Přístup na Internet je dnes neodmyslitelnou součástí života pracovního i osobního. Jakkoli je však připojování k Internetu a využívání jeho různorodých služeb, od e-mailu, přes získávání informací prostřednictvím WWW a Facebooku, až k internetovému volání zcela běžnou záležitostí, není zdaleka běžné, aby si uživatelé vedle přínosů byli vědomi i souvisejících rizik.

Právě o nich byla řeč v přednášce Andrey Kropáčové ze sdružení CESNET pod názvem Světem Internetu bezpečně. Nejčastějšími problémy, s nimiž se lze na Internetu setkat, jsou narušení bezpečnosti pracovní stanice, porušování autorských práv, nelegální užití softwaru, spamming, phishing, pharming, zneužití osobních dat a šikana či stalking. Zatímco první skupina bezpečnostních problémů se zdánlivě běžného uživatele jako osobního cíle přímo netýká, druhá skupina již zcela jednoznačně dopadá právě na uživatele jako svébytnou bytost, narušuje jeho soukromí a kromě finančních dopadů může ničit i psychiku a integritu uživatele.

 

Mýty a obrana

Způsobů ochrany je celá řada, od technických, organizačních a legislativních prostředků až po vzdělávání správců IT a sítí a zejména uživatelů. Právě uživatelé dnes totiž představují nejslabší článek internetové bezpečnosti. Mezi nimi stále panuje řada mýtů, které se však mohou snadno stát osudné:

• Internet je bezpečný - opak je pravdou, protože k Internetu se připojují a na Internetu působí skutečné bytosti, a mezi nimi lze narazit na obdobné gaunery jako v reálném světě;
• Internet je anonymní - nikoli, neboť každý uživatel zanechává stopu o své činnosti;
• Internet nemá pravidla a neplatí na něm zákony - v žádném případě, protože uživatel se snadno může dopustit trestného činu nebo jej umožnit vlastní nedbalostí či neznalostí.

Uživatel je důležitou součástí bezpečnosti na Internetu, musí být plně zodpovědný za své činy, a proto se vyplatí investovat do jeho vzdělávání. Pro základní správu osobního počítače, volby hesel, či chování při brouzdání po webu existují mnohé návody a dobré praktiky, které musí každý zodpovědný uživatel znát a zejména v praxi používat. A ne jednou, ale neustále, protože je třeba předcházet či alespoň reagovat na aktuální hrozby - obměnou hesel, aktualizací používaného softwaru, mazáním dat. Ve školních, podnikových či institucionálních sítích se sice o péči o bezpečnost uživatel dělí se správcem sítě, ale stále se může a musí pro zabezpečení vlastní i ostatních uživatelů starat.

 

Sociální inženýrství

Na všechny uživatele bez výjimky denně útočí otevřeně i skrytě mnoho kybernetických nebezpečí. Jednou z nejrafinovanějších hrozeb současnosti je tzv. sociální inženýrství, kdy útočníci zneužívají uživatele pro získávání důležitých informací jaksi „bez jeho vědomí". Zneužívá se přitom celkem neškodných či dokonce dobrých vlastností lidí jako důvěřivost, ochota pomoci druhým, nepodezíravost, snaha rychle řešit problém.

Útočníci mají jasné cíle: ublížit, získat výhody, nejčastěji se bezpracně a podvodně bohatit. Uživatelé se stávají obětí kvůli špatné znalosti fungování sítí, služeb a nástrojů, neznalosti legislativy a dopouštění se chyb. Za všech okolností je třeba přemýšlet - připojení na Internet a jakýkoli pohyb či práce na něm otevírají dveře pro různé nekalé živly a útoky, takže nelze prostě pohlížet na Internet jako na bezpečné místo pro relaxování, kde si může nechat uživatel ukolébat svoje instinkty.

Závěr přednášky bořil mýtus o anonymitě uživatele na Internetu (zejména v sociálních sítích jako LinkedIn, Plexo, Spolužáci, Twitter, Flickr, seznamky, chaty, BBS, blogy, Facebook), neboť na síti je každý anonymní jen do té míry, do jaké to dovolí poskytovatel připojení a služeb. Přednášející apelovala na uživatele jednoznačně:

„Chraňte svoje soukromí, nespoléhejte na anonymitu, chraňte svou identitu, své zdroje a nástroje, pečujte o svou pracovní stanici/notebook, a chovejte se podle pravidel."



Obranné týmy CSIRT a CERTS

O bezpečnost sítí větších organizací se starají týmy CSIRT (Computer Security Incident Response Team), jejichž průkopníkem je u nás právě Andrea Kropáčová. Její tým napomohl specifikovat pravidla a principy formování a řízení těchto bezpečnostních týmů prostřednictvím modelového CSIRT.CZ. Jeho cílem je pomáhat provozovatelům internetových sítí v České republice zřizovat jejich vlastní bezpečnostní týmy a bezpečnostní infrastrukturu, řešit bezpečnostní události, a tím zlepšovat bezpečnost jejich sítí i globálního Internetu. CSIRT.CZ také pomáhá předávat hlášení o bezpečnostních incidentech správcům těch sítí nebo domén, které jsou původcem incidentu, a to v případech, kdy se při komunikaci mezi správcem dané sítě a „obětí" vyskytnou problémy. V tomto směru tedy slouží jako jakýsi „institut poslední záchrany" v situacích, kdy jiné metody řešení problému selžou.

Přednášející Andrea Kropáčová byla počátkem listopadu také koordinátorkou české účasti na celoevropském projektu Cyber Europe 2010, v rámci něhož odborníci na kybernetickou bezpečnost otestovali své reakce v první cvičné simulaci celoevropského počítačového útoku v historii. Během této akce se reagovalo na simulované pokusy hackerů o vyřazení z provozu nejdůležitějších on-line služeb v několika členských státech EU. Simulace vycházely ze scénáře, při němž se bez dalšího zásahu (řešením je tok paketů z postižených oblastí přesměrovat jinými cestami) v zúčastněných zemích postupně ztrácí nebo výrazně omezují přeshraniční internetová spojení, takže uživatelé - občané, podniky a veřejné instituce - začínají mít problémy s přístupem k základním službám Internetu.

Akci zorganizovaly členské státy EU s pomocí Evropské agentury pro bezpečnost sítí a informací (ENISA, European Network and Information Security Agency) a evropského Společného výzkumného střediska (JRC, Joint Research Center). Všichni zúčastnění z celého kontinentu museli během cvičení spolupracovat, aby se zabránilo (předstíranému) zhroucení celé sítě. Cvičení prověřilo připravenost Evropy v případě kybernetických hrozeb a znamená první významný krok ke spolupráci při boji proti potenciálním on-line ohrožením základní infrastruktury a k zajištění bezpečnosti a ochrany občanů a podniků na Internetu.

Smyslem testu kybernetické bezpečnosti bylo pomoci členským státům lépe pochopit řešení počítačových incidentů a prověřit komunikační spojení a postupy v případě skutečného velkého počítačového incidentu. Během cvičení se otestovala vhodnost kontaktních míst v členských státech, ale i komunikační kanály, typy výměny údajů prostřednictvím těchto kanálů i způsob, jak členské státy chápou úlohu a mandáty svých partnerů v ostatních členských státech.

Na evropské cvičení mají navazovat složitější scénáře, přičemž cílem je přejít z evropské na celosvětovou úroveň. Podpora cvičení zaměřených na pohotovost v oblasti kybernetické bezpečnosti v celé EU je jednou z činností plánovaných v rámci tzv. Digitální agendy pro Evropu, jejímž úkolem je posílit důvěryhodnost a bezpečnost on-line.