Bezpečnostní konzultant společnosti ANECT Ivan Svobodazdroj: Archív

ROZHOVOR: Úniky osobních dat lidí se nesmí zatajovat, říká bezpečnostní poradce Ivan Svoboda

Na kybernetický útok, při němž hackeři uloupí osobní data, identity, nic netušících lidí, přijdou ve firmách či veřejných institucích obvykle až po několika měsících. Další měsíce se to před veřejností většinou snaží ututlat. To už musí skončit, přispět by k tomu měla nová evropská legislativa, říká v rozhovoru pro Finanční a ekonomický institut bezpečnostní konzultant společnosti ANECT Ivan Svoboda a zdůrazňuje: náskok útočníků před obránci se zvětšuje.

Jak je možné, že za poslední rok se téměř každý týden provalí nový velký únik osobních údajů?
Útočníci jsou čím dál tím lepší, používají sofistikovanější metody, včetně různých forem sociálního inženýrství. Jejich náskok před obránci se tak bohužel stále zvětšuje. Nedávný hackerský útok na jeden z hlavních amerických úvěrových registrů Equifax znovu ukázal na to, jaký problém je zatajování kybernetických útoků.
Hackeři získali data o 143 milionech klientů této společnosti. Co do objemu uniklých dat se nejedná o největší počet zasažených osob. Nicméně v kombinaci s konkrétními typy údajů a jejich hodnotou patří útok na Equifax mezi ty nejzávažnější. V souvislosti s hodnotou a citlivostí jednotlivých údajů jde sice o celkem běžná data, ovšem v kombinaci s osobními adresami, jmény uživatelů vytvářejí optimální směs pro úspěšné návazné útoky na krádež identity.
U většiny dat ale bohužel v tuto chvíli neexistuje možnost jejich nahrazení, jako existuje například u hesel, bankovních účtů. I z toho důvodu se proto v USA i u nás v ČR již mnoho let diskutuje a doporučuje namísto používání rodných čísel a dalších identifikačních údajů osob využívat tzv. bezvýznamné a resetovatelné údaje. Největší útok byl případ s Yahoo, kde došlo k úniku celkově cca jedné miliardy údajů.  Dělo se to v letech 2013 a 2014. Yahoo se to snažila utajit. Teprve loni případy pod tlakem odtajnila.

Firmy a úřady se bojí, že když přiznají blechu v kožichu, tak přijdou o reputaci a tím i o zákazníky, o úvěry či o občany voliče. Jak dosáhnout toho, aby subjekty zasažené hackery o útocích mluvili?
Ke zveřejnění úniku na Equifax došlo až po několika měsících od jeho detekce. V celém světě se proto zvětšuje tlak na firmy, aby útoky tohoto typu nezatajovaly, ale přiznaly veřejně, což je také jeden z cílů zavedení nového evropského nařízení GDPR (o větší ochraně osobních údajů občanů). Proto se dnes dozvídáme o útocích, které se staly před pár lety, respektive které před mnoha lety zůstaly utajen.

Kdy se na to, že byla firma nebo úřad napaden hackery a data občanů vysáty interně většinou přijde?
Je to jako kdyby vám po domě běhal zloděj, ale tak nenápadně, že vy byste si toho všimli až po pár měsících. Průměrná doba detekce útoku se pohybuje v rozmezí 90 až 200 dnů. Americká zdravotní pojišťovna Anthem, které v minulosti uniklo 80 milionů záznamů, zjistila únik svých dat až po 11 měsících. Zveřejnila to však ihned a zahájila vyšetřování.

