Zhruba před rokem společnost Cisco Systems vydala tiskovou zprávu, že celosvětově bude chybět zhruba milion odborníků na bezpečnost, může se zakládat na pravdě. Kde a jak je najít, a zda je vůbec možné je někde vyšťourat, jsme se ptali Jaroslava Techla, nezávislého odborníka na bezpečnost ICT.
Zmínil jste, že není dostatek odborníků na ICT bezpečnost. Kde a jak je najít?
V České republice nepochybně nepůjde o milion, spíše desítky až stovky lidí, kteří by vše zvládli, ale celosvětově nepochybně ano. To je otázka, kterou řeší v zásadě všichni. Prostě nejsou. Bezpečnost byla z velké části popelkou, proto také nemáme v současnosti tyto odborníky na dostatečné úrovni, kteří by byli schopni celou tuto oblast v celé šíři a zajistit realizaci napříč všemi požadovanými systémy. Ani absolventi na to nejsou vychováváni. Tento proces nastavit a změnit bude trvat několik let. Bohužel se setkávám se skutečností, že často i odborníkům chybějí znalosti, a to i třeba z převodů jednotek v IT používaných. Jednoznačnými příklady jejich neznalosti jsou například kapacity úložných prostor, jaký je rozdíl mezi kapacitou BASE2 a BASE10 nebo jednotkami TB a TiB. Velká část administrátorů ani netuší, o co jde. Přitom jsou to základy. Úroveň vzdělání budoucích odborníků mnohdy postrádá praktická měření a laboratoře a je jen v teoretické rovině. Nejsou připraveni na praxi a nějaké měření nebo laborovaní postrádá systematičnost, anebo nejsou schopni vytvořit srozumitelný záznam o testování. Zcela samostatnou kapitolou je, jak na svěřené systémy nahlížejí. Administrátoři i rozsáhlých a komplexních systémů jsou schopni se k takovýmto soustavám chovat ani jako k domácímu PC. Nějaké zažité postupy chování, jako je testování nebo nasazování funkcí a funkcionalit případně instalace dalších softwaru je, že něco prostě udělají, a následně v případě problémů se už jen diví, že se to nemá, případně nesmí. Trochu mi to připomíná okřídlenou větu, kterou formuloval můj dnes již zesnulý kolega „Postupná aproximace neplatných výsledků“. On ji sice použil v jiném kontextu, kdy se výrobci databázového softwaru na velkém clusterovém systému nedařilo odladění parametrů pro dosažení optimální výkonosti, a proto zapsal do zápisu, že ladění bude probíhat metodou pokus omyl. Oprava zápisu na metodu postupné aproximace neplatných výsledků už prošla bez připomínek, a díky její skladbě si ji každý naopak všimnul. Přistupovat k rozsáhlým instalacím IS, tak že prostě něco udělám anebo změním, je bohužel cesta do pekel, ale mnoho administrátorů se takto opravdu chová. Touto cestou pak mohou vytvořit a mnohdy i vytvoří bezpečnostní díru do systému. V době kdy, jsem začínal, se každé nasazování funkcionality nebo služby plánovalo, testovalo a diskutovalo. Pokud by některý administrátor svévolně zasahoval do systému ostatním, brzy by ho od systému odstřihli. I já jsem ve svých začátcích přišel o login z důvodu blbosti a nikoho nezajímalo, že kvůli tomu budu moci jen doplňovat papír do tiskáren, měnit pásky do systému, nebo vařit ostatním kafe. Takováto výchova k tomu, aby se administrátoři k systémům chovali jinak než ke svému domácímu PC, bohužel dnes není úplně běžná, a je to škoda.
Může to být šance a pobídka středním a vysokým školám?
Zcela určitě, ani na vysokých školách se doposud tento obor nijak zvlášť nevyučoval, nevychovávali odborníky na bezpečnost. Ono to ale ani úplně nejde. Odborníci, kteří jsou schopni zabývat se bezpečností, nemohou mít jen školní znalosti jen z této oblasti. Navíc, na většině škol dnes nejsou laboratorní cvičení podmínkou studia. Nic takového, jako studijní obor bezpečnost, ze něhož vyleze odborník, který bude schopen samostatně a fundovaně pracovat, neexistuje. Musí totiž rozumět jednotlivým částem systému, infrastruktury, a přitom může samozřejmě mít nějaké dílčí informace o tom, jak identifikovat hrozby uvnitř informačních systémů, jaké se používají techniky, analytické postupy. Ale začít analyzovat z čisté vody nějaký informační systém, o kterém nic nevím, takhle to nejde.
A co komerční vzdělávací instituce, jako například počítačová škola Gopas nebo Unicorn College?
Nepochybně ani takové školy nebudou schopny vychovat odborníky na bezpečnost. Jsou schopny jim dát větší nebo menší část základů, naučit je postupy a vést k postupům a způsobu chování. Lidé, kteří se zabývají bezpečností ICT, si prošli různými oblastmi. Každý z nich se následně na něco specializuje a stává se odborníkem pravidla jen na určitou oblast. Pořádná analýza informačního systému, postaveného na SAPu, může trvat půl roku až rok, a odborník, který ji dává dohromady, se neustále seznamuje nejen s kódem, ve kterém byl IS napsán, ale i s procesy a postupy, které se v něm používají. Musí rozumět i technologiím a technikám, jak zabezpečit IS z hlediska datových toků, řešit autorizaci, autentizaci. Bezpečnost prostě není záležitostí jedné disciplíny.
Dnešní bezpečnost v cloudu
Největší výhrady proti cloudu byly zpočátku z hlediska bezpečnosti. Jak vidíte Vy?
Odpověď na bezpečnost v cloudu bych rozdělil do dvou částí. První je smluvní, to znamená, jak dobře jsou vůči uživateli postaveny smlouvy, jak je povinen provozovatel cloudu data chránit a co všechno s nimi smí nebo nesmí dělat, a zda je vůbec smí nebo nesmí někomu předat. Druhou otázkou je fyzické zabezpečení dat, které mnohdy může být na mnohem vyšší úrovni, než jak je tomu u dat leckteré organizace, kde leží za nějakým firewallem. Největší diskutovanou oblastí je, kde mají ti co provozují cloudy, data uložena, pod jakou spadají jurisdikci, zda oni sami vaše data nevytěžují, protože už dnes se ví, že tomu tak mnohdy je, ať už je to pro cílenou reklamu, nebo přímo pro provozovatele, nebo proto, že to po nich chce nějaká organizace, například vládní. Ohledně smluvní bezpečnosti jsem se sám několikrát zúčastnil pokusů o změnu smluv, zejména s americkými společnostmi, a ve většině případů takovéto boje s větrnými mlýny skončily neúspěchem, kdy provozovatel cloudu položil na stůl otázku i odpověď naráz: „Chceš od nás cloudovou službu? Tady máš podmínky, ber nebo neber, tak to je.“ Má to stejnou logiku, jako koupě a používání softwaru. Například s každou instalací softwaru dostáváme smlouvu, kterou jen při počátku instalace odklikneme, a jen velmi málo lidí ví, co v ní je napsáno. To samé je s cloudem. Z pohledu bezpečnosti se cloudy stávají pro svůj objem dat a přistupujících uživatelů zajímavým cílem. Pro bezpečnostní analýzu je tedy spíše otázkou, zda je pro organizaci bezpečnější využít cloud a neinvestovat do interního IT, nebo si je nechat u sebe (on-site, on-premise) a zajistit jejich zabezpečení. Nějaké paušální hodnocení, co je aktuálně bezpečnější, se říci nedá. Za sebe však mohu říci, že mě neuklidňuje, když bankovní domy, případně novinářské organizace ukládají svá data do cloudu, ať už patří Microsoftu, Googlu nebo Applu, protože jsou povinni je chránit, zejména bankovní domy. V České republice totiž existují banky, které šly se svými e-mailovými službami ven a všichni víme, že mailová komunikace jakéhokoliv uživatele je tím nejzajímavějším a zároveň nejjednodušším k ukradení. Nikdo z běžných uživatelů bank pak třeba nemá možnost zjistit, jaká data mají v cloudu a jak jsou chráněna de iure a de facto. Případně jak budou chráněny novinářské zdroje, a zda nedochází k jejich kompromitaci. Nebo jak dobře je nastavena integrace interních systémů a zabezpečení integrace mezi cloud a interními systémy, a zda tato integrace nemůže být kompromitující.
Odcházím od mBank poté, co změnili grafické rozhraní a po přihlášení se na něm zobrazila ikonka Facebooku, který je také v cloudu. To mě trochu vystrašilo.
Nemusí to s (ne)bezpečností jejich portálu souviset, může jít jen o komunikaci prostřednictvím Facebooku. Jak jsem již uvedl, nikdo z nás neví, jak jsou tyto systémy provázány, co do Facebooku poskytují, a jestli vůbec, zda personál ví, co smí a nesmí do tohoto komunikačního kanálu poskytnout za data. To je opět alfa a omega. Stále mnohdy platí jedna věc, že mnohem jednodušší je útok prostřednictvím interního zaměstnance a oprávněného uživatele, než pomocí vzdálené elektroniky, pokud se samozřejmě bavíme o útoku proti jednomu subjektu. Tolik v nebankovní sféře. V bankovnictví a finančnictví se aktuálně skupina hackerů zase pyšní tím, že přes napadené počítače a účty zaměstnanců bank do nich dokázali proniknout a odcizit nemalé zdroje. Znám, ale i případy z České republiky, kdy interní administrátoři bankovních systémů byli odpovědni za krádeže prostředků „jejich“ bank. V podstatné části případů došlo k odhalení buď z díky vyšetřování a jejich odhalení jako pachatele, nebo náhody – například vrátili prostředky na účet, který nemohl jít do plusu, poznala je nová zaměstnankyně, kterou daný administrátor školil a jiné případy.
Mohu říci, že mne příliš neuklidňuje, že informace o mně jsou předávány bez mého vědomí a možnosti jakékoliv kontroly třetím subjektům, a že tyto subjekty ani nemusejí být vázány patřičnou podmínkou ochrany těchto dat, případně že mohou být zákony své země vynucování k předávání těchto dat svým vládám. Právo v těchto oblastech se mezi jednotlivými státy může dalece lišit a nemusí být ani součástí smlouvy. Tuto problematiku si mnoho společností a organizací uvědomuje a zůstává v této oblasti někde na půli cesty. Budují si proto tzv. privátní cloudy. Jde o prostředí, jehož pořizovací náklady, případně i provozní náklady smluvně zajišťuje další subjekt, který je pak poskytuje jako službu, avšak pouze pro daného zákazníka. Není žádným tajemstvím, že některé bankovní domy mají své mateřské společnosti v zahraničí, a jsou nuceny v kvůli snižování nákladů skupiny přenášet některé systémy do centrálních datových center, která nemusejí být na území našeho státu. Takováto data proto nemusejí být pod řádnou kontrolou našeho státu a jiný stát k nim muže mít přístup na základě vlastního právního řádu. Tyto problémy globalizace, týkající se i ICT, nejsou zatím na mezinárodní úrovni dostatečně ani řešeny, ani diskutovány. Právní nejistoty v této oblasti jsou jednou z hlavních oblastí, pro kterou jsem ve vztahu ke cloud velice opatrný.
Závěrem bych řekl, že ochrana našich elektronických informací není obecně na moc dobré úrovni a světově zmíněné úniky dat jak od státních institucí, tak od soukromých společností, jsou v zásadě na denním pořádku, jen nejsou tolik medializovány.
Závěrem se dá říci, že jediná informace, která je opravdu bezpečná, je ta, která nevznikla. Pokud někdo něco vymyslí, tak to doslova rozkecá, a pokud je informace v tištěné podobě, tak se zkopíruje, a pokud je to v elektronické podobě, lidé ji rozešlou e-mailem. Toto je poněkud pesimistický závěr, ale bohužel nemá příliš daleko k realitě. V době kdy i CIA říká, že oni nemohli být odpovědni za atentát na Kennedyho a zdůvodňují to tvrzením, že by to už dávno někdo – prostě rozkecal.
Mohlo by vás zajímat: