Takových odborníků je bohužel na trhu práce velmi málo, a jejich cena se tak dostává velmi vysoko. Může to být tedy zajímavý obor pro technicky zaměřeného mladého člověka, který uvažuje, kterým směrem směřovat svou kariéru.
Kybernetická válka už zuří
Stejně jako je nutné chránit svůj fyzický majetek, jako je auto nebo dům, tak je třeba řádně zabezpečit i informace a informační prostředky. O útocích na banky nebo bankovní účty jejich klientů už slyšel téměř každý. Stále více se množí i útoky na další oblasti lidské činnosti.
Hackerům se podařilo mimo jiné poškodit zařízení na obohacování uranu pro jadernou elektrárnu (červ Stuxnet) v Iránu a tím zpozdit její spuštění o mnoho měsíců. V minulosti došlo také k ochromení energetické rozvodné sítě na Ukrajině (trojský kůň BlackEnergy) nebo ke krátkému ovládnutí malé přehrady Bowman Avenue v USA. Zajímavé je, že podle věrohodných zdrojů stály za těmito útoky velmi dobře organizované skupiny pravděpodobně s podporou vládních institucí (USA, Izrael, Rusko, Čína, KLDR, Irán). Hackera už si nelze představovat jako samotáře, který po nocích pro své potěšení útočí na různé cíle a hřeje ho pak dobrý pocit z toho, co vše dokázal.
Marek Beránek, ředitel Unicorn College
„Význam kybernetické bezpečnosti vnímáme velmi výrazně a je to jedna z oblastí, které se při výuce aktivně věnujeme. Naší výhodou je, že nepřednášíme teoretické znalosti. Studentům přinášíme aktuální zkušenosti z praxe, prezentované bezpečnostními specialisty mateřské společnosti Unicorn.“
Kybernetická válka již není otázkou budoucnosti, ale je to každodenní realita. Tuto válku vedou nejrůznější vysoce sofistikované a bohatě finančně zajištěné skupiny nejlepších profesionálů v zájmu zemí, národů, politických a zájmových uskupení nebo náboženství. V poslední době si připomeňme například spekulace kolem ovlivnění prezidentských voleb v USA, kdy se hackeři dostali k e-mailovým zprávám demokratické kandidátky, nebo velmi podobný příklad z ČR na Ministerstvu zahraničí.
Motiv? Finance.
Při vnímání hrozeb nelze opomenout asi nejzákladnější motiv ze všech, a to finanční zisk. Nejrůznější pokusy o finanční podvody nebo využití ransomware (vir, který vám kompletně zašifruje disk a odšifrovat ho můžete jen po zaplacení určené částky autorovi viru) jsou stále velmi časté. Hackeři (i když to není zcela přesný výraz pro nejrůznější typy útočníků) můžou ale získat peníze za prodej svého viru někomu dalšímu nebo si nechají zaplatit za útok na nějaký vybraný cíl.
Chcete na čas vyřadit z provozu e-shop své konkurence? Útočník vám za pár desítek, maximálně stovek dolarů, připraví několikahodinový útok, který pomocí mnoha zavirovaných a ovládaných zařízení v internetu (tzv. botnet) zahltí servery konkurence (distribuované odepření služeb – Distributed Denial of Servis – DDoS). Potřebujete pro svou marketingovou kampaň kontaktní údaje lidí? Stačí opravdu pár dolarů. A takových možností je nepřeberné množství.
Zneužití kamer, vyřazení brzd
Velmi zajímavou oblastí, na kterou se útočníci i bezpečnostní specialisté v poslední době zaměřují, je internet věcí (Internet of Things – IoT). Stále více předmětů denní potřeby je připojeno k internetu. Tiskárny, lednice, hodinky, kamery, dopravní prostředky a mnoho dalších. Bez nadsázky lze říct, že jakékoli zařízení, které je připojené k internetu, je zneužitelné. A právě s ohledem na obrovské množství věcí, jejich nepřeberné druhy a způsob využití, rychlost jejich vývoje a tlaku na co nejnižší cenu, se rapidně zvyšuje riziko, že budou zneužity. Málokdo z výrobců má totiž chuť, čas a finance pro důsledné zabezpečení svých produktů. Z těchto zařízení se dají získat zajímavé údaje o jejich uživatelích (video, údaje o poloze, oblíbených činnostech nebo předmětech, osobní údaje). Dají se také využít pro další možné útoky na jiná zařízení, útočníci je můžou využít pro svůj přímý zisk nebo se zkrátka pouze pobavit. Zneužití zabudovaných kamer v televizích je již velmi dobře zmapováno. Bezpečnostní kamery lze zneužít nejen pro získání nahrávaných záznamů, ale díky často slabému zabezpečení je lze využít i pro další útoky na další zařízení v internetu (DDoS).
