Zařízení jako PC, notebooky či tablety, které mají procesor Intel Core i5, Core i7 nebo Core M ve verzi vPro, mají vlastnosti, umožňující dálkovou správu. Oč jde, je popsáno v článku Vyzkoušejte a nasaďte zdarma Intel Core vPro.
Technologie Intel vPro má tedy vestavěné možnosti správy na hardwarové úrovni a umožňuje i vzdálené přesměrování kompletního OS a systémové konzole GUI – přesměrování KVM (klávesnice, video, myš) bez podpory ze strany OS a aplikací, včetně přesměrování systémové konzole GUI na KVM u poškozeného (nebootovatelného) zařízení nebo s nepřítomným OS.
Pomocí technologie Intel vPro lze navíc přistoupit k novým diskům Intel SSD řady 2500 a vymazat vzdáleně jejich obsah. Součástí některých 3G modemů ve výrobcích firem jako Dell, Fujitsu, HP a Lenovo může být (ne vždy) GPS, která umožní počítač lokalizovat. Přitom všechna potřebná data mají být údajně uložena ve speciálním paměťovém čipu, který je velmi složité prolomit či zkopírovat.
Na to konto se objevily komentáře, které před touto možností varují a tvrdí, že tyto nástroje mohou být využity ke sledování uživatelů a zásahům do jejich soukromí či dokonce k průniku k datům v počítači se nacházejících. Jiné přímo označují Intel vPro dílem ďáblovým a dokládají to odkazy na zahraniční články, nutno ovšem říci, s problematikou příliš nesouvisející.
Podívejme se na problém ze dvou stran: bezpečnostní a právní.
Otázka první – vzdálená správa je vždy bezpečnostním rizikem, protože jsme více méně vydáni všanc tomu, kdo správu provádí. Můžeme ale ovlivnit řadu výchozích podmínek – zda to vůbec půjde, kdo to bude dělat a k jakým datům se dostane. Lze-li věřit popisu v článku Snadná a rychlá aktivace technologie Intel vPro, pak technologii vzdálené správy Intel vPro je třeba vědomě aktivovat. Je to tvrzení výrobce a nemohl jsem si jeho pravdivost ověřit. Jinými slovy – pokud bych si pořídil či byl mi zaměstnavatelem přidělen nový stroj, asi bych se měl zajímat o to, zda je vPro k dispozici a zda je aktivováno.
Druhou otázkou je, jaká data v takovém dálkově zpřístupnitelném stroji se budou nacházet a jak budou chráněna před neoprávněným přístupem. Předpokladem nejen pro stroje s možností vzdálené správy, ale dnes prakticky pro všechny stroje, by mělo být šifrování obsahu, např. BitLockerem nebo podobně účinným způsobem. Myslím, že každý má své důvody pro to, aby svá data chránil – firemní i soukromá.
A třetí otázkou je, kdo by měl vzdálený přístup provádět a proč. Je poměrně logické, že v případě podnikových zařízení bude chtít rozumně uvažující zaměstnavatel, aby nějaký administrátor požívající vysoké důvěry a oprávnění měl možnost řešit problémy uživatelů nacházejících se v podstatě kdekoliv, případně kdykoliv. A to včetně problému spočívajícího ve ztrátě nebo krádeži. K tomu má nejen morální, ale i zákonné právo, neboť je to jeho majetek a on by se měl o něj starat s péčí řádného hospodáře. A tím se dostáváme k pohledu právnímu.
Osobní vs. firemní
Je-li to můj počítač, mám právo na maximální kontrolu nad jeho stavem, čili nikdo bez mého vědomí by neměl mít možnost na něm spustit nějakou funkci, která by mohla vést k porušení mých vlastnických práv, práv na soukromí či jakýchkoliv jiných práv, chráněných zákonem. Zástupci Intelu tvrdí, že tomu tak je, a my jim musíme věřit. Konec konců, celá počítačová branže je postavena na důvěře, která není ve většině případů dokazatelná. Nikdo z nás neanalyzoval kód Windows, nezkoumal obvody a součástky v síťových prvcích např. od Huawei atd., ale přitom s nimi pracujeme a moc o tom nepřemýšlíme. A i kdybychom přemýšleli, nepomůže nám to.
V případě firemního počítače je tomu jinak. Jak jsem již uvedl, zaměstnavatel má právo a současně povinnost se starat o svůj majetek, a tím není jen hardware a software, ale i data v zařízení se nacházející. Data na firemním zařízení nepatří zaměstnanci, ale firmě, která je také zodpovědná za bezpečnostní politiku, tedy za způsob jeho užívání. Má tedy i právo sledovat, co se se zařízením děje a rozhodnout např. o jeho deaktivaci na dálku v případě podezření na protiprávní činnost kohokoliv. Nesmí ovšem překročit určité hranice. Podle mého názoru je třeba, aby uživatel byl předem a prokazatelně seznámen s tím, že zařízení je vybaveno nějakými speciálními funkcemi, které umožňují vzdálenou správu a/nebo sledování polohy. Je pak na něm, aby se podle toho zařídil. Pokud bude zaměstnanec ukládat na firemní zařízení svá soukromá data, pak je otázkou, zda tak činí v souladu s bezpečnostní politikou, pracovním řádem a dalšími směrnicemi zaměstnavatele, a v každém případě musí počítat přinejmenším s možností, že o ta data přijde. Zaměstnavatel ovšem v případě, že se k takovým datům dostane, musí šetřit soukromí zaměstnance; není tedy možné, aby s těmito daty jakýmkoliv způsobem nakládal (s výjimkou zákonné oznamovací povinnosti v případě podezření na spáchání trestného činu). Ale to už je zcela jiná problematika.
Východisko z dilema
Co tedy říci závěrem: procesory Intel vybavené technologií vPro nejsou žádným průlomem ani co do možností, které nabízejí, ani co do ochrany soukromí. Vzdálená správa je dnes běžná záležitost, zejména ve firemním prostředí, pouze Intel vPro to činí možná lépe a sofistikovaněji, protože tuto vzdálenou správu posouvá dál tím, že je součástí samotného procesoru. Jen je třeba mít na paměti, že vymazání na dálku funguje jen u disků Intel SSD řady 2500. Možnosti vPro ale mohou podstatně zvýšit úroveň bezpečnostních opatření ve firmě, i když přítomnost GPS přináší jistá rizika pro toho, kdo zařízení má u sebe. Ale za osobou (obvykle druhého) pohlaví, s níž se chcete poveselit, je lépe chodit s lahví vína, než notebookem; věřte autorovi. A při únosu to může být nepochybně plusem.
Autor je univerzitním profesorem, soudním znalcem a nedávno mu vyšla obsáhlá kniha Kybernetická kriminalita.