15.12.2019 | Svátek má Radana, Radan


BEZPEČNOST: Hacking - co bych s tím dělal

29.11.2019

Další vlna reakcí na oba články o hackování mě přesvědčila napsat ještě poslední díl – jak bych navrhoval postupovat, aby se rizika snížila.

„Umíš kritizovat, co bys s tím udělal?“ – dost běžná námitka, která má určité pravdivé jádro. Kverulovat dokáže každý.

No, tak moje odpověď zní – některé vymoženosti jako elektronické volby bych jednoduše nezaváděl. Ale digitální informační systémy už ten stát má v provozu a asi se jich jen tak nevzdá (i když ruská FSO se prý vrátila k psacím strojům). Ty je potřeba zabezpečit.

*****************************

Feeks

Smrt Johna Feekse, elektrikáře společnosti Western Union, New York 1889 (zdroj)

Malá historická odbočka, pro ty čtenáře, které to baví. Koho to nebaví, ať přeskočí následující čtyři odstavce až k dalšímu předělu.

Se spoustou technologií je to tak, že se nejdřív zavedou a teprve potom se řeší jejich bezpečnostní stránka. Příkladů je dost, já bych si dnes zvolil třeba elektřinu.

Když jsem připravoval Zapomenuté příběhy 2, četl jsem si hodně o začátcích elektrifikace ve Spojených státech amerických. Byla to pěkná divočina. Několik konkurujících společností si tahalo dráty v chuchvalcích nad hlavami Newyorčanů (a dalších), všechno co nejrychleji a nejlevněji. Firmy tvrdě bojovaly o zákazníky, ale to znamenalo, že se šetřilo i na takových věcech, jako byly obyčejné pojistky. Zástupci firem prý docela dlouho bojovali proti povinnosti instalace pojistek, protože to údajně zničí rentabilitu byznysu. Následky: požáry z vadné instalace, zkraty, úmrtí zákazníků.

Situace se změnila, když na Manhattanu před očima tisíců lidí zemřel elektrikář John Feeks, kterého zabil proud při práci na údajně nízkonapěťovém vedení (spoiler alert: byl tam taky neoznačený vysokonapěťový kabel). Jeho tělo se zamotalo do drátů a skoro hodinu čoudilo a hořelo zcela veřejně nad hlavami davu, což vzbudilo velké pohoršení. Následně newyorský starosta pod pohrůžkou kompletního zákazu elektřiny ve městě donutil firmy, aby začaly překládat vedení pod zem, instalovat pojistky atd.

Pravověrný libertarián se při tomto líčení již otřásl hrůzou (státní zásah!), ale já jsem upřímně rád, že dnes takových lidských grilovaček moc není. Dobře dělaná technická regulace toho víc přináší, než bere. A byznys se tím nezkazil; od té doby obepnuly elektrické kabely celý svět a pojistky snad používají i v rovníkové Africe.

*****************************

V podobném stavu jsme teď s digitálními informačními systémy. Nejsem si ani úplně jist, zda někdo v tomto státě ví, kolik různých agend dnes ministerstva, jiné úřady, kraje, města a státem zřizované organizace řeší „přes počítač“. Stovky, tisíce?

Tyhle existující systémy vznikaly dost živelně a bez velké meziresortní koordinace, proto se teď teprve s takovou námahou dávají dohromady ty nejzákladnější registry. Míra té nekoordinace přitom občas opravdu bije do očí.

Malá ilustrace pro pobavení. Já jsem ještě před pár lety zažil následující: ztratil jsem peněženku a šel si na úřad vyřídit novou občanku a řidičák. Je to tak čtyři roky. (Dnes už jsou poměry trochu lepší.)

Dvě úřednice, které to řešily, seděly vedle sebe. Ta první tam měla foťák připojený k PC a hned si pořídila moje foto na nový občanský průkaz. Přešel jsem k té druhé a požádal o nový ŘP. Kdepak, to si musíte donést papírovou fotku, já vím, že kolegyně vás právě vyfotila, ale já k té fotce ze svého počítače nemám přístup. Naše systémy spolu nekomunikují.

I musel jsem klusat do Bílé labutě, nechat si udělat čtyři papírové fotky za sto pade a vrátit opět poklusem s nimi, jazyk na vestě, aby mi mezitím nezavřeli a nemusel jsem se tam druhý den zastavovat znovu. Ženiální, jak říká král madagaskarských lemurů Julián XIII.

No, tak tyhle absurdity se po mnoha letech stížností občanů konečně nějak řeší, řidičská agenda v Praze byla centralizována na jedno místo, dokonce i živnosťák si uděláte pomocí jednoho formuláře, ale jak je to s bezpečností těch systémů, eh, těžko říci. Člověk by tipoval, že když ty systémy vznikly odděleně a na základě různých výběrových řízení, starají se o jejich zabezpečení také různé firmy.

To je chyba. Respektive na té úplně základní úrovni ne (běžné záplatování apod.), ale co se ochrany proti hackingu a jiným útokům týče, tam jde o zbytečné tříštění sil.

Představte si, že by každé ministerstvo a každá radnice měly svoji „mordpartu“ v čele se svým vlastním Vacátkem, která by řešila jen vraždy, které se staly v jejím resortu. To by přeci bylo strašně neefektivní; máme jednu „mordpartu“ a ta se stará o celý region, ať už ta mrtvola leží na nádraží nebo ve Vltavě.

Podle mého názoru bychom měli mít něco jako digitální kontrarozvědku. Expertní tým, který se bude starat o ochranu nejdůležitějších systémů naší republiky před pokusy o hacking.

*****************************

První, na co se přitom musí zapomenout, jsou zavedené postupy „soutěžit veřejnou zakázku na nejnižší cenu“. Digitální bezpečnost si nemůžete koupit moc lacino, protože jde o práci vysoce kvalifikovaných lidí. Případná digitální kontrarozvědka by tedy neměla podléhat zákonu o veřejných zakázkách, aby se nějaký ctižádostivý státní zástupce nezačal vozit po tom, že si někdo nakoupil licence specializovaného softwaru o 1000 dolarů dráž, než by podle jeho názoru mohl. Ano, vzniká tam korupční riziko, ale lepší, než vytvořit organizaci, která vyžaduje operativní flexibilitu a přitom je od samého začátku „zkriplena“ betonovým krunýřem zvaným nejnižší cena.

Update 28.11.2019 ve 21.30: Ano, já vím, že nejnižší cena není předepsána přímo zákonem, ale v praxi to tak stejně obvykle končí, protože cokoliv jiného se na té židli u výslechu vysvětluje moc těžko, zejména když je v zájmu vyslýchajícího, aby to nepochopil. Bohužel je to cesta nejmenšího odporu, jak uskutečnit zakázku a nevykoledovat si stíhání. Čest odvážným výjimkám. Konec update.

Druhá věc, na kterou by se muselo zapomenout, je čisté dělení na státní zaměstnance a ty ostatní. Česká republika má to štěstí, že tady žije docela dost šikovných IT profesionálů, ale valná většina z nich pracuje v soukromém sektoru a do toho státního je nepřetáhnete. Co by taková digitální kontrarozvědka mohla udělat? Půjčit si je aspoň jako konzultanty na pár hodin týdně a na „pohotovost na telefonu“ pro případ, že se děje něco mimořádného. Někteří by za to ani nechtěli platit, určitý pocit vlastenectví tu ještě funguje, stejně jako zvědavost na zajímavou práci. K tomu přidejte pár dobrých lidí z akademického prostředí a výsledný mix už by mohl personálně fungovat.

Hlavní prací takové kontrarozvědky by byla prevence útoků, což znamená víceméně „snažit se o útoky sami“. Tomu se říká etický hacking, činnost, při které přijmete mentalitu a prostředky útočníka, ale vaším cílem je odhalit slabiny proto, aby mohly být záplatovány, ne zneužity. K tomu přidejme ještě službu „včasného varování“ pro všechny chráněné organizace, když je odhalena nějaká slabina globálního rázu (třeba ten Heartbleed), nebo když spřátelený stát nahlásí, že se stal terčem něčího útoku.

