09:14 18. října 2017
Praha+ 7°C
Bratislava+ 12°C
    Kybernetická bezpečnost

    Internet potřebuje regulaci, nikoli cenzuru

    © flickr.com/
    Svět
    Získat krátkou URL
    0 758124

    Pokračování rozhovoru o kybernetické bezpečnosti. „Víc než svobody Internetu se obávám o svobodu myšlení,“ říká Jiří Nápravník, šéf firmy Salamandr zabývající se bezpečností informací a informačních systémů.

    Jaké kybernetické hrozby mohou ohrožovat Českou republiku?

    Jiří Nápravník: V prostředí kybernetické bezpečnosti neexistují hranice, i jazykové bariéry v podobě češtiny jsou již dávno překonány. Takže hrozby, které se týkají systémů v USA, Rusku nebo Číně se mohou týkat i systémů v ČR.  

    Někdo může namítat, že informační systémy českých úřadů a firem nejsou zajímavé a v Internetu jsou zajímavější cíle. To je pravda pouze částečně.Informační a řídící systémy úřadů a firem v ČR mohou být vedlejší obětí při útoku na systémy v jiných zemích. Systémy v ČR i jiných zemích používají stejné nebo velmi podobné operační systémy, databáze, aplikační programy.

    Informační  a regulační (řídící) systémy v ČR mohou být právě pro svoji zdánlivou nezajímavost i jakýmsi „pokusným králíkem“, na kterém si útočníci vyzkouší průnik do systému a své maskování. Pokud nejsou po určitou dobu odhaleni, tak své nástroje zaměří na hlavní cíl.  

    Druhým a minimálně stejně vážným rizikem je fakt, že z informační bezpečnosti se stala komodita a neřeší se základní problémy tohoto oboru. Je to možná kacířský názor, ale v oboru informační a komunikační bezpečnosti se pohybuji 20 let a to už je velmi dlouhá doba. Jen pro ilustraci krátce zmíním několik mylných přístupů. 

    Softwarová firma se snaží vytvořit bezpečný operační systém, což je na první pohled chválihodná myšlenka, ve skutečnosti je to něco podobného jako vytvořit bezporuchový automobil. Můžete se tomuto stavu velmi přiblížit, ale nikdy úplně nedosáhnete cíle. I další mylný přístup je spojen s faktem, že z informační bezpečnosti se stala komodita. 

    Obchodník, který ještě vloni na podzim prodával klávesnice a další počítačové periférie, dnes zdánlivě kvalifikovaně hovoří o počítačových virech a hackerských útocích.  Tito obchodníci se snaží, ale jedná se pouze o krásnou skořápku, která není podložena praktickými znalostmi. 

    Třetí mylnou cestou bylo rychlé přijímání zákona o kybernetické bezpečnosti. Jedná se vlastně o zákon, který doporučuje nebo přímo nařizuje pravidla pro výměnu informací o útocích na informační systémy jednotlivých úřadů nebo firem. Zákon o kybernetické bezpečnosti by byl v pořádku, pokud by se jednalo o druhý nebo třetí normu / zákon v pořadí, protože se zabývá řešením následků a poučením z hackerských útoků. 

    Mnohem důležitější je nastavit odpovědnost tvůrců softwaru za jejich výrobky a zamyslet se nad způsobem jak ověřovat, že jednotlivé programy a části operačních systémů, které jsou v informačních systémech úřadů nebo firem jsou shodné s těmi, které skutečně vytvořili autoři softwaru. 

    Poslední dobou se o virtuálním prostoru hovoří jako o bojišti 21. století. Jaké země mají "nejsilnější" kyber armády?

    Americká armáda předvedla s virem Stuxnet, že má prostředky k tomu vytvořit, otestovat a umístit v systémech protivníka sofistikovaný virus. Podobné týmy má každá zpravodajská služba, případně armáda, ale zatím jim to nikdo spolehlivě neprokázal.

    Je potřeba řešit, a je k tomu možné použít i zákon o kybernetické bezpečnosti, je vytvoření obranných jednotek nebo chcete-li, počítačovou „pohraniční stráž“. Tedy jednotky kyber armády/ policie, které budou zaměřené na obranu a ochranu kritických systémů států a firem. Tedy jednotky, které dokáží nejenom detekovat, že se do informačního systému dostal útočník, ale mají schopnosti detekovat pokusy a bránit takovým útokům.

    Doba se mění na klasických bojištích, podobné to je a bude i v prostředí sítě Internet. Již dnes existují volná sdružení hackerů. Například skupina Anonymous, i když v jejich případě bych spíš volil označení počítačoví provokatéři nebo rebelové, kteří protestují proti starým postupům, ale na jejich jednání a na jejich útocích je vidět  dodržování zásad, které jsou v souladu se základy s naší společností. Myslím například hack serverů s pedofilním obsahem, apod. a jeho zpřístupnění policistům.

    Mnohonásobně nebezpečnější budou podobně volně organizované skupiny skutečných počítačových podvodníků a teroristů. Skupiny klasických teroristů, kteří získají zklamaného  informačního odborníka nebo takového člověka budou vydírat podobně jako v té 20 let staré komedii.

    Změnil se způsob vedení vojenských střetů. Troufám si říci, že bitva u Kursku nebo operace  Pouštní bouře již patří do učebnic. Dnes přichází doba malých skupin, které operují na hranici střetu nebo dokonce hluboko v týlu nepřítele. Na to samé se musíme připravit i v prostředí Internetu. 

    Útok na servery v Estonsku nebo Gruzii, znepřístupnění (DoDS útoky) serverů českých úřadů a firem jsou spíš protestem. Skutečně nebezpečné jsou a budou sofistikované útoky na jeden konkrétní úřad, na jeden konkrétní informační systém nebo dokonce počítač (chytrý telefon) konkrétní osoby. 

    Jenže sofistikované útoky na konkrétní typ uživatelského programu, databáze nebo SCADA (průmyslové) aplikace je místo, kde současné antivirové a další bezpečnostní firmy se svými řešeními velmi zaostávají. Jejich bezpečnostní nástroje dokáží podle určitých znaků nebo způsobů chování označit podezřelou nebo přímo nebezpečnou aktivitu v informačním systému. Jenže pokud se jedná o aktivitu, která se stane v systému konkrétní firmy nebo úřadu pouze jednou a podobná aktivita se neobjevila ani u jiných úřadů v zahraničí, tak to bezpečnostní firmy nemají s čím porovnat a takový pokus nebo úspěšný útok může zůstat neodhalen klidně i mnoho měsíců nebo let.   

    Tedy víc než masivních (frontálních) útoků bychom se měli obávat jednotlivých dobře cílených a dobře připravených útoků na konkrétní informační systémy. 

    Jedním z opatřením, jak čelit hrozbám virtuálního světa, je regulace internetu. Byl by to skutečně krok správným směrem?

    První co chci zdůraznit je fakt, že regulace není to samé jako cenzura. Stačí se podívat na silniční dopravu a výrobu automobilů, kolik regulace je s tímto oborem spojeno a přesto si můžeme připadat po usednutí do auta svobodní. Regulace v mém chápaní je nastavení pravidel pro výrobce automobilů a pro účastníky silničního provozu.

    Tedy podobně pro tvůrce programů v počítačích, v mobilech a další elektronice, která je nebo může být připojena k Internetu. Další pravidla nebo chcete-li regulace se bude muset týkat provozovatelů aplikací i koncových uživatelů.

    Počítačové programy jsou od počátku do konce výsledkem lidské práce. Programátoři na rozdíl od strojních, chemických nebo elektro inženýrů nemusí počítat s přírodními zákony, s roztažností materiálů, atd. Výrobky v jiných oblastech udělali obrovský pokrok jak v oblasti spolehlivosti, tak také v oblasti ochrany uživatelů nebo šetrnosti k přírodě. Programátoři a softwarové firmy zatím argumentují tím, že to jinak udělat nejde, že se snaží, apod.  

    Takže regulaci a kontrolu v této oblasti si dokážu velmi dobře představit, protože svádět vše na běžného uživatele, který si prý nedokáže zabezpečit svůj počítač, je velmi jednoduché, ale v mnoha případech se za tímto argumentem skrývá snaha svést odpovědnost na někoho, kdo se bude těžko bránit. 

    Takový typ regulace by podle mne prospěl běžným uživatelů, správcům systémů a paradoxně i výrobcům softwaru.  Takový typ kontroly / regulace by do prostředí Internetu přinesl pravidla podobná těm, které již mnoho desítek let platí v jiných oblastech lidského života.

    Máme se v brzké době obávat omezení svobody internetu?

    Pokud jde o svobodu obsahu, tak to je oblast, která víc než na kyber bezpečnosti záleží na obecné svobodě projevu ve společnosti. 

    V každé společnosti byly vždy větší nebo menší snahy o umlčení nepohodlného oponenta. Internet nabízí  nepřeberné množství způsobů pro výměnu informací a jejich zveřejňování. Takže pouze znepřístupnění nějakého webu není řešením a čtenáři, kteří budou chtít, si informace najdou jinou cestou.

    Víc než svobody Internetu se obávám o svobodu myšlení. Mnoho lidí má dnes obrovské množství informací okamžitě přístupné ve svém tabletu nebo mobilu. To může vést až k pohodlnosti hledat a ověřovat si další informace. S tím je spojená i slepá důvěra v informace nalezené na Internetu. 

    Internet se vyvinul od úžasné hračky akademiků, přes šikovného pomocníka IT nadšenců až do podoby samozřejmé pomůcky. Jenže při rozvoji této sítě sítí jsme zapomněli řešit bezpečnost na všech úrovních a to způsobem, který odpovídá možnostem uživatelů, administrátorů a především výrobců softwaru. 

    Teď je potřeba se zamyslet, jestli by se neměly změnit některá dřívější pravidla. Jinak se oblast Internetu a kyber- bezpečnosti bude pohybovat v kruhu, v začarovaném kruhu. 

    Více:

    Max Keiser: prudký růst dolaru, to jsou jeho předsmrtné křeče
    USA se rozhodly posílit útočný potenciál v kybernetickém prostoru
    Boj USA a Číny o ekonomický vliv v Asii: čím to skončí?
    Štítky:
    DoDS útoky, hrozby, hackeři, kybernetická bezpečnost, Stuxnet, Anonymous, USA, ČR
    Pravidla společenstvíDiskuse
    Komentovat pomocí FacebookuKomentovat pomocí Sputniku