Žádná země není zcela připravena čelit kybernetickým útokům

Vítejte v digitálním věku

Melissa Hathawayová

prezidentka Hathaway Global Strategies, dříve pracovala jako poradkyně v Bílém domě

Ochrana hodnoty investic do digitální ekonomiky je jednou z nejvyšších priorit světových vůdců. Státy poskytují domácnostem i firmám téměř všudypřítomný přístup k informacím a sledují politiku rozvoje a modernizace s cílem podpořit přechod svých informačních společností do digitálního věku. Jejich programy slibují, že zvýší produktivitu a efektivitu práce, prohloubí kvalifikaci pracovní síly, přispějí k zavádění inovací a zajistí růst HDP.

Tento druh investic však vytvořil také atraktivní zázemí a prostor pro širokou škálu nelegálních kybernetických aktivit, které růst HDP narušují. Například v Nizozemsku stojí kybernetická kriminalita společnost nejméně 10 miliard eur ročně, tedy téměř dvě procenta nizozemského HPD. Zprávy o podobných ztrátách přichází i z Německa a Velké Británie. Spojené státy americké odhadují, že újma, kterou jejich ekonomice ročně způsobí mezinárodní krádeže duševního vlastnictví, dosahuje 300 miliard dolarů, což odpovídá zhruba jednomu procentu HDP. Stručně řečeno, žádná země není dokonale připravena bránit se kybernetickým útokům.

Doposud neexistovala metodologie, podle které by bylo možné vypočítat, do jaké míry je daná země připravena a odhodlána chránit svoji kybernetickou infrastrukturu a služby, na nichž spočívá její digitální budoucnost a růst.

"Index kybernetické připravenosti" (Cyber Readiness Index - CRI) nabízí nový způsob, jak problém kybernetické ochrany zkoumat. Účelem indexu bylo zažehnout mezinárodní debatu a povzbudit zájem světa na řešení negativních ekonomických dopadů odvíjejících se od kybernetické nejistoty, která brání masivnějšímu hospodářskému růstu. Index CRI analyzuje situaci v třiceti pěti zemích, které se vydaly cestou informačních a komunikačních technologií a internetu.

Využívá přitom objektivní metodologii, která pomocí pěti základních faktorů hodnotí vyzrálost dané země a její odhodlání zajistit svoji kybernetickou bezpečnost. Tento holistický přístup k hodnocení pokroku v kybernetické bezpečnosti poukazuje na důležitost vnitřně soudržné strategie zahrnující vládní regulaci a vymáhání práva, tržní pobídky a ekonomické nástroje, jejichž pomocí by bylo možné upřít pozornost veřejnosti a soukromé sféry k prosperující digitální budoucnosti. Iniciativy v oblasti kybernetické bezpečnosti mohou umožnit vznik a ochranu příslibu dividend z odvětví informačních a komunikačních technologií a pomoci státům, aby si uvědomily plný potenciál internetové ekonomiky.

Nebezpečně nezabezpečené

Aleš Špidla

ředitel odboru bezpečnostní politiky MZV

Je tomu zhruba čtrnáct dnů, kdy prošel Poslaneckou sněmovnou návrh zákona o kybernetické bezpečnosti v prvním čtení. Zákon primárně dopadá na instituce veřejné správy a subjekty, které jsou zapojeny do kritické informační infrastruktury. V této souvislosti se nabízí otázka: A co byznys? Měl by se také řídit podobnými pravidly? A proč? Odpověď je velmi jednoduchá, určitě ano. Nikomu nepřijde zvláštní, když si firma chrání svůj fyzický prostor plotem, ostrahou, elektronickými prostředky apod. A kyberprostor firmy je jenom méně hmatatelný, ale o to více zranitelný. Zahrnuje veškeré digitální technologie, systémy i informace v nich zpracovávané a ukládané včetně toho nejcennějšího, know-how firmy. Ochrana kyberprostoru firmy by měla být nedílnou součástí firemní bezpečnostní kultury. A netýká se to jen velkých firem.

Statistiky z poslední doby ukazují, že malá nebo střední firma je pro útočníka stejně zajímavá jako ta velká. Mimo jiné i proto, že přes špatně zabezpečený informační systém malé firmy se útočníci dostávají do relativně dobře zabezpečených informačních systémů jejich velkých partnerů. Proto se také potenciální investor může zeptat: "S kým a jak bezpečně komunikujete?" Kyberprostor je stejným investičním prostorem jako prostor fyzický a i zde by měl investor zvážit, jestli je to místo vhodné pro bezpečné umístění jeho investic, pro sdílení know-how, a to jak na národní úrovni, tak na úrovni korporátní. Proto je pro stát i pro privátní sféru a pro jejich konkurenceschopnost velmi důležitá těsná spolupráce na vytváření a udržování bezpečného společného kyberprostoru. Zde totiž platí dvojnásob, že systém je tak bezpečný, jak bezpečný je jeho nejslabší článek.

Spoluvytváření bezpečného kyberprostoru přináší firmě jako zodpovědnému vlastníkovi informačního systému nejen povinnosti dané pudem sebezáchovy, ale pro určitý segment i příležitosti k uplatnění schopností na dynamicky se rozvíjejícím trhu s kybernetickou bezpečností. Situace v této oblasti s sebou nese den co den větší a větší potřebu kvalitních řešení. Představa, že stačí pořídit antivir, firewall nebo jiné technologie, je naprosto scestná. Řešení vedle bezesporu potřebných technologií musí zahrnovat neustále se vyvíjející procesy a samozřejmě odborné kapacity s potřebou nikdy nekončícího vzdělávání. Je v podstatě jedno, jestli si instituce zajistí bezpečnost vlastními kapacitami, nebo jako službu. V každém případě za kybernetickou bezpečností budou vždy stát kvalitní technologie, odpovídající procesy a vzdělaní lidé. A to vše se neustále vyvíjí ve snaze reagovat rychle a účinně na neméně rychle se vyvíjející hrozby. Proto je zde řada příležitostí pro firmy vyvíjející technologie, pro firmy analyzující aktiva a rizika a vyvíjející procesy a samozřejmě i pro firmy poskytující vzdělání stále více a citelněji chybějícím odborníkům na kybernetickou bezpečnost.

A kdy s tím vším začít? Samozřejmě ihned, hrozby už tady dávno jsou a příležitosti předvést svá řešení také.

Krok za krokem

Vladimír Rohel

ředitel Národního centra kybernetické bezpečnosti

Problematika kybernetické neboli počítačové bezpečnosti je nepřehlédnutelným fenoménem dnešní doby a těžko bychom hledali oblast, do které nezasahuje. Náš dnešní život je do značné míry spjatý s dokonalým fungováním informačních a komunikačních technologií. Dnes ale mluvíme spíše o internetu, který se v posledních dvou desetiletích stal nedílnou součástí naší společnosti. Je otevřený a svobodný, umožnil celosvětovou interakci, poskytl fórum pro svobodu projevu a výkon základních práv. Je prostorem pro podnikání i výkon státní správy, je páteří ekonomického růstu a zdrojem, na němž závisí téměř všechna hospodářská odvětví. Skýtá dříve nepředstavitelné možnosti. Ovšem stejné možnosti poskytuje i těm, kteří nemají jen pozitivní úmysly. Kybernetické hrozby mohou mít různý původ, od kriminálních či teroristických útoků přes záškodnictví až po neúmyslné chyby či důsledky přírodních katastrof. Existence těchto hrozeb vede většinu zúčastněných hráčů k průběžnému zvyšování bezpečnosti v kyberprostoru.

Z výše uvedeného vyplývá, že státy jsou na internetu závislé stejně jako komerční sféra, a musí se tudíž o bezpečnost informačních systémů starat. Stejně jako řeší terorismus, kriminalitu, obranu a ochranu v běžném, reálném světě, musí řešit a řeší terorismus, kriminalitu, obranu a ochranu i ve světě virtuálním, kyberprostoru.

Česká republika nezůstává v kybernetické bezpečnosti pozadu a v říjnu 2011 vláda zvolila gestorem problematiky kybernetické bezpečnosti a národní autoritou pro tuto oblast Národní bezpečnostní úřad (NBÚ). V červnu 2013 NBÚ dokončil návrh zákona o kybernetické bezpečnosti, který byl začátkem roku schválen vládou a minulý týden prošel prvním čtením v Poslanecké sněmovně. Pokud by kybernetický prostor v České republice nebyl stabilní a bezpečný, poškodilo by to celou českou společnost. Stejně jako z města, ve kterém není bezpečno, odchází lidé i obchodníci, odcházeli by i z českého internetu. Není to tedy jen stát a jeho součásti, ale nutně se musí zapojit další hráči - komerční subjekty, akademická sféra a další. Všichni by měli pracovat na zabezpečení svého informačního systému, a to nejen proti útokům zvenku, protože neméně důležité je, aby jejich systém nebyl zdrojem útoku na ostatní. Všichni jsou zodpovědní za zabezpečení svého systému stejně, jako jsou zodpovědní za technický stav a tím i bezpečnost svého vozu.

Co dělá stát v kybernetické bezpečnosti a co plánuje do budoucna? V současné době jsme stále ještě ve fázi výstavby Národního centra kybernetické bezpečnosti, i tak ale za sebou máme spoustu práce. Založili jsme Vládní CERT podle mezinárodních standardů a etablovali se na mezinárodní scéně, zúčastnili se kybernetického cvičení NATO, jako třetí na světě jsme podepsali smlouvu s firmou Microsoft ohledně botnet feeds a začali aktivně využívat získávaná data, řešili řadu incidentů. S Masarykovou univerzitou v Brně spolupracujeme na projektech Kybernetický polygon a Czech Cyber Crime Centre of Excellence. Kromě zmíněných projektů spolupracujeme aktivně s orgány státu při budování jejich systémů kybernetické bezpečnosti a rozjíždíme spolupráci s ministerstvem školství a školami v oblasti vzdělávání a osvěty. Do budoucna se chceme zaměřit na SCADA systémy a jejich bezpečnost, spolupracujeme s tvůrci eGovernmentu na bezpečnosti systémů a aplikací v různých oborech, mapujeme systémy kritické infrastruktury a jejich bezpečnost a zastupujeme stát v některých mezinárodních organizacích. Činností, úkolů a nápadů je opravdu mnoho a s přibývající elektronizací státu bude jejich počet stále narůstat.

Kybernetické útoky zveřejněné Národním centrem kybernetické bezpečnosti

Slovenské a české weby - napadeny trojanem

Prostřednictvím předních slovenských a českých serverů Chip.cz, Fler.cz a Letuska.cz. nebo Sacr.sk, PP.sk, Epi.sk, Woman.sk se šíří trojský kůň. Malware napadá reklamní systém OpenX. Funkcí trojského koně je přesměrovat uživatele na další weby, které vykonávají škodlivou činnost.

Snapchat - hackeři odcizili informace o telefonech 4,6 milionů uživatelů

Telefonní čísla spárovaná s uživatelskými jmény více než 4,6 milionu uživatelů foto messaging služby Snapchat byly ukradeny a zveřejněny hackery. Databáze obsahuje páry uživatelských jmen a telefonních čísel drtivé většiny uživatelů Snapchat.

Skype - hacknut Twitter účet

Twitter účet Skypu ve vlastnictví Microsoftu byl hacknut Syrian Electronic Army a byla na něm zobrazena zpráva: "Nepoužívejte e-maily Microsoftu (Hotmail, Outlook), jsou sledovány vaše účty a data prodávána vládě. Brzy více detailů. SEA".

