Téma kyberbezpečnosti se probírá už řadu let, přesto lidé zabezpečení svých zařízení často podceňují. Proč tomu tak je?
Situace je podobná, jako v jiných oblastech bezpečnosti – velká většina lidí se domnívá, že jich se tento problém netýká, že jim se nic stát nemůže. Samozřejmě jen do té chvíle, než se jim opravdu něco přihodí. Složitost problematiky však bohužel vede k tomu, že i poté často řada uživatelů na zabezpečení svých zařízení rezignuje, protože se domnívají, že se před některými hrozbami stejně nedá ubránit. Přitom proti naprosté většině počítačových útoků, kterým jsou vystaveni běžní uživatelé, se dá bránit kombinací několika jednoduchých zásad.
Na počítačích to je především používání nějakého antivirového systému – stačí i nějaký zdarma. Používání bezpečných hesel – pro každou službu jiné heslo, existuje celá řada programů pro správu hesel, některé i zkontrolují, nakolik je heslo bezpečné a samy ho za Vás i vyplní. Je na místě určitě i jistá opatrnost při instalaci nových aplikací. Univerzálně pak platí ostražitost při práci s elektronickou poštou: neklikat na každý odkaz, nevěřit každému mailu.
Které přístroje jsou nejhůře chráněny?
Především spotřební elektronika, která je v poslední době někdy až možná samoúčelně vybavována schopností připojení na internet. Takováto zařízení jsou často vyvíjena ve spěchu, jejich programové vybavení a související služby bývají šity horkou jehlou a zabezpečení tak bývá zhusta na velmi špatné úrovni.
Řada takovýchto produktů pak nemá ani možnost nějaké aktualizace, která je zásadní pro opravu bezpečnostních chyb. Problémy s bezpečností již samotného návrhu služeb se bohužel nevyhýbají ani renomovaným výrobcům, byť u nich se situace v poslední době výrazně zlepšuje.
U kterých výrobků lidé nejčastěji podceňují ochranu?
Právě zařízení spotřební elektroniky, ať už jde o různé vybavení domácnosti, hračky nebo módní doplňky, bývají nejhůře zabezpečené, protože běžný uživatel si s nimi žádnou bezpečnostní hrozbu nespojuje. Bohužel, a to je ještě horší, často dokonce i v případě produktů pro domácí zabezpečení, jako jsou dohledové kamery nebo „chůvičky“, uživatelé podceňují rizika a nenastaví si při instalaci dostatečně silné heslo a neaktualizují tyto systémy pravidelně.
Současná kauza hacknutého telefonu nejbohatšího muže světa Jeffa Bezose ukazuje, že útoky se nevyhýbají nikomu. Je vůbec pro běžného člověka možné se efektivně chránit?
Proti skutečně cílenému útoku expertů není možné se stoprocentně ochránit nikdy. To ovšem mluvím o skutečně velmi cíleně zaměřených útocích, které ty útočníky stojí velké úsilí a obrovské prostředky.
Běžná počítačová kriminalita, které je naprostá většina, je zcela odlišná. Tam jde často o velmi jednoduché útoky, ovšem ve velkých objemech. Když útočník rozešle milion mailů s odkazem na nějaký virus a z nich uspěje, byť i jen setina procenta, je to pořád deset tisíc infikovaných počítačů, ze kterých pak může krást informace nebo je zneužívat k dalším útokům. Proti těmto útokům se chránit můžeme, právě při použití zásad, které jsem zmiňoval výše.
Karel Obluk |
• Partner v Evolution Equity Partners, fondu rizikového kapitálu působícího v Evropě a Severní Americe• Dříve technický ředitel společnosti AVG Technologies, kterou pomáhal uvést na New York Stock Exchange (NYSE) • Od roku 2016 je členem Kauffman Fellows, aktivně se podílí na podpoře business angel investování v České republice • Z technického hlediska se zaměřuje především na otázky bezpečnosti informačních systémů a ochranu dat a soukromí • Vystudoval informační technologie, magisterský titul i doktorát získal na Vysokém učení technickém v Brně |
S Bezosem se pojí i další kauza. Ve Spojených státech útočníci použili dětské chůvičky ke strašení malých dětí v jejich pokojích nebo k vydírání obyvatel. Kde udělali uživatelé chybu?