Co v tomto kontextu mají dělat české firmy a úřady?
Každý podnik by si měl zprvu zodpovědět otázku, kolik má ve svých systémech vůbec osobních údajů. Z našich dosavadních analýz a datových inventur totiž vyplývá, že většina firem dnes nemá zcela kompletní představu o tom, jaká data a jaký objem jich zpracovává. Vedle toho je pak důležité zjistit, jakou mají tyto osobní údaje hodnotu. Samotná analýza hodnoty těchto dat a souvisejících rizik jejich úniku se přitom zaměřuje nejen na to, jakou cenu mají data pro samotné subjekty údajů, ale také pro potenciální útočníky a v neposlední řadě i pro celou společnost.
V případě zjištění, že celková kombinace vašich dat představuje vysoké riziko úniku, je nutné se zamyslet nad otázkami: Jaká je rychlost detekce úniku dat? Tedy, jak rychle jste schopni zjistit (pokud vůbec), že došlo k nějaké nežádoucí operaci s osobními údaji (například přístup hackera, vniknutí malware, vlastního zaměstnance).
Dále si v organizaci položte otázku, do jaké míry jste připraveni na situaci, že k takovému bezpečnostnímu narušení dojde? To znamená – máte podrobně zpracovaný incident response plán? A víte přesně, kdo v této situaci zareaguje a jakým způsobem?  Veškeré plány je přitom nutné si předem otestovat, zda jsou plně funkční a jsou schopni ochránit váš systém, respektive včas a rychle detekovat případnou hrozbu.

Byly útoky takového typu i na data v Česku v minulosti v takové míře?
Můžeme předpokládat, že podobné útoky probíhaly i v Česku, ale určitě ne v takovém rozsahu jako byl tento.  Podobně zajímavá a objemná data se v českých firmách, naštěstí, nenacházejí. Nicméně pravděpodobně i u nás se budou až se zpožděním objevovat informace o různých únicích dat, k nimž v minulosti došlo. Například kauza Mall.cz, kde se nejspíš jednalo o únik několik let starý. Mimo Mall.cz byl v ČR zveřejněn pouze únik informací z firmy T-Mobile – ten však nebyl způsoben útokem zvenčí, ale vnitřním uživatelem, který měl k osobním údajům přístup.

Trvá u nás také tak dlouho, než se na podobný typ útoku přijde?
Jelikož vypovídající statistiky bohužel nejsou k dispozici, lze opět pouze předpokládat, že situace u nás není o mnoho lepší. To, že se o únicích osobních údajů v České republice nemluví, ještě neznamená, že se tato situace doposud nestala. Navíc, v ČR bohužel dosud není povinností jednotlivých společností hlásit takovéto úniky danému dozorovému úřadu a každý se je z důvodu udržení pozitivní image firmy snaží spíše zatajit.
Z naší praxe víme, že některé největší společnosti (banky, ministerstva) začaly postupně, teprve během posledních let, nasazovat pokročilé systémy zaměřené na detekci podobných kybernetických útoků. A jejich celkové schopnosti reagovat na hrozby tohoto typu se teprve postupně zlepšují. Bohužel, u většiny organizací lze předpokládat, že průměr bude podobný jako ten celosvětový, tj. že detekce útoku bude podobně pomalá.
Koneckonců, to všechno je mimo jiné důvodem, proč se zavádí příslušná legislativa typu GDPR a zákona o kybernetické bezpečnosti, jejichž cílem je postupně dosáhnout změny přístupu všech společností, které zpracovávají důležitá data a poskytují kritické služby pro občany, potažmo stát.

Opravdu jsou rodná čísla přežitek, jak jste naznačil? Je pravda, že pro spolehlivou identifikaci se používá třeba biometrie (otisky prstů, načítání sítnice oka)?
Řešením je také zavedení elektronické identity jakožto samostatné a nezpochybnitelné reprezentace určitého fyzického subjektu, který je s touto identitou spojen pouze prostřednictvím jejího atributu. Pouze tehdy nebude možné zcizením jediného čísla zneužít identifikaci konkrétní fyzické osoby pro komunikaci v elektronickém světě.
Jelikož jde ale o evoluci jednoho z klíčových principů elektronického světa, je právě tato změna oním kamenem úrazu. A ačkoliv jsou technologie pro její realizaci již plně dostupné, její zavedení je otázkou setrvačnosti nastavených procesů a společenské neochoty přijímat zásadní změny. Před zrozením našeho skutečně virtuálního já, které se s námi narodí i zemře, tedy bude k podobným únikům docházet nestále.

Jindřich Kolomazník

Share

Napsat komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *