Kyberatašé: Je potřeba zametat elektronickou stopu

25.09. 05:20 | Autor: David Jareš

Válka v kyberprostoru má mnoho podob - od dezinformačních kampaní přes pokus vypnout protivníkovi elektrárnu až po infiltraci jeho zbraňových systémů. Stejně jako státy jsou na internetu ohroženi i běžní uživatelé. Dodržovat digitální hygienu doporučuje Daniel Bagge, expert na kybernetickou bezpečnost a "kyberatašé" na české ambasádě v USA.

Zneužití informací na sociálních sítích, krádeže dat... Kybernetická bezpečnost se skloňuje každý den. Jak jsou vlastně ohroženi běžní uživatelé internetu? Nestraší je pouze média?

Riziko je samozřejmě individuální, ale pozor si musí dávat i člověk, který není exponovaný v politice, byznysu nebo v bezpečnostní oblasti a nezajímají se o něho například zpravodajské služby cizích zemí. Stačí špatně chráněný počítač proti škodlivému softwaru a po kliknutí na nějaký hromadně rozesílaný soubor skončí se zašifrovanými daty. Kriminální entity rozesílají e-maily s ransomwarem (škodlivým programem, pozn. red.) a potom jen vymáhají peníze od napadených osob či institucí. Pokud člověk nechce přijít třeba o fotografie dětí nebo ty ze svatby, pravděpodobně bude muset zaplatit výpalné, abyste dostal dešifrovací klíč.

Kolik to stojí?

Většinou se platí v bitcoinech a vyjde to na stovky až tisíce korun. Bohužel se v poslední době objevují i útoky na konkrétní subjekty a pachatelé se snaží cíleně "nakazit" třeba městské nebo státní instituce, úřady, nemocnice, lékařské ordinace nebo elektrárny.

Jak je možné ohrozit třeba pacienta v nemocnici? Může se pachatel nabourat do systému a místo léku na vysoký tlak předepsat třeba látku s opačným účinkem?

To je jeden z extrémních scénářů, ale nevyvolávejme paniku. Útoky na nemocnice známe ze Spojených států nebo ze Singapuru, kde zablokovaly lékařskou dokumentaci. K napadení ransomwarem však došlo i v České republice. Také lékařská dokumentace je zboží, s nímž lze obchodovat. Na internetu se s podobnými informacemi obchoduje běžně a zdravotní nebo finanční záznamy jsou ty nejcennější.

Co tedy dělat pro to, aby mi někdo nezablokoval video ze svatby nebo neposlal do světa informace o mém zdraví?

Dodržovat digitální hygienu: používat silná hesla, neopakovat je a mít na každou službu jiné. Pracovat jen s důvěryhodnými aplikacemi, neklikat na neznámé odkazy v e-mailech či na podezřelých webových stránkách, pokud možno neotvírat přílohy od neznámých odesílatelů a v hromadných e-mailech. A mít se na pozoru před některými značkami elektroniky, které mohou být napadeny už v okamžiku nákupu.

Takže se může stát, že přijdu do obchodu a koupím si nový mobil, v němž už je škodlivý software?

Může. Je to plošná snaha dostat se do domácností a tahat z nich informace nebo "napíchnout" významnou osobnost či instituci. Ať už je to kriminální čin, obchodní zájem získávat spotřebitelská data, nebo úsilí nějaké bezpečnostní složky dostat se k informacím. Nemusí to být jen mobil, ale třeba i televize. Připojení televize na internet je už standard a lidé jsou líní, takže ji chtějí ovládat hlasem nebo pohybem, proto jsou tam kamery a mikrofony. Řekněme, že výrobce má propojení na nějaké subjekty, ať už státní, nebo kriminální - někdy se to těžko odděluje -, kterým informace od všech televizí bez třídění předává. Nebo někdo zkrátka zjistí, že konkrétní kus televize skončí v ministerské zasedačce nebo ložnici premiéra, takže ji využijí jako špiona.

To je Orwellův Velký bratr jako vystřižený. Nemusím se bát vlastní policie?

Nemám mandát tohle úplně komentovat, ale chápu otázku. Záleží na tom, co občané svému státu dovolí a co o sobě dokážou sdílet. Podívejte se, kolik toho na sebe sami práskneme na sociálních sítích. Česká policie se však pohybuje v zákonných mantinelech a ty masové sledování občanů jako v románu 1984 nedovolují. To ovšem není případ jiných státních celků a jejich bezpečnostních složek.

