Kyberútoky nepřestanou. Zvykejme si N
Dejte dvouletému dítěti do ruky tablet. Za deset sekund se ho naučí ovládat. Ale pochopí rizika? Těžko, říká expert na kybernetickou bezpečnost.
edávný kybernetický útok ransomwaru, tedy škodlivého softwaru, nebyl podle experta Petra Jiráska ničím zas tak výjimečným. Jen byly napadeny statisíce počítačů téměř po celém světě, a tak vyvolal pozornost. Nebyl však první ani poslední. „Jsme propojeni různými informačními a komunikační systémy. Nežijeme ve vakuu, ale ve virtuálním světě. Je to podobné jako s automobilovou dopravou – máme spoustu silnic a aut, ale neočekáváme, že se bude jezdit bez nehod, že bude vše bez problémů? Technologií je celá řada a nikdy nebudou stoprocentně bezpečné. Ai s relativně malými prostředky lze udělat velkou škodu,“varuje odborník na kybernetickou bezpečnost Petr Jirásek.
Jsou lidé stále nepoučitelní a klikají na cokoliv, co jim přijde v e-mailu?
Zase bych to porovnal s dopravou. Řada lidí má řidičský průkaz, prošla různými školeními a osvětou, přesto
jsou někteří schopni řídit v podnapilém stavu nebo nejezdit podle předpisů. U internetu je to stejné, používají ho zase jenom lidé. Kdo za hackerskými útoky stojí?
To je dobrá otázka. Existuje spousta teorií. Můžou to být lidé, co se chtějí jen zviditelnit, třeba jako sprejeři v reálném světě. Pak to mohou být skupiny, které chtějí získat profit, tím, že budou někoho například vydírat. Ale můžou to být i státní uskupení, která chtějí získat informační nebo politickou převahu a ovlivňovat dění v dané společnosti. Budou hrozby narůstat?
Logicky, když jsme čím dál závislejší na informačních technologiích a vzájemně propojeni. Otázka je, jestli je možné najít unikátní řešení, jak tento nárůst útoků alespoň zpomalit. A lze to vůbec?
Pokud se připravíme a budeme se chovat bezpečněji, můžeme snížit dopady a škody. Nechci tím říct, že lze veškerá rizika snížit na nulu. Vždy je totiž útočník o krok napřed, protože on ví, na co útočí. Je to stejné, jako když se bude chtít zloděj dostat do vašeho bytu. Bude si chtít nejdřív zjistit, jaké máte zabezpečení, jaké máte dveře a okna, a vy jen těžko můžete dopředu odhalit všechny skuliny. Čelí Česko kybernetické válce?
On ten boj svým způsobem probíhá
neustále všude na světě. Denně lidem přicházejí podezřelé e-maily, někdo jim tak klepe na dveře a chce se k nim dostat. Není to válečný stav. Nicméně může nastat i situace, že místo abyste si pořídil tisíc tanků, tak je můžete nepříteli hacknout a využít proti němu. Nahradí to klasickou pozemní ofenzivu? Nejsem expert na vedení boje. Dovedu si však představit, že tankisté si to nebudou umět moc představit. Myslím, že různé dezinformační bitvy, propagandy, což je vlastně součást vedení boje, budou, respektive jsou, vedeny elektronicky. A může to být drastické. Jakým způsobem drastické?
Tak, že to může poměrně rychle a značně ovlivnit a poškodit celou společnost. Řeknu ten nejjednodušší příklad. Na internetu se objeví zpráva, že bude nedostatek nějakého produktu, a když to dostatečně dobře rozšíříte, tak je možné, že druhý den už v obchodech nebude, protože ho lidé vykoupí. Domyslete si další možné scénáře. Co to znamená pro bezpečnostní složky? Být připraven. Vzdělávat lidi, mít kvalitní a dobře placené odborníky, investovat do technologií, které pomohou zabezpečit důležité systémy, mít připravená záložní řešení. Může nastat situace, že několik dní nebo týdnů nepůjde
elektřina a nefungovaly by tak ani žádné informační systémy. Přesto bychom potřebovali vyplácet dávky, posílat důchody, chtěli bychom, aby úřady fungovaly. Jaká bychom měli náhradní řešení? Je třeba vědět, jak se v takové situaci chovat. Dělá Česko potřebná opatření?
