Elektronický obsah, který vytváříme, uchováváme a sdílíme, lze velmi dobře využít a často i zneužít. Dominantní část informací, znalostí, a vlastně i obraz našeho „já“, má digitální podobu. Internetu se svěřujeme se svými prožitky, pocity, názory a sdílíme informace prostřednictvím pracovních i osobních mailů, sociálních sítí, diskuzí, chatu… Možnost kontroly nad šířením dat je mnohdy jen iluzí. Oč nám moderní technologie usnadňují přenos informací, o to větší pozornost si zasluhuje jejich ochrana.Informační hodnotu ukrytou ve svých datech se snaží firmy ochránit značnými investicemi do jejich zabezpečení. Předmětem ochrany bývají citlivé informace, duševní vlastnictví a know-how, databáze informací o klientech či obchodních partnerech. Na druhé straně barikády stojí útočníci, kteří se snaží obranu prolomit a získané informace zneužít. Ale i naše osobní data, která příliš nechráníme a která bývají víceméně volně dostupná, mohou představovat ve správných souvislostech a kontextu značnou hodnotu. Zde nelze mluvit o barikádách, kontroly se obvykle dobrovolně zříkáme ve prospěch provozovatelů nejrůznějších služeb, které využíváme. Kolik toho vlastně o sobě prozrazujeme? Naše sociální vazby, demografické údaje, zájmy, koníčky, názory, postoje k událostem a fotografie z dovolené nebo firemního večírku mohou být analyzovány a efektivně využity.
Jak a proč? Důvodů je víc. Nejobvyklejší je cílení reklamy pro zvýšení její efektivity. Prodejem informací o uživatelích se vracejí náklady na poskytování služeb zdarma. Kromě klasického marketingu a reklamy zaměřené na prodej výrobků a služeb existuje i „politický“ marketing zaměřený na výzkum a ovlivňování našich názorů na různá společenská témata. Zadavateli nejsou v tomto případě výrobci snažící se přimět zákazníky ke koupi svých produktů, ale politici, politické strany a různá zájmová hnutí, kterým jde o voličskou podporu. V neposlední řadě jsou tyto informace využívány bezpečnostními složkami států k ochraně jejich zájmů. Co z toho může vyplynout, do jaké míry se můžeme proti riziku zneužití a využití bránit a zabezpečit firemní i soukromá data, se dozvíte z odpovědí Ing. Michaela Petra, majitele firmy MCI Systems, s.r.o.:
Internet jako mohutná datová platforma šíří nekontrolovatelné množství informací. Z mnohých se vytváří samovolně například mediální obraz firem, jednotlivci jejich prostřednictvím budují svou image. Často si však neuvědomujeme, že je to vlastně daň za geniální služby, jež bezplatně využíváme. Částečně jste o tom hovořil v prosincovém vydání. Čím může být tato daň nebezpečná?
Nebezpečí spočívá především ve ztrátě kontroly nad daty, která svěříme provozovatelům těchto služeb. Jak jsem zmínil, například Facebook považuje veškeré informace a mediální obsah, který jeho prostřednictvím sdílíme, za svůj majetek, se kterým může volně nakládat. Nesmíme se proto divit, že informace, o které jsme se chtěli podělit pouze s určitou skupinou svých přátel, mohou být použity pro účely marketingu a cílení reklamy. Jsou tedy ve zprostředkované podobě upotřebeny způsobem, který jsme nepředpokládali. Než začneme určitou službu užívat, musíme souhlasit s obchodními podmínkami. Při jejichž čtení narazíme na odstavce, případně celé články upozorňující, že informace mohou nějak posloužit i třetí straně.
A za druhé – kromě samotných poskytovatelů specifických služeb mohou být data elektronické komunikace analyzována na základě tajných vládních programů. Legalita takového plošného sběru a analýzy dat je sporná. Kontroverzním tématem je zapojení komerčních poskytovatelů služeb do tohoto systému, protože jejich uživatelé jim k tomu nedali svolení, a toto chování podkopává víru v zachování důvěrnosti informací.
