Štítky článku: •  

Hacking potřetí a naposledy — co bych s tím dělal

Další vlna reakcí na oba články o hackování mě přesvědčila napsat ještě poslední díl — jak bych navrhoval postupovat, aby se rizika snížila.

electronically-secured.jpg
Elektronicky zabezpečeno

„Umíš kritizovat, co bys s tím udělal?“ — dost běžná námitka, která má určité pravdivé jádro. Kverulovat dokáže každý.

No, tak moje odpověď zní — některé vymoženosti jako elektronické volby bych jednoduše nezaváděl. Ale digitální informační systémy už ten stát má v provozu a asi se jich jen tak nevzdá (i když ruská FSO se prý vrátila k psacím strojům). Ty je potřeba zabezpečit.


John_Feeks_Western_Union_lineman_killed_by_AC_October_11_1889.png
Smrt Johna Feekse, elektrikáře společnosti Western Union, New York 1889 (zdroj)

Malá historická odbočka, pro ty čtenáře, které to baví. Koho to nebaví, ať přeskočí následující čtyři odstavce až k další čáře.

Se spoustou technologií je to tak, že se nejdřív zavedou a teprve potom se řeší jejich bezpečnostní stránka. Příkladů je dost, já bych si dnes zvolil třeba elektřinu.

Když jsem připravoval Zapomenuté příběhy 2, četl jsem si hodně o začátcích elektrifikace ve Spojených státech amerických. Byla to pěkná divočina. Několik konkurujících společností si tahalo dráty v chuchvalcích nad hlavami Newyorčanů (a dalších), všechno co nejrychleji a nejlevněji. Firmy tvrdě bojovaly o zákazníky, ale to znamenalo, že se šetřilo i na takových věcech, jako byly obyčejné pojistky. Zástupci firem prý docela dlouho bojovali proti povinnosti instalace pojistek, protože to údajně zničí rentabilitu byznysu. Následky: požáry z vadné instalace, zkraty, úmrtí zákazníků.

Situace se změnila, když na Manhattanu před očima tisíců lidí zemřel elektrikář John Feeks, kterého zabil proud při práci na údajně nízkonapěťovém vedení (spoiler alert: byl tam taky neoznačený vysokonapěťový kabel). Jeho tělo se zamotalo do drátů a skoro hodinu čoudilo a hořelo zcela veřejně nad hlavami davu, což vzbudilo velké pohoršení. Následně newyorský starosta pod pohrůžkou kompletního zákazu elektřiny ve městě donutil firmy, aby začaly překládat vedení pod zem, instalovat pojistky atd.

Pravověrný libertarián se při tomto líčení již otřásl hrůzou (státní zásah!), ale já jsem upřímně rád, že dnes takových lidských grilovaček moc není. Dobře dělaná technická regulace toho víc přináší než bere. A byznys se tím nezkazil; od té doby obepnuly elektrické kabely celý svět a pojistky snad používají i v rovníkové Africe.


V podobném stavu jsme teď s digitálními informačními systémy. Nejsem si ani úplně jist, zda někdo v tomto státě ví, kolik různých agend dnes ministerstva, jiné úřady, kraje, města a státem zřizované organizace řeší „přes počítač“. Stovky, tisíce?

Tyhle existující systémy vznikaly dost živelně a bez velké meziresortní koordinace, proto se teď teprve s takovou námahou dávají dohromady ty nejzákladnější registry. Míra té nekoordinace přitom občas opravdu bije do očí.

Malá ilustrace pro pobavení. Já jsem ještě před pár lety zažil následující: ztratil jsem peněženku a šel si na úřad vyřídit novou občanku a řidičák. Je to tak čtyři roky nazpět. (Dnes už jsou poměry trochu lepší.)

