Špidla: Hackeři zaútočili na vodárny v Česku a ohrozili distribuci vody. Ututlalo se to | info.cz

Články odjinud

Špidla: Hackeři zaútočili na vodárny v Česku a ohrozili distribuci vody. Ututlalo se to

Víte, jakou cenu mají vaše zdravotní data na černém trhu? Tisícovku za kus, pět tisíc za politika, významného manažera či podnikatele. Aleš Špidla je odborníkem na kybernetickou bezpečnost a mimo jiné i prezidentem Českého institutu manažerů informační bezpečnosti. A říká, že pro internet by možná měly platit Ženevské úmluvy.

Slyšela jsem teď pojem tiché naslouchání, co to je?

Jde o díry v informačních systémech, kudy se útočník může dostat k vašim údajům. Prostě jen sbírá informace, naslouchá komunikaci a nemáte moc šancí to odhalit jako laik. A pak ty informace využívá a zneužívá. Podle průzkumu z roku 2015 došlo mezi lety 2013 – 2014 ke 203procentnímu nárůstu krádeží informací ve zdravotnických systémech. A co je zajímavé – ti zloději byly státy sponzorované firmy. Takže věřte, že pro státy jsou velmi zajímavé zdravotnické informace, které jsou zpracovávané v jiném státě v nějakém zdravotnickém zařízení.

Proč?

Představte si, že nějaký významný činitel, podnikatel, mediální magnát či jiná celebrita byla za poslední půl rok třikrát na psychiatrii a trpí nějakou duševní chorobou. A pak si představte, že se jako vysoký státní činitel máte s takovým politikem jiné země setkat. To je výhoda, že? Znát informace o jeho zdravotním stavu. Ale na to musíte být paranoidní bezpečák jako já, abyste si to dala dohromady.

Já myslím, že většina společnosti není paranoidní, spíše naopak. Na svá osobní data nedbáme.

Jenže když jste člověk přes kybernetickou bezpečnost, tak si ty příběhy dáte snadno dohromady. Potíž není množství shromážděných dat, ale jejich souvislosti. Víte, kolik mi třeba volá firem, že jsou ze společnosti XY a něco mi nabízí, a když se jich ptám, kde přišli k mému telefonu, tak řeknou: To nám generuje generátor. Odpovídám, ať nekecají nesmysly. To jim totiž někdo prodal mé osobní údaje. To je ta malá poznámka v e-shopech, kde zaškrtnete, že udělujete souhlas s využitím osobních údajů k marketingovým účelům. Ta znamená, že vaše data firma prostě prodá někomu jinému. To by bylo dobré si uvědomovat.

Jak se tomu dá zabránit? Myslím tedy, jak se chránit.

Řeknu vám příběh. V jedné nemocnici, tady v Česku, nebyli schopni přinutit lékaře používat unikátní hesla do nemocničního systému. Takže IT technici roztrousili fámu, že unikla data z venerologie a z psychiatrie. V ten moment začali všichni rychle používat svá hesla, protože to ty doktory štípne. A teď si představte, že jste podnikatel. Důležitý. A balíte to, ale nikoliv proto, že by se vám nedařilo, nýbrž jste vážně nemocný. Pokud taková informace unikne, hodnota firmy okamžitě klesne a vy ztratíte svou vyjednávací pozici. Totéž když unikne taková informace o špičkovém manažerovi z firmy. Akcie poklesnou. Ono je ale vlastně jedno, o co jde. Stačí, když si tu funkci člověka propojíte s jeho zdravotním stavem. Politika tak můžete snadno zpochybnit, stačí říct: podívejte, on tady hájí rodinné hodnoty a přitom se půl roku léčil na venerologii.

Jak jsme na tom tedy co do zabezpečení zdravotnických dat? Není to tak dávno, co mi jeden člověk, který se také zabývá kybernetickou bezpečností, řekl, že když si sednu na mez naproti nemocnici, tak i jako laik jsem s wifi schopná se jim nabourat do systému…

Tak jednoduché to není. Jako laik ne. To už ta data z lidí dostanete snáz sociálním inženýrstvím. Když umíte zapůsobit, zblbnout je, řeknou vám úplně všechno. Ovšem pro odborníka… Asi takto: informační systémy nemocnic na tom s bezpečností obecně nejsou úplně dobře.

V čem je problém? V tom, že informace mají uložené někde fyzicky na svých serverech a ne třeba v bezpečnějším cloudu?

