Rapídny rozmach technológií nás zastihol sčasti nepripravených.
Vo vyspelom svete sa mení chápanie rizík konfliktu medzi krajinami – vojenské hrozby nahrádzajú tie virtuálne. Ako prejsť rýchlejšie od slov ku konkrétnym aktivitám? To presne načrtne, už o necelý týždeň, kongres ITAPA 2019. V Bratislave sa stretne výnimočne „vyskladaný“ tím odborníkov na IT bezpečnosť, vrátane zahraničných expertov.
Predstavte si dve spoločnosti, ktoré pôsobia na trhu dlhé roky, ako rivalov v súboji o získanie čo najväčšieho trhového podielu. A práve ich spolupráca, ktorá je dnes zdanlivo nepredstaviteľná, by mohla u oboch firiem prispieť k vyššej IT bezpečnosti. Na takýto model kooperácie pri využívaní dodávateľských reťazcov kyberbezpečnosti upozorňuje výskum čerstvo publikovaný pod hlavičkou American University z Washingtonu.
Niet pochýb, že sa o bezpečnostných hrozbách v IT čoraz viac celosvetovo diskutuje. Na medzinárodnom kongrese ITAPA 2019 v Bratislave experti vysvetlia, ako hackeri ohrozujú nás i naše dáta a ako sa proti útokom brániť.
Charakter IT sa vyvíja, mení sa aj svet
Technológie rýchlo prenikajú do bežného života, a neprinášajú len výhody. Kybernetické útoky a hybridná vojna predstavujú veľký problém. Štáty dnes totiž nevedia tieto útoky predvídať, nevedia od koho prídu a ani kam budú namierené. „To, čo dnes vidíme na svetovej úrovni, môže mnohých vystrašiť. Kybernetické útoky neprichádzajú len od počítačových maniakov a zločincov, ale aj od politických skupín a štátov – sú silno motivovaní a majú k dispozícii bohaté prostriedky. Kybernetické útoky môžu prísť odvšadiaľ a byť namierené proti hocikomu. Nástroje sa stali zbraňami: každé elektronické zariadenie môže byť zneužité na útok. Stávky sú vysoké, nie je to len o ochrane našich počítačov a údajov v nich, no aj o bezpečnosti celej spoločnosti,“ vysvetľuje Vladimir Radunović z DiploFoundation, ktorý vystúpi 13. novembra 2019 na ITAPA 2019 v rámci témy Kybernetická bezpečnosť – budovanie bezpečného štátu.
„Kedysi vám stačil bystrý zrak a pohľad na policu, aby ste zistili, že vám niekto ukradol šanón. V dobe elektronických dokumentov je však odhalenie ich úniku a prevencia pred ním zložitejšia,“ hovorí Michal Sekula, odborník spoločnosti Atos na bezpečnosť. Informácie sú pritom dnes často tým najcennejším, čo firmy majú. „Základom je, aby si firma stanovila, čo chce chrániť. Preto si musí zodpovedať päť otázok: aké údaje považuje za citlivé, jednak z pohľadu regulácií i svojich potrieb, kde má tieto dáta uložené, kto s nimi manipuluje, čo ich ohrozuje a ako s nimi chce pracovať,“ dodáva M. Sekula, ktorý povie viac v popoludňajšom paneli o kybernetickej bezpečnosti.
Tak, ako si vyžadujú bezpečnostné témy pozornosť súkromného sektora, sú dôležité aj pre štátnu a verejnú správu. A práve o tom bude hovoriť ďalší zo zahraničných expertov, Yosi Aviram z izreaelského Úradu pre kybernetickú bezpečnosť, vo svojom príspevku Komplexný systém ochrany krajiny. Plne si to uvedomuje aj Úrad podpredsedu vlády SR pre investície a informatizáciu (ÚPVII), a preto po dlhšom období zameranom na infraštruktúru a aplikačné projekty sa od roku 2018 intenzívne venuje kybernetickej bezpečnosti. Vytvorila sa nová sekcia kybernetickej bezpečnosti a v súčasnosti sa realizujú projekty ako napríklad národný projekt riadenia incidentov, dopytová výzva kyberbezpečnosti, národný projekt centra simulácie, výskumu a výuky (kyberarény), ale aj projekty v sektoroch daní a ciel a kritickej infraštruktúry.
V tomto kontexte je relevantný aj koncept tzv. etických hackerov. Ide o ľudí alebo programy, ktorých úlohou je napadnúť systém v skúšobnom prostredí a odhaliť tak jeho slabé miesta. Tie sa potom posilnia tak, aby odolali v prípade skutočného útoku. „S etickými hackermi už máme vo verejnej správe dobré skúsenosti, vnímame ich pozitívne,“ hovorí Jan Majtan, generálny riaditeľ sekcie kybernetickej bezpečnosti ÚPVII. Ako dodáva, zámerom je zaviesť motivujúce a korektné pravidlá: tzv. bug bounty program (platenie za nájdené relevantné chyby, odstupňované podľa závažnosti chyby či zraniteľnosti) a korektné oznamovanie nájdených zraniteľností výrobcovi alebo prevádzkovateľovi.
Certifikácia problematická, no nevyhnutná
Proces certifikácie IT výrobkov sa vzťahuje na produkty, ktoré majú potenciál ohroziť bezpečnosť kľúčových systémov štátu, firiem alebo občanov. Aj keď jednotlivé členské štáty majú nastavené podmienky certifikácie individuálne, v odbornej komunite sa diskutuje o zavedení hodnotiacich kritérií na celoeurópskej úrovni. Práve o tomto bude vo svojej prednáške Certifikácia v oblasti kybernetickej bezpečnosti hovoriť aj Radim Polčák z Masarykovej univerzity, a to v rámci témy Ochrana a boj proti kybernetickým hrozbám.