Řada společností, včetně těch velkých, investice do bezpečnosti zanedbává, často až do výskytu podstatných bezpečnostních incidentů,

řekl CzchIndustry Ivo Rosol, ředitel vývojové divize společnosti OKsystem

 

 

Pane řediteli, společnost OKsystem v minulých dnech představila Babelbox, který je jejím příspěvkem pro bezpečnou komunikaci v podnikové sféře. Řekněte nám o něm více.

Představení Babelboxu navazuje na předchozí uvedení firemní platformy pro bezpečnou komunikaci Babelnet. Ten zajišťuje šifrovanou komunikaci mezi počítači a mobilními zařízeními a pro svoji činnost potřebuje firemní server, který spravuje účty uživatelů a jejich zařízení, distribuuje veřejné klíče a zajišťuje asynchronní komunikaci. Babelbox je předinstalovaný miniaturní server pro Babelnet, který stačí zapnout a velmi jednoduše začít používat pro šifrovanou komunikaci ve firmě i s ostatními, kteří mají účet na jiném serveru. Je to efektivní a dostupné řešení pro menší firmy, které nemají vlastní servery nebo správce IT, případně se nechtějí zabývat instalací serveru.

 

Babelnet a Babelbox je výsledkem několikaleté práce, co vše mu předcházelo?

Na platformě Babelnet pracujeme již 4 roky. Základem je kvalitně implementovaná silná kryptografie, použití ověřených standardních algoritmů, implementace opatření proti pasivním a aktivním útokům. Programovat aplikovanou kryptografii je zodpovědná práce, kde není prostor pro experimenty, ani pro dobře míněná „vylepšování“. Nelze se obejít bez spolupráce s kryptology a partnery, kteří provádějí nezávislé penetrační testy. Tedy vývoji Babelnetu předcházela více než desetiletá zkušenost společnosti s použitím aplikované kryptografie v oblasti čipových karet, PKI a informačních systémů a také účast ve velkých mezinárodních projektech výzkumu a vývoje v této oblasti.

 

Šifrovaná komunikace, to zní skoro jak z detektivních filmů. Můžete nám rozšifrovat toto sousloví?

Šifrovaná komunikace se používá od nepaměti, původně sloužila především k utajení psaných zpráv a první historické záznamy o použití různých metod sloužících k utajení zpráv jsou více než 2500 let staré. V současnosti, kdy lze datově reprezentovat prakticky libovolnou informaci (obrázky, fotografie, videa, modely, virtuální realitu…), slouží kryptografie nejen k bezpečné komunikaci, ale i k bezpečnému zpracování a uložení čehokoli v digitální podobě. Kryptografické technologie, mezi které patří šifrování, jsou v současné době na úrovni, která umožňuje dosáhnout požadovanou úroveň bezpečnosti pro všechny typy uživatelů. Na šifrování již řadu let není nic tajemného nebo nedostupného – jedná se o aplikaci specifické části matematiky, zejména z oblasti teorie čísel a teorie složitosti do oblasti algoritmů a jejich kvalitní implementace.

 

Na jakém principu pracuje moderní kryptografie?

Veškerá moderní kryptografie je založena na složitosti řešení vybraných úloh, které neumí současná matematika ani technologie vyřešit v čase, který by postačoval k úspěšnému a efektivnímu útoku. V jádru současné kryptografie ovšem přetrvává matematická nedokazatelnost jejich bezpečnosti.

Společným principem moderních šifrovacích algoritmů je použití veřejných a odborně přezkoumatelných mechanismů a operací. Veškeré tajemství je přesunuto z šifrovacího algoritmu do tajného parametru – šifrovacího klíče (tzv. Kerckhoffsův princip).

Symetrická kryptografie s tajným klíčem využívá jeden klíč pro šifrování a stejný klíč pro dešifrování zprávy. Výhodou algoritmů symetrické kryptografie jsou relativně krátké klíče, rychlé operace šifrování a dešifrování a díky tomu možnost šifrování prakticky libovolně velkých objemů dat.

Nesymetrická kryptografie je založená dvojici klíčů, které se často nazývají privátní a veřejný a na páru transformací, kde jedna transformace je výpočetně schůdná a zpětná transformace výpočetně neschůdná. Nesymetrická kryptografie je sice výpočetně náročnější než symetrická, ale díky existenci dvou klíčů má řadu nezastupitelných použití, zejména v oblasti autentizace, elektronického podpisu, dokazatelnosti původu, pravosti a integrity dat.

Kryptografie má vedle šifrování řadu dalších důležitých základních operací, mezi které patří zejména digitální otisky, ověřovací kódy, generátory náhodných čísel a další.

 

Je kryptografie omezena z pohledu práva?

Kryptografie je z hlediska využitelnosti v civilní i vojenské oblasti klasifikována jako zboží dvojího užití, což má právní dopady na regulaci jejího exportu, importu a použití. Česká republika je signatářem mezinárodní smlouvy, tzv. Wassenaarském ujednání o vývozních kontrolách konvenčních zbraní a zboží a technologií dvojího užití (kam patří i kryptografie).

