Přístup českých úřadů k ochraně dat neprospívá bezpečnosti a musí se změnit, říká bezpečnostní expert společnosti Asseco Robert Gogela.
* LN Před časem se objevila zpráva, že neznámí hackeři pronikli do počítačů předvolebních týmů Johna McCaina a Baracka Obamy, aby získali informace pro budoucí vyjednávání s vládou. Jak závažnou hrozbu dnes tato forma kriminality představuje?
Hrozba je to poměrně veliká, protože zájem o informace je u různých skupin značný. Ať už je to v politice nebo třeba v průmyslu, kde mohou být zajímavé údaje o výrobcích konkurentů. Z toho vyplývá, že i ohrožení informací uložených v počítačových systémech je poměrně značné, protože počítačové systémy jsou velmi atraktivním cílem útoku.
* LN Dá se srovnat cena informace jako komodity pro organizovaný zločin třeba ve srovnání s drogami nebo zbraněmi?
Kdo se pustí do něčeho takového, podstupuje určité riziko odhalení nebo potrestání. Cena informací je ale často taková, že různým skupinám stojí za to toto riziko podstoupit. Právě teď s vámi hovořím v mediální agentuře (redakce Lidových novin) a to je jedna ze skupin, která má určitým způsobem také zájem získávat informace. Sám si dokážete představit, že pokud je pro vás informace lákavá, tak se jí snažíte jakkoli získat.
* LN Jistě ale ne tak, že bychom napadali cizí počítače.
To vůbec nelze vyloučit.
* LN Navzdory těmto rizikům nyní skoro všechna česká ministerstva chystají elektronizaci státní správy a budují se obří systémy a databáze jako Státní pokladna, tedy obecně takzvaný eGovernment. Jsou podle vás podchyceny všechny hrozby?
Nejprve je třeba říci, že všechna rizika nelze nikdy podchytit. Na druhou stranu je tu ale faktor času. Letos bylo vydáno několik zákonů, které termíny pro zavedení těchto systémů do praxe stanovují třeba již od poloviny příštího roku. Člověk nemusí být odborníkem na IT, aby mu došlo, že to není příliš dlouhá doba. Hovoříme tu o veřejné správě, kde musí proběhnout výběrová řízení, firmy se mohou odvolávat a pro realizaci nezbývá moc času. Čím dříve se začne systém používat, tím méně rizik se podchytí, to je samozřejmé. Pokud by otázka zněla, zda je na to dost času, pak můj osobní názor zní, že není.
* LN Na tuto problematiku má jako garant bezpečnosti dohlížet Úřad pro ochranu osobních údajů. Plní svou roli dostatečně?
Úřad pro ochranu osobních údajů vykonává pouze to, co mu ukládá zákon. Není tedy chybou úřadu, pokud toho stát dělá pro ochranu osobních údajů málo. Je to nedostatek zákona, protože jím byl úřad předurčen provádět kontrolní činnost a případně potrestat viníky. Zcela se však vytratila osvěta a spolupráce na realizaci opatření. Kontrola je důležitá, ale není na prvním místě. Mluvil jsem s mnoha majiteli a bezpečnostními