„Omlouvám se, nevěděl jsem, jak je Facebook zranitelný. Je evidentní, že jsme neudělali dost pro to, abychom ochránili naše uživatele,“ zpytoval svědomí Mark Zuckerberg, zakladatel Facebooku, před měsícem tváří v tvář americkým kongresmanům.
„To, co se stalo, mě jako člověka z branže příliš nepřekvapuje,“ reaguje na celosvětový skandál Ing. Petr Budiš, Ph.D, MBA, špičkový evropský odborník na ochranu dat.
Facebook již třetí měsíc čelí bezprecedentním úniku a zneužití více než 120 milionů citlivých dat svých uživatelů (nejen) při amerických prezidentských volbách.
Tato událost je však jen nejviditelnější špičkou ledovce, který pod hladinou skrývá dramatický vzestup globálního kyberločinu. Fenoménu, před nímž si dnes nikdo nemůže být zcela jistý.
KYBERZLOCIN HROZÍ KAŽDÉMU DRUHÉMU ČECHOVI
Petr Budiš, generální ředitel První certifikační autority (I.CA), velmi dobře ví, o čem mluví. Jeho společnost patří již od roku 2002 mezi českou a později i evropskou špičku v ochraně uživatelů internetu.
Právě technologie I.CA stály u zrodu zabezpečeného elektronického bankovnictví, elektronického podpisu a časových razítek. Tedy prvků a řešení, chránících uživatele na síti před zneužitím jejich osobních údajů či kyberloupežemi jejich bankovních kont.
„Problém Facebooku (fb), který začal jako studentský projekt a skončil jako firma s ročním ziskem 16 miliard dolarů, se dotýká prakticky každého druhého občana ČR. V České republice má fb totiž minimálně 4,9 milionů uživatelů.
A protože 97 procent příjmů fb pochází od inzerentů, je jasné, že tito inzerenti očekávají za svoje peníze nějakou protihodnotu. A tou jsou kontakty nebo přístupy k uživatelům fb , kterých je dnes přibližně 2,1 miliardy na celém světě.
O efektivitě celého systému svědčí fakt, že ruská reklamní agentura IRA údajně za 100 000 dolarů ovlivnila minimálně 126 miliónů amerických občanů a s velkou pravděpodobností měla vliv i na volbu Donalda Trumpa. Nebál bych se tuto skutečnost nazvat kyberzločinem,“ říká Petr Budiš.
ZRÁDNÁ DÁLNICE INTIMNÍCH DAT
Nejhorší je, že si za to můžeme vlastně sami. Na sociálních sítích o sobě uživatelé sdělují takřka všechna citlivá data. Tím de facto porušují veškerá pravidla bezpečného užívání internetu a ostatních medií.
Facebook se navíc se netají tím, že všechny zprávy monitoruje a je schopen vyfiltrovat i intimní detaily, které by člověk v přímé komunikaci nepoužil, ale zde je sdílí s ostatními.
„My se snažíme propagovat využití bezpečné elektronické komunikace a bezpečnosti IT obecně, ale uživatel vše oslabuje svými sdílenými zprávami, informacemi a fotkami. Parafrázoval bych to takto:
,My se snažíme zamykat dveře, ale uživatel nechává otevřená okno, byť bydlí v přízemí,´“ vysvětluje Petr Budiš.
Celá kauza má podle něj jednoduché řešení. Chcete-li sdílet informace a být v kontaktu se svými přáteli, tak jim sdělujte jen takové informace, o kterých víte, že mohou být čteny spoustou různých osob či organizací – prostě používejte autocenzuru.
A chovejte se stejně obezřetně, jako když jste na veřejném prostranství, kde také nenecháte ležet klíče od bytu či otevřenou peněženku.
„Pokud budete dále sdílet svoje citlivá data na veřejných sociálních sítích, tak Vám ani nejbezpečnější nástroje a procesy nepomohou ochránit Vás, protože je vy sami vědomě obcházíte,“ dodává.
SMART REVOLUCE: NÁSTUP UMELÉ INTELIGENCE
„Být smart“ přesto zůstává – i přes vzrůstající hrozbu kyberzločinu – heslem dneška. V bankách i u dodavatelů energií se připravují plány na virtuální pobočky, na „chytrých“ webech se již zanedlouho budeme ba inteligence jsou již za dveřmi… Kamenné pobočky firem budou v dohledné době vybavovány inteligentními systémy na rozpoznávání obličejů i nálad vstoupivších klientů…
Jak ale zabezpečit citlivou stránku ochrany osobních údajů klientů?