Z národní legislativy se problematikou kryptografie zabývá zákon č. 412/2005 Sb. o ochraně utajovaných informací a o bezpečnostní způsobilosti, dále zákon č. 181/2014 Sb. o kybernetické bezpečnosti a zákon č. 27/2005 o elektronických komunikacích.

V současnosti je právní regulace v oblasti použití, exportu a importu liberalizovaná. Nejsou žádné překážky pro použití silné kryptografie v privátní, komerční a institucionální sféře. Relativně malá a racionální regulace v oblasti exportu nebrání exportu kryptografického software a zařízení do většiny vyspělých zemí světa, zejména pokud se jedná o zboží pro masový trh.

Obtížnost odposlechu šifrované komunikace policií a tajnými službami vede v poslední době k oživení snah o postavení šifrované komunikace mimo zákon. Nejedná se o nic nového, určitá zákonná omezení pro použití kryptografie k šifrování byla realizována v USA, ve Velké Británii ve Francii a řadě dalších zemí. Je však na místě si zopakovat myšlenku Philla Zimmermana, tvůrce PGP: „If privacy is outlawed, only outlaws will have privacy“.

 

Diskutovanou otázkou je ochrana soukromí a tajemství zasílaných zpráv v jakékoli podobě. Soudobá technika přitom dnes umožňuje mít pod „kontrolou“ kohokoli z nás prakticky nepřetržitě. Nedostáváme se tak do situace, kdy před Velkým Bratrem nebude úniku?

Rozvoj techniky skutečně umožňuje vysoký stupeň kontroly nad každým z nás a nepochybně dochází k stále vyšší míře využití informací o našich aktivitách, chování, preferencích a to ve všech činnostech kde se používá elektronická komunikace, bezhotovostní platby, EET, vyhledávání na internetu, jakýkoli pohyb s mobilním telefonem, použitím cloudových služeb a mnoho dalších.

Toto sledování a profilování, ať je provozováno na komerčním principu, nebo veřejnou mocí nepochybně umenšuje prostor lidských a občanských svobod.

Technologie sice umožňuje realizovat systém Velkého Bratra, nicméně také umožňuje zachovat oprávněnou privátnost. Základním prostředkem je používat šifrování komunikace a dokumentů uložených na počítačích a mobilních zařízeních a nepoužívat (zejména ve firmách) populární cloudové služby, které jsou „zadarmo“. Protože jak známo, nemohou být zadarmo. To čím platíme, jsou naše informace – naše kontakty, naše dokumenty, naše komunikace, naše profily.

 

Kyberkriminalita způsobuje již dnes firmám nemalé ekonomické ztráty. Které jsou v této souvislosti hlavní bezpečnostní hrozby, jimž se musíme bránit?

Důvodem kyberkriminality je v současnosti převážně ekonomický prospěch útočníka.

Hlavní hrozby spočívají pochopitelně ve škodlivém software a souvisí s činností lidí – nejen aktivních útočníků vně, nebo uvnitř společnosti, ale i nesprávně jednajících vlastních uživatelů.

Podstatným zdrojem škodlivého software je e-mail komunikace, obsahující odkazy vedoucí k nákaze, nakažené přílohy nebo makroviry. Vedle toho se již řadu let zdokonalují útoky vedené na sociální inteligenci uživatelů (tzv. phishing nebo e-mail spoofing), které umožňují získat přímo od uživatelů důležité informace, které umožní následující útoky, často s devastujícím účinkem.

 

Dá se jim efektivně čelit?

Není možné se kybernetickým útokům nebránit, neboť nejsnáze se útočí na bezbranné. Stejně jako v ostatních oblastech, ke každému útoku existuje obrana a naopak.

Účinná obrana musí být víceúrovňová, používat různé technologie a opatření. Samozřejmě se nelze omezit jenom na technická řešení, ale je nutné použít i organizační a personální opatření, kombinovat reaktivní i proaktivní postupy.

Dosažení rozumné, tedy přiměřené a efektivní míry bezpečnosti, není jednoduché ani levné a zejména se nejedná o jednorázovou akci, ale o průběžný proces. Řada společností, včetně těch velkých, investice do bezpečnosti zanedbává, často až do výskytu podstatných bezpečnostních incidentů. Ne každý si uvědomuje, že horší, než detekovaný bezpečnostní incident, je dlouhodobý únik informací, o kterém společnost ani její zákazníci nevědí.

Celosvětové údaje vypovídají, že v roce 2015 činily škody způsobené kyberútoky 500 miliard USD, přitom výdaje na IT bezpečnost pouze 75 miliard USD. Z tohoto pohledu je zřejmé, že stávající výdaje na IT bezpečnost jsou příliš nízké, nebo málo efektivní. Jednou z příčin může být přežívající nesprávný ekonomický pohled na bezpečnost, jako na něco, co nevydělává, ale naopak pouze zvyšuje náklady.

Nelze zamezit kybernetickým útokům, lze je však znesnadnit a je možné omezit jejich dopady. Jedním z důležitých a relativně levných nástrojů je kryptografie – data a informace, které jsou dobře zašifrovány, nemají pro útočníka cenu, nebo mají pouze omezenou cenu. Útočník, který narazí na přiměřenou obranu, nebo který zjistí, že to, co získal, nemá dostatečnou cenu, se nejspíše zaměří na jiné subjekty. To je princip efektivní obrany.

 

 

Věnují firmy v České republice dostatečnou pozornost bezpečnosti dat?

Jak které. Průzkumy ukazují, že si většina vedoucích pracovníků firem uvědomuje nebezpečí kybernetických hrozeb, na druhé straně ale většina z nich běžně používá nezabezpečené způsoby komunikace – e-mail, SMS, veřejné komunikační a cloudové služby a nezabezpečené ukládání dat, bez využití šifrování. Rádi bychom přispěli k zlepšení tohoto stavu prostřednictvím našich produktů, poskytnutím odborných služeb, včetně školení a konferencí.

 

Které hlavní argumenty byste uvedl pro to, aby firmy, zejména malé a střední, využily Vaše řešení?

Snažili jsme se formulovat hlavní rizika, spojená s běžnou činností uživatelů a přesvědčit, že není důvod, proč pokračovat v používání nezabezpečených způsobů komunikace a uložení dat. Argumenty jsou jednoduché – každý kdo používá mobilní zařízení, e-mail, wifi připojení k internetu, bezplatnou aplikaci pro instant messaging nebo ukládá na svém zařízení dokumenty – je bezprostředně vystaven riziku úniku důvěrných obchodních i soukromých informací. Naše řešení je dostupné pro firmy všech velikostí a umožní chránit soukromí a obchodní tajemství nezávisle na zařízení, způsobu připojení a místě použití.

 

OKsystem působí na českém trhu již čtvrt století. Obstát v konkurenci na trhu IT znamená být neustále na špici technických řešení, což se Vám daří. Čtenáře by jistě zajímalo, kdo jsou vaši zákazníci, které produkty považujete za referenční a proč?

Naši zákazníci jsou z komerční i veřejné sféry. V oblasti státní správy dlouhodobě vyvíjíme, udržujeme a zajišťujeme provoz rozsáhlých informačních systémů v oblasti sociálních dávek a zaměstnanosti. Mezi naše referenční systémy patří dále OKbase – úspěšný systém pro personální a mzdovou agendu, který je nasazen u stovek velkých a středních firem a organizací státní správy a samosprávy. Novým a pro naši společnost strategickým produktem je Babelnet, jehož uplatnění plánujeme nejen na českém trhu, ale zejména v zahraničí. Vedle těchto „vlajkových lodí“ nabízíme systém OKsmart pro čipové karty a OKdox pro správu dokumentů. Vyvíjíme mobilní aplikace na zakázku a snažíme se dostát vizi společnosti – „Děláme vše pro to, aby naše informační systémy byly užitečné, nápadité, spolehlivé a bezpečné“.

 

Otázky na závěr: množství shromažďovaných dat roste neskutečným tempem. Nehrozí, že je nebudeme schopni zpracovat, natož efektivně využít? Nedostaneme se tak do područí umělé inteligence?

Jednoduchý příměr můžeme nalézt v oblasti dřívější klasické fotografie a současné digitální. Zatímco dříve bylo pořízení fotografie relativně nákladné a cesta od fotoaparátu k fotografii zdlouhavá, dnes je situace opačná. Důsledkem jsou minimálně desetitisíce digitálních fotografií, které pořídí téměř každý z nás, ale málokdo si najde čas na jejich zpracování a prohlížení a mnozí o své fotografie přijdou v důsledku havárie počítače.

Nepochybně množství shromažďovaných dat roste úměrně s kapacitou úložných zařízení, další gigantické množství dat je a bude generováno množstvím uzlů a čidel v tzv. internetu věcí a je otázkou nejen, zdali budeme schopni tato data uchovat, ale i smysluplně zpracovat a použít. Nesmíme přitom zaměňovat množství dat s množstvím použitelné informace obsažené v těchto datech. Tedy schůdná cesta vede spíše směrem k uchování a zpracování vytěžené informace, místo hrubých dat.

Umělá inteligence“ je pojem, který lze chápat různě. Na příkladu samořiditelných automobilů můžeme dobře sledovat, že stroj může být opatřen větším množstvím lepších čidel, než má člověk, může nesrovnatelně rychleji vyhodnocovat jejich údaje a na základě optimalizačních kritérií se rozhodovat o nejlepší reakci na situace v provozu. Kritéria a algoritmy rozhodování, alespoň prozatím, stanovuje člověk – matematik, konstruktér, programátor – a to je hlavním obsahem „umělé inteligence“, která je strojně zpracovanou transformací inteligence lidské. Nelze ale vyloučit, že analogicky jako může být nějaký člověk v područí jiného člověka, nebo organizované skupiny, lze k témuž účelu využít „umělou inteligenci“ zabudovanou ve strojích.