Newsletter

Dostávejte to nejzajímavější ze světa veřejné správy i v našich newsletterech.

* Kliknutím na „Odebírat“ souhlasíte s našimi zásadami o Ochraně osobních údajů a zasíláním pravidelných newsletterů. Odhlásit se můžete kdykoliv.

ITKyberbezpečnostNepřehlédněteRozhovory

Kybergangsteři nemají svědomí

  • Redakce
  • 10. 7. 2023
  • 15 min čtení

Jak zabránit kybernetickým útokům vhodnou prevencí

Aleš Špidla patří k největším kapacitám v oboru kybernetické bezpečnosti. Jeho příspěvky na konferencích i ty publikované (mimo jiné v našem časopise) jsou vždy svižné a fascinující. V tomto rozhovoru jsme se zaměřili hlavně na aspekt vzdělávání v oboru – a to jak na úrovni základních škol, tak mezi pracovníky samospráv i specialisty na správu sítí.

Vzdělávání a osvěta patří mezi klíčová opatření kybernetické a informační bezpečnosti. Jak by ideálně mělo vypadat a v jakém věku začít?

Tady je nutno rozlišovat mezi vzděláváním v rámci vzdělávacího systém České republiky a vzděláváním v rámci zvyšování povědomí uživatelů ve smyslu zákona 181/2014 Sb. V rámci vzdělávacího systému ČR je nutno začít co nejdříve, protože na vlastní kůži zažívám situace, kdy rodiče dají do rukou dvouletým dětem chytré telefony nebo tablety, aby od nich měli klid.

Vzdělávání v tomto věku by mělo jít dvěma vektory. Zaprvé vhodnou, věku přiměřenou formou už v předškolních zařízeních vysvětlovat dětem nebezpečí, která jim i při hraní hrozí. Kdysi jsem to pojmenoval „digitální kamna“: u klasických kamen mi maminka vysvětlovala – pozor, je to au, bolí to.

Druhý vektor je osvětové působení na rodiče. Vysvětlovat, co všechno dětem hrozí. Děti se totiž velice rychle a bez zábran učí technologie ovládat a rodiče si myslí, že se jen dívají na pohádky.

Měla by toto hlídat také školní zařízení?

Vzdělávání v oblasti kybernetické bezpečnosti by mělo být nedílnou součástí výuky jako dopravní výchova apod. a mělo by se prolínat vícero předměty ve škole. A to nejen ve výuce informatiky, kde je kybernetická bezpečnost spíše popelkou. S touto oblastí souvisí i schopnost vyhledávat informace a ověřovat si jejich pravdivost s cílem nepodléhat dezinformacím. To lze v podstatě, snad kromě tělocviku, ve všech předmětech. V informatice je nesmysl učit MS Word – ten patří do výuky češtiny. MS excel zase do matematiky, PowerPoint do výtvarné výchovy a tak dále. A pohyb na sociálních sítích – už pojem sociální sítě vybízí k tomu, aby byla tato disciplína zařazena do předmětu Základy společenských věd. Ušetřený prostor by se pak měl věnovat kybernetické a informační bezpečnosti.

Pochybuji, že je na to dost kvalifikovaných učitelů.

Ano, to je problém, nikdo v rámci oficiálního vzdělávacího systému neučí současné ani budoucí učitele. Od určitého věku mají žáci a studenti mnohem hlubší technologické znalosti než jejich pedagogové.

Musejí to tedy zastat rodiče.

Zde by se měla dodržovat zásada – mějte pod kontrolou to, co vaše ratolesti na počítači páchají. Rodiče by měli mít obavy z toho, co jejich syn z internetu stahuje a co dcera na internet nahrává. Setkal jsem se s poměrně vysoce postavenou osobou, která se mi chlubila, že její syn zná způsob, jak se dostat zadarmo ke „zbraním“ do nějaké hry. Když jsem jí vysvětlil, že je to krádež, neboť normální je si tyto zbraně kupovat za peníze, tak mě zprvu nechápala.