Těchto případů byla bohužel celá řada. V některých byl problém v tom, že uživatelé zapojili takovouto kameru přímo na internet a vůbec nezměnili výchozí heslo pro přístup ke kameře. V jiných případech, např. často citovaném problému uživatelů kamer Ring výrobce Amazon, uživatelé nastavili příliš slabé heslo svého účtu, přes který je možné kameru ovládat. Buď to heslo bylo možné snadno prolomit, nebo znovu použili stejné heslo, jako již dříve u nějaké jiné služby.
To mohli útočníci znát např. z nějakého jiného úniku informací. Druhým často diskutovaným problémem bylo, že celý systém – tzn. v tomto případě služba Ring – nebyl navržen tak, aby uživatele přímo vedl k lepšímu zabezpečení. Dokonce ani nebylo možné použít lepší a bezpečnější metody přihlašování, tzv. dvoufaktorové ověřování, jak je známe například z většiny bankovních systémů, nebo jak je umožňují služby typu Google nebo Apple a podobné.
Případ ochromení benešovské nemocnice ukázal, že v bezpečí nejsou ani státní instituce. Existuje nějaký univerzální recept pro jejich ochranu?
V případě institucí a firem, zejména pak těch, kde mohou být ohroženy lidské životy, by měla být bezpečnost určitě jednou z hlavních priorit. Bohužel rozpočty mnoha institucí tomu ne zcela odpovídají – zejména v oblasti mzdové. Zkušenost a odbornost pracovníků IT oddělení je však jen část celého problému.
Vzdělání – a systematické vzdělávání – všech pracovníků i v oblasti základní bezpečnosti, jakési „základní hygienické návyky práce s výpočetní technikou“, by byly určitě žádoucí. V případě kritických provozů a zařízení pak samozřejmě platí, že je nutný pečlivý návrh systému i z hlediska bezpečnosti, oddělení kritických systémů sítě, časté zálohy a samozřejmě i připravený havarijní plán obnovy. Ale to jsou věci, které jistě příslušní experti v daných IT odděleních vědí, jen na ně často nemají dostatečný prostor a prostředky.
Mohou hackeři ohrozit i lidské zdraví? Aktuálně americké úřady vydaly varování před zranitelnými lékařskými přístroji…
Jistě to možné je, byť ve většině případů, které zatím byly dokumentovány, šlo zatím spíš buď o neúmyslný efekt jinak „běžného“ kriminálního útoku, nebo o demonstraci možnosti – tzv. důkaz proveditelnosti („proof of concept“) v laboratorních podmínkách. Ale případ benešovské nemocnice je příkladem takového možného ohrožení.
Roste počet případu kyberzločinů, nebo jsou jen více vidět?
Počet útoků neustále roste, jak roste počet připojených zařízení a jak roste i možnost zisku útočníků. Informace jsou stále žádanější a ty velmi citlivé nejsou výjimkou. Ať už jde o číslo kreditní karty, přihlašovací údaje k účtu Spotify nebo Ring nebo vaše zdravotní informace či soukromé fotky z dovolené – to vše někdo může chtít a může být ochoten za to zaplatit.
K tomu si přičtěte velké zisky z klamavé reklamy, ať už jde o fake news, spam na různé podpůrné prostředky nebo falešné recenze produktů… Možností a příležitostí pro ilegální zisk je celá řada. A bohužel objasněnost a postižitelnost pachatelů neroste rozhodně stejným tempem.
Jak jsme na tom v Česku s ochranou v porovnání se světem?
Z tohoto pohledu je na tom Česko v podstatě stejně, jako ostatní okolní evropské země. Pro některé typy útoků máme tu výhodu, že česky mluvící trh je příliš malý a nevyplatí se tak vytvářet perfektně formulované a gramaticky správné texty v češtině – některé jednoduché útoky se tak dají odhalit. Ale obecně útočníci příliš nerozlišují, jestli jste z Česka, Polska, Německa nebo USA. Důležité je, jestli mohou získat nějaké informace nebo jestli mohou využít vaše zařízení k dalším útokům. Toto rozlišení pak prakticky nezná hranice.
Převzato z webu Euro.cz. Autor: Adam Krupa