Bezpečnostní produkty a řešení, které nabízí První certifikační autorita – kvalifikované certifikáty a s nimi spojené kvalifikované elektronické podpisy, elektronické pečeti či razítka (sloužící pro bezpečnou autorizaci elektronických dokumentů) – mají tu výhodu, že jimi opatřené dokumenty jsou bezpečné a právně rovnocenné papírovým dokumentům s vlastnoručním podpisem.
Navíc zajišťují i integritu dokumentů.
„Naše produkty jsou tak vhodné pro stávající kamenné pobočky a jejich transakce vůči centrále, ale díváme se i do budoucna, neboť naši vývojoví pracovníci se stále snaží být v předstihu před požadavky trhu a reagují i na zatím teoretická nebezpečí či hrozby, a to vše v souladu i s platnou legislativou,“ tvrdí Petr Budiš.
S rostoucím počtem elektronických transakcí, které budou muset být zabezpečeny, se bude samozřejmě zvyšovat i potřeba tyto transakce verifikovat. Již dnes se hovoří o tom, že na internetu je připojeno více jak 20 miliard zařízení. A toto číslo se každým dnem geometricky zvyšuje.
KYBERNETICKÁ BEZPECNOST JE KLÍCOVÁ
O kolik tedy těžší bude v nadcházející „smart“ době virtuálních dat zabránit jejich prolomení? Ať již jde o hackery či průmyslovou nebo vládní špionáž. A o kolik těžší bude zajištění ochrany svých klientů pro společnosti, jako je I.CA?
Data, která dnes vlastní prakticky každá společnost, jsou totiž velice ceněným pokladem.
To je názorně vidět i na příkladu aktuální kauzy Facebooku, kde můžete mít přístup k cca 2 miliardám lidí po celém světě a dokonce můžete ovlivňovat jejich politické názory (viz případ Cambridge Analytica).
Tím spíše, že hackerské útoky mohou být prováděny prakticky z jakéhokoliv místa na světě. A díky virtuálním měnám jsou hackeři při přebírání odměny či výpalného prakticky nepolapitelní.
„Budou ale útočit na firmy i s cílem je vydírat zablokováním či zničením dat, případně udáním kontrolním orgánu, že jejich data nejsou chráněna, jak to od letošního 25. května vyžaduje GDPR (General Data Protection Regulation) – nařízení Evropské unie o zvýšení úrovně ochrany osobních dat).
My se v I.CA snažíme, aby data, která máme a jsme povinni je zpracovávat při vydávání certifikátů, byla řádně a v maximální možné míře zabezpečena.
Současně prosazujeme politiku obezřetnosti i v práci s vnitřními zdroji společnosti, kdy se často – vzhledem k zaměření firmy – může náš přístup zdát nezasvěceným až paranoidní,“ dodává Petr Budiš.
EVROPSKÁ ŠPICKA S CESKÝM RAZÍTKEM
První certifikační autorita (I.CA) poskytuje ve spolupráci s nejvýznamnějšími IT firmami svoje služby pro zajištění komplexních řešení zákazníkům. Vysokou kvalitu všech poskytovaných služeb zaručuje využívání vlastního know-how, dlouholetých zkušeností, získaných v rámci realizace a provozního zajištění vydávání certifikátů, a spolupráce s předními světovými společnostmi v oblasti bezpečnosti. I.CA poskytuje i služby spojené s využíváním certifikátů:
služby ověření žadatele – držitele certifikátů, služby autentizace a správy certifikátů – Identity Manager&Access Manager. Dodává i nosiče certifikátů – čipové karty a čtečky a čipových karet. Ve svém oboru patří mezi evropské leadery.
Kvalifikované certifikáty jsou určeny pro komunikaci občanů s orgány veřejné moci, současně se využívají i pro komerční účely. Kvalifikované certifikáty vydávané I.CA splňují veškeré požadavky dané zákonem č. 297/2016 Sb. a nařízením EU č. 910/2014 (eIDAS).
Od roku 2006 je I.CA rovněž akreditovaným poskytovatelem elektronických časových razítek v ČR a SR. V současné době dodává elektronická časová razítka pro více jak 550 klientů, mezi nimiž je například ČSOB, Česká spořitelna, Komerční banka, MPSV ČR, Řízení letového provozu ČR či mobilní operátoři O2 a TMobile.