Kyberprostor: Nebezpečí na každém rohu
nejvyššího efektu. Tak, jak se uživatelé posouvají směrem k mobilitě, dochází k rozvoji internetu věcí, kritická infrastruktura se digitalizuje. Stejnou cestou směřuje i využití zranitelností. Proto můžeme během roku 2018 očekávat další nárůst rafinovanosti i počtu hrozeb, jejichž cílem budou mobilní zařízení, cloud, chytrá zařízení a kritické infrastruktury. Vládní a soukromé organizace zpracovávají stále více osobních dat, a to zvyšuje riziko jejich ztráty nebo manipulace pro kriminální či politické účely.
Regulace kryptoměn
Trestná činnost v kyberprostoru a nezákonné on-line aktivity jsou často spojeny s kryptoměnami, které zajišťují anonymitu příjemce. Kryptoměny často využívají jako platební metodu kyberzločinci, kteří stojí za rozmachem ransomwaru. Především bitcoin je platební metodou těchto vyděračských aktivit, kdy útočník vyžaduje výpalné za zpřístupnění dat, která oběti zašifroval. Kryptoměny jsou také samy cílem útoků a hackeři se stále intenzivněji snaží najít zranitelná místa v účtech pro výměnu kryptoměn nebo v systémech využívajících blockchainové technologie. Není divu, že odborníci očekávají, že státní nebo mezinárodní orgány přijmou nějaká účinná opatření proti zneužívání kryptoměn, a to by mohlo mít i negativní vliv na jejich hodnotu.
Útok na nejcitlivější místo
Ukazuje se, že nejcitlivějším místem jsou sami uživatelé, na jejich chyby a důsledky ovlivnění jejich mysli nejsou spolehlivé technické prostředky. Metody sociálního inženýrství, jejichž cílem je přimět lidi provést nějakou akci, která není v jejich zájmu, jsou stále na vzestupu. A jejich paleta se stále zvětšuje. Už nejde jen o to připravit o peníze jednotlivce, mezi které patří pokusy o zaplacení falešných faktur a upomínek nebo vylákání čísla kreditní karty. Cíle jsou mnohem širší.
Falešné zprávy
Termín „fake news“ (falešné zprávy) byl zařazen vydavatelem slovníku Collins mezi slova roku 2017. Úniky dat a jejich zveřejnění pomáhají odhalit pravdu o aktivitách jednotlivců, podniků nebo dokonce států a jejich institucí, přičemž při šíření těchto příběhů pomáhají i sociální sítě. Bohužel ale stejnou techniku lze použít také jako zbraň. Vypouštění nepravdivých informací může vést nejen k poškození reputace nějaké firmy, ale i vládní nebo politické instituce nebo i celého státu a být tak cestou šíření nepřátelské propagandy. Už výzkum po amerických prezidentských volbách ukázal, že právě ty nejvíce sdílené příběhy na sociálních sítích byly falešné. Pro jednotlivce je dnes již velice obtížné rozlišovat mezi skutečnými zprávami a falešnými nebo placenými informacemi. Falešné zprávy ovlivňují veřejné mínění a můžeme očekávat, že tato technika bude v roce 2018 stále více využívána.
Potřebovali bychom lepší přístup k identifikaci falešných zpráv, technologické řešení je zatím velmi vzdálené. Jedním z pokusů jsou aktivity Googlu v tomto směru, který má být schopen odlišit pravdivost informací – a to pomocí technologie, kterou označuje jako Knowledge Vault. Pro její rutinní uplatnění ale zatím není nějaký konkrétní výhledový termín. Přitom něco takového bychom především na Facebooku nebo Twitteru potřebovali již dávno.
Kybernetické armády
O bezpečnost kyberprostoru se stále více začínají starat i vlády a nasazují na ochranu svých občanů a hranic kybernetické armády. Kybernetické jednotky budou hlídat internetové sítě a kritické infrastruktury, jako jsou energetická a vodní zařízení, bankovní sítě nebo dopravní sítě a podobně, a to analogickým způsobem jako konvenční armády a policejní síly, které chrání státní hranice a brání občany před tradičními zločinci. Jde o to, že každá síť, kterou používáme, může být terčem útoku a jakákoli informace, se kterou pracujeme, může být manipulována, aniž bychom si to uvědomili. Je nutné správné zabezpečit sítě a data, abychom mohli důvěřovat službám, které používáme, a zajistit integritu dat, které vytváříme a využíváme.