World Poker Tour, odcizeny e-mailové adresy a hesla přes 175.000 uživatelů

Hacker s přezdívkou smitt3nz tvrdí, že porušil stránky World Poker Tour (wptapl.com) a získal nešifrovaná hesla uživatelů, mezi kterými jsou uživatelé s e-maily vládních institucí USA - Centrum pro kontrolu léčiv a nemocí, Sněmovnu reprezentantů, americké soudy, Federální vězeňskou službu, Ministerstvo energetiky, Ministerstvo zdravotnictví a služeb a Ministerstvo spravedlnosti.

Hrozba, která není vidět

Jiří Devát

generální ředitel Cisco ČR

Oheň, parní stroj či internet, to vše jsou objevy a vynálezy, které zásadně změnily způsob života lidské společnosti a přinesly nám mnoho dobrého. Vše s sebou ale nese rizika. Před požáry náš chrání detektory a zhášecí systémy, před lokomotivou signalizační systémy a automatické brzdy, s ohroženími kybernetického světa jsme se však zatím naplno nevypořádali.

Větší pozornost široké veřejnosti získalo téma kybernetické bezpečnosti kolem roku 2010, kdy byly odhaleny masivní útoky počítačových červů. U nás na nutnost řešit tuto problematiku upozornila loňská série DDoS útoků na servery bank, médií nebo mobilních operátorů. Kybernetický zločin znamená ohrožení nejen pro cenná data schraňovaná firmami, ale zejména pro celou kritickou infrastrukturu - "ulice" kybernetického světa. Moderní škodlivé kódy jsou schopny dlouhou dobu nepozorovaně operovat uvnitř počítačových systémů a odcizit z nich citlivé informace nebo připravit půdu pro ničivý útok. A to je ve světě, který je z velké míry elektronizovaný, značně znepokojující.

Zvykli jsme si, že každý počítač, notebook a dnes už i chytrý telefon je potřeba chránit antivirovým programem. To však už do budoucna nebude stačit. Neustále totiž přibývá jednotlivých přístrojů a zařízení připojených k internetu, jež spolu komunikují bez lidského zásahu. Vozidla budou propojena se semafory, aby byla jízda co nejplynulejší, díky informacím z dopravních kamer najdou nejrychlejší cestu a pomocí komunikace se snímači pod vozovkou zkrátí dobu k zaparkování na nezbytné minimum... Dnes je takto propojených věcí na celém světě 20 miliard, během příštích šesti let jich už bude 50 miliard. Desetkrát více než lidských uživatelů! Bezpečnost už nebude možné řešit u jednotlivých koncových zařízení, bezpečná musí být celá síť, která je propojuje.

Technická řešení, jež nám pomáhají zajistit bezpečnost sítě, jsou dnes běžně dostupná. Brzy také budeme mít i v České republice zákon o kybernetické bezpečnosti, který položí základy obrany proti kybernetickým hrozbám. Co nás však velmi limituje, je nedostatek specialistů na IT bezpečnost. Podle posledních zjištění chybí dnes po celém světě na milion takových odborníků. Situace je o to složitější, že nestačí, aby měli perfektní znalosti IT. Musejí se umět orientovat také v související legislativě, znát bezpečnostní procesy a přesně vědět, jak postupovat v případě kybernetického ohrožení. Výchova takových lidí bude velkou výzvou a bude vyžadovat těsnou spolupráci mezi státními institucemi, akademickou sférou i komerčním sektorem. Bez těchto manažerů zůstane ochrana kybernetického prostoru jen na papíře. Tedy v počítači.

Na internetu dnes stojí celá ekonomika. A pokud chceme i nadále využívat výhod, které nám přináší, je potřeba, aby se všichni přičinili svým dílem o zajištění jeho bezpečnosti. Hlásíme se k úkolu podílet se na výchově nové generace bezpečnostních manažerů.

Hnutí Anonymous se stalo symbolem kybernetických útoků po celém světě
Foto: Profimedia