Útok viru SARS-CoV-2, mající za následek nebezpečí onemocnění COVID-19, dramatickým způsobem změnil způsob života celé lidské společnosti. Jedním z důsledků je přesun z kontaktní, fyzické komunikace na fungování bezkontaktní, dálkové, prostřednictvím elektronických komunikací. Komunikujeme prostřednictvím různých služeb – od telefonních služeb a SMS přes Viber, WhatsApp a další služby přenosu zpráv. Nakupujeme z velké části elektronicky, přes e-shopy nebo nově zřízené služby, např. dovozu jídel z restaurací. Pracujeme z domova v rámci tzv. home office, a to jak při výkonu některých činností v rámci veřejné správy, tak jako zaměstnanci nebo OSVČ. A zabýváme se daleko více dalšími aktivitami na internetu, jako je vzdělávání, zábava atd. Náš život je nyní ze značné míry závislý na tom, zda jsme připojeni. Jenže problém nespočívá jen v připojení samotném.

Bezpečný home office?

Problém je v tom, že to, že k nám a od nás tečou bity a bajty, ještě neznamená, že je všechno v pořádku. Náhlý přechod na online komunikace přináší nová rizika, resp. rizika, která nejsou ani tak nová, jako že jsme si je neuvědomovali. Čím více používáme elektronickou komunikaci, tím více příležitostí mají útočníci, aby na nás – adresně nebo plošně – zaútočili. Tím více se vyskytují situace, kdy špatnými postupy můžeme tato rizika ještě zvýšit. V čem hlavně spočívají? Nastolení režimu home office s prací na dálku nespočívá jen v tom, že zaměstnanec zůstane doma, připojí se „nějak“ do zaměstnání a pracuje, jak byl zvyklý. Podstata problému tkví v tom, že ani organizace a ani zaměstnanec, nejsou v drtivé většině případů na podobnou situaci připraveni. V organizaci není práce na dálku nastavena na dostatečně bezpečné úrovni. To znamená, že nejsou nachystány komunikační nástroje, které vytvářejí bezpečný přenosový kanál, jenž nemůže být napaden či zneužit útočníkem. Jde o oboustranně autentizované a šifrované spojení, například v podobě VPN (virtuální privátní síť, virtual private network), kdy při navazování spojení je totožnost obou stran ověřována pomocí digitálních certifikátů. Často úřady či firmy nemají vhodně nastaveny firewally, oddělující interní síť od vnějšího světa, pokud vůbec nějaké existují. Neprovádí se aktualizace softwarového vybavení. Není řádně vedena správa tzv. Active Directory, což je služba, která v počítačové síti zajišťuje autentizaci a autorizaci uživatelů, počítačů i další služby. Typický je nesoulad nastavení se současným stavem lidských zdrojů. Velkým problémem je používání nástrojů, jež mohou umožnit únik dat z organizace, například práce pomocí tzv. RDP (Remote Desktop Protocol), který umožňuje uživateli ovládat vzdálený počítač na dálku z domácího zařízení. Nepoužívá se šifrování pro všechny nosiče dat – od síťových disků přes disky v přenosných počítačích a externí média.

Nedostatečné proškolení

Na straně zaměstnance to bude pravděpodobně ještě horší. Ten se do organizace připojuje z různých neprověřených zařízení, k nimž mohou mít přístup i jiné osoby – členové domácnosti – s různou IT vzdělaností a obezřetností. Obvykle se nepoužívají oddělené profily pro práci do zaměstnání a soukromí. Zde se již o šifrování vůbec nepřemýšlí a o aktualizacích software rovněž nikoliv. Jsou používány nedostatečně zabezpečené (např. ponecháním továrního nastavení) wifi sítě, na které se může připojit v podstatě kdokoliv. V zjitřené době koronavirové, jistém duševním neklidu a současně touze po stále nových, byť zbytečných, či dokonce škodlivých informacích, uživatelé bez rozmyslu klikají na všechny možné adresy a odkazy, které najdou na webu nebo jim je někdo pošle emailem. Daleko více než předtím se také stávají oběťmi phishingu, tj. podvržených zpráv tvářících se tak, že jsou třeba od banky či jiné finanční instituce. Zaměstnanci, kteří se ocitli ze dne na den doma, obvykle nejsou proškoleni, a to ani obecně, natož z hlediska zvláštní práce v home office.