Dvě úřednice, které to řešily, seděly vedle sebe. Ta první tam měla foťák připojený k PC a hned si pořídila moje foto na nový občanský průkaz. Přešel jsem k té druhé a požádal o nový ŘP. Kdepak, to si musíte donést papírovou fotku, já vím, že kolegyně vás právě vyfotila, ale já k té fotce ze svého počítače nemám přístup. Naše systémy spolu nekomunikují.“

I musel jsem klusat do Bílé labutě, nechat si udělat čtyři papírové fotky za sto pade a vrátit opět poklusem s nimi, jazyk na vestě, aby mi mezitím nezavřeli a nemusel jsem se tam druhý den zastavovat znovu. Ženiální, jak říká král madagaskarských lemurů Julián XIII.

No, tak tyhle absurdity se po mnoha letech stížností občanů konečně nějak řeší, řidičská agenda v Praze byla centralizována na jedno místo, dokonce i živnosťák si uděláte pomocí jednoho formuláře, ale jak je to s bezpečností těch systémů, eh, těžko říci. Člověk by tipoval, že když ty systémy vznikly odděleně a na základě různých výběrových řízení, starají se o jejich zabezpečení také různé firmy.

To je chyba. Respektive na té úplně základní úrovni ne (běžné záplatování apod.), ale pokud se ochrany proti hackingu a jiným útokům týče, tam jde o zbytečné tříštění sil.

Představte si, že by každé ministerstvo a každá radnice měly svoji „mordpartu“ v čele se svým vlastním Vacátkem, která by řešila jen vraždy, které se staly v jejím resortu. To by přeci bylo strašně neefektivní; máme jednu „mordpartu“ a ta se stará o celý region, ať už ta mrtvola leží na nádraží nebo ve Vltavě.

Podle mého názoru bychom měli mít něco jako digitální kontrarozvědku. Expertní tým, který se bude starat o ochranu nejdůležitějších systémů naší republiky před pokusy o hacking.


První, na co se přitom musí zapomenout, jsou zavedené postupy „soutěžit veřejnou zakázku na nejnižší cenu“. Digitální bezpečnost si nemůžete koupit moc lacino, protože jde o práci vysoce kvalifikovaných lidí. Případná digitální kontrarozvědka by tedy neměla podléhat zákonu o veřejných zakázkách, aby se nějaký ctižádostivý státní zástupce nezačal vozit po tom, že si někdo nakoupil licence specializovaného softwaru o 1000 dolarů dráž, než by podle jeho názoru mohl. Ano, vzniká tam korupční riziko, ale lepší, než vytvořit organizaci, která vyžaduje operativní flexibilitu a přitom je od samého začátku „zkriplena“ betonovým krunýřem zvaným nejnižší cena.

Druhá věc, na kterou by se muselo zapomenout, je čisté dělení na státní zaměstnance a ty ostatní. Česká republika má to štěstí, že tady žije docela dost šikovných IT profesionálů, ale valná většina z nich pracuje v soukromém sektoru a do toho státního je nepřetáhnete. Co by taková digitální kontrarozvědka mohla udělat? Půjčit si je aspoň jako konzultanty na pár hodin týdně a na „pohotovost na telefonu“ pro případ, že se děje něco mimořádného. Někteří by za to ani nechtěli platit, určitý pocit vlastenectví tu ještě funguje, stejně jako zvědavost na zajímavou práci. K tomu přidejte pár dobrých lidí z akademického prostředí a výsledný mix už by mohl personálně fungovat.

Hlavní prací takové kontrarozvědky by byla prevence útoků, což znamená víceméně „snažit se o útoky sami“. Tomu se říká etický hacking, činnost, při které přijmete mentalitu a prostředky útočníka, ale vaším cílem je odhalit slabiny proto, aby mohly být záplatovány, ne zneužity. K tomu přidejme ještě službu „včasného varování“ pro všechny chráněné organizace, když je odhalena nějaká slabina globálního rázu (třeba ten Heartbleed), nebo když spřátelený stát nahlásí, že se stal terčem něčího útoku.

Hodně těchto věcí se dá automatizovat (kvalitní monitoring existuje), takže by nemusely být příliš náročné na lidskou práci.