Aleš Špidla

Ing. Aleš Špidla vystudoval technickou kybernetiku. V roce 2011 jako ředitel odboru kybernetické bezpečnosti na ministerstvu vnitra ČR koncipoval strategii kybernetické bezpečnosti České republiky. Pracoval jako vedoucí sekce informatiky Státního ústavu pro kontrolu léčiv, ředitel odboru bezpečnostních politik Ministerstva práce a sociálních věcí, manažer oddělení řízení rizik ve společnosti Price Waterhouse Coopers, poté ve státním podniku CENDIS jako specialista pro kybernetickou bezpečnost a ve státním podniku NAKIT jako vedoucí oddělení v sekci bezpečnosti. Působil jako manažer kybernetické bezpečnosti na Generálním finančním ředitelství. Nyní pracuje jako manažer kybernetické bezpečnosti Úřadu městské části Praha 5. Do roku 2022 byl prezidentem Českého institutu manažerů informační bezpečnosti.

Je garantem a pedagogem MBA studijního programu Management a kybernetická bezpečnost a spolugarantem a pedagogem LL.M programu Ochrana informací na Vysoké škole CEVRO Institut.

Takový malý kyberzločin… Pojďme k dospělým uživatelům. Kde tam vidíte rezervy?

Co se týká zvyšování povědomí dejme tomu u zaměstnanců, je zde několik skupin, které je nutno vzdělávat. První jsou uživatelé, kteří musí být proškolení v zásadách kybernetické a informační bezpečnosti hned při nástupu a potom je nutno je proškolovat periodicky. Proč hned při nástupu? Protože většinou už při nástupu dostanou k dispozici počítač a přístupy do IT systémů a bez řádného proškolení mohou i v prvních okamžicích napáchat škody. Situace je to stejná jako v BOZP. Pro toto vstupní vzdělávání stačí využít třináctibodové „desatero“, které je uvedeno v tomto časopisu. Potom musí následovat detailnější proškolení, nejlépe do tří měsíců, které už poskytuje přístup k hlubším znalostem. Zde doporučuji využít e-learningové kurzy, které ve vysoké kvalitě poskytuje Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB). Výhodou těchto kurzů je to, že jejich úspěšné absolvování je potvrzeno certifikátem, který prokazuje požadovanou míru znalostí a lze jej založit k personální dokumentaci uživatele.

Předpokládám, že obor se prudce vyvíjí a neustále se vzdělávat potřebují i specialisté…

Na ty nelze zapomenout! Vedení institucí často žije v představě „ti už to znají, dávno vědí“ apod. Kybernetická a informační bezpečnost se tak dynamicky rozvíjí, že pravidelné a trvalé vzdělávání bezpečnostních specialistů je nezbytnou nutností. Zde je vhodná prezenční forma, kombinovaná s e-learningem. Totéž se týká provozních IT specialistů, jejichž vztah ke kybernetické a informační bezpečnosti je často přezíravý. V rámci zvyšování bezpečnostního povědomí by často měli v odpovídající úrovni absolvovat stejné kurzy jako bezpečnostní specialisté. Minimálně proto, aby našli společná cíl svého konání. „Provozáci“ chtějí, aby vše fungovalo, „bezpečáci“ chtějí, aby to bylo bezpečné. Společný cíl je „nechť vše funguje bezpečně“. Právě společná účast na vzdělávání je cestou ke vzájemnému pochopení a k nalezení společného cíle.

Druhou skupinou myslíte asi vedení obcí, firem atd.

Zde doporučuji workshop, přiměřeně dlouhý a s relevantním (na míru šitým) obsahem, kde jsou vysvětlena a na reálných příkladech předvedena rizika, která hrozí při zanedbání zavedení opatření kybernetické a informační bezpečnosti.

Nedílnou součástí celého systému je osvěta, prováděná vhodnou formou. Varovné e-maily, letáky, plakáty, ale také účast specialistů na konferencích a seminářích, jejich členství v profesních sdruženích.

Týká se riziko spíše softwaru – tedy programů, které jsou legálně nainstalovány, či se do počítače dostanou skrz nějaký malware, anebo to začíná už u zařízení?

Takto se otázka úplně položit nedá. Začnu trošku z jiného konce. Máme hardware, to jsou ty technologie – procesory, čipy, paměti, disky, switche atd. a to všechno co představuje tu technologickou část kyberprostoru. Hardware ale také obsahuje své známé bezpečnostní zranitelnosti nebo chcete-li díry, ale hlavně i ty neznámé. Na tento děravý hardware instalujeme operační systémy – MS Windows, Linux apod. Ty mají těch děr ještě více než hardware. Do operačních systémů instalujeme aplikace, které zase mají své díry, a navíc je těch aplikací hodně. Takže na děravé síto pokládáme další děravé síto a na něj další. Takže rizika jsou ve všech vrstvách a záleží, na kterou se útočník zaměří, což vyplývá z toho, co je jeho cílem. Ta nejzranitelnější vrstva, a tím pádem i to nejrizikovější, jsou uživatelé. To jsou ti, kteří nejsou proškoleni anebo jsou, ale pravidla nedodržují.

