeho bezpečnosti měli všichni řídit počínaje státem v návaznosti na legislativu EU a mezinárodní dohody, a prostým uživatelemkonče.
Nejvíce by měli být ve střehu IT specialisté ve státních institucích i v soukromých firmách, kde se soustřeďují osobní data klientů a uživatelů produktů a služeb. Vše v oblasti bezpečnosti informací by mělo mít jasná pravidla, systém a koordinaci, a především je nezbytné si uvědomit, že jedním z prvních potenciálních nebezpečí ‒ jak bylo také na konferenci zdůrazněno ‒ je obecný fenomén podceňování až ignorování nebezpečí, jako by zde ani neexistovalo. Jenže ono tu je. Dozvídáme se o něm v podobě útoků na systémy bank, státní správy, virových útoků prostřednictvím sociálních sítí, ovšem mohlo by být mnohem hůře. Mnozí přední odborníci na naznačují existenci reálného nebezpečí soustředěných a velmi nebezpečných útoků s až nepředstavitelnými dopady, pokud na ně nebudeme dobře připraveni. Proto bychom měli být velmi opatrní i tehdy, kdy vyťukáváme na klávesnici notebooku či chytrého telefonu svá osobní data s jejichž pomocí vám může nějaký dobrák sebrat třeba i nemovitost, jak se fingovanými přepisy na katastrálním úřadu děje. Třeba...
Jiří Novotný