Vnímáte nárůst zájmu o bezpečnostní a krizová témata?

Ta rizika se opravdu zvýšila od doby, co se široce využívá internet. To je tak od roku 2000, kdy přišly první viry a rizika. Ale na začátku to nebyl byznys, protože když shrnu vývoj, tak ten začátek, těch prvních pět let, bylo spíše o "hackování" pro potěchu vlastního ega a o tom ukázat kamarádům, že jsem borec a dostanu se do cizí sítě nebo do sítě nějaké banky. Ale s tím pohnula krize. Od doby ekonomické krize se dělá kyberšpionáž v byznyse, a to z konkrétního důvodu. - vydělat peníze. A máme také kyberšpionáž států, jako je Čína, Sýrie, Írán atd. Tam jde o jasnou motivaci získat nějakou velkou výhodu.

Můžete uvést příklad?

Konkrétně Čína, když vyvíjí bombardér, vojenský letoun - stíhačky, tak napadá dodavatele ve Spojených státech, protože je přesvědčena, že tak jednodušeji získá plány od dodavatelů než od ministerstva obrany. To jsou ty jasné motivace.

A ochrana té kritické informační infrastruktury?

Banky, plynárny, vodárny, telekomunikace - to, co je definováno jako kritická infrastruktura státu, tam si odpovědní lidé uvědomují to riziko velice dobře. Na ně v první řadě doléhá zákon o kybernetické bezpečnosti. Ten definuje ty role a zde vidíme změnu. Prezident zákon podepsal loni v srpnu a v roce 2015 jde o přechodné období. Dříve byla důležitá funkce celkového bezpečnostního ředitele, který měl pod sebou "malého" IT ředitele. Ale ten nový zákon vyžaduje, aby tam byly další funkce, jako je například architekt bezpečnosti, garant informačních aktiv, auditor... A všichni berou bezpečnost velice vážně, protože tady ta rizika jednoznačně jsou.

Můžete uvést, co se může stát, když jsou v takových systémech mezery?

Například všichni víme, že mezi Íránem a Izraelem nejsou úplně nejlepší vztahy. Írán má nukleární program, který se Izrael a USA snaží zastavit. A někdo vymyslel virus, který se dostal až do nukleárních odstředivek v Íránu a mechanicky je vyřadil. Ten virus uměl zařídit to, aby zařízení pracovalo tak, že se zrychlují jeho otáčky, a zároveň dává špatnou informaci o tom, jaké ty otáčky jsou. Takže se zařízení mechanicky zničí. Tímto způsobem počítačový vir dokázal zastavit a zničit počítačový program.

Odborníkům trvalo několik měsíců, než kompletně opravili celé výzkumné zařízení. Toho jsou si vědomi i poskytovatelé takových služeb, jako je energetika nebo nukleární elektrárny. Atomová elektrárna ví, že kdyby došlo k napadení technologického zařízení, tak to může mít katastrofální důsledky.

Nově si zvykáme na myšlenku otevřených dat. Co by mělo být přístupné a co ne?

Otevřená data jsou ta, která vlastní obvykle stát a nějakým způsobem nejsou ani utajovaná a nejsou prohlášena ani za citlivá. Nejzajímavějšími daty, která jsou otevřená, neutajovaná, jsou nějaké struktury nějakých výdajů státního rozpočtu až po obce a města. Nejpopulárnější dotazy, které jsou na těchto systémech, se týkají například výdajů z evropských fondů, které byly uplatněny v jednotlivých regionech a městech. Když se dojde na úroveň měst a obcí, tak samozřejmě všichni chtějí vědět, jak dopadl volební program. Kolik jsme dali peněz například na chodníky a silnice nebo dětem na hřiště. Jde o politické účtování vůči obyvatelstvu. A to jsou rozhodně data, která by měla být otevřená.

Je těžké "číst", vyznat se v takto otevřených datech?

Je problém otevřít je v takovém formátu, aby člověk rychle a jednoduše našel to, co hledá. Dříve to byla technická otázka. Předtím to byly většinou PDF soubory, kdy se nějaké tabulky vystavily na web organizace. To vám umožní si prohlédnout soubor, ale neumožní sjet nějakou statistiku, kterou chcete.