Vede to k absurdním úvahám – má vůbec smysl chránit své soukromí? Vždyť specializované týmy dokáží vystopovat na základě mých návštěv na internetových portálech, kdy mám třeba depresi či svou slabou chvilku a přimět mne k nedbalé virtuální operaci, na základě které se nechám zmanipulovat k tomu, co bych jinak nikdy neudělala.
V rovině osobních dat se vývoj ubírá tím směrem, že nemáme-li co skrývat, pak nám nezbývá než dát své soukromí všanc v míře nezbytně nutné. A doufat, že naše data nebudou zneužita jiným způsobem než ke sledování vládními agenturami a k reklamním účelům poskytovatele využívaných služeb. Vyšší míry anonymity lze dosáhnout například využitím sítě Tor, která pracuje s mnohonásobně zabalenou informací do vrstev připodobňovaných ke slupkám cibule. Informace putuje přes několik počítačů v síti, přičemž každý rozbalí jednu vrstvu, která obsahuje pouze adresu následujícího článku řetězce, kam má informace poslat. Informace o původním odesilateli, cílovém příjemci ani obsah zprávy nejsou k dispozici. Síť Tor je pro svou anonymitu využívána často k nelegálním aktivitám jako prodej drog, zbraní nebo dětské pornografie, ale slouží i disidentům, kteří se tak uchrání od státní cenzury.
Ale obecně vzato se na internetu nesetkáváme s nátlakem v té podobě, jako je vyvíjen například některými subjekty při prodejních zájezdech cílících především na seniory. Za monitorem se obvykle nedostáváme pod časový tlak a máme prostor si své jednání rozmyslet. Pokud hovoříme o manipulaci, stojí za ní obvykle nepřehledné a matoucí znění obchodních podmínek, popisu výrobku. Zkráceně zde hraje roli určitá informační asymetrie, která není vždy úmyslně vytvářená. Proto má také zákazník po zakoupení produktu na e-shopu možnost jej v určité lhůtě vrátit bez udání důvodu. Kromě nákupu v e-shopech může mít i další naše počínání na internetu formu právního úkonu, to je třeba brát v potaz.
Takže člověk si vlastně nevybere. Vždy je něco za něco, anebo absurdněji: anonymita například jako ochránce poctivých, ale zároveň živná půda pro největší nepravosti…
I tak se to dá pochopit. Doplnil bych ještě, že v rámci internetu existuje část nazývaná hluboký web (Deep Web), jejíž obsah není možné vyhledat pomocí internetových vyhledavačů. Součástí jsou servery přístupné přes Tor. Samozřejmě takové prostředí chrání bezelstné uživatele stejně tak dobře jako lotry. Takže ano, člověk si vlastně nevybere, nebo naopak, vybírá si, každý podle svých potřeb a možností.
Zatímco v rovině osobních dat stačí pro zachování bezpečnosti obezřetnost, zdravý rozum, aktualizovaný operační systém a případně antivir, ve firemní sféře zůstane zajištění informační bezpečnosti důvodem pro značné investice. Firmy často pro zachování úplné kontroly nad zabezpečením svých dat provozují informační služby ve vlastní režii místo využívání outsourcingu, SaaS (Software as a Service),
PaaS (Platform as a Service), IaaS (Infrastructure as a Service) apod. Úroveň zabezpečení pak odpovídá výši investic na pořízení a provoz vlastní zabezpečené infrastruktury. Například soukromý e-mail využíváme zdarma i za cenu, že provozovatel analyzuje obsah naší korespondence pro účely cílení reklamy, a tím o nás vlastně prodává informace třetím stranám. Přestože firemní varianty podobných služeb bývají placené a bez reklam, stín podezření, že by poskytovatel mohl použít stejné nástroje analýzy obsahu, jaké používá pro jednotlivce, a prodat výsledky konkurenci, vede mnohé společnosti k provozování vlastních poštovních serverů. Pokud ale firmy nevěnují řádnému zabezpečení dostatečnou pozornost a prostředky, mohou být jejich data ohrožena více než při využití profesionálních outsourcovaných služeb.
O zneužívání sdíleného obsahu pro jakékoli účely se hovoří denně. Co mne jako zaměstnance může potkat, když na sociálních sítích zveřejním fotografie z živelné firemní oslavy? Smím vůbec takové snímky pustit do světa? Mohu z toho mít problém?
Lidé si zvykli zveřejňovat zajímavé momenty svého života, který do značné míry tráví i v práci. Tím mohou na svého zaměstnavatele vědomě či nevědomě prozradit i nežádoucí skutečnosti, a tak společnost poškodit. V několika případech podobné chování skončilo výpovědí, např. po zveřejnění hygienických podmínek provozovny fast foodu.
Z hlediska povahy zveřejněných dat je třeba vzít v úvahu okruh příjemců. Kromě ostatních účastníků oné divoké párty se mohou nelichotivé fotky a videa dostat třeba k vašemu šéfovi nebo personalistovi, který vás bude přijímat do nového zaměstnání. Znovu připomínám, že na veškerý sdílený obsah je třeba nahlížet jako na veřejně dostupný bez ohledu na zdání, že bude přístupný jen vybranému okruhu vašich přátel.
Mnozí blogeři zveřejňují informace o připravovaných modelech výrobků, zejména na poli elektroniky, mobilních telefonů, automobilů či software a operačních systémů. Některé firmy toto dokázaly dokonce využít ve svůj prospěch jako nenásilnou a levnou formu marketingu a reklamy, kdy připravují trh na nový výrobek a jeho vlastnosti a zároveň vyhodnocují reakce potenciálních uživatelů, které mohou vést ke změnám charakteristik již ve fázi vývoje produktu. A proto, že vývoj nového produktu je časově i finančně náročný, obvykle se nestává, že by takové informace mohly být zneužity konkurencí k uvedení podobného výrobku ve stejnou dobu. Informace o produktu v pokročilém stádiu procesu uvedení na trh bývají spíše zdrojem inspirace pro firmy v závěsu za předními lídry trhu.
Tématem stále aktuálním je také phishing. Mohl byste charakterizovat, jak takový typický phishingový útok vypadá? A jak se proti němu mohou firmy bránit? Mnohé z nich tato rizika berou stále na lehkou váhu…
Phishing se někdy do češtiny překládá jako „rhybaření“. To vystihuje podstatu metod, jak důvěřivé uživatele chytit na udičku a vylákat od nich citlivé údaje. Podvodné jednání spočívá v napodobení e-mailové zprávy nebo webové stránky internetového bankovnictví, sociálních sítí, online platebních terminálů, aukčních portálů apod. Zde pachatel požádá uživatele o zadání přístupových údajů, které následně zneužije.
Firmy stále upozorňují na phishingové hrozby pro jejich uživatele, ale vzhledem k tomu, že jde o metodu sociálního inženýrství založenou na naivitě a nepozornosti uživatelů, nemohou toto riziko úplně vyloučit. Účinnou obranou bývá mimo zdravého úsudku a obezřetnosti uživatelů využití zabezpečeného připojení k serveru pomocí protokolu HTTPS. Kromě šifrování obsahu přenášeného mezi internetovým prohlížečem a serverem dochází k ověření identity protistrany. Úspěšné ověření serveru může uživatel poznat většinou v adresní řádce prohlížeče. Ještě účinnější obranou je dvoustupňová autentizace např. za použití kódu zaslaného v SMS, ale ani to není už dnes spásou, vývoj jde rychle dál.
Pro řadu společností vyvstaly problémy s tím, že zaměstnanci používají své mobily, své notebooky, své foťáky k pracovním účelům. Jak to může narušit firemní bezpečnost?
Zatímco ve firemním prostředí se na zabezpečení dat vynakládají oprávněně nemalé částky, zaměstnanci nejsou zvyklí svá osobní data příliš chránit. Střet těchto světů, ať už na firemním, nebo soukromém počítači, nebo chytrém telefonu, představuje pro zachování firemní bezpečnosti novou výzvu.
