Kyberbezpečnost není věc ajťáků, ale nás všech, říká expertka, která vymýšlí cvičení pro vlády i armády
Znáte aktuální číslo na vaše IT oddělení a víte, kdo může rozhodnout o zaplacení výkupného hackerům? Nad podobnými otázkami se musí zamýšlet klienti estonské CybExer Technologies. Scénáře všemožných „katastrof“ pro ně vymýšlí Lucie Kadlecová. „Typicky každý začne nejdřív řešit technický support, ale napadlo by ho, jak to komunikovat interně? S policií?“ ptá se expertka, jež se snaží obrátit pozornost veřejnosti k „soft“ aspektům kyberbezpečnosti.
Všichni trávíme hodně času online, ať už v práci nebo v soukromém životě. Umíme se my Češi v kybeprostoru pohybovat dostatečně bezpečně? Naučili jsme se to?
To záleží, jestli mluvíme o široké veřejnosti, soukromém, nebo vládním sektoru. V Česku máme sice výborné technické univerzity a úspěšné technologické startupy, máme Národní úřad pro kybernetickou a informační bezpečnost, který funguje dobře.
Hrozí až celostátní blackout. Kyberúřad varuje před chytrými elektroměry z rizikových zemí
Číst článek
Obecně je ale problém představa, že kybernetická bezpečnost rovná se úkol pro IT oddělení. Tak to není. Kybernetická bezpečnost je zodpovědnost nás všech. Všichni nosíme celý den v kapse smartphone, což je malý počítač. Neustále zpracováváme naše data on-line, a proto se o ně musíme starat. Vzdělávání v této oblasti by mělo začít už na základních školách.
Já jsem první kurz týkající se kybernetické bezpečnosti absolvovala až na univerzitě a měla jsem po něm pocit, že se raději chci odpojit od internetu úplně.
Ostražitost nebo mírná úroveň paranoie je v pořádku, je dobře, když si člověk dává pozor a ptá se, co ještě má a co už nemá sdílet. Když jsem učila v rámci doktorátu, překvapilo mě, kolik mladých lidí nemá základní kybernetickohygienické návyky.
Co by do takové kyberhygieny mohlo patřit? Dokážete vyjmenovat tři věci, které každý může hned udělat, aby posílil svoje bezpečí v kyberprostoru?
Na prvním místě bych zmínila hesla k účtům. Dneska musíte mít hesla na všechno, rozhodně by ale neměla být stejná. Pamatovat si tolik různých hesel je těžké, pomoci v tom může správce hesel. Zadruhé je to využívání VPN. Jak u správce hesel, tak u VPN bych doporučovala si za službu zaplatit spíš než využít nějakou bezplatnou verzi.
Měsíčně to není velká částka a vy budete mít jistotu, že jste opravdu v bezpečí. Rozhodně je také dobré zkontrolovat zemi, ze které daný program či aplikace pocházejí. Některé země, například Čína, mají legislativu nastavenou tak, že firma musí na vyžádání sdílet určitá data uživatelů s vládou. A zatřetí doporučuji nastavit dvoufázové ověření všude, kde to jde.
Hranice kyberprostoru
Pojďme se zastavit u chování států v kyberprostoru. Akademicky se zabýváte státní suverenitou v kyberprostoru. Jak si to mám představit? Říká se totiž, že kyberprostor nemá hranice, nebo snad ano?
Ano, často se to říká, ale není to tak úplně pravda. Uvedu konkrétní příklad: jedna z případových studií, kterou jsem zpracovávala, se zabývala tím, jak vláda Spojených států přistupovala k čínskému telekomunikačnímu gigantu Huawei a ZTE a k dalším firmám a tím, jak je pouštěla, respektive nepouštěla do kritické informační infrastruktury. Postupně zakazovala úřadům, aby jejich technologie používaly, a postupem času šla i přes svoje hranice.
Kyberútoky na Ukrajinu pohledem expertů: mají často spíš demoralizační dopad, nejde o citelný zásah
Číst článek
V posledních dvou letech vlády Donalda Trumpa vedly USA velmi silnou zahraniční kampaň vůči spojencům a jiným spřáteleným státům, aby ani oni nepoužívali Huawei v kritických informačních infrastrukturách. Protože pokud by se rozhodli je využívat, Američané by s nimi přestali sdílet informace, které do té doby sdíleli. Takže hranice v kybernetickém prostoru jsou.