Velké téma je například aféra kolem firmy Cambridge Analytica, která využívala data o uživatelích Facebooku k ovlivňování voleb. Nedělá se ale v tomto případě příliš velký problém z banálních věcí?

Vůbec bych to nepodceňoval. I když nebudeme mluvit o přímém ovlivňování, kvůli kampani je pro politické štáby důležité vědět, jak se voliči chovají, jaké mají preference, a jak se tedy podbízet. Sociální sítě máte zdánlivě zadarmo, ale ve skutečnosti platíte informacemi o svém spotřebitelském chování. Jste cíl. Mají váš psychologický profil tak podrobný, že by vám z toho mělo být úzko. Znají vás lépe než vy sám. Chcete, aby nějaká společnost znala vaše nejvnitřnější touhy a nemohl jste s tím nic dělat?

Z toho, že se občas připojím na Facebook, olajkuji kamarádovi fotografii štiky a přečtu si pár článků, se udělá tak přesný profil?

Měří se věci, které si ani neuvědomujete, každé vaše hnutí. Nejde jen o to, že na sebe vědomě řeknete, kde jste se narodil, kde bydlíte a pracujete, to je to nejmenší. Informací je však i to, jak dlouho jste někde nechal kurzor, jak dlouho které stránky čtete, kdy a co sdílíte, jaká sledujete videa, komu co přeposíláte. Co máte otevřeno paralelně, co děláte, kdy se připojujete, jaké služby používáte...

Vždyť tvrdí, že používají anonymizovaná data a nelze z toho vyčíst, že jde o mě.

Jak to můžete vědět? Ve Spojených státech nyní řeší skandál, že nadnárodní korporace poskytující služby vyhledávání a cílené reklamy sice umožňovala vypnout vaši lokalizaci, ale ve skutečnosti nadále - i bez vašeho vědomí - sledovala, kde se pohybujete. A pak jsou zde firmy takzvaných datových integrátorů, jejichž předmětem činnosti je prostý sběr dat a jejich "zprocesování" do datových balíčků - například nákupní zvyky žen mezi pětadvaceti a pětatřiceti lety. Představte si to množství informací...

Když půjdeme z Pražského hradu na Václavské náměstí, každý náš krok zřejmě zaznamená kamera, přesná data o našem pohybu lze vyčíst i z mobilu. Je možné technologiím utéct?

Lze se samozřejmě skrýt, ale musíte razantně změnit způsob života, abyste nezanechával elektronickou stopu. A to většina lidí z pohodlnosti neudělá.

Ale i kdybych chtěl - bez účtu, mobilu a elektronické adresy dnes přece nedostanu ani práci.

Pokud chcete normálně fungovat, jste pod jistým společenským a technologickým diktátem, který musíte vyvážit svým chováním. Užívání mobilu a bankovního účtu ještě neznamená, že vás někdo sleduje, nicméně jsou to prostředky, kde zanecháváte stopy svého jednání a otisky svého profilu.

Dá se říct, že z kyberprostoru se stává další regulérní bitevní pole?

To už se dávno děje. Na bezpečnostní úrovni se to řeší, ale na politické se to ještě nedaří vysvětlovat. Narážíme také trochu na bariéru u běžných občanů - je to pro ně příliš abstraktní. Hrozby v kyberprostoru nejsou hmatatelné, špatně se popisují.

Daniel Bagge (33)

Vystudoval politologii a mezinárodní vztahy na Fakultě sociálních věd Univerzity Karlovy, bezpečnostní studia na vojenské univerzitě bundeswehru / George C. Marshall Center v Německu, absolvoval studijní pobyty v USA, Izraeli a Německu a kurzy NATO. Do Národního centra kybernetické bezpečnosti nastoupil v roce 2013, v rámci Národního úřadu pro kybernetickou a informační bezpečnost působil jako ředitel odboru kybernetických bezpečnostních politik. Od 1. srpna 2018 zastupuje Česko na ambasádě ve Washingtonu v USA jako "kyberatašé".

Foto: pixabay.com/TheDigitalWay

Autor: David Jareš