Aktuálně byla zveřejněna zpráva, ve které se Česko umístilo na prvním místě v takzvaném kybernetickobezpečnostním indexu. Musíme říct korektně, že je tam jen 25 zemí z celého světa, ale jsme na prvním místě s velkým náskokem před státy jako Kanada, Norsko, Německo nebo Austrálie. Za posledních deset patnáct let udělala Česká republika v této oblasti velký skok dopředu. Jde tedy o velký úspěch, nicméně to nestačí. Dnes můžeme říct, že jsme nachystáni na zítřek, ale je potřeba kontinuální, dlouhodobá příprava. Hodně se mluví o vnějších hrozbách, ale co útoky zevnitř? Před časem například zaměstnanec operátora T-Mobile ukradl data 1,5 milionu klientů. Chovají se firmy zodpovědně? Chrání dostatečně sebe i své klienty. Dlouhodobě platí, že největším rizikem je člověk a logicky s tím i vlastní zaměstnanci, takzvaní insideři. Mohou mít různé motivace, když poškozují vlastní firmu. Mohou být rozzlobeni, může to být jen jejich koníček. Proto je potřeba i vlastní lidi kontrolovat, nějak na ně dohlížet, rozdělovat pravomoci, aby se jeden člověk nedostal do všech důležitých systémů. A uvědomují si to firmy?
Po případu, který jste sám uvedl, mnohem více. Hlavně v oblasti všeobecné osvěty je to lepší. Jak jsou na tom školy s výukou informačních technologií? Hodně se o tom dnes hovoří. Říká se tomu digitální vzdělávání. Diskutuje, se, jaký by měl být správný obsah a rozsah, co by se mělo učit a na jakém stupni. Co by se mělo učit na základní škole, co na střední a jestli už i něco v mateřské škole. Už i ve školkách?
Dejte dnes dvouletému dítěti do ruky tablet a za deset dvacet sekund se ho naučí ovládat. Bude si s ním hrát, bude si tam kreslit obrázky, možná zvládne i nějaké jednoduché aplikace. Je ale tato činnost bezpečná? Nemělo by dítě mít už nějaké povědomí o možných rizicích? Na druhou stranu, vzdělávejte dvouleté dítě. Je proto důležité, aby se odborníci, kteří rozumějí vzdělávání, dohodli, co v takovém věku říkat. Viděl jsem různé komiksy, které mířily na děti a ukazovaly jim, jak se mají chovat ve virtuálním prostředí. Opět bych zde dal paralelu s dopravním systémem. Na konci základní školy nejspíš žáci nedostanou řidičský průkaz, ale budou vědět, jak se mají chovat na silnici. Například, že se mají před přecházením rozhlédnout. Stejně tak by děti měly vědět, jak se chovat v on-line prostoru. Jaká je dnes situace? Má děti v tomhle odvětví kdo vzdělávat? Ideální to není. Nemáme dostatek učitelů, kteří by rozuměli moderním informačním technologiím natolik, aby je dokázali dětem v základních nebo i v mateřských školách jednoduše vysvětlit. V naší neziskové organizaci tak děláme řadu aktivit, které mají motivovat mladé lidi, aby se informační technologie a celkově kybernetická bezpečnost stala jejich celoživotním cílem. V letošním roce jsme například uspořádali soutěž pro středoškoláky v kybernetické bezpečnosti a zapojilo se do ní 162 středních škol. S novým evropským nařízením zaměřeným na ochranu osobních údajů, které začne platit příští rok, vzrůstají pokuty za zneužití těchto údajů. Pomůže to něčemu? Spíš to bude takový „Damoklův meč“na firmy, aby se o naše osobní data lépe staraly, aby je někdo nezneužil, neobchodoval s nimi. Dnes už nedokážeme přesně říct, kde všude naše data jsou. Dáváme je úřadům, různým dopravcům, když cestujeme, odevzdáváme je při běžných nákupech. Uvědomujeme si to?
Neuvědomujeme. Osobně patřím mezi lidi, kteří když něco podepisují, tak si čtou i ta nejmenší písmenka, například při ubytování v hotelu, jestli se neupisuji k něčemu, že mi budou půl roku posílat nějaké reklamní letáky. Nemyslím si ale, že to dělá většina. Může nastat situace, něco mimořádného, co by způsobilo, že by bylo Česko odstřižené od internetu? Vzpomínám si na případ z nějaké asijské země, kde babička na zahradě překopla ten nejdůležitější kabel propojující danou zemi s internetem. Takže stát se to může. Věřím však, že Česká republika má tyto přípojky alespoň dvě.