Evropská komise chce zavést pravidla kybernetické bezpečnosti, která do hry vtáhnou soukromé firmy. Diskutovali jsme s Prescottem Winterem, šéfem bezpečnosti v HP.
Nová doba si žádá nová pravidla. Naše životy a digitální údaje se v čím dál větší míře přesouvají z uzavřených kartoték, lokálních sítí a pevných disků do prakticky decentralizovaného internetu a cloudu. Netýká se to jenom našich e-mailů a kalendářů, ale také věcí jako jsou zdravotní údaje, osobní finance či pojištění. Do celosvětové sítě míří i další provoz – ač se to z pohledu tuzemských nepovedených „IZIPů“, datových schránek a dalších projektů nemusí zdát, svět postupně objevuje chytré rozvodné sítě a do elektronické podoby převádí například zdravotní, vzdělávací a dopravní systémy.
Všechny tyto aspekty pomáhají ekonomickému růstu a vytváří nové příležitosti pro podnikatele a vytváření pracovních míst. Spolu s tím ale přichází veliké riziko spojené s ochranou všech citlivých údajů. Vlády po celém světě se proto začínají zajímat o to, jak všechna digitalizovaná data ochránit před nenechavými útočníky.
Kybernetická bezpečnost je teď jednou z nejvyšších priorit eurokomisařky pro digitální agendu Neelie Kroes, jež se proslavila zejména tím, že prosadila tzv. ballot screen pro výběr výchozího webového prohlížeče ve Windows, a je velikou zastánkyní digitální interoperability. Zapálená starší paní by ráda v rámci EU definovala novou strategii kybernetické bezpečnosti, která by měla sedět právě pro novou éru cloudu. Při svém vystoupení na letošním ročníku světového ekonomického fóra v Davosu proto představila základní body, o které se chce v budoucnu opírat s tím, že podrobnou koncepci představí později, až sesbírá potřebná data a připomínky.
Stanovení bezpečnostních pravidel
Prvotní koncepce bezpečnostního plánu je úzce provázána se soukromým sektorem. Neelie Kroes by ráda začlenila společnosti do procesu, který by měl hájit zájmy evropské sedmadvacítky. „Soukromé firmy by měly spolupracovat s vládními představiteli a úřady a upozorňovat je na bezpečnostní hrozby a útoky, abychom mohli rychle reagovat, minimalizovali případné dopady a ochránili naše uživatele a společnosti,“ píše Kroes ve svém prohlášení.
Spolupráce, investice, inovace. Tři body, pomocí kterých chce Neelie Kroes nastavit pravidla pro kybernetickou bezpečnost v rámci EU.
Toto prohlášení je hodně obecné, Kroes nicméně v rámci nové strategie počítá s tím, že Evropská komise vytvoří nová pravidla pro kybernetickou bezpečnost, která budou muset respektovat i soukromé společnosti, jenž mají s internetovou bezpečností co dočinění. Vládní a soukromý sektor by se měl propojit a vyměňovat si informace tak, aby bylo možné bojovat s kybernetickými hrozbami.
To logicky vyvolává otázky, k čemu všemu by měly mít úřady přístup a k čemu všemu by měly soukromé firmy nutit. „Důležité bude určit, jaký je cíl a čeho chtějí vlády těmito kroky dosáhnout,“ myslí si šéf bezpečnostní divize pro veřejný sektor ve společnosti HP Prescott Winter, který nedávno zavítal do Prahy a se kterým jsem měl možnost se na toto téma pobavit. „Určitě lze ale pravidla nastavit tak, aby se nikdo nedostal k citlivým datům a spolupráce efektivně fungovala.“
Prescott se pustil do popisování na barvitém příkladu. „Celou situaci je možné přirovnat k mezinárodní letecké dopravě. Máme stanoveny různé bezpečnostní, technické a další standardy, které soukromý sektor (zejména přepravci a letiště) musí splňovat, aby mohl v tomto oboru podnikat. Po 11. září se hodně začalo dbát na bezpečnost a podobné to je také v případě internetu,“ vysvětluje veterán, který 25 let pracoval na nejvyšších postech v americké národní bezpečnostní agentuře (NSA).
