Aleš Špidla je oficiálně v důchodu, ale ve svých šestašedesáti letech přesto vytíženější než kdy dřív. Je předním odborníkem na kyberbezpečnost a stále dostává nové nabídky k práci.
Experti a expertky jako on nepřestávají být potřeba. Svou profesní kariéru přitom Špidla začínal v roce 1986 a už v první polovině devadesátých let se živil záchranou dat, což volně přešlo v zájem o kyberbezpečnost. V roce 2010 zpracoval pro Ministerstvo vnitra vůbec první tuzemskou strategii kybernetické bezpečnosti – výstupem bylo upozornění na nutnost zvláštní legislativy.
„To byla těžká bitva. Jsem několikanásobný mistr světa v házení hrachu na zeď,“ vzpomíná se smíchem. „Šlo mi o podchycení kyberbezpečnosti kritické infrastruktury,“ vrací se do časů, které vedly k novému zákonu o kybernetické bezpečnosti, platnému od roku 2015.
Dnes Špidla působí jako pedagog na Vysoké škole CEVRO, kde je garantem postgraduálního studijního programu, a pracuje také jako manažer kybernetické bezpečnost Úřadu městské části Praha 5. V minulosti byl prezidentem Českého institutu manažerů informační bezpečnosti.
Česko bylo dlouho příkladem z hlediska kybernetické bezpečnosti a dalo vzniknout i oficiálním dokumentům Evropské unie. Kyberprostor a v něm i kyberzločiny se ale vyvíjejí s neuvěřitelnou rychlostí a v roce 2024 je podle Špidly potřeba být ještě opatrnější. A uvažovat jako hacker.
V polovině prosince ohlásila aplikace EasyPark, že jim byla ukradena data uživatelů. Koncem prosince Český rozhlas to samé. Jsou takové útoky častější, než si myslíme?
Ne každý se tím chlubí. Když jdou s informací ven, vystavují se reputačnímu riziku. Dokonce jsou napadány i instituce, které prodávají kybernetickou bezpečnost. Je to častější, než si myslíme. Mnohdy o nich nevědí ani ti napadení.
Kterých útoků se bojíte nejvíc?
Tichých, kdy je v zájmu útočníka – například i za účelem špionáže – zůstat co nejdéle skrytý a krást.
Co kradou?
Cokoli. Teď ve Spojených státech amerických ukradli Číňané stovky tisíc e-mailů státních institucí.
V případu z konce roku ukradli hackeři data všech zhruba 150 tisíc uživatelů portálu mujRozhlas. Český rozhlas uživatelům radí změnu hesla. Pomůže to?
Problematika hesel je velké téma. Uživatelé chronicky používají hesla slabá. Pokud jsem zaregistrovaný v aplikacích, kde mi o nic nejde, používám devítiznaková hesla. Měla by být kombinovaná, tedy obsahovat velká písmena, speciální znaky a čísla.
A například do platebních aplikací?
Doporučil bych devatenáctiznaková hesla. Nedávno jsem se díval na tabulku prolomitelnosti a končí na osmnácti kombinovaných znacích. Vnímejme aplikace, stránky, poskytovatelské služby a portály podle toho, jak moc nás prolomení hesla může ohrozit.
Další kapitola jsou lidé, kteří použijí pro přístup do aplikací, ale klidně i pornoservery, služební mail se stejným heslem. Když dojde ke zcizení, otevíráte pomyslné dveře do svého služebního prostředí. Velmi často se to využívá například na e-shopech – doporučuji mít zvláštní účet na e-shopy a stránky, ze kterých chodí newslettery a nabídky.
Jak si pamatovat a skladovat vícemístná a komplikovaná hesla?
Já jsem si vymyslel systém, abych hesla neměl poznačená. Pokud vezmete větu „moje tetička se narodila v roce 1945“ a její písmena proložíte speciálními znaky a velkými písmeny, pak je heslo neprolomitelné. Vytvořte si k tomu příběh, který nikomu nic neřekne.
Problém nastává, pokud používáte stejné přihlašovací údaje pro přístup k více stránkám. Měli bychom si uvědomit, že škodlivých nebo zavirovaných stránek je padesát procent. Na Googlu si můžete najít stránky, jestli vaše heslo už někde neuniklo.
Hackeři při útoku na Český rozhlas zcizili e-mailové adresy a jména uživatelů. Hesla ale měla uniknout v nečitelné podobě, s malou pravděpodobností jejich dalšího zneužití. Můžeme takovému tvrzení věřit?
Co jste čekala, že by řekli? Pokud mají alespoň nějakou ochranu, hesla nejsou jednoduše čitelná.
Zároveň nejde o první kybernetický útok na Český rozhlas. Už v červnu roku 2023 zmizely z jeho serverů obrázky a archivní záznamy. Jak je možné, že během půl roku došlo k už druhému úspěšnému prolomení ochrany?
Média jsou v současné bezpečnostní situaci pro hackery zajímavá. Viděl bych to jako útok na už zmiňované reputační riziko. Neznám motivaci útočníků, ale nemyslím si, že by se uniklé údaje daly nějak masivně zpeněžit, snad pokud by se mezi nimi vyskytly údaje veřejně zajímavé osoby.
I když neznáte motivaci – umíte jako bezpečnostní expert předvídat hackerovo počínání?
Musím umět myslet jako hacker. V tomto případě bych si zjistil, jestli se mezi předplatiteli nachází mediálně známá osoba. Podíval bych se na darknet, jestli se jeho či její účet objevuje i v jiné ukradené databázi a zjistil bych, jestli je u něj i heslo.
Takže 150 tisíc ukradených údajů může být kvůli jedné osobě?
Kdybych byl hacker, takto bych se zachoval. Samozřejmě může jít o ztrapnění daného média. Stalo se to podruhé za půl roku, to už je opravdu trapas. Neudělali si pořádnou analýzu předchozího útoku a nepřijali opatření.
V případě EasyParku došlo k „narušení údajů zákazníků, které nemají citlivou povahu“. Co to znamená? Která data mají a nemají citlivou povahu?
Domnívám se, že tím chtěli říci „osobní údaje“, podle kterých jsme identifikovatelní. Dříve se citlivými údaji nazývaly ty o zdravotním stavu či sexuální orientaci. Dnes už jim říkáme „osobní údaje zvláštní kategorie“ v souvislosti s GDPR.
Jak bychom měli reagovat jako uživatelé služby, které unikla naše data?
Jste v roli nevinné oběti, kterou správce služby nedostatečně ochránil. Radím změnu hesla a přihlašovacího jména. Pokud možno službu přestat používat.
V souvislosti s ochranou osobních údajů, v Británii z průzkumu zjistili, že v okamžiku, kdy by mobilnímu operátorovi unikly osobní údaje jeho klientů, tak šedesát procent klientů zvažuje odchod k jinému a dvacet procent to udělá. To se snadno přepočítá na peníze.
Máme změnit všechny svoje přihlašovací údaje? Nebo se to týká jen dané služby?
Změna celého řetězce přihlašovacích údajů je namístě. Speciálně tam, kde jste použili údaje stejné. Ale vzpomenete si, kde všude jste je použili? Pokud ne, tak každý den krátká modlitbička. Ale vážně – v roce 2024 je nutné strategicky přemýšlet o svých heslech. Rozdělte si je dle důležitosti a bankovnictví zabezpečte vícefaktorovým ověřením.
To se skládá ze tří základních autentizačních nástrojů: něco vím, něco mám, něco jsem. Použijte alespoň dva z nich. Něco vím? To je vaše heslo. Něco mám? To je například USB disk s certifikátem. Něco jsem? To je biometrie, obraz duhovky nebo otisk prstu. Pak je samozřejmě i rozpoznání obličeje, což může být problematické, když vypadáte ráno jinak než odpoledne.
Zmínil jste darknet, jak jsou na něm uniklá data naceněná?
Údaje k bankovní kartě tam koupíte řádově za pár centů. Záleží, jakou má karta expiraci a jak moc se může jít do debetu. Nejdražší je zdravotnická dokumentace. Když v Singapuru došlo ke krádeži asi jeden a půl milionu zdravotnických informací, čekalo se, že se budou někde zpeněžovat. Útočníkům ale šlo o zdravotní stav premiéra.
Představte si nějakou celebritu, u které se ve zdravotní dokumentaci zjistí, že za posledních šest měsíců byla šestkrát na venerologii…
Člověk se stane vydíratelný.
Hodnota informací není v tom, jak obtížné bylo je získat. Hodnota je v jejich obsahu. Bavíme se také o kyberšpionáži v rámci konkurenčního boje mezi státy i firmami. Kyberkriminálníci ve válečných konfliktech mohou být užiteční.
Jak jsme na tom tedy z hlediska podchycení kyberbezpečnosti v kritické infrastruktuře?
V minulosti se spousta institucí vyhýbala být takzvanými osobami povinnými vůči zákonu o kybernetické bezpečnosti – nejtypičtějším příkladem byly nemocnice, které pod zákon nespadly a to bylo špatně. Čekalo se jen na průšvih a jeho dopad.
Naštěstí přišla evropská směrnice NIS1. Podezřívám, že Evropská unie vzala náš zákon a částečně ho opsala. Když bylo v roce 2017 nutné naši legislativu s novou směrnicí harmonizovat, byli jsme v souladu z pětadevadesáti procent.
Náhoda?
Nemyslím si. Česká republika v té době fungovala jako příklad.
Co se za tu dobu v kyberprostoru změnilo?
Od roku 2010 uplynulo hodně vody. Čekal jsem, že to bude masivní – celá řada institucí razila pravidlo „nespadám pod zákon, neřeším“. Na to doplatila nemocnice v Benešově v roce 2019 a spousta dalších nemocnic. Kdyby tehdy ředitel investoval patnáct milionů korun do zabezpečení, nebude mít škodu nějakých sedmdesát nebo osmdesát milionů.
Jsou si toho ostatní nemocnice vědomy?
Proaktivní kroky podnikají jen velmi pomalu.
Vloni vstoupila v platnost směrnice NIS2, co nového přináší?
Vytváří rámec pro harmonizaci národní legislativy. Budeme mít nový zákon a navazující předpisy. Bude v něm zakotvena odpovědnost vrcholového vedení. Společnosti se budou muset vzdělávat v kybernetické bezpečnosti a věnovat jí finanční a časové zdroje.
Jak na vás současná situace působí?
Pud sebezáchovy se začíná projevovat na základě účinku průšvihů. Vzhledem k „promořenosti“ společnosti technologiemi ale nemůžeme spoléhat na to, že se nám nemůže nic stát. Může.
Jaké je povědomí o kybernetické bezpečnosti mezi tuzemskou veřejností?
Kdyby byli lidé obezřetní, nemusel by být natočen film V síti. Každý rodič by měl být obezřetný na to, co jeho syn z internetu stahuje a jeho dcera na internet nahrává.
A jak je na tom mladá generace?
Mladší nemají k technologiím takový respekt jako starší. Bezpečnost je zdržuje a to mnozí nechtějí. Záleží však, jakou školou prošli a kdo je učil. Základy kybernetické bezpečnosti by měly být dětem poskytnuty už v předškolním věku.