Další věc, kterou by digitální kontrarozvědka řešila, by byla likvidace následků úspěšného útoku a vyšetřování, co se vlastně stalo. Protože ono se někdy něco stane, ochránit tenhle stát před cizími rozvědkami nepůjde na sto procent; některé z nich mají tisíckrát větší rozpočet a stokrát více kvalifikovaných lidí než ta naše. Ale když už se něco stane, musí následovat identifikace problému, záplatování systému a co nejpodrobnější průzkum stop, aby bylo jasné, co se stalo.

Nu, a třetí položka, u které váhám, zda by ji měla digitální kontrarozvědka dostat do vínku, je pravomoc odstavit systémy, u kterých zjistila zásadní chybu a jejichž provozovatelé nejsou buď ochotni, nebo schopni je v rozumném čase záplatovat. Spíš si ale myslím, že tu pravomoc potřebuje, nebo aspoň možnost požádat o takové předběžné opatření normální soud ve zrychleném řízení — odhadem do 12 hodin. Jinak by její preventivní práce nemusela mít výsledky, s příslušným lejstrem (nebo e-mailem) by si potrefený úřad mohl taky … vypodložit křeslo. Papírové války jsou to poslední, čím by digitální kontrarozvědka měla ztrácet čas.


No, a nejlepší je, že ono by to nakonec zas tak drahé být nemuselo. Protože toto je služba, která by se dala i prodávat, menším státům jako Litva, Chorvatsko, Malta … které nemají dostatek specialistů k tomu, aby mohly zajistit něco podobného kompletně svými silami, ale zároveň mají dobré vztahy s Českou republikou a nepodezřívají nás ze snahy jim uškodit.

Tak takhle jsem si, přátelé, vysnil kompetentní ochranu našeho IT sektoru před nebezpečím hackingu, a pak jsem se probudil s rukou v no… tebooku.

Protože reálně se do toho nikomu moc investovat nechce, ne v kontinentální Evropě. Potkal jsem Němce, kteří si stěžovali, že jsou podinvestovaní, nemají prý na takové aktivity ani jedno procento peněz, které mají jejich američtí kolegové. (Toto je samozřejmě těžko ověřitelné tvrzení, zde nečekejte odkaz.)

Nevím, co se bude muset stát, abychom si uvědomili, že na zabezpečení IT systémů se šetřit nemá. Nejspíš něco jako digitální Černobyl. Tahle vízová kauza na to podle všeho nestačí.

Píše pan Marian Kechlibar na Kechlibar.net

Autor článku: | Vydáno: | Přečteno: 173 × | Prestiž Q1: 7,26

+10 plus Známkuj článek minus –0

Interní diskuse

Komentáře

Článek má 1 komentářů.

Pravidla pro diskutující

Přidáním komentáře souhlasíte s tím, že budete dodržovat základní pravidla slušné výměny názorů. Vítám jejich střet, ale snažte se je vždy vést v rámci kultivované debaty. Bude-li se někdo chovat jako sprostý nevychovanec, pokud bude urážet ostatní komentující, nebo mi bude zanášet diskusi nevyžádanou reklamou, takové příspěvky nekompromisně zablokuji. Na oplátku slibuji, že kontroverzní příspěvky nebudu editovat, ani mazat. Za deset porušení těchto pravidel budete z diskuse nekompromisně a navždy vyřazeni (včetně IP adresy). PeTaX

Napsat nový komentář
Ja1

Takový spolek tu už máme, je to NÚKIB ale to by museli něco dělat, ne se flákat ke stravě a občas, když jde o prémie, vypustit nějaký fejk např o tom,že Huawei je nebezpečí. Existence backdoorů u našich přátel přímo v procesorech je známá, ale nikdo se s tím nezabývá.

Napsat nový komentář

Zbývá 2048 znaků.

Svobodný svět

Jen svoboda jednotlivce vede ke svobodné společnosti

top