Uniklá osobní data 533 milionů uživatelů Facebooku se dají spíše využít ke statistice a modelování vzorců chování, než že by hrozilo konkrétní riziko jednotlivcům. „Jako postižený se můžete se bát toho, že dostanete neobyčejně dobře zacílené marketingové nabídky na věci, které si ve skutečnosti nechcete koupit, protože zbožím Facebooku jsme my, konzumenti. Můžete se bát toho, že si vaše data někdo koupí a bude o vás vědět věci, které jste nechtěl, aby někdo věděl,“ říká v prvním ze série podcastů Kyberglosář šéf představenstva NEWPS Holdingu Aleš Kučera. Otázkou ale podle něj je, zda se data, která unikla, dají získat jen tímto způsobem.
Pozoruhodná je hlavně reakce firmy, která podle agentury AP uvedla: „Zjistili a opravili jsme tento problém v srpnu 2019.“ Šéfovi NEWPS, který se v IT pohybuje celý profesní život, to připomíná historku s nejmenovaným českým telekomunikačním operátorem. Této firmě také kdosi ukradl data a ona po 14 dnech oznámila, že už je vše v pořádku, protože je má zpátky. „To vás uklidní jen případě, že netušíte, co je obsahem toho sdělení, respektive co obsahem není,“ podotýká Kučera.
Dostupné rozbory podle něj říkají, že se do systému Facebooku nikdo nevlamoval a data byla zcizena tak, že určité technologické rozhraní bylo použito jinak, než původně společnost zamýšlela. „To znamená, že měli úmysl zpřístupnit nějakou část dat těm, kdo byli ochotni za ně zaplatit, a někdo to využil ještě nějakým jiným způsobem,“ vysvětluje Kučera. Slabým článkem každého IT systému je totiž podle něj na prvním místě člověk, na druhém místě člověk na třetím místě zase člověk.
Zcizování dat je dnes mnohem častější, než by se laikovi mohlo zdát. V loňském průzkumu amerického Ponemonova institutu mezi 1800 IT profesionály ze všech hlavních světových regionů více než polovina dotázaných přiznala, že jejich organizace zažila v posledních dvou letech datový únik. Aleš Kučera k tomu poznamenává, že před lety, když se sám bezpečností informačních systémů začal zabývat, byl pohled expertů mnohem širší než dnes. Chápali, že je třeba řešit objektovou bezpečnost, tedy budovu, v níž IT systém sídlí, osobní bezpečnost, tedy lidi, kteří s ním nakládají, organizační bezpečnost, tedy jak se se systémem pracuje, a pak samotnou softwarovou ochranu a kryptografii.
„Pro to je dobrý důvod. Špatní chlapci, když se rozhodnou, že provedou nějaký útok, hledají nejjednodušší cestu, aby dosáhli svého výsledku,“ říká Kučera. A vysvětluje, že pokud je tou cestou snadno zkorumpovatelný či vydíratelný člověk zevnitř, je veškeré softwarové zabezpečení k ničemu. „Dnes se dočtete o stovkách různých způsobů kybernetických útoků, ale najednou už se na to nikdo nedívá z toho pohledu, že by tam měl být vrátný, který nepustí každého do baráku,“ dodává Kučera.
Společnost si dnes podle něj neuvědomuje, jaké se v datech skrývá bohatství. Firmy a instituce jsou mnohdy i ochotné investovat do nejrůznějšího ochranného softwaru, ale přitom nemají odborníky, kteří by kyberbezpečnosti rozuměli. Na druhé straně soukromý sektor a snad ještě více stát často shromažďuje data, která nepotřebuje nebo s nimi neumí pracovat.
Proč je více méně zbytečné aktuální sčítání lidu? Stačí na zabezpečení IT systému maturita z matematiky? Jak má běžný uživatel přemýšlet o svém chování v kyberprostoru v čase kontinuální hybridní války, která je vedena proti každému? Poslechněte si celý první díl Kyberglosáře s Alešem Kučerou na téma Jak bezpečně přežít v kyberprostoru.
