Jaké je ponaučení z kybernetických útoků?

Kybernetické útoky z minulého týdne určitě byly účinným "budíčkem" pro provozovatele napadených systémů. Ale i širší veřejnost by si měla uvědomit, o čem vlastně je kybernetická bezpečnost.

Minulý týden přinesl na tuzemské poměry nebývale intenzivní, a také dobře cílené kybernetické útoky typu DDoS (nebo možná jen DoS). Nejprve na zpravodajské servery, pak na Seznam, banky, mobilní operátory a některé další subjekty a jejich systémy. Někdo - zatím nevíme kdo - se asi chtěl předvést, či jen uspokojit své ego. A to na něčem, co je dostatečně viditelné a srozumitelné pro širší veřejnost, ale zase ne až tak těžké, aby to vyžadovalo erudici skutečného hackera. Však také vše skončilo krátce nato, co si útoků konečně všimla masová média a náležitě je rozmázla na svých titulních stránkách, či hned v úvodu svého zpravodajství.

Budeme si asi muset zvykat, že pokusů o takovéto exhibice bude přibývat. Nejen proto, že lidí toužících po zviditelnění je habaděj, ale spíše proto, že takovéto útoky dnes mohou být komoditou. Tedy něčím, co lze z velké části zautomatizovat a co si můžete pořídít i na objednávku. Někomu zaplatíte, a on už se postará o vše potřebné. Stačí jen mít dost peněz (zase ne až tak moc), a umět ukázat prstem na toho, jehož servery mají být přetíženy a tím vyřazeny ze svého normálního fungování.

Jenže vše má i příslovečnou druhou stranu mince. Protože stejně tak se všichni - provozovatelé nejrůznějších serverů i koncoví uživatelé - musíme naučit alespoň ta nejzákladnější pravidla kybernetické bezpečnosti, a také je v praxi dodržovat. Což mimo jiné předpokládá i pochopení toho, o čem by vlastně kybernetická bezpečnost měl být a jak by měla fungovat.

Právě minulý týden přitom přinesl řadu příkladů nepochopení toho, jak by kybernetická bezpečnost měla fungovat. Včetně strachu z připravovaného zákona o kybernetické bezpečnosti a naivní představy, že si tyto útoky snad mělo objednat samo NBÚ, aby snáze prosadilo své nové kompetence a svůj nový zákon. Ne, tak tomu opravdu není.

NBÚ při přípravě nového zákona o kybernetické bezpečnosti naštěstí hraje s otevřenými kartami, a díky tomu je zainteresovaná komunita (včetně mé maličkosti) dostatečně informována o tom, co a jak chce zákon řešit, a může to i oponovat. A žádné šmírování, resp. monitorování činnosti uživatelů - jak se o tom minulý týden mnohde také psalo - tam opravdu není.

Stejně tak je ale nesprávná celková představa o fungování kybernetické bezpečnosti, tak jak ji mnohá média začala minulý týden vykreslovat. To když naopak začala vinit NBÚ, nové Národní centrum kybernetické bezpečnosti i národní CSIRT z nečinnosti, zbytečnosti a především z toho, že útokům nedokázali zabránit. Jejich úkolem ale opravdu není chodit za někým (třeba za provozovatelem nějakého serveru, sítě či služby) a dělat jeho práci, neboli starat se o jeho technologie a jejich zabezpečení. Či mu snad dokonce koupit (za státní peníze) potřebné vybavení, a to i nainstalovat, nastavit, zprovoznit a ještě průběžně udržovat. To opravdu ne.

Starost o zabezpečení vlastních systémů může a musí být jen na jejich vlastnících a provozovatelích. Z nich odpovědnost nikdo nesejme, ani zákon o kybernetické bezpečnosti. Oni sami si musí budovat své vlastní týmy přes bezpečnost (označované také jako CERT/CSIRT), které jako jediné budou moci zasahovat do nastavení a fungování jejich systémů - a také předcházet či čelit nejrůznějším formám útoků.

Všechny ostatních CERT/CSIRT týmy pak jsou již jen jakousi nadstavbou nad těmito "výkonnými" týmy u jednotlivých vlastníků a provozovatelů. Nadstavbou, která má především koordinační roli: měla by na jedné straně sbírat a vyhodnocovat, a na druhé straně cíleně předávat dál informace o tom, co se kde děje, a kde a jak je třeba zasáhnout. Ne přímo zasahovat, protože to skutečně přísluší až tomu, komu samotné systémy patří, kdo je má z tohoto titulu "pod palcem" a měl by se starat o jejich zabezpečení. Což jsou ony "výkonné" CERT/CSIRT týmy přímo u vlastníků a provozovatelů.

No a jaká že je role zákona o kybernetické bezpečnosti? Obecně dát této představě určité "formální posvěcení" a vytvořit podmínky pro její co nejefektivnější fungování. Ale jak konkrétně, v tom se trochu liší u nás vznikající návrh zákona o kybernetické bezpečnosti a nedávno představená evropská směrnice ke kybernetické bezpečnosti. Ta v zásadě říká, že vyšší patra celé nadstavby mají (kromě šíření informací a koordinace aktivit) především "nastavit laťku". Tedy stanovit určitou míru zabezpečení, kterou by konkrétní sítě a další systémy měly splňovat, a pak také dohlížet na to, aby tomu tak skutečně bylo (skrze bezpečnostní audity a právo kontroly). Náš návrh zákona jde v tomto ohledu, alespoň na první pohled, trochu jinou cestou, když počítá s možností ukládat určitá opatření v oblasti bezpečnosti. Jenže na druhý pohled už to zase tak rozdílné být nemusí - protože ona ukládaná opatření nutně musí mít podobu požadavku na to, aby si příslušný systém zajistil takovou a takovou míru svého zabezpečení.

Takže možná nejvýraznější rozdíl mezi naším vznikajícím zákonem o kybernetické bezpečnosti a (zatím jen navrhovanou) evropskou směrnicí o kybernetické bezpečnosti je jejich "cílová skupina": zatímco u nás se zákon zaměřuje zejména na telekomunikace a veřejný sektor, evropská direktiva tolik nerozlišuje mezi privátním a veřejným sektorem a spíše se ohlíží potom, jak je ta která síť či služba důležitá. Do své "cílové skupiny" pak zahrnuje i takové poskytovatele resp. jejich služby, na jejichž fungování závisí chod dalších služeb. Tedy třeba platební systémy, rezervační systémy, cloudové služby apod. Naopak pro náš vznikající zákon o kybernetické bezpečnosti jsou takovéto služby - obecně všechny z kategorie služeb informační společnost, spadající pod zákon č. 488/2004 Sb. - v podstatě tabu. Což osobně nepovažuji za správné.

Nicméně: ani sebelepší zákon o kybernetické bezpečnosti sám o sobě nic nezajistí. To dokáží jen lidé, kteří se chovají zodpovědně a starají se o to, o co by se starat měli. Nehledě na to, že než u nás nový zákon o kybernetické bezpečnosti nabude účinnosti, ať již v aktuálně navrhované podobě či podobě vycházející více z evropské směrnice, uplyne ještě hodně dlouhá doba (aktuálně je účinnost plánována na počátek roku 2015). Ale potřeba chovat se zodpovědně a pamatovat na vlastní ochranu a zabezpečení je více než aktuální již dnes. Protože druhá strana barikády na nic nečeká.