Firemní zařízení je možné lépe ochránit před hrozbami plynoucími ze surfování zaměstnanců po netu, čtení soukromých e-mailů a sledování sociálních sítí. Číhajícím hrozbám a útokům lze čelit omezením oprávnění uživatelů ve správě a při používání zařízení. Trendem ke zvýšení spokojenosti, produktivity a snížení nákladů je koncept tzv. BYOD (Bring Your Own Device), tedy začlenění soukromých zařízení zaměstnanců do IT infrastruktury společnosti. Typicky jde o soukromé mobilní telefony, tablety a notebooky, na kterých zaměstnanci vyřizují firemní e-mailovou komunikaci a přistupují často ke sdíleným datovým úložištím, intranetu a dalším firemním aplikacím a datům. Uživatele v tomto případě nelze chránit omezením v používání zařízení. Funkčním se zdá být koncept oddělení firemní části zařízení, kde mohou být vynucovány bezpečnostní politiky, od soukromé, která je uživateli volně k dispozici. Bezpečné oddělení obou částí vyžaduje souhru hardware, operačního systému a bezpečnostních aplikací.
To je docela drahé. Nebude řešením opačná cesta? Mají společnosti nástroje k tomu, jak při zapojení notebooku zaměstnance do aktivit podniku lépe kontrolovat jeho práci nebo naopak lenošení, kdy brouzdá po nejrůznějších webových stránkách, věnuje se vyřizování osobních mailů?
Na soukromém zařízení zaměstnance by nebylo toto sledování vhodné. Obecně prosazuji hodnocení zaměstnanců na základě odvedené práce spíš než sledování, co dělají v pracovní době a už vůbec mimo ni. Řízení zaměstnanců by mělo zůstat v rovině manažerské dovednosti spočívající v umění zadat úkoly a kontrolovat jejich plnění, včetně patřičného časového rámce. Omezování soukromých aktivit zaměstnanců má smysl u činností v pracovní době, kde je vyžadováno plné soustředění na pracovní úkoly nebo když činnost nemá měřitelné a kontrolovatelné výstupy a spočívá např. v monitorování bezchybného chodu určitého procesu.
Firmy se potýkají s problémem úniku informací často právě proto, že zaměstnanci na svých noteboocích a tabletech zacházejí s citlivým obsahem lehkovážně. Lze se proti tomu efektivně zajistit?
Zabezpečení firemních i soukromých počítačů, tabletů a chytrých telefonů proti vnějším hrozbám je na trhu k dispozici. Každá společnost by měla zvážit, jestli jí potenciální únik informací může způsobit větší škody, než představují náklady na patřičné zabezpečení. Většinou hrozba průmyslové špionáže, kompromitace citlivých informací nebo zneužití dat v konkurenčním boji za ochranu stojí.
Rizika bohužel nepředstavují jen hackerské útoky, které prolomí nedostatečné zabezpečení, krádeže nebo nevědomého jednání personálu. Na tomto poli stále dominuje vědomé úmyslné jednání zaměstnance, ať už jde o korupci, nebo vlastní selhání. Účinné opatření proti této hrozbě spočívá ve striktní kontrole přístupu zaměstnanců pouze k těm informacím, které jsou nezbytné pro výkon jejich práce a odpovídají jejich pracovnímu zařazení. Současně je třeba sledovat, kdo jak se kterými informacemi naložil. U dat, která jsou klasifikována jako důvěrná, je třeba vážit, kdo k nim přistoupil, komu je přeposlal e-mailem, jestli je uložil na externí paměťové médium apod. Tyto činnosti by mělo být možné případně i selektivně zakázat.
Jakým směrem se budou ubírat kroky v zabezpečování firemních systémů? Mají společnosti vůbec šanci srovnat krok s těmi, kteří bývají o kus před nimi a data zneužívají?
Výzvou je udržet požadovanou míru zabezpečení firemních dat na všech zařízeních, která slouží k produktivní práci zaměstnanců a uživatele při tom příliš neomezovat. Vyžaduje to kontinuální inovace a nemalé náklady, které korespondují s rostoucí důležitostí firemních informací, firemní komunikace a know-how firem.