Hodně těchto věcí se dá automatizovat (kvalitní monitoring existuje), takže by nemusely být příliš náročné na lidskou práci.

Další věc, kterou by digitální kontrarozvědka řešila, by byla likvidace následků úspěšného útoku a vyšetřování, co se vlastně stalo. Protože ono se někdy něco stane, ochránit tenhle stát před cizími rozvědkami nepůjde na sto procent; některé z nich mají tisíckrát větší rozpočet a stokrát více kvalifikovaných lidí než ta naše. Ale když už se něco stane, musí následovat identifikace problému, záplatování systému a co nejpodrobnější průzkum stop, aby bylo jasné, co se stalo.

Nu, a třetí položka, u které váhám, zda by ji měla digitální kontrarozvědka dostat do vínku, je pravomoc odstavit systémy, u kterých zjistila zásadní chybu a jejichž provozovatelé nejsou buď ochotni, nebo schopni je v rozumném čase záplatovat. Spíš si ale myslím, že tu pravomoc potřebuje, nebo aspoň možnost požádat o takové předběžné opatření normální soud ve zrychleném řízení – odhadem do 12 hodin. Jinak by její preventivní práce nemusela mít výsledky, s příslušným lejstrem (nebo e-mailem) by si potrefený úřad mohl taky … vypodložit křeslo. Papírové války jsou to poslední, čím by digitální kontrarozvědka měla ztrácet čas.

*****************************

No, a nejlepší je, že ono by to nakonec zas tak drahé být nemuselo. Protože toto je služba, která by se dala i prodávat menším státům jako Litva, Chorvatsko, Malta… které nemají dostatek specialistů k tomu, aby mohly zajistit něco podobného kompletně svými silami, ale zároveň mají dobré vztahy s Českou republikou a nepodezřívají nás ze snahy jim uškodit.

Tak takhle jsem si, přátelé, vysnil kompetentní ochranu našeho IT sektoru před nebezpečím hackingu, a pak jsem se probudil s rukou v no… tebooku.

Protože reálně se do toho nikomu moc investovat nechce, ne v kontinentální Evropě. Potkal jsem Němce, kteří si stěžovali, že jsou podinvestovaní, nemají prý na takové aktivity ani jedno procento peněz, které mají jejich američtí kolegové. (Toto je samozřejmě těžko ověřitelné tvrzení, zde nečekejte odkaz.)

Nevím, co se bude muset stát, abychom si uvědomili, že na zabezpečení IT systémů se šetřit nemá. Nejspíš něco jako digitální Černobyl. Tahle vízová kauza na to podle všeho nestačí.

*****************************

Hudební epilog
Když už Černobyl, tak Černobyl. Ta série je hodně povedená, viděl jsem ji minulý víkend.

****************************************
ZAPOMENUTÉ PŘÍBĚHY 2
Když je něco zapomenutého, je dobře se ptát, jak se to stalo. Zapomnělo se proto, že se něco dostalo za horizont času a zájmu, anebo proto, že se nějak někomu zapomenout chtělo? Autor v této knížce nahlíží do událostí zas tak ne moc vzdálených.
Objednat si ji můžete na této adrese.

zapomenuté příběhy 2

Převzato z Kechlibar.net se souhlasem autora








 Neviditelný pes
Toto je DENÍK: do sítě jde obvykle nejpozději do 8.00 hod. aktuálního dne. Pokud zaspím, opiji se, zešílím nebo se zastřelím, patřičně na to upozorním - neboť jen v takovém případě vyjde Pes jindy, eventuálně nikdy.
Šéfredaktor Ondřej Neff (nickname Aston), příspěvky laskavě posílejte na adresu redakce Jiřímu Wagnerovi, redaktorovi NP (nickname JAG). Rubriku Zvířetník vede Lika.