Česká republika se snaží zajistit bezpečí na síti, používá k tomu ale postupy a prostředky, které nedostatečně chrání skutečně důležité systémy. Navíc se přitom státní orgány pokoušejí prosazovat legislativu umožňující sledovat občany a narušovat jejich soukromí. Co by tedy stát měl vlastně chránit a jak by to měl správně dělat?
Problematika počítačové bezpečnosti kritických systémů státu je pro veřejnost těžce pochopitelná. Všechno kolem ní je utajované, státní zaměstnanci ani externí konzultanti nesmějí vynášet žádné konkrétní informace. Veřejnost je odkázána na různé odborníky, jejichž znalosti si ale těžko může ověřit. Pokud se už v médiích něco probírá, jedná se zpravidla o účelově zveřejněné informace. Bohužel v této oblasti nefunguje logika selského rozumu – čím důležitější systém, tím lepší by mělo být jeho zabezpečení. Naopak, díky důkladnému utajování je leckdy u důležitých systémů možné nalézt nedostatky, které by z běžných sítí byly dávno odstraněny. Reakcí na objevení závažných problémů jsou bohužel leckdy i snahy omezit testování. Technická kompetence v oblasti informační bezpečnosti je na kritických místech vzácná a různými reorganizacemi nezřídka dochází k vytváření celků zcela závislých na externích službách. Slovo „bezpečnost“ se používá spíše ve smyslu prevence situací, kdy selže některé ze zařízení v důsledku výrobní chyby nebo nečekané události, nikoli ve smyslu ochrany před situací, kdy útočník ovládne zařízení s cílem způsobit co největší škody.
Tlačítko na vypnutí internetu
S ministerstvem obrany nelze než souhlasit, když tvrdí, že stav zabezpečení nejen státních organizací je zoufalý. Počítačová bezpečnost je u nás opravdu nedostatečná, ne-li katastrofální. Některé systémy mají problémy už jen s vlastním provozem, bez zásahů hackerů. Je pravda, že v některých oblastech statní správy došlo k prozření a jsou patrné i snahy o nápravu. Ty jsou ale nedostatečné – takto by trvalo roky, ne-li desítky let, než bychom dosáhli stavu, který by bylo možné považovat za přijatelný. Dalo by se říct, že se státu v předchozích desítkách let povedlo vybudovat velice solidní rezervu bezpečnostních problémů.
Jedno z největších nebezpečí pak představuje fakt, že špatná bezpečnostní situace umožňuje prosadit do zákonů paragrafy, které by za normálních okolností prošly jen stěží. Typickým příkladem jednookého mezi slepými je zákon o kybernetické bezpečnosti. Kromě množství rozumných věcí, které zavádí, se do něj povedlo propašovat i „tlačítko na vypnutí internetu“. V případě „kybernetického ohrožení“ tak zákon státu umožňuje nařídit poskytovatelům internetu vypnutí jejich systémů. To dává smysl při útoku na kritické systémy ze zahraničí, bohužel to ale postihuje i všechny obyčejné uživatele. Navíc rozdíl mezi stavem „klidu“ a „ohrožení“ může být ve světě internetu otázkou zlomku vteřiny. Jako mnohem pravděpodobnější důvod k odstavení internetu se tedy jeví případné sociální nepokoje.
Pouhá metadata?
Ještě závažnější nedostatky má zákon o vojenském zpravodajství. Argumentace ministerstva je neudržitelná: pokud je skutečně cílem ochrana zranitelných státních systémů, nechť jsou instalovány monitorovací sondy do kritických systémů – a nikoli do těch, které vyjmenovává současný zákon o kybernetické bezpečnosti. Není třeba permanentně sledovat všechny občany.
Jedním z argumentů navrhovatelů zákona je fráze, že se jedná „pouze“ o metadata, tedy informace o tom, kdo, kdy, s kým a jak moc komunikoval, a nikoli o samotný obsah komunikace. Nevyřčeno už ale zůstává, kolik a jakých informací lze vlastně z metadat extrahovat. Nejde jen o to, jak často a na jaké stránce hledá nějaký uživatel své oblíbené porno, jde třeba i o informaci, zda se některý politik připojil na chatovací server v době, kdy jediným, s kým mohl komunikovat (protože preventivně sledujeme všechny), byl určitý novinář. I to je možné zjistit z „pouhých“ metadat.