Pokud jde o útoky zvenčí, pak konvenční prostředky zabezpečení většinou fungují na základě kolektivního sdílení charakteristik odhalených útoků. Po útoku zaznamenaném bezpečnostní společností nebo výrobcem operačního systému, software a hardware bývá systém aktualizován a proti stejné hrozbě chráněn. Je tu však určitá časová prodleva. Útok nebo vir musí být odhalen. Dokud se tak nestane, nelze se takovým událostem ubránit. Nejnovější technologie na bázi heuristické analýzy a neuronových sítí dokáží v reálném čase odhadnout, že určitá aktivita představuje hrozbu, a okamžitě se bránit i v případě, že tato hrozba dosud nebyla nikým odhalena. Tyto technologie monitorují datové toky a učí se rozpoznat normální a abnormální chování ve firemní síti. Podle míry jistoty a závažnosti hrozby jen reportují nestandardní situace pro pozdější analýzu nebo mohou závažnému narušení bezpečnosti, které hrozí s velkou pravděpodobností, rovnou zabránit.
Náklady na kyberšpionáž jsou rovněž značné. Zatímco běžným hrozbám virové nákazy či zapojení do sítě ovládaných počítačů (botnet) lze účinně čelit, cílené velmi sofistikované útoky bývají dlouho neodhaleny. Využívají často tzv. zranitelností nultého dne, tedy takového způsobu napadení systému, který dosud nebyl odhalen. Tyto zranitelnosti jsou velmi ceněné, protože do jejich odhalení jsou proti nim bezmocné i aktualizované operační systémy a antivirové programy. Právě tyto dosud neodhalené slabiny představují Achillovu patu tradičního způsobu zabezpečení. Vzhledem k vysokým nákladům na jejich vývoj lze předpokládat, že jde o cílené útoky a že za nimi stojí promyšlený konkurenční boj velkých firem nebo týmy financované z vládních zdrojů.
Několikrát jste se dotkl obecně práce s daty na základě státního zájmu. Záludnosti internetu jsou nekonečné. Z dříve školáckých legrácek dnes již organizované a silně strukturované zásahy, kyberšpionáž. Co z toho může pro politiku a ekonomiku zemí plynout?
„Kyberšpionáž“ a „kyberválka“ se obecně na úrovni států a vládních organizací institucionalizuje, profesionalizuje a jsou na ně vyčleněny nemalé prostředky z rozpočtu obrany každé země. Tyto činnosti mají řadu různých cílů. Od získávání citlivých informací, které slouží k podpoře strategického rozhodování na ekonomické, politické i vojenské úrovni, přes podporu špionáže a kontra špionáže a odhalování bezpečnostních hrozeb až po činnosti, které mohou protivníka fyzicky a ekonomicky poškodit. Uvádí se, že velmi sofistikovaný systém nazvaný Stuxnet dokázal zpozdit íránský jaderný program o rok přeprogramováním centrifug na obohacování uranu, aniž by jeho tvůrce musel vynaložit náklady na vojenskou akci a čelit jejím následkům, včetně ohrožení životů vlastních vojáků. Systém se podařilo odhalit až po několika letech činnosti a byl natolik sofistikovaný, že vzhledem k potřebným nákladům na jeho vývoj se spekuluje o podpoře některého ze států, zejména Izraele. Stuxnet byl zcela výjimečný, jelikož využíval hned čtyři různé zranitelnosti nultého dne, což je zcela unikátní. Že nejde o ojedinělou akci, svědčí i to, že později byl odhalen další podobně sofistikovaný systém nazvaný Flame, který vykazuje se Stuxnetem podobné rysy. Lze předpokládat, že v současnosti fungují neodhalení nástupci těchto systémů.
Kontroverzním tématem jsou vládní programy pro plošný sběr a zpracování informací z datové komunikace, e-mailů a telefonních hovorů. Bezpochyby to probíhá ve spolupráci s celou řadou soukromých firem, jimž k tomu uživatelé nedali souhlas. O rozsahu těchto aktivit vypovídá svědectví Edwarda Snowdena spolu s ostatními materiály zveřejňovanými serverem WikiLeaks. S odůvodněním boje proti terorizmu se uchýlila americká vládní agentura NSA k porušování osobních svobod. Zdá se, že demokratické principy by mohly částečně zvrátit tento trend. Bylo by však naivní domnívat se, že ostatní mocnosti nevyužívají obdobné praktiky, o kterých se ale nemluví, nepodléhají žádné veřejné kontrole, a nebudou se proto omezovat. Podezření z napomáhání při zneužití dat již čelí někteří výrobci síťových prvků.
ptala se Kateřina Šimková