Ne. Žádný cloud vám nevyřeší tumpachové uživatele. Musíte si vždy jako organizace vyhodnotit stávající a nastupující legislativu i to, zda je lepší svěřit správu dat a jakých dat někomu jinému, nebo ji mít u sebe… Říká se tomu analýza rizik a podle toho pak postupovat a hledat ideální řešení. Osobně jsem spíš pro to, aby si nemocnice platily IT službu zvenčí. Dostáváte totiž spolu s tím i špičkový tým, který byste v nemocnici nikdy nezaplatila, a získáte garanci bezpečnosti. Nemusíte se starat o rozvoj platformy, technologie, o to se stará firma, která reaguje na nové a nové techniky útoků.

Na co se nejčastěji zapomíná?

Účastnil jsem se jednání nešťastníků ze státní správy, kteří si neošetřili, čí jsou vlastně ta data, která přes úřad procházejí. A co bude, když se s firmou náhodou přestaneme mít rádi.

Mluvíme o Ministerstvu práce a sociálních věcí a známé kauze náměstka Šišky versus OK Systém, kdy stát letitou firmu odstavil od byznysu, svěřil ji do cloudu někomu jinému a hrozilo, že se vůbec nedostane k podstatným datům?

Přesně. Na základě těchto zkušeností se do nedávné novely zákona o kybernetické bezpečnosti dokonce dostal odstavec, kde je vyjmenováno osm povinností, jež musí příjemce cloudových služeb splnit, aby zajistil bezpečí dat. A jako hlavní věc tu je: ta státní firma musí mít exit strategii a vydefinovat si, čí jsou data.

Když na chvíli odbočím od nemocnic a státní správy – co děláme jako běžní uživatelé nejvíc špatně?

Fakt, že ta kybernetická rizika nevnímáme. Každý den přitom podvědomě děláme analýzu rizik, odmalička, třeba už při každém přecházení silnice. Ale u počítače nemáme nic podobného nacvičeno. Snažím se už léta, aby v osnovách pro mateřské a základní školy byla i výchova pohybu na „informační dálnici“. I tady sviští kamiony. Prostě základní hygienické návyky v kybernetickém prostoru. Jakmile zapnu počítač, dostávám se do nebezpečného prostoru a musím si to uvědomovat. Jen blázen zavře oči a jde přes křižovatku na červenou. U počítače se nohy nelámou tak rychle a nestříká krev, to je jediný rozdíl. Důsledky ale mohou být stejně fatální.

A ještě jedna věc. Je třeba rozlišovat důležitost toho, co na počítači děláme. Já třeba používám e-shop Českých drah a kupuji přes něj jízdenky. Mám tam devíti znakové heslo, ale poměrně jednoduché, protože je mi úplně jedno, jestli se mi tam někdo nabourá a koupí si jízdenku. Tím mi akorát přidá bonusové body, za které si já koupím příští jízdenku. Ovšem nesmím to samé heslo použít i do banky. Největší neštěstí je použít stejné heslo do e-shopu a do banky. Tam mám třeba já devatenácti znakové heslo. A takové, které si zapamatuji, protože těžko někdo zjistí mou přezdívku v jazyce starých Aztéků.

Zpět ke zdravotnictví. Kde ještě jinde vidíte velká nebezpečí?

Je to jen pár let, co jeden hacker předváděl, jak na vzdálenost čtyřiceti metrů dokáže ovládnout všechny kardiostimulátory v okolí a umí do srdečního svalu poslat 812 voltů, což už může být fatální. Je celá řada zdravotnických prostředků, které jsou s nějakým bohulibým záměrem zapojeny do sdílení a sbírání dat v nějakém systému. Nebo v rámci operace. Vím i o situaci, kdy se šikovný hacker dostal do špitálu až na Leksellův gama nůž. A to šlo jen legraci. Ovšem v Austrálii se stalo, že jedné nemocnici hackeři zašifrovali celý systém a zdravotníci nevěděli, co s lidmi. Komu uříznout nohu, komu operovat meniskus… Zjistili, že vlastními silami to nedají dohromady, za pomoci odborníků se to také nepovedlo, takže museli hackerům zaplatit. Což o to, těch pár tisíc dolarů není taková tragédie, ale musíte si k tomu připočítat ztrátu důvěry a reputace. Málokdo si uvědomuje, že to je také velká hodnota. Plus soudní spory s pacienty, kteří dva týdny nevěděli, na čem jsou.

U nás jsou jaké tresty za úniky dat?

A to je druhá věc, kterou si nemocnice neuvědomují. Máme v trestním zákoníku paragraf 232, který hovoří o tom, že kdo jinému z hrubé nedbalosti dopustí ztrátu dat v systému, tak dostane trest natvrdo. Jestliže lékař podepíše, že byl seznámen se zásadami kybernetické bezpečnosti, a pak klikne na spam inzerující levné prádlo nebo supermodelky, a zašifruje tím celou databázi, má minimálně přijít o prémie. Bezpečnost musí být řízena. A ty příklady, které se už v zahraničí staly, z těch bychom se měli poučit. Mimochodem – držení přístupového prostředku, tedy hesla, které vám nepatří, i když vám ho někdo dobrovolně prozradí, je také trestný čin.