Samo ministerstvo obrany se chlubilo, že na tvorbě zákona o vojenském zpravodajství spolupracovalo s britskou rozvědkou Vládního komunikačního ústředí (GCHQ), která dle informací vynesených Edwardem Snowdenem monitoruje a do jisté míry i uchovává kompletní internetovou komunikaci na britských ostrovech. Kromě obavy z legislativy je tedy namístě i obava z toho, jaký by byl skutečný rozsah sbíraných informací. Důvěru nebudí ani taktický postup ministerstva, které do zákona zanáší jeho omezení, až když neprojde. Systémy, které seriózně řeší bezpečnost informací, jsou přitom založeny na vymezení přístupu tajných služeb pouze k nezbytně nutnému, nikoli k maximálně možnému. Pokud by došlo k instalaci stejných zařízení pod stejnou správou do všech systémů, znamenalo by to totiž snížení zabezpečení. Nalezení chyby v jednom zařízení by ohrozilo celou bezpečnost. Mimoto je naivní představa, že právě naše vojenské zpravodajství nikdy nebude mít svého Snowdena (nebo spíše Jeffreyho Delisleho), který vynese interní informace.
Skutečným smyslem zákona jsou podle mého názoru zejména deanonymizační a útočné postupy namířené zejména vůči místnímu obyvatelstvu. Vojáky přitahuje například možnost jednoduchého prolamovaní anonymizačních sítí typu TOR a také možnost aktivně manipulovat libovolné datové spojení. Sama o sobě je země s deseti miliony obyvatel z globálního hlediska nezajímavá, pokud v ní však dochází k výměně informací s jinými zeměmi NATO, celková efektivita systému se výrazně zvyšuje. Diskusi na toto téma se ministerstvo bohužel vyhýbá.
Co nefunguje
Zákon o vojenské rozvědce se sice zatím podařilo zastavit, ale je to pouze dočasný úspěch, nikoli řešení. V první řadě je potřeba si ujasnit, co má vlastně stát ochraňovat. Osobně jsem zastáncem striktní ochrany systémů vlastněných státem a státními firmami. Právě tato ochrana v současnosti bohužel selhává. Bezpečnostní složky skutečně potřebují zvýšení pravomocí, ale nad odnožemi vlastního aparátu, nikoli nad obyvatelstvem. Současná praxe využívání dodavatelských firem a outsorceování i u nejkritičtějších systémů produkuje množství bezpečnostní rizik a v mnoha případech by zasloužila přehodnotit. Také by pomohla citlivější kategorizace důležitosti systémů – například bez elektřiny by v Česku delší dobu nefungoval prakticky žádný kritický systém. Systémy, které jsou nutné k provozu elektrické sítě, by si proto zasloužily vlastní kategorii, s výrazně přísnějšími podmínkami. Za zvážení by stála i myšlenka znovuzavedení ministerstva informatiky. Požadavky na sdílení dat mezi různými částmi státní správy stále rostou a mít organizaci, která má celkový přehled a může propojování koordinovat, by se vyplatilo, a to i z hlediska bezpečnosti.
Jako nefunkční se ukazují pokusy o zařazení špičkových expertů do systému tabulkových platů. Přitom nelze argumentovat nedostatkem peněz – pár stovek milionů na takové „veledílo“, jakým je systém CRAB (Centrální registr administrativních budov), se přece našlo a došlo i na nákupy různých licencí na software s pochybnou upotřebitelností. Za zvážení by stála myšlenka zavedení funkce bezpečnostního architekta s osobní odpovědností, podobně jako to funguje při stavbě budov. Bohužel k tomu ale asi bude zapotřebí několika katastrof.
Spousta lidí se spoléhá na to, že všechno opravdu důležité je fyzicky odděleno. Situace, kdy je obsluha přesvědčena, že systém je skutečně izolován, a až technické otestování zjistí, že prostupy nejsou zcela nemožné, se bohužel opakují. Přitom odborník s technickými zkušenostmi by mohl velké části problémů zamezit už v zárodku při vytváření systémů. Z desetileté praxe jsem nenabyl dojmu, že by na tom soukromé společnosti byly, co se týče bezpečnosti, nějak výrazně lépe, jak se traduje v některých kruzích. Stát má nicméně dostatečné finanční, technické a částečně i lidské zdroje k napravení situace. I když je průměrná bezpečnost špatná, dají se najít organizace, které by mohly jít příkladem. Je však co dohánět. Stát by přitom měl být přísnější k vlastním institucím a méně omezovat práva občanů.
Autor je konzultant informační bezpečnosti.