Protože k internetu jsou již připojena i auta, pozornosti hackerů neunikla ani ta. Chtěli byste jezdit autem, kde někdo vzdáleně může nejen odemknout a ovládat klimatizaci, ale vyřadit vám posilovač řízení, automatickou převodovku nebo brzdy? Možná jste v něm už opravdu jeli a ani to nevíte. A to vše díky například špatně nebo vůbec zabezpečenému „chytrému autorádiu“.
Martin Havelka, ředitel společnosti Vigour
„Nedostatek specialistů na kybernetickou bezpečnost je na českém IT trhu viditelný již několik let. Výchova takového člověka trvá roky a jde o výraznou investici. Přesto se nám opakovaně osvědčuje hledat v týmu talentované a novým znalostem otevřené lidi, dlouhodobě se jim věnovat a zkušené specialisty z nich vychovat.“
Dalším příkladem je v běžném prodeji dostupná inzulínová pumpa, kterou lze ovládat z chytrého mobilního telefonu pomocí Bluetooth. Na první pohled lákavá představa, kdy máte aplikaci, pomocí které si můžete diskrétně dávkovat inzulin podle vašich potřeb. Otázkou ale je, jak je tato aplikace bezpečná. Na zabezpečení mobilních telefonů se stále spousta uživatelů dívá jako na zbytečnou věc, a přitom se jím dá přímo rozhodovat o zdraví a v krajním případě i smrti.
Legislativa není připravena
S výše uvedenými příklady souvisí otázka legislativního rámce kybernetické bezpečnosti. Současné zákony a předpisy nejsou schopné postihnout chování v kybernetickém prostoru. Máme již autonomní vozidla, která poměrně zdárně umějí sama řídit bez zásahu člověka, ale nemáme vyřešenu zodpovědnost za takové vozidlo v případě nehody. Je zodpovědný ten, kdo sedí na místě řidiče? Ten kdo vozidlo vyrobil? Nebo programátor, který software v autě naprogramoval? A pokud ho někdo naprogramuje, jaký bude algoritmus pro chování v krizové situaci? Bude mít prioritu posádka nebo ostatní lidé v okolí? Podle jakého klíče? To jsou otázky, které budeme muset co nejrychleji vyřešit.
O autorovi: Libor Šup
Autor textu Libor Šup je absolventem oboru Informatika na České zemědělské univerzitě v Praze, kde dlouho také působil v roli vedoucího odboru bezpečnosti se specializací na informační bezpečnost, systémy řízení informační bezpečnosti a kamerové systémy. V současné době působí ve společnosti Unicorn College na pozici bezpečnostního konzultanta, hlavně pro oblasti procesní bezpečnosti a auditu (ISO27001, ZoKB, GDPR a NIS).
Skutečnost, že zákony jsou velmi pozadu za vývojem informačních technologií, si už naštěstí uvědomují i tvůrci legislativy jak v ČR, tak i v EU. Za všechny určitě stojí za zmínku například český zákon o kybernetické bezpečnosti nebo velmi podobná směrnice, kterou připravila v loňském roce Evropská unie (Directive of security of network and information systems – NIS). Tu musí jednotlivé státy EU implementovat do své legislativy nejpozději v květnu 2018. Zároveň s ní začne platit i nové nařízení o ochraně osobních údajů (General Data Protection Regulation – GDPR), které bude přímo platné pro všechny členské státy EU a v ČR nahradí současný zákon na ochranu osobních údajů.
I když je to zatím jen začátek dlouhého procesu, očekává se, že v rámci EU bude chybět několik desítek tisíc bezpečnostních specialistů, které bude nutné vychovat.
Text: Libor Šup
