Co je a co není za hranou? Mají státní orgány právo zasahovat do soukromých serverů?

3. 6. 2021. (redaktor: František Doupal, zdroj: Soitron)
Státní bezpečností orgány některých zemí vstupují do interních softwarových systémů soukromých firem a organizací. Snaží se tak z hackery napadnutých informačních systémů odstranit potenciálně škodlivé programové kódy. To vše provádí nejen ze svých serverů, ale i navzdory tomu, že to organizace neví, nebo si to možná nepřejí. Tímto chováním otevírají Pandořinu skříňku. Je to v pořádku? Kam až může státní orgán zajít vůči soukromému subjektu? Neposouvají se hranice až příliš daleko?

Rozsáhlé kampaně závažných kybernetických útoků v uplynulých dnech jen potvrdily, že je zapotřebí jednat. Hlavně rychle. Proto v dobré víře vlády zemí přistupují k poměrně zajímavému způsobu řešení již odhalených infikovaných systémů, kdy jejich odborníci odstraňují backdoory a další škodlivé kódy. Z poslední doby jsou známé příklady, kdy se tak stalo i bez souhlasu od správce systému. Není to tak dlouho, co malware Emotet napáchal v Německu v různých subjektech a firmách obrovské škody. Díky zásahu Spolkové policie bylo toto nebezpečí zničeno. Odborníci policie ovládli řídící servery a připravili pro ně program, který infikovaným systémům poslal instrukce, aby škodlivý software deaktivoval a odstranil. Efektivně se tak zbavili celého problému,“ uvedl bezpečnostní odborník společnosti Soitron Martin Lohnert.

Druhý případ souvisí s tématem žhavým v posledním době, a to sice napadáním Microsoft Exchange serverů. Jejich zranitelnosti (na které správce neaplikoval záplaty) jsou hackery zneužívány po celém světě. Připomeňme, že Microsoft zabezpečení k dispozici má. Celá věc měla zajímavou dohru v USA. „Instituce sice vyzvaly firmy ať problém vyřeší samy, avšak i po měsíci od tohoto oznámení stále existovaly desetitisíce serverů bez aktualizace,“ popsal Martin Lohnert a dodal: „Na základě toho vydal okresní soud jižního obvodu Texasu svolení k možnosti zasáhnout v soukromých serverech bez souhlasu jejich vlastníků. FBI se tak postarala o to, aby učinila přítrž dalším útokům“. Soud americkému Federálnímu úřadu pro vyšetřování dovolil vyhledat a analyzovat servery. Zajímalo jej, zda obsahují uvedenou zranitelnost. Umožnil archivovat a analyzovat veškerý kód související s napadením serverů a dále aktualizaci serverů, opravující chyby, které souvisís popsanou zranitelností. „Také v České republice bylo stejnou zranitelností napadeno mnoho serverů, ale jak už je u nás zvykem, nikdo se tím moc nechlubí. Což není úplně dobře, protože to nejhorší, co může kyberbezpečnost oslabovat, je tutlání,“ podotkl prezident Českého institutu manažerů informační bezpečnosti (ČIMIB) Aleš Špidla.

Mají orgány právo zasahovat do soukromých serverů?

Martin Lohnert podotýká, že se nedá upřít, že v obou případech se orgány snaží provést dobrou věc. „Státní bezpečnostní instituce chtěly firmám odstranit škodlivý software. Roli zde ale hraje i otázka morálnosti takového kroku,“ uvedl. Svět se změnil. Celá řada věcí, které se na první pohled jeví jako nemožné a v rozporu s právem, je naprosto v pořádku. Pohyb v kyberprostoru, který není světem absolutní svobody a už vůbec ne světem absolutního dobra, je tak dynamický, že jakákoliv časová prodleva reakce může vést k fatálním následkům.

„Když už to přirovnám k policejní akci ve fyzickém světě, tak je to obdoba zásahu na základě soudního povolení. Je tady ale obrovský rozdíl v rozsahu akce a v optimální rychlosti reakce,“ popsal Aleš Špidla a dodal, že podle Tallinského manuálu (analýza použitelnosti mezinárodního válečného práva v kyberprostoru) je kyberútočník povoleným cílem kinetického útoku.

Otázka morálnosti je určitě na místě, ale je tu jedno velké „ale“ stejně jako u práva na přiměřenou obranu. Množství napadených serverů generuje oprávněnou obavu z jejich možného zneužití k útoku na jakýkoliv cíl, a to takového, který by nešel zastavit. A co obránci zbývá? ČIMIB popisuje, že je to jako když se k mostu přes řeku valí nepřátelské tanky a obráncům nezbude než ten most vyhodit do povětří a tanky zastavit. Škody se počítají až potom a před stisknutím tlačítka není čas se ptát, komu ten most patří. „Při kyberútocích se to zásadní odehraje v prvních 20 až 100 milisekundách. Tam čas na diskuse s právníky opravdu není,“ popsal Špidla.