Dám příklad. Například mě zajímá v okrese Praha-Západ, kolik bylo vydáno na opravu silnic. Když vytáhnu soubor o sto dvaceti stranách s tabulkami, tak možná vůbec nenajdu tuto strukturu v rámci tabulek. Potřebuji přístup k syrovým datům. To, co specifikuje to pojetí otevřených dat v moderní formě, je přístup k syrové formě dat, ale v takovém formátu, aby to bylo čtivé a abych i já jako laik dostal tato data do tabulkového procesoru a mohl si jednoduchým zadáním v nějaké přetáčecí tabulce zadat otázku, kterou konkrétně mám. Ta definice otevřenosti znamená, jakým standardem budou popsány ty sloupce. Protože musí být výklady sloupců a je problém, aby tomu všichni rozuměli.

Manažeři s vysokou odpovědností říkají, že si často nastavují jiný vyhledávač než Google. Bojí se prozrazení velkého objemu důvěrných informací. Je to paranoia, nebo mají tyto úvahy oprávněný základ?

Podstata otázky spočívá v tom, že jeden z obchodních modelů služeb poskytovaných zdarma na internetu je takový, že lidé dobrovolně vyměňují část svého soukromí za to, že mají výhodnější nebo rychlejší přístup k určitým službám. Když se ty služby nabízejí zadarmo, tak často nejde ani o výběr mezi placenou službou a jinou variantou zdarma, protože tato ani často není. Když uživatelé chtějí takové rozhodnutí udělat, je to jejich dobrovolná volba. A možná právě to je ta věc, že lidé s vyššími rozhodovacími pravomocemi začnou být ostražití kvůli tomu, že majitel služeb, které jsou poskytovány zdarma, o nich může vědět až příliš mnoho.

Řadě firem za jejich služby neplatíme (např. Google, Twitter, Iz Book, Yahoo a další), ale jejich zdroj příjmů plyne z toho, že poskytují dalšímu subjektu data o nás. Je to tak?

Z věcné podstaty je pravda, že tam, kde děláte vyhledávání, máte e-mailový účet, tam postujete příspěvky na sociálních sítích. A všechno děláte v rámci jednoho účtu u služeb, které jsou mezi sebou propojené, tak to všechno o vás vědí. Tak je to promyšleno, aby o vás co nejvíce věděli a vytvořili profil a ten profil pak nabídnou inzerentům. To znamená, že čím více mají takto vyprofilovaných lidí, tím je to větší byznys pro toho poskytovatele, protože vlastně prodává vaši hlavu jako profilovanou hlavu těm, kteří vám chtějí něco nabídnout.

Jak by se obecně měli chovat lidé, kteří nechtějí chodit po světě s obnaženým profilem?

Kdybyste jen komunikovala v rámci svého profesionálního e-mailu, uzavřenými cestami se svými obchodními partnery a nerealizovala žádné příspěvky v těch službách, které jsou zdarma, tak si myslím, že vaše digitální stopa bude velice omezená. Vyplatí se dávat si pozor na nákupy, které si vytváříte pod nějakým účtem.

Začíná to tím, když vám e-komerční portál, kde si chcete něco koupit, nabízí, ať se zalogujete facebookovým účtem, že to pro vás bude jednodušší. A pak je dále drobným písmem třeba psáno, že si budou moci osahat všechny vaše kontakty a poslat jim případně marketingový e-mail. První pravidlo je, že jakmile používám nějakou službu zdarma, tak má zpravidla podmínky, které bych si měl dobře rozmyslet.

Takže každá taková registrace by nás měla zbrzdit, abychom si uvědomili, zda za velmi malou výhodu nedáváme někomu do rukou velkou výhodu?

Přesně tak. To se týká třeba i internetové televize, kterou si teď kupuje spousta lidí. Jakmile chci mít výhodu, že objednávám on-line hudbu, videa, což je většinou stejně placené, tak často pod tím účtem je psáno, že celá ta historie může sloužit k marketingu. Poskytovatel toho účtu si vyhrazuje právo, že s touto informací může libovolně nakládat. Takže například já osobně jsem si takový účet vypnul a vůbec jsem jej nezprovoznil. Využívám YouTube, ale anonymně.

YouTube je ohromná zásobárna vzdělávacích videí. Jak si tedy ohlídat tuto platformu?

