Digitální svět, pokrývající předivem internetu celou planetu, je zdrojem rizik, na která nejsme zvyklí. Vyplatí se na ně připravit dříve, než budeme muset řešit následky.
Před mnoha lety, když jsem se stěhoval do malého, právě dokončeného bytu nedaleko od Prahy, jsem řešil bezpečnostní problém. Budova byla v takovém stavu dokončenosti, že v přízemí ještě scházely skleněné panely, a do domu se tak dostal každý. Jenže v bytě, odděleném od veřejného prostoru jen levnými dveřmi, jsem už měl nastěhovány svoje věci. Nechtělo se mi je nechávat tam bez dodatečné ochrany. Zavolal jsem tedy nejmenované firmě, která dodává bezpečnostní dveře.
Mistr dorazil o pár dní později, proměřil si zárubně a mezi řečí se mě zeptal: „Kdy vás vykradli?“
Když jsem na jeho otázku odpověděl, že nikdy, udiveně zakroutil hlavou: „To jste letos první. (Byl prosinec.) Lidi nás zásadně volají až tehdy, když je vykradou.“
Na tento dialog si vzpomenu vždy, když mám co do činění se zabezpečením počítačových systémů. Až příliš často se stává, že teprve nějaká drastická událost – ztráta dat, vynesení citlivých dokumentů, řádění hackerů, které zanechalo stopy – přivede zodpovědné manažery k dodatečnému řešení bezpečnosti. Jako lidé nejsme moc dobře stavěni na to, odhadovat rizika a předcházet jim už v době, kdy se ještě nic nestalo.
Digitální bezpečnost má navíc zákeřné atributy, které ve fyzickém prostoru neznáme. Díru do domu – třeba chybějící sklo ve výkladní skříni – vidí každý na první pohled, kdežto „díry“ v systémech jsou nenápadné a dost často uniknou i pozornosti odborných administrátorů. Stopy po průniku také nemusejí být zjevné, na rozdíl od vypáčených dveří – zkopírovaná data z původní lokace nezmizí. A konečně: ve svém fyzickém domově se musíte obávat jen zločinců z určitého geografického okruhu, gangy z Brazílie nebo Thajska vás v Praze nepřepadnou. Na internetu je však „všude blízko“, servery umístěné v České republice jsou zranitelné z celého světa.
Souboj mezi útočníkem a obráncem je v digitálním světě právě tak lítý, jako ve fyzické realitě. Lidé však mají tendenci svoje digitální bezpečí podceňovat ještě více, než to fyzické. A tak, ačkoliv je hodně co ztratit, nezamykají svoje pomyslné dveře – pokud je vůbec mají.
Součástí problému je to, že spousta masově rozšířených řešení, softwarových i hardwarových, která se tváří jako ochrana, je k ničemu – nebo skoro k ničemu. Každý výrobce bezpečnostních technologií totiž dříve nebo později narazí na nekompromisní požadavek uživatele: je to složité! Nechci se ničím zabývat! Udělejte to nějak, aby to fungovalo samo, bez mé námahy! Abych o tom vlastně ani nevěděl!
A tak, jelikož chce mít spoustu spokojených platících zákazníků, to „nějak“ udělá. Tak, aby uživatel o tom ani nevěděl a bezpečnostní opatření jej neobtěžovala.
Jenže taková řešení bývají slabá. Až na pár výjimečných situací dosud neumíme dělat kvalitní kryptografii bez dlouhých hesel, soukromých klíčů, hardwarových tokenů a podobných prvků, jejichž nasazení se bez uživatele neobejde. Zde neexistuje žádná zlatá cesta; kdo chce být v bezpečí, nemůže se spolehnout na řešení, která od něj nevyžadují žádnou námahu. Musí pro to něco dělat. Všimněte si například toho, že internetové bankovnictví žádné takové jednoduché postupy „nevede“ – všude máte vícenásobná potvrzení platebních operací, nic se nestane „za vás“ bez důkladného ujištění, že jste to opravdu vy. Banky totiž vědí, že žádnému nátlaku na oslabení svých systémů nemůžou vyhovět.
Kolikrát jsi dnes, milý čtenáři, zadával hesla do bezpečnostního softwaru? Pokud ani jednou – jsi si jistý, že tvá data mají opravdu tak malou cenu, aby to nebylo potřeba? Kupovat si bezpečnostní dveře až po vloupání, to je opravdu hodně hloupý pocit.
Marian Kechlibar