ŠVÉDSKO: Děravé databáze
Švédská vláda čelí nepříjemnému problému – vládní databáze se dostaly do nepovolaných rukou. Zatím rezignovali dva ministři.
Co se vlastně stalo?
Jako všechny technologicky vyspělé státy, i Švédsko rádo sbírá údaje o svém obyvatelstvu. Centralizované databáze jsou snem každého úředníka. Najde si, co potřebuje, o kom chce, kdy chce. Sbírání hromady dat na jedno místo je mánií dnešní doby. Diskový prostor je levný, tak co. Ať se gigabajty valí.
Dnešní doba má i druhou mánii, a tou je outsourcing. Můžeš-li, předej něco do rukou specializované společnosti a následně se pochlub, jak jsi ušetřil. Kdo ještě nic neoutsourcoval, nejlíp do Indie, ten jako by nebyl.
(Tady je samozřejmě třeba krotit sarkasmus zdravým rozumem. Také chodím pro máslo do obchodu, místo abych si jej stloukal doma sám; to je forma outsourcingu, na které je civilizace založena – účelná dělba práce. Na druhou stranu: kdybych např. outsourcoval psaní tohoto blogu, dopustil bych se pěkného podvodu na čtenářích, a kdybych outsourcoval přístup ke svému bankovnímu účtu, byl bych jednoduše blázen. Některé věci se nemají dávat z ruky.)
Tyto dvě moderní mánie se ve Švédsku před pár dny postaraly o skandál nebývalých rozměrů. Švédská vláda totiž před dvěma lety outsourcovala správu části svých databází americké společnosti IBM. Jednalo se zejména o data ministerstva dopravy.
Jenže společnost IBM také ráda šetří a platit kvalifikovanou pracovní sílu ve Stockholmu je drahá legrace. Po několika měsících zjistila švédská tajná služba Säpo, že švédská data jsou spravována neautorizovaným personálem z cizích poboček – konkrétně ze Srbska a České republiky. A jelikož ministerstvo dopravy mělo databáze i na věci, které by vás nenapadly, ocitly se v ohrožení opravdu citlivé údaje. Neúplný výčet vypadá zhruba takto:
- osobní data všech držitelů řidičských průkazů, včetně fotek,
- údaje o vozidlech registrovaných ve Švédsku, rovněž většiny armádních vozidel a vozidel tajné služby,
- detailní informace o infrastruktuře, např. nosnosti mostů, což má určitý vojenský význam pro případ invaze,
- údaje o osobách nacházejících se v programu na ochranu svědků (díky, státe!, vzkazují lidé, kteří chtěli pomoci právu),
- údaje o tom, kdo je členem které tajné jednotky v ozbrojených silách (díky, státe! vzkazují lidé, kteří jej mají chránit).
Průšvih začal už tím, že Švédi přeposlali nemalou část citlivých dat do IBM běžným, nešifrovaným e-mailem. Společnost IBM následně předala přístup k serverům svému personálu v ČR a v Srbsku. Pověření pracovníci měli k databázím neomezený přístup, aniž by to Švédi vůbec oficiálně věděli, natož schválili.
Poté, co švédští tajní zjistili, co se stalo, začalo tiché vyšetřování na ministerstvu dopravy. Tak tiché, že ani ministerský předseda Löfven o tom údajně nevěděl; sám Löfven říká, že se to dozvěděl až 10 měsíců po začátku celé kauzy. (Osobně jsem vůči tomuto tvrzení značně skeptický.) Výsledkem tichého vyšetřování bylo propuštění zodpovědné ředitelky odboru, paní Marie Agren, které byla na rozloučenou udělena pokuta ve výši 70 000 švédských korun. Podle aktuálního kurzu je to nějakých 191 000 Kč, což vypadá jako nemalá částka – než se dozvíte, že šlo o půlku jejího měsíčního platu. Inu, právní ochrana zaměstnanců je v království švédském silná. To bylo v lednu. Až potud se tedy dařilo věc ututlat.
Pak přišel červenec 2017 a informace o úniku dat se nějak dostala k novinářům z deníku Dagens Nyheter, kteří ji s potěšením zveřejnili. Následoval konec okurkové sezóny a menší politické zemětřesení. Až dosud odstoupili dva ministři a část poslanců si brousí zuby i na shození vlády jako celku. Spíše si myslím, že se to nestane, protože to by patrně znamenalo předčasné volby. Voličské preference dlouhodobě ukazují, že v takových předčasných volbách by protiimigrační strana Švédských demokratů získala přes 20 % hlasů, možná i 25 %, což je pro zbytek švédské politické scény totálně nestravitelná představa.
Podstatným rysem skandálu je, že nikdo vlastně přesně neví, co skutečně uniklo a co ne. Administrátoři z IBM si mohli udělat kopií, kolik chtěli, nebo třeba také žádnou. A pokud se citlivá data dostala do rukou cizích mocností, ty se tím určitě veřejně chlubit nebudou.
*****************************
To, že státy sbírají data na své občany, není zas tak nový jev. O různé formy sčítání obyvatel nebyla nouze ani ve starověku a středověku a výsledkem jsou zajímavé dokumenty, které nám dnes aspoň trochu umožňuji poznat historii vlastní civilizace.
Jedním takovým dokumentem je Domesday Book, podrobný průzkum Anglie v roce 1086. Nechal jej provést Vilém Dobyvatel, který chtěl mít představu, kolik by ze svého království mohl vymoci na daních. Průzkum začal velmi pečlivým zkoumáním několika hrabství, rozsah zkoumaných detailů se ale ukázal být tak nepraktický, že v další fázi byla akce poněkud zeštíhlena a zredukována. I tak víme o Vilémově Anglii kdeco, včetně jmen všech majitelů půdy a toho, kolik vlastnili dobytčat.
(Mimochodem, problém s přílišnou detailností průzkumu se v různých podobách objevuje dodnes. Masově sbíraná data vytvářejí obrovskou haldu digitální hlušiny, ve které se nikdo pořádně nevyzná. Proto je tak velkým tématem data mining, Jenže ten je prováděn neživými programy, takže se nedá vyloučit, že místo cenných výsledků vygeneruje exaktně vypadající nesmysly.)
Co se ovšem od Vilémových časů změnilo, je zranitelnost a zneužitelnost takto nasbíraných dat.
Kdyby ve starém Londýně seděl tajný byzantský agent, který by po nocích opisoval Domesday Book a posílal opsané stránky domů do Konstantinopole, nemuselo by to Normany příliš trápit. Pravděpodobnost, že by Byzantinci dokázali takové informace účinně použít proti Anglii, byla víceméně nula. Údaji o tom, zda se v řece Humberu dají ulovit štiky, se ve středověku válka nevyhrávala.
Jak se svět rozvíjel, stávaly se databáze čím dál citlivější, ale dlouhou dobu byly chráněny proti zneužití aspoň tím, že se nacházely někde na papíře a pod zámkem, případně navíc pod stráží. Není jednoduché okopírovat a ofotit metráky písemných materiálů, aniž byste se prozradil. Jedinců, kterým se něco takového podařilo, je velmi málo. Známý je třeba Mitrochinův archiv, který vznikl tak, že bývalý archivář KGB si nějakých třicet let dělal výpisky ze zajímavých dokumentů, které mu prošly rukama. Po pádu Sovětského svazu je pak předal Britům.
To neznamená, že by papírové databáze byly nutně bezpečné. Přesvědčili se o tom například nizozemští Židé poté, co do země vpadli Němci. Pečlivě vedené úřední záznamy nizozemské vlády byly pro nacisty zlatým dolem na informace. Výsledkem bylo, že jen málokterý Žid dokázal úspěšně předstírat, že jím není. Pouze 27 % nizozemských Židů přežilo druhou světovou válku, zatímco v sousední Belgii to bylo 60 %. (Článek na Yad Vashem.) Ani Československá republika tehdy ještě detailní centralizované záznamy nevedla; venkovské matriky se občas zdařilo zfalšovat. Kolik lidí vděčí této úřední nedůslednosti za život, těžko říci.
Moderní digitalizované databáze jsou z hlediska bezpečnosti opravdovým dárkem z pekel. Zabezpečit elektronicky uchovávaná data je těžké a drahé. Lidí, kteří mají příslušnou odbornost, je málo a jejich práce není na první pohled vidět. Nadřízení, kteří rozhodují o jejich zaměstnání a platech, vesměs nemají ponětí o obsahu jejich práce. Zato však vědí, že se v této kolonce rozpočtu dá vždycky něco škrtnout, aniž by to daňového poplatníka bezprostředně zabolelo.
Další věc, která je nová a nezažitá, je skutečnost, že na Internetu je všude „blízko“. Ve fyzickém světě si nemusíte lámat hlavu nad protivníky, kteří se nenacházejí v okolí chráněného objektu. Na síti sousedíte bezprostředně s celým světem a vaše brány neustále oťukávají anonymní zvědavci z Brazílie, Singapuru a Jižní Afriky. Pobavte se s jakýmkoliv administrátorem, nebude se vám to líbit.
Moje osobní noční můra je plošná databáze DNA. V naší genetické informaci je zapsána spousta zajímavých informací – třeba to, kdo je skutečně čím biologickým otcem. Nebo to, vůči kterým nemocem či chemikáliím jsme citlivější než ostatní.
Optimistická sci-fi ráda popisuje světy, ve kterých se zraněnému člověku vyrobí nový orgán na míru. Já se spíš obávám světa, kde se člověku jednoho dne na míru vyrobí „osobní jed“.
*****************************
*****************************
Hudební epilog
Když už jsme probírali to Švédsko, je to také velmoc v oblasti metalové hudby. Falconer je jedna z mých oblíbených kapel.
Převzato z Kechlibar.net se souhlasem autora