Záleží na tom, jak je ta televize nastavená. Pravděpodobně se musíte zalogovat pouze k wifině. Ale nic jiného, to znamená, že musíte být připojena na internet, ale nemusíte mít žádný z těch účtů. V tu chvíli, aby hrálo YouTube, nemusíte být zaregistrovaná na Facebooku ani na YouTube. Vždy platí to, že jakmile jste zalogovaná do nějaké služby, tak ta služba registruje, že jste ji čerpala, a už vytváří profil, který může prodat. Jednoduché doporučení je: využívejte služby anonymně. Tuto situaci lze přirovnat k době, kdy se rozvíjela finanční gramotnost a lidé nečetli podmínky úvěrů. Každý nese odpovědnost za to, k čemu se zavazuje.

Které firmy mají obecně dobré standardy ochrany dat?

Jednoduše řečeno je to dáno obchodním modelem. Například IBM je firma, která záměrně cílí na podnikovou sféru. Nevím, že by měla nějakou škálu služeb zdarma. IBM produkuje služby, které si kupujete. Službu máte možnost si objednat nebo zakoupit, třeba velké profesionální cloudové služby. Nebo je IBM velice silná v retailu a business inteligence, v práci s velkými daty z retailových systémů. To znamená, že si můžete koupit analýzu v cloudu a je to jasně placená služba. Zatímco existuje druhý model firem, které poskytují například cloudové služby, které neplatíte, ale platí za ně někdo jiný. To znamená, že zdroj příjmů těchto firem neplyne od vás.

Čili pomůže jednoduchá kontrolní otázka. Kde je byznys té firmy?

Přesně tak.

Stále více lidí se zajímá o to, co se děje s jejich osobními a firemními daty. O jaké nezávislé garance se mohou lidé opřít? Jaké závazky přijal například Microsoft?

Když se obecně prokazuje například zákazníkům cloudových služeb, jak jsou ty služby bezpečné, tak se většinou hovoří o technické a procesní bezpečnosti, zabezpečení těch dat. Ale to nehovoří o tom, jestli právě záměrně ten poskytovatel služby skutečně ta data využívá k účelu, ke kterému ta osoba nebo subjekt dal souhlas. Technicky to znamená, že se do těch dat nedostane hacker. Ale pak je otázka, jestli s těmi daty může ještě někdo pracovat.

Dříve měly firmy jako Google, Amazon certifikát ISO 27001, který slouží právě na zabezpečení dat ve službách, ale neříká, k jakému účelu budou tato data použita. Proto jsme spolupracovali se standardizačním orgánem ISO a British Standard Institute. A vedli jsme i jednání s Němci, kteří jsou na ochranu osobních údajů velmi hákliví.

Jaké standardy se nyní používají v našem regionu, v Evropě?

Dá se říci, že Evropu jako kontinent to vedlo k vytvoření nového ISO z rodiny 27018, které se nezabývá tím, jak jsou data technicky zabezpečená, ale k jakému účelu se používají. Takže teď máme kombinaci ISO 27001, která říká, jak jsou data bezpečná zjednodušeně řečeno proti hackerům, a ta kombinace 018 říká, k jakému účelu se využívá. Microsoft má v tuto chvíli oba standardy ISO. Podstatné je to, jak využíváme data o uživatelích a že máme jasně popsána pravidla v podmínkách soukromí. Každá z těchto služeb musí mít přesně popsány podmínky ochrany soukromí a vyjádření o ochraně soukromí. To je to, co je třeba číst zejména při kombinování různých služeb. Největší ostražitosti je třeba mít u firem, které nabízejí kombinaci různých služeb. Jestli si vyhrazují třeba právo kombinovat profil uživatele z jedné služby s těmi dalšími službami a vytvářet z toho propojené profily.


ZDENĚK JIŘÍČEK

Od 2014 zastává v české pobočce společnosti Microsoft pozici ředitele pro technologické standardy v oblasti cloudu, kybernetické bezpečnosti a otevřených dat. Spolupracoval jako konzultant v oblasti eGovernmentu, bezpečnosti a elektronické identity pro zákazníky v odvětví ICT průmyslu a veřejné správy. Je absolventem Vysokého učení technického v Brně, obor informační technologie.

 

První pravidlo je, že jakmile používám nějakou službu zdarma, tak má zpravidla podmínky, které bych si měl dobře rozmyslet.

Vždy platí to, že jakmile jste zalogováni do nějaké služby, tak ta služba registruje, že jste ji čerpali, a už vytváří profil, který může prodat. Jednoduché doporučení je, využívejte služby anonymně.

 

Foto: Archiv Microsoft

Související