Podobnou sadou pravidel a nařízení má disponovat také digitální úřad. „Evropská unie do vlastního vzdušeného prostorou nevpouští desítky afrických a východních aerolinek, protože nesplňují bezpečnostní standardy. Stejné to může být v případě internetu. Pochybné IP adresy a domény, které nesplní pravidla, mohou být vyloučeny,“ říká Winter.
Internet nemá být žádné speciální neregulované místo
To do jisté míry odporuje tomu, jak je internet chápán – jako naprosto svobodný a neregulovaný sektor. „Špatná věc je špatná věc,“ argumentuje Winter. „Nemyslím si, že bychom internet měli vidět jako nějaké speciální místo, kde bychom neměli regulovat špatné věci. Například dětskou pornografii jsme zastavili ve fyzickém světě a musíme jí zastavit také ve světě elektronickém,“ uvádí příklad.
Představa neregulovaného internetu je mylná. Prescott Winter, šéf pro veřejný sektor v bezpečnostní divizi HP.
„Všichni se shodnou, že zabít člověka nebo ukrást peníze není dobré a vlády pro takové chování sestavují pravidla. Podobné je to v případě internetové bezpečnosti. Není rozdíl v tom, zda vám někdo ukradne fyzické peníze, nebo vydoluje přes internet váš účet,“ přibližuje celou situaci Winter, který se do HP dostal před dvěma lety při akvizici firmy ArcSight, kde do té doby působil. „Vlády jsou v pozici, kdy mají zajišťovat bezpečnost a základní kvalitu života.“
„Vlády chtějí vidět mnoho věcí na internetu vyřešených. Chtějí se zbavit malwaru, chtějí umět identifikovat problémové stroje a odpojit je od sítě, chtějí vidět mezinárodní spolupráci v kybernetické bezpečnosti.“ K tomu, aby se do boje za tento cíl zapojily i soukromé společnosti, chce Neelie Kroes využít také různé pobídky.
V tomto případě ale může jít o metodu cukru a biče. „Vlády mohou soukromý sektor penalizovat, pokud neudělají něco z nařízení a stejně tak ho mohou odměnit, pokud udělá dobrý krok,“ myslí si Winter. Firmy, které budou spolupracovat na programu kybernetické bezpečnosti, například budou moci od Evropské unie získat ekonomická a daňová zvýhodnění. Ovšem v případě, že podle regulí nebudou spolupracovat, mohou se setkat s postihy.
Winter ale upozorňuje na to, že taková nátlaková hra nemusí být ku prospěchu věci. Odkazuje se při tom na Austrálii, kde tamní poskytovatelé internetového připojení dobrovolně dodržují bezpečnostní kodex, internet vyčistili od mnoha hrozeb a škodlivého obsahu a vládě poskytli návod, jak čelit hrozbám. „V Austrálii soukromý sektor sám aktivně vyhledává a odstraňuje bezpečnostní hrozby. Pokud by k tomu byl přímo dotlačen vládou, zřejmě by udělal pouze povinné minimum,“ myslí si jeden z nejvyšších bezpečnostních představitelů HP.
Až se zapojí Čína
To, že firmy budou vládním orgánům dodávat bezpečnostní informace a stanou se spoluautory a strážci bezpečnostních standardů, má s sebou přinést také další efekt – Neelie Kroes by ráda do firem vložila peníze na investice a vývoj z dotačních programů jako je Horizon 2020. „Umožníme firmám testovat bezpečnostní řešení v ostrém v provozu s tím, že s nimi budeme sdílet finanční risk,“ vysvětluje Kroes.
Neelie Kroes reguluje mobilní operátory, chce vymýtit roaming v Evropské unii, stojí za ballot screenem a ráda by hlídala internet.
To by pro firmy mohlo být zajímavé. I když vlády mohou vytvářet určité standardy, jsou to vždy firmy, které vlastní inovace přetavují do technických norem a své bezpečnostní produkty za vlastní peníze testují. „Nicméně stále je to privátní sektor, který by měl vést úsilí inovací,“ míní Winter.
Je možné, že jakmile Evropská komise přijde s kompletním plánem pro kybernetickou bezpečnost, během krátké doby může dojít k jeho schválení. Všech 27 zemí Evropské unie se jím tak bude muset začít řídit. Internet je ale globální záležitost a proto bude postupně vyvíjeno úsilí, které se bude snažit spojit podobné iniciativy také v rámci ostatních kontinentů.
„To zabere čas,“ říká k propojení bezpečnostních politik Winter. „Nejdříve uvidíme více spolupráce v Evropě, to dává smysl, ale dokážu si představit, že efektivně spolupracovat brzy začnou také Spojené státy, Evropa, Austrálie a Kanada.“ Časem by ale mohlo dojít také k začlenění dalších zemí. „Zahrnout země jako Čína potrvá delší dobu,“ říká Winter a poukazuje na to, že právě například z asijské země je možné registrovat mnoho kybernetických útoků a hrozeb. „Čína je součástí mnoha leteckých dohod a jednou se určitě stane také součástí globální internetové bezpečnosti.“
Kladné stránky ACTA, stinné stránky Anonymous
Podobnou optikou, jakou se Prescott Winter dívá na boj s internetovými hrozbami, pohlíží rovněž na problematiku síťové neutrality nebo v současnosti hodně probíraných smluv ACTA, SOPA a dalších. Síťová neutralita například říká, že by žádný poskytovatel internetové připojení a služeb neměl blokovat přístup k jakýmkoliv jiným službám. Například Google by měl odkazovat také na služby svých konkurentů. Podle některých bezpečnostních odborníků, ke kterým se řadí i Winter, je však i zde nutná jistá regulace.
„Je nutné rozlišovat mezi obsahem a obsahem, který je jednoznačně špatný,“ myslí si Winter. „V současné době se hodně řeší věci ohledně síťové neutrality – že by nikdo neměl blokovat ničí obsah. Ale pokud někdo doručuje škodlivý obsah, měli bychom ho zastavit.“ To znamená „odříznout“ od internetu ty subjekty, které šíří obsah, který podle určité sady pravidel nebude vhodný. Podobně, jako je tomu ve skutečném světě.
Regulace internetu nemusí mít pouze špatné úmysly. A Anonymous nemusí být pouze hrdinové. Záleží na úhlu pohledu.
Tímto špatným obsahem může být například pirátství. „Ve fyzickém světě se snažíme zastavit kopírování hudby, knih a dalšího materiálu, tak proč bychom se o to neměli pokusit také v online světě,“ pokládá Prescott Winter otázku během rozhovoru v restauraci pražského hotelu Kempinski. I když tato slova mohou dávat smysl, otázka zvolení nástrojů a pravidel pro potírání těchto aktivit je velice citlivá, což ostatně demonstrují početné demonstrace proti smlouvě ACTA v řadě evropských měst.
„Pokud nesouhlasíte s něčím, co někdo dělá, můžete o tom publikovat články, zakládat diskusní fóra nebo o tom napsat knihu, ale nemyslím si, že máte právo na to, abyste pomocí útoků odstavili službu nebo zneužili získané informace,“ otevírá Winter další téma spojené se zásahy do internetu – skupinu Anonymous. „Pokud Anonymous řeknou, že nesouhlasí s tím, co moje společnost dělá, je to v pořádku, součást demokracie. Ale nemyslím si, že mají právo například odstavit web.“
„Společnosti se mohou proti útokům Anonymous efektivně bránit, ale ne vždy dělají vše pro to, aby se takovým útokům vyhnuli,“ upozorňuje Winter. Nedostatečné zabezpečení vlastních systémů je podle bezpečnostního odborníka z HP velikým problémem a příčinou většiny bezpečnostních incidentů. „Pokud se podíváte na velké útoky, zjistíte, že většina z napadených společností neměla dostatečně zabezpečené své prostředí,“ upozorňuje.
Bezpečnost je podle Wintera v prvé řadě záležitostí lidskou. „K ochraně dat musíme mít dobrou a silnou technologii, ale samotná technologie vás k bezpečnosti nedovede.“ Na začátku toho všeho musí být člověk, který ve firmě jasně definuje, co je nutné chránit a následně podle toho vytvoří exekutivu. „Bezpečnost na začátku musí být především o lidech, kultuře, vedení a organizaci,“ uzavírá Winter.