Útoky zvenčí

V popsaném prostředí se o to lépe a radostněji pohybují útočníci, kteří se snaží využít oslabení „na obou koncích drátu“. Zvýšil se počet útoků, a to jak cílených, kdy se útočníci snaží proniknout do konkrétní organizace, tak náhodných, kdy někdo vytvoří virus umožňující zašifrovat disky oběti, vypustí jej do internetového prostředí a pak už jen čeká, kdo se chytí. Druhá varianta je spojena s tzv. ransomware, což je virus, který v poslední době napadl řadu nemocnic a na nějakou dobu je částečně vyřadil z provozu. Ale stejně tak může proniknout do vnitřní sítě nějakého orgánu veřejné správy nebo jí zřízené organizace. A nebudou-li zde pravidelně a správně vytvářeny offline zálohy, které virus nebude moci také zašifrovat, má taková napadená organizace malou šanci se z toho dostat. Pravděpodobně pouze minimum orgánů, organizací a firem má připravený plán řešení nouzové situace tohoto typu. Některými uživateli je totiž považována za podobnou „černou labuť“, jako byly povodně v roce 2002. Podle názoru autora jde ale spíše o výmluvu. Povodně v roce 2002 mohly být lépe zvládnuty, kdyby se všichni poučili z povodní v roce 1997. O rostoucí míře závislosti společnosti na fungování informačních technologií se hovoří dlouho a rizika způsobená vlastní činností i útoky zvenčí jsou také známa. Proto vznikl zákon o kybernetické bezpečnosti, který se nicméně nevztahuje na všechny orgány veřejné moci a správy, a to podle vyhl. č. 317/2014 Sb., o významných informačních systémech a jejich určujících kritériích, ve znění pozdějších předpisů, § 3 odst. 2. Zákon uvádí, že významným informačním systémem není informační systém, jehož správcem je obec a při výkonu působnosti obce hlavní město Praha. U podniků to jsou pouze podniky spadající do tzv. kritické infrastruktury a dalších kategorií podle tohoto zákona. Není si proto třeba dělat iluze, že zejména menší města a obce, jimi zřízené organizace, jakož i menší podniky se doposud otázkami kybernetické bezpečnosti – až na čestné výjimky – příliš zabývaly. Obecně, natož v současné mimořádné situaci. K bezpečí krok za krokem Nicméně je třeba jednat a odstranit největší bezpečnostní rizika. Metodou krok po kroku, ale s jasně danými odpovědnostmi a pravomocemi. I kdyby to znamenalo nakoupit a přidělit zaměstnancům nová, jen pro výkon home office určená zařízení nastavená tak, aby toto nastavení nemohl jejich uživatel jakkoliv degradovat. Dřívější pomýlená teorie o tzv. BYOD – používání vlastních zařízení pro výkon práce v zaměstnání – tím snad konečně dostane ránu do vazu. Na úkor bezpečnosti přispívala pouze k prvoplánové úspoře nákladů zaměstnavatele a zvýšení osobního pohodlí zaměstnanců, ale neúnosně zvyšovala riziko úniku či ztráty dat.

Vladimír Smejkal
soudní znalec

Poučení ze stávající situace

1. Je schopna organizace v současnosti zajišťovat všechny potřebné hlavní činnosti? Pokud ne, není to proto, že je příliš závislá na neelektronickém, tj. listinném prostředí?
2. Je schopna bezpečně připojit zaměstnance nacházející se ve svých domovech k vnitřní síti?
3. Má nastaveny přístupové mechanismy tak, že ví, kdo a kam má oprávnění se dostat?
4. Používá šifrování na všechna nebo alespoň vybraná (klasifikovaná) data, a to na všech nosičích dat? 5. Ví, jaká zařízení používají zaměstnanci k práci z domu?
5. Má offline zálohy dat na geograficky vzdáleném místě?
6. Pracuje na plánu znovuzahájení činnosti a plánu nápravných opatření?
7. Proškolila všechny zaměstnance na specifika dané situace – např. webinářem, přes You Tube, Moodle?