Je schopnost atribuce, tedy přisuzování odpovědnosti za útok, jedním ze způsobů demonstrace státní suverenity v kybersvětě?
Není to tolik o suverenitě, jako spíš o demonstraci síly. Schopnost atribuce se hodně vyvinula. Ještě nedávno jsme od různých vlád slyšeli, že atribuce není možná, protože struktura kybernetického prostoru dovoluje velkou anonymizaci, takže útočník se snadno schová. V posledních letech se staly dvě věci. Jednak státy hodně pokročily v technických znalostech a schopnosti dohledávání pachatele. A zadruhé se, lidově řečeno, otrkaly v politické atribuci.
Čím se liší politická a technická atribuce?
Původně byla atribuce chápaná jenom z technického úhlu pohledu čili dohledávání, kdo je pachatel na základě technologií, například pomocí forenzní analýzy. Ale postupem času se začala implementovat i politická atribuce, kdy státy začaly brát v potaz kontext událostí a pak si více troufají ukázat prstem na nějakého útočníka.
Technická a politická atribuce se doplňují. Atribuce nemůže být založená čistě na politice, musí být vždy podložená důvěryhodnými daty, ale nemusíme k tomu najít ten jeden konkrétní počítač, ze kterého se útočilo, abychom na někoho mohli ukázat prstem.
Lucie Kadlecová
Působí na akademické půdě v Peace Research Center Prague při Univerzitě Karlově a zároveň v estonské kyberbezpečnostní firmě CybExer Technologies, kde tvoří strategické scénáře pro vlády, mezinárodní organizace, firmy i armády. Studovala na Univerzitě Karlově, následně se přesunula na londýnskou King’s College, kde získala magisterský titul na katedře War Studies.
Zabývá se „soft“ aspekty kybernetické bezpečnosti, jako jsou mezinárodní právo, mezinárodní vztahy či strategická komunikace. Zkušenosti sbírala v Evropské komisi jako trainee v kabinetu Štefana Füleho nebo v sekci kybernetické obrany ve velitelství NATO v Bruselu.
Po návratu do Česka nastoupila do postgraduálního studia, během kterého se věnovala suverenitě států v kyberprostoru. Během doktorátu, který zakončila loni, absolvovala Fulbrightovo stipendium na Massachusetts Institute of Technology v USA. V současnosti připravuje svoji disertační práci k vydání v zahraničním nakladatelství.
Bezpapírové Estonsko
Je rozdíl mezi tím, jak uplatňují státní suverenitu v kyberprostoru demokratické a nedemokratické státy?
Rozhodně. Čína, Írán nebo Rusko jsou státy, které jsou schopné se například odříznout od globálního internetu. Já se věnuji ale demokratickým státům. Demokratické státy při uplatňování své suverenity v kybernetickém prostoru musí současně dodržovat demokratického hodnoty, jako je například svoboda projevu a volný přístup k informacím.
Který demokratický stát přistupuje ke svému působení v kyberdoméně opravdu dobře?
Jedním z dobrých příkladů je podle mě Estonsko. Bezpečnostní situace Estonska je vzhledem k blízkosti Ruska a historickým zkušenostem křehká, zároveň se Estonsko stalo jedním z nejvíce digitalizovaných státu na světě, už řadu let mají politiku paperless (bezpapírového, poz. red.) státu, tedy nemají žádné papírové archivy, všechno mají digitalizované.
Musí být pak velká výzva to všechno zabezpečit…
Přesně tak. Proto si Estonci řekli: co by se stalo, kdyby na naše území vtrhla nějaká nepřátelská armáda a Estonsko se stalo okupovanou zemí? Co kdyby servery, na kterých jsou data uložená, padla do rukou nepřátelské armády? Estonci jsou si tohoto nebezpečí vědomi, a proto už před několika lety přišli s myšlenkou digitální ambasády.
Oslovili tedy Lucembursko, se kterým mají velmi dobré vztahy, a pronajali si od lucemburského státu datacentrum a podepsali s ním mezinárodní dohodu, která datacentru propůjčuje určité pravomoci, jako kdyby to byla estonská ambasáda na lucemburském území. A tam uchovávají živé kopie svých dat. Takže i kdyby došlo k ohrožení serverů na estonském území, estonský paperless stát poběží dál.
Satelit, či jadernou elektrárnu?
V Estonsku zůstaneme, protože pracujete pro estonskou kyberbezpečnostní firmu CybExer Technologies. Co máte na starost?
Kromě toho, že jsem v oddělením business developmentu, tak se také podílím na scénářích pro strategická cvičení. Ministerstva, vlády, mezinárodní organizace, ale i soukromý sektor nebo IT odborníci si u nás mohou vyzkoušet a natrénovat krizové situace.
Hackeři chtějí po Ředitelství silnic a dálnic desítky milionů. Organizace zvažuje, že zaplatí
Číst článek
Vytváříme jak strategická cvičení, tak ale i velmi sofistikovaná technická cvičení a tréninky. Na naší platformě, takzvaném cyber range, dokážeme nasimulovat cokoliv, třeba infrastrukturu jaderné elektrárny nebo satelitu, a pak provádíme tréninky a cvičení.
Jak si mám takový strategický nácvik představit? Například na kurzu první pomoci se definuje situace, třeba autonehoda, rozdají role, někdo je raněný, někdo kolemjdoucí… Funguje to podobně?
Ano, přesně tak, nasimulujeme krizovou situaci v kybernetickém prostoru, těch strategických, stejně jako technických scénářů může být celá řada: mezinárodní krize, útok na stát, město či firmu, a po účastnících cvičení chceme, aby dělali rozhodnutí. Dejme tomu, že budete hrát CEO banky a vaši banku napadl ransomware.
Útočník chce zaplatit výkupné. Zaplatíte? Jak rychle? Kdo má autoritu to rozhodnout? A takhle jdeme postupně dál a eskalujeme situaci. Spousta firem a institucí to nemá vůbec rozmyšlené.
‚Byla to správná věc pro USA.‘ Šéf Colonial Pipeline přiznal, že firma zaplatila hackerům výkupné
Číst článek
A co je tedy v tomto případě správně: zaplatit, nebo nezaplatit? Nedávno přesně tohle muselo řešit Ředitelství silnic a dálnic.
Na to není jedna správná odpověď. Obecná politika české státní správy je neplatit. Záleží ale na organizaci, jak funguje, co je pro ni akceptovatelné, zda má data zálohovaná, a pokud ano, je záloha aktuální a oddělená od napadeného systému?
Zajímavým příkladem zaplaceného ransomwaru je například útok proti Colonial Pipeline v USA z loňského roku. Tato firma se výkupné rozhodla zaplatit, protože výpadek dodávek pohonných hmot začal způsobovat chaos v některých amerických státech. Firma pak spolupracovala s americkými vyšetřovateli, kterým se na základě poskytnutých informací podařilo dopátrat drtivou většinu zaplacených bitcoinů. Za mě to byl přelom v přemýšlení o ransomwaru.
Nejen jedničky a nuly
Napadá mě ještě jeden příklad z nedávné doby. Před třemi týdny vypadla v části Prahy elektřina, výpadek postihl i datové centrum, na kterém běží weby České televize a Českého rozhlasu. Stránky veřejnoprávních médií tak byly několik hodin nepřístupné. To by se asi stávat nemělo.
To je dobrý příklad toho, co by se mohlo použít jako námět pro cvičení. Například pro Tartu, druhé největší estonské město, jsme vymysleli scénář, kdy jsme nasimulovali výpadek elektrického proudu kombinovaný s kybernetickými útoky a radnice se s tím musela nějak vypořádat. Snažíme se donutit zákazníka, aby přemýšlel nad problémem trochu jinak.
Falešní bankéři vylákali z lidí už desítky milionů. Přesvědčují je doklady z banky i telefonními čísly
Číst článek
Aby se nezaměřoval čistě na technickou stránku věci?
Ano, typicky každý začne nejdřív řešit technický support, ale napadlo by ho, jak to komunikovat interně? S policií? Se svými uživateli? A fungují vůbec komunikační kanály, nebo to číslo na IT oddělení je člověka, který ve firmě už tři roky nepracuje? To jsou všechno věci, které se musí stát během krátké chvíle.
Takže kybersvět nejsou jen jedničky a nuly…
Rozhodně ne. Do soft aspektů bych zahrnula všechno netechnické, co se týká kybernetického prostoru, který jednoduše řečeno zrcadlí náš fyzický svět: mezinárodní vztahy, mezinárodní právo, strategická komunikace a dezinformace. Škála oborů a aktivit je velmi široká.