IT profesionálové mají často přístup k citlivým datům i celé
infrastruktuře, což z nich v případě incidentu činí hlavní podezřelé.
Zvlášť když disponují i potřebnými technickými dovednostmi k provedení
útoku.
Analytické studie, průzkumy i média se často zabývají hrozbou insiderů
a případy správců, kteří se dopustili podvodu. Firmám se radí, jak se
proti těmto rizikům bránit. Nějaká podzemní fóra zase bezpochyby
obsahují diskuse potenciálních zločinců, jak nějak pokoutně na
firemních datech vydělat s minimalizací rizika trestu. Pak zde ale
existuje ještě jeden, obvykle opomíjený pohled na věc. Kde jsou
podvody a soudy, může se do problémů dostat i nevinný. Co by měl
chudák (poctivý) IT profesionál dělat, aby nebyl obviněn z počítačové
kriminality?
První podezřelý
Konzultantka Debra Littlejohn Shinderová na webu Tech Republic nabízí několik rad, jak se chránit. Nemusí jít o nijak teoretický problém. Pokud dojde k bezpečnostnímu incidentu, je takové podezření i
logické, především nasvědčuje-li něco, že za celou záležitostí stojí
insider – a to některé studie pokládají vůbec za nejčastější příčinu
sabotáže sítě nebo úniku dat. Kdo jiný, než např. bezpečnostní
specialista by měl k takovému postupu dostatečné pravomoci (přístupová
oprávnění – hesla i fyzický přístup) a především potřebné technické
znalosti? Obrátit podezření tímto směrem je logické, vždyť se to stalo
už mnohokrát.
Správce sítě by měl s tím, že bude podezřelý, počítat – asi podobně,
jako je nejvíce vražd mezi rodinnými příslušníky a první podezření
policie se obvykle obrací tímto směrem. To, že incident sám ohlásí, z
něj ještě podezření nesmyje, to dělávají pachatelé vražd také. Přece
jen zde však existuje jeden důležitý rozdíl. Nepočítáme s tím, že
někdo z našich blízkých bude zavražděn a nesnažíme se za tímto účelem
si neustále budovat neprůstřelná alibi; takové chování by asi bylo
označeno prostě jako paranoidní. Incidenty v počítačové síti jsou
ovšem (naštěstí) pravděpodobnější než vraždy, takže zde je trochu
paranoie na místě.
Shinderová navíc uvádí, že správci IT by neměli spoléhat na to, že
když nic neudělali, nikdy proti nim nebudou důkazy. Většina rozsudků o
vině se totiž zakládá pouze na kombinaci důkazů nepřímých. Podobně i
při vyšetřování IT incidentů se policejní specialisté i soudní
(forenzní) znalci řídí nepřímými důkazy, jako jsou záznamy protokolů
(logů) a další stopy v zařízeních, které mají obvykle poněkud náhodný
charakter.
Byla-li akce provedena z něčího účtu, je to prostě jeden z
nepřímých důkazů proti němu a k očištění nestačí argumentovat, že „to
by mohl takhle udělat jen úplný blbec“. Když k tomu kolega vypoví, že
dotyčný se o svém zaměstnavateli vyjadřoval nelichotivě, je to další
střípek do mozaiky. Nic to neznamená, techniky zdatní lidé dokáží
leccos podvrhnout a vytvořit falešnou stopu, ale budou soudce a porota
dostatečně technicky zdatní na to, aby tohle pochopili?
Ono i když člověk nakonec nebude odsouzen, stačí, úplně aby byl z činu
obviněn nebo vzat do vazby: pro běžného občana jistě mimořádně
stresující zážitek.
Lpět na předpisech, pojistit se…
Lze tahle rizika nějak řešit? Autorka doporučuje mj. následující postupy:
- Být opravdu nevinný. Tím míní, že IT specialista by měl pro vlastní
bezpečnost striktně dodržovat všechna nařízení, neporušovat je
neúmyslně ani úmyslně (bez zlého úmyslu, třeba aby si zjednodušil
práci). Seznámit se s legislativou i firemními pravidly. Technická
odbornost neznamená, že člověk stojí nad zákonem; nechovejte se jako
pirát silnic se skvělým vozem. Neměl by zkoušet získat citlivá data
ani z hračičkářství, aby se ujistil, jak je dobrý, nebo prostě ze
zvědavosti, jak ochrana funguje. - Dokumentujte všechno, co lze. Mějte svědky na to, co jste s
příslušnými daty opravdu prováděli. Samozřejmostí je multifaktorová
autentizace pro správcovský přístup a silná hesla. Mnohému problému
předejde pořádek v softwarových licencích. Předejděte tomu, aby na vás
někdo ve firmě mohl přehodit zodpovědnost a udělat z vás obětního
beránka. Když po vás nadřízený chce něco „divného“, nechte si příkaz
potvrdit. - Pokud už je člověk vyšetřován, měl by se omezit striktně na fakta.
Nemá cenu se chlubit svými znalostmi ani je snižovat, třeba tvrdit, že
„to mohl udělat každý, třeba…“ Rozhodne se nesnažit útok
reprodukovat („předvedu vám to“) ani dělat hloupého jen proto, že by
to mohlo odvrátit podezření. Obrátit se na právníka. - I když dotyčný nebude odsouzen a nedopustil se trestného činu,
přesto po něm může zaměstnavatel požadovat náhradu škody. Vyplatí se
uvažovat např. o pojištění na škodu způsobenou z neznalosti.
Těžké dilema
Tolik D. Shinderová. Jak se bude lišit situace u nás? Zřejmě větší
nepořádek a ležérnost, méně standardizované postupy, méně odbornosti
na straně vyšetřovatelů i soudů. Autorka doporučuje obhájce
specializující se na počítačovou kriminalitu, jsou ale u nás vůbec
takoví? Pachatel počítačové trestné činnosti tedy u nás asi s větší
pravděpodobností unikne odhalení. Potíž je ovšem v tom, že někdy jen
chycení viníka nebo alespoň zjištění, že nejspíš pocházel odněkud z
druhého konce světa, smyje podezření. Nevinný asi nebude odsouzen, ale
na jeho kariéře to v případě neobjasněného incidentu ulpí s velkou
pravděpodobností. I proto je asi lépe být paranoidní ještě trochu
více.
Na druhé straně ale, pokud by IT správci a další profesionálové zcela
striktně dodržovali požadovaná pravidla a chtěli na každou věc
„štempl“, že vše proběhlo v pořádku, dokázali by mnohdy firemní
infrastrukturu vůbec efektivně spravovat? Může si člověk (ale i jeho
zaměstnavatel) takový luxus vůbec dovolit, pokud nepracuje v obrovském
IT oddělení velké firmy?