Nejsme jako Česko trochu malá a nezajímavá země pro hackery na zneužívání dat ze zdravotnictví?

To už jsem na přednáškách několikrát říkal. To není otázka JESTLI, ale KDY. Já mám spíše problém s jinou věcí. U nás v Česku máme tendenci všechno ututlat. Vůbec se neví, že hackeři zaútočili na naše vodárny. Ty mlčely a zaplatily, protože byla ohrožena distribuce vody. O tom jsem vážně nechtěl mluvit, ale dost mi vadí, že to vodárny ani nenahlásily. Nově už ze zákona spadají pod zákon o kybernetické bezpečnosti, takže příště budou muset. Ovšem taková ohrožení mi nepřijde dobré brát na lehkou váhu a nemluvit o nich. Další věc je, že u nás odhadem chybí až 1500 odborníků na kybernetickou bezpečnost na velikost naší země.

Ono ale nejde ani o to, zda jsou či nejsou ty společnosti pod zákonem o kybernetické bezpečnosti. Stačí spustit pud sebezáchovy. Ptám se vždycky firem, když chtějí něco konzultovat: víte, kolik vás stojí jeden mail? Vždycky mi odpoví, že mají jednoho IT technika, nějaký ten server, takže skoro nic. Špatně. Ptám se dál: kolik jste poslali za poslední dva týdny mailů, kde jste s partnery probírali nějaké strategické rozhodnutí? Něco, kde by bylo špatné, kdyby se k tomu konkurence dostala? A šifrovali jste? Ne? Tak ten jeden mail vás mohl vyjít na těch 500 milionů hodnoty zakázky. Teprve pak ten člověk zezelenal a pochopil. A jsme zase u absence analýzy rizik.

Jaká je vlastně hodnota takových informací, které uniknou?

U bankomatkarty asi dvacet korun, u zdravotnických dat tisíc až pět tisíc za jednoho člověka. U karet je základním parametrem ceny, jak moc můžete jít do debetu a jaké je datum expirace karty. U zdravotnických dat se platí za osobnost – když se dozvíte u politika, že se léčí se schizofrenií, tak to je drahé. To, že má ploché nohy, nikoho asi moc nezajímá. Víte, byl jsem v Estonsku na semináři o informační obraně. A tam nás hoši z Ameriky učili, co to je informační operace. Při dobře naplánované a provedené informační operaci dokážete díky znalosti dostatečného množství dat o vysokém politikovi v pouhých šesti lidech změnit v menší republice státní zřízení. A věřte, že takové informační operace dělají všechny státy, nejen Rusové, jak se říká. Jen blázen by v dnešní době v kyberprostoru zahodil zbraně a řekl: my budeme ti hodní a nikdy se k tomu nesnížíme. To je jako si rozevřít sako a nechat na sebe namalovat terč.

Pak mi řekněte, proč když jsme jako stát získali 1,4 miliardy na kybernetickou bezpečnost státních úřadů, jsme vyčerpali pouhých deset procent? To to úředníkům nedochází?

Já se omlouvám, moc rád bych o tom mluvil, ale nemohu. Jsem ve střetu zájmů.

Za více než jedenáctiletou dobu existence Českého institutu manažerů informační bezpečnosti, jehož jste prezidentem, posunuli jsme v kybernetické bezpečnosti někam?

Jednoznačně. V legislativě. Máme celkem slušné zákony, jak o ochraně osobních údajů, tak nařízení Evropské unie k GDPR i ke kybernetické bezpečnosti. Akorát je pro nás typické, že i když se o GDPR vědělo, a je jasné, že kdo dobře dodržoval zákon o ochraně osobních údajů, neměl se směrnicí problém, tak teprve když firmám tekla voda do bot a za měsíc k tomu měly přistoupit, jejich zájem o přednášky k tématu trojnásobně převyšoval kapacity sálů.

Vraťme se ke zdravotnictví. V Česku existuje ze zákona asi čtrnáct zdravotnických registrů, do nichž v průběhu života člověk postupně spadne. To je obří databáze informací, v podstatě Big brother. Neděsí vás, že má nějaký úředník přístup k takovým citlivým informacím?

Já bych hned nemluvil o velkém bratrovi. Virtuálnímu světu se prostě nelze vyhnout. Přesunu našich životů do virtuálního světa nejde zabránit, ten je jednoznačný. Každý tam máme několik avatarů. Ani si nevzpomenete, kde všude jste se zaregistrovala, v jakých e-shopech. A to si tam žije nějakým svým životem. Napadla mne k tomu ale zajímavá myšlenka. Už když se narodíte, tak jste zanesena do nějakých virtuálních systémů. Ale že by bylo virtuální krematorium, to není. I když zemřete, ze sítí se neodstraníte. Jediný dobrý počin je, že se s těmi našimi údaji bude zacházet slušně. A k tomu právě přispívají zákony jako GDPR a další, protože vy se alespoň dozvíte, co se s vašimi daty děje a můžete požádat o jejich vymazání z některých databází. Což ovšem není případ zdravotnických registrů. Tady existuje nějaký zákonný důvod je mít. A víte… Někdy člověka ty výkřiky svoboda a podobně přejdou, když vám doktor díky informacím z registrů zachrání život.

Máte vy sám Facebook, Twitter či další sociální sítě?

Mám. Facebook jsem využil k hledání svého nevlastního bratra, jehož jsem hledal čtyřicet let neúspěšně, a díky sociálním sítím se mi to povedlo. Našel jsem díky němu i další příbuzenstvo v Argentině. Jsem dalek tomu říkat, že sociální sítě jsou největší zlo na světě. Jen se musí používat s rozumem. Pokud napíšete na Facebook 'jedeme na dva týdny na hory', tak si za to, že vás vykradou, můžete sami. To zvládne i laik. Stačí si zadat všechny statusy, kde nikdo není doma. A když se podíváte na něco, čemu se říká „google for bad guys“, tak si tam najdete nechráněné kamery a podíváte se i bez hesla na to, co kdo dělá v předsíni nebo v ložnici.

Čeho se tedy vy bojíte nejvíc?

Tak já jsem bezpečák, IT člověk. Já mám za povinnost bát se všeho. Jak říká jedno mé oblíbené arabské přísloví: „V Alláha věř, ale velblouda přivaž.“ Ale k věci. Máme internet věcí. V deštných pralesích je už dnes přes miliardu očipovaných stromů připojených k internetu, aby se dala hlídat nelegální těžba. Do roku 2020 má být připojeno dvacet miliard zařízení do internetu věcí. Ani ještě nevíme, jak se to dá využít. Můžete připojit k internetu i tuto židli, na které sedíme, a ona číšníkovi zahlásí, že tento člověk během těch dvou hodin, co tu spolu sedíme, zhubl o sedm deka, takže určitě má hlad, ať tam běží s jídelníčkem.

Víte, existuje teorie kritického množství prvků. Pokud se propojí hodně věcí do jednoho systému, ten systém si pak sebe sama uvědomuje. Jen nikdo neví, jaké je kritické množství prvků. Nemám strach, jen tak přemýšlím, co bude, až nás internet věcí přestane potřebovat. A zamkne nám ledničky, vypne vodu a elektřinu…

Takže sci-fi z padesátých let mohou být reálná? Inteligence strojů 5.0?

Nepotřebujeme tomu dávat čísla. Teď se řeší sociální dopady internetu 4.0. Ale copak máme čipy? Ještě ne. I proto je podle mne strašně důležité chránit se před kybernetickými útoky zodpovědnými zákony. Jenže to nejde bez zodpovědných lidí, protože 74 procent hackerských útoků se odehrává přes zneužití identity jiného člověka a za to si můžeme my sami.

Znovu se zeptám: Je třeba se něčeho opravdu bát?

Je to tak, že jsme stvořili svět, virtuální svět, nad nímž jsme tak trochu ztratili kontrolu. Toho jediného se bojím. Šli jsme do toho s velkou vírou ve svobodu. Je ale otázka, zda by tady taky nemělo platit něco jako Ženevské konvence. Aby se do kyber válek nezatahovaly některé věci. Je tu řada nezodpovězených otázek. Hacker je třeba povoleným cílem válečného útoku. Na vaši otázku prostě není jednoznačná odpověď. Jediná je, že je třeba si kromě těch úžasných pozitiv, že se můžete třeba bavit s kamarádkou v Kanadě v reálném čase, si uvědomovat i internetová nebezpečí.

A řeknu to ještě jinak. Jednou se mě ptali na to, jak nejlépe vykrást banku. Řekl jsem, že kdybych opravdu chtěl fyzické peníze, tak ovládnu semafory a nastavím je na zelenou. A do banky si dojedu pro lup na kole. Nikdo se tam pro mě nedostane. Všechna auta budou troubit, blikat, ale policie neprojede. Vyvolám zkrátka chaos. A já jsem hodně rád, že nemocnice spadly pod zákon o kybernetické bezpečnosti.

 
Přejít na homepageVíce z kategorie

Články odjinud