Kybernetická bezpečnost – prevence

  • zavedení organizačních opatření, tzn. směrnice, předpisy, politiky,
    vzdělávání uživatelů a specialistů, stanovení zodpovědností, změny
    v procesech a organizační struktuře apod.
  • zavedení technických opatření, tzn. implementace bezpečnostních
    technologií, jako jsou antiviry, firewally, SIEMY, řízení přístupů atd.
    Na národní úrovni tuto oblast má v gesci Národní úřad pro kybernetickou
    a informační bezpečnost

Kybernetická obrana

  • je součástí obrany státu, kterou je souhrn opatření k zajištění svrchovanosti, územní celistvosti, principů demokracie a právního státu, ochrany života obyvatel a jejich majetku před vnějším napadením. To vyplývá z toho, že kyberprostor je v podstatě bojištěm. Na Varšavském summitu NATO byl kyberprostor takto uznán vedle země, moře, vzduchu a vesmíru. Kybernetická obrana je také o schopnosti protiútoku, ať už kybernetickém, nebo kinetickém. Podle Tallinského manuálu, který analyzuje možnost aplikace mezinárodního válečného práva do kyberprostoru, je hacker povoleným cílem kinetického útoku.

Na národní úrovni tuto oblast má v gesci Vojenské zpravodajství.

Kybernetická kriminalita

  • Z principu je to páchání trestných činů buď prostřednictvím informačních technologií nebo proti informačním technologiím.

Primárně tady jde o finanční zisk. Celosvětový roční obrat v kybernetické kriminalitě je v nižších jednotkách biliónů dolarů. Na prvním místě jsou s podílem přes 50 % falešné e-shopy, následuje obchodování s informacemi (duševní vlastnictví, zdravotnická dokumentace, přístupové údaje k účtům apod.) atd.

Na národní úrovni tuto oblast má v gesci Policie České republiky.

Tyto oblasti se docela intenzivně prolínají a jsou na sobě často závislé.

Tomu by přece měli zabránit „ajťáci“.

Znám dobře požadavky: potřebuji tuto aplikaci, tak mi ji ajťáku nainstaluj. Aby měl klid, tak ji nainstaluje i když je bezpečnostní hrozbou. Někdy to dostane příkazem shora. Stejně se to může týkat vedení firmy, instituce, úřadu, které brání zavedení bezpečnostních opatření. Bez vědomí toho, že zodpovídá za veškeré škody, které mohou např. úspěšným kybernetickým útokem vzniknout. A že ty škody jdou do milionů, až desítek, až stovek. Aby to nevypadalo tak děsivě, tak máme k dispozici celou řadu bezpečnostních řešení, která ty díry dokážou „zalepit“. Nejhůř se ale „lepí“ lidský faktor, tam pomáhá jen vzdělávání a trpělivá osvěta. Takže shrnuto, rizika jsou všude, a proto je nutný komplexní pohled skrze služby, které jsou pro danou instituci klíčové z pohledu vydělávání peněz, plnění zákonných povinností, poskytování služeb občanům atd.

Schopnost tyto služby poskytovat je závislá na hardware, software, dodávce elektřiny, provozu budov, chování lidí a celé řadě dalších faktorů. Výpadek jednoho prvku může způsobit výpadek klíčové služby a mimo jiné i velké titulky v novinách, sankce, pokuty, ohrožení majetku, zdraví a životů obyvatel.

Jaké jsou „trendy“ v oblasti kybernetických útoků? Statistiky NÚKIB ukazují, že jich přibývá, ale nějaký závažnější se snad v poslední době neobjevil – nebo se o tom neví? Dozvíme se o takovém incidentu, i kdyby se třeba potlačil v zárodku?

Nejdříve je nutno si ujasnit, co se pod pojmem kybernetický útok může skrývat. Většinou si veřejnost pod tímto pojmem představuje vše „špatné“ co skrze počítač projde. S tím souvisí i neujasněnost pojmů kybernetická bezpečnost, kybernetická obrana a kybernetická kriminalita (vysvětlujeme je v rámečku, pozn. aut.)

To, co je v současné době nejvíce viditelné, je spíše kybernetická kriminalita, protože míří na běžné občany. Ale – většinou jde vlastně jen o „digitalizaci“ podvodů. Když z vás cestou SMS nebo podvrženého e-mailu někdo vyláká přihlašovací údaje k vašemu účtu, tak je to podvod, sice digitalizovaný, ale přece jenom pořád podvod. Jiná situace je, když do informační infrastruktury (počítačové sítě) vašeho úřadu pronikne útočník a ukradne data o občanech apod. To už je narušení kybernetické bezpečnost, ale taky kriminální čin. Jenže tady už se policie bude ptát, jaká opatření z pohledu kybernetické bezpečnosti jste přijali. Pokud žádná, tak se začnou hledat viníci. Z principu kybernetickou obranu asi obce, instituce nebo firmy řešit nebudou. Tedy pokud nedojde k závažnému kybernetickému konfliktu na poli válečném, kdy všichni budou muset poskytnout své zdroje. Ale to je jiný příběh.

Nicméně je nutno podotknout, že kybernetické útoky, tedy ty, které nemíří přímo na stát a jeho kritickou infrastrukturu, se hlavně zaměřují na průnik ransomware. To je škodlivý software, který vám zašifruje data a kybersyčáci potom chtějí peníze za jejich odšifrování. A útočnici často nevědí, na koho útočí. Najdou děravý systém s neobezřetným uživatelem, pošlou e-mail, uživatel klikne a už jsou tam. Potom se porozhlídnou a zvolí obchodní model vydírání. Virus Emotet si ten model dokáže vybrat sám.

Malé obce si možná neuvědomují nebezpečí zneužití informací. Jakým odstrašujícím příkladem byste je varoval?

V oblasti kybernetické a informační bezpečnosti je zneužití (zcizených) informací až sekundární problém. Útočník se k nim musí nejprve dostat. A to tak, že statutár obce nezavedl opatření kybernetické a informační bezpečnosti. Riskuje tím svoji politickou kariéru, finanční postihy atd. Nechci vytahovat příklady, protože nemám svolení a z pochopitelných důvodů se tím nikdo nechlubí. Není nutno vymýšlet kolo. Při zavádění kybernetické bezpečnosti lze vycházet z vyhlášky 82/2018 Sb. a implementovat a implementovat. Ve spolupráci se Svazem měst a obcí ČR byla vytvořena sada dokumentů, které jsou návodem, jak se s touto problematikou poprat. Výhodou tohoto dokumentu je, že je škálovaný podle typu obce. Takže si tam svoji metodiku najde obec I. typu i statutární město. Zároveň tam jsou vzorové dokumenty, do kterých stačí doplnit název obce.

Se zavedením směrnice NIS2 se určitě vyrojí řada firem, které budou nabízet samosprávám zpoplatněnou pomoc. Co ale mohou získat zdarma? Jak je jim ku pomoci NÚKIB?

Už se vyrojily a nabízejí implementaci evropské směrnice o bezpečnosti sítí a informací NIS2 do prostředí instituce, firmy, úřadu. To je ale nesmysl. Směrnice NIS2 je nezaveditelná, zavést se bude dát nová legislativa, která bude harmonizací směrnice NIS2 do národní legislativy. Což znamená nový zákon o kybernetické bezpečnosti a navazující vyhlášky. Toto sdělení neznamená, že by obce měly složit ruce v klín a čekat. To je jako vyslat signál hackerům „ještě chvíli na nás neútočte, ještě na to nemáme legislativu“. Zdarma lze získat už výše uvedenou sadu dokumentů a jimi se řídit. Dále je dobré sledovat stránky NÚKIBu, jejich pomocné materiály a metodiky a komunikovat s odborníky. NÚKIB je v oblasti komunikace s obcemi aktivní a je třeba toho jen využít.

Je nutno si uvědomit, že pro kybergansgtery neexistují malé cíle a každá obec se může stát obětí. Kybergangsteři nemají svědomí, což se ukázalo při jejich útocích na nemocnice v době covidu.

Dita Hradecká

Nejčtenější kategorie
Chytré město
441
Energetika
499
IT
366
Dotace a Finance
1357
Odpady
248

Nezmeškejte žádné informace!

Přihlaste se k odběru newsletteru a buďte stále v obraze

Reklamní prostor
Další článek
Vláda schválila Plán autonomní mobility
Image