Podobné zásahy cizího státu na našem území jsou reálné

Otázkou také je, zda je v pořádku, že orgány takové zásahy na území svého státu povolí provést. Nebo dokonce mohla by něco podobného udělat německá policie i na územní České republiky? Prezident ČIMIB uvádí, že je to reálné, protože mezi státy probíhá velmi intenzivní spolupráce v rámci Europolu, pokud se týká škodlivých aktivit v oblasti kyberkriminality v Evropě. Stejně tak existuje intenzivní spolupráce institucí zodpovídajících za kybernetickou bezpečnost – u nás Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB), v EUROCERTu (orgán pro certifikaci systémů managementu), a těch, kteří zodpovídají za kybernetickou obranu – u nás Vojenské zpravodajství (VZ) a ostatními zpravodajskými službami.

„Spolupráce a synchronizace zásahů probíhá na mezinárodní úrovni nejen v rámci EU ale i se spojenci v rámci NATO. Takže takovýto zásah by byl určitě výsledkem kooperace všech relevantních institucí napříč,“ vysvětlil Aleš Špidla. Je na místě zdůraznit rozdíl mezi NÚKIB a VZ. Zjednodušeně NÚKIB má ve své gesci prevenci a VZ má kompetenci obrany a mimo jiné i oprávnění kybernetického protiútoku proti identifikovanému útočníkovi.

Prezident ČIMIB připomíná, že jsme demokratická země, která se řídí právem a takovýto zákrok podléhá regulaci jako každý jiný. „V tom se lišíme od zemí, které demokratickým zřízením nedisponují. Případný zákrok se odvíjí od analýzy rizik, což znamená zjednodušeně odpovědi na otázky, co hrozí, když nezasáhneme, a co hrozí, když zasáhneme,“ uvedl Aleš Špidla. Ta musí proběhnout rychle a je k ní zapotřebí mít množství spolehlivých a včasných informací, což se v podobném případě bez intenzivní vnitrostátní a mezinárodní spolupráce nedá zajistit. A nejenom té. Identifikace útočníka je vždy výsledkem práce kyberbezpečnostních expertů a analytiků ze všech zpravodajských služeb, ať už své informace získávají jakýmkoli způsobem.

Prevence je nejlepší ochrana

Legislativa těchto zdokumentovaných událostí je jedna věc. Morálnost druhá. Asi žádná organizace by si nepřála, aby bez jejího vědomí mohla do informačních systému vstoupit policie. A to i přes to, že by tak učinila v dobré víře a po předchozí výzvě, aby si organizace zranitelnost sama zabezpečila. Nikdy totiž není možné zaručit, že v systému nenapáchají více škod než užitku a třeba ho neadekvátním chováním zcela nevyřadí z provozu.

Je třeba mít stále na paměti, že data jsou tím nejcennějším aktivem firmy, a proto se stávají cílem útoků různých hackerů nebo crackerů. Neustálý technologický pokrok přitom jen zvyšuje závislost firem na informačních technologiích. „V Soitronu zastáváme názor, že nejlepší ochranou je prevence. Nabízíme komplexní bezpečnostní řešení od konzultací technologické ochrany síťové infrastruktury až po nepřetržitý dohled nad kyberbezpečností v centru Void SOC,“ dodal závěrem Martin Lohnert.

Štítky: 

Podobné články

Skoro dvě třetiny zaměstnanců se aktivně brání aktualizacím softwaru

16. 6. 2021. (redaktor: František Doupal, zdroj: Kaspersky)
Téměř čtvrtina zaměstnanců připustila, že měla nedávno rozepře s IT oddělením firmy ohledně důležitosti nebo četnosti aktualizací softwaru a OS na svém PC. Většina zaměstnanců si navíc podle Kaspersky nakonec prosadila svou a mohla instalaci aktualizací softwaru nebo OS oddálit nebo zcela vynechat. Čtěte více

COVID donutil české „ajťáky“ zapracovat na dovednostech z oblasti IT bezpečnosti

14. 6. 2021. (redaktor: František Doupal, zdroj: Sophos)
Naprostá většina IT týmů, které v průběhu roku 2020 čelily nárůstu kybernetických útoků (82 % celosvětově, 71 % v České republice) a většímu náporu na zabezpečení (84 % celosvětově, 72 % v České republice), podle průzkumu společnosti Sophos posílila své bezpečnostní dovednosti a znalosti. Čtěte více

Hesla jsou terčem poloviny kybernetických útoků u nás

11. 6. 2021. (redaktor: František Doupal, zdroj: Eset)
Nejčastěji se čeští uživatelé setkávají s kybernetickými útoky na hesla uložená v prohlížečích. Ta představují na černém trhu cennou komoditu. Škodlivý kód, prostřednictvím kterého na ně útočníci cílí, se šíří v přílohách e-mailů, které vydávají nejčastěji za faktury. Čtěte více

VMware potvrdil výrazný nárůst útoků cílených na zaměstnance pracující na dálku

10. 6. 2021. (redaktor: František Doupal, zdroj: VMware )
Urychlená digitální transformace způsobila, že bezpečnostní týmy čelí nárůstu množství hrozeb ze strany počítačových zločinců, kteří se snaží provádět cílené útoky proti překotně zaváděným inovacím i proti zaměstnancům pracujícím na dálku. Čtěte více