Firemní zodpovědnost
V případě podnikatelských subjektů přicházejí ještě další úrovně rizik. Kromě toho, že jejich zaměstnanci při své práci s výpočetní technikou čelí všem hrozbám jako jednotlivci, podniky navíc zpravidla provozuji nějakou vlastní infrastrukturu. Jde o sítě, servery, databáze, úložiště atd. Ty mohou být navíc cílem útoků označovaných jako DoS nebo DDoS; při něm jsou síťová zařízení vystavena takové umělé cílené zátěži, že prakticky přestanou fungovat a stanou se nedostupnými. Pokud vůbec neselžou, nejsou schopna obsloužit požadavky reálných uživatelů v nějakém rozumném čase. Takovým útokům jsou často vystavovány zpravodajské servery, banky, e-shopy – a nejen ty velké. Proto bezpečnost firemní sítě odolnost vůči DoS/DDoS útokům je jedním důležitých faktorů bezpečnosti podnikové infrastruktury.
Můžeme očekávat vzestup hackingu ve jménu konkurenčního boje, kdy různé subjekty budou využívat aktivity, které jsou obvykle spojené spíše s kyberzločinci, aby získaly výhodu nad konkurencí. Důvod je jednoduchý – výhody jsou lákavější než riziko odhalení. Všechny organizace, a to nezávisle na jejich velikosti, budou muset lépe chránit data a své duševní vlastnictví, aby je útočníci nevyužili ve svůj vlastní prospěch.
Ztráta nebo zcizení firemních dat a firemního know-how totiž může mít nepříjemné obchodní důsledky. Podnikatelské subjekty mají ale navíc i přímou zodpovědnost za firemní i osobní data svých zákazníků nebo obchodních partnerů, která zpracovávají. Tato odpovědnost je tím větší, čím jsou data citlivější a čím větší je jejich objem. Patrně nejznámějším velkým únikem dat v České republice je dva roky starý incident, kdy zaměstnanec společnosti T-Mobile vynesl zákaznická data o 1,2 milionu klientů. Úřad pro ochranu osobních údajů následně udělil firmě pokutu ve výši 3,6 milionu korun za to, že operátor data nedostatečně zabezpečil. Bohužel se nejedná o ojedinělý incident, alespoň ne v mezinárodním kontextu. Loni na podzim ukradli švýcarskému mobilnímu operátorovi Swisscom osobní údaje 800 tisíc klientů, což představuje každého desátého obyvatele Švýcarska. Neznámí útočníci se dostali ke jménům, adresám, telefonním číslům a datům narození zákazníků díky zneužití přístupových údajů obchodního partnera. Do centra pozornost se tento případ dostal mimo jiné i proto, že Swisscom incident oznámil téměř po šesti měsících – a to na firmu nevrhá právě dobré světlo
GDPR
V poslední době vidíme velkou publicitu ohledně direktivy GDPR, která se specificky týká nakládání s údaji osobními a která očekává řadu opatření pro kybernetickou bezpečnost zpracovávání dat. Přestože máme mnoho let relativně přísný zákon o ochraně osobních údajů (101/2000 Sb.), teprve kampaň ohledně GDPR nám připomněla, jak málo jsme v mnoha případech na tyto povinnosti dbali. Nová direktiva jasně zdůrazňuje odpovědnost správce dat i nutnost posouzení rizik a obojí by se mělo projevit v přijatých opatřeních. I když GDPR řeší jen ochranu osobních údajů, podobná technická, bezpečnostní a organizační opatření bychom měli uplatnit při správě a zpracování všech dat, i těch firemních. Jejich zneužití totiž může zase znamenat ohrožení byznysu – buď toho našeho nebo našich partnerů.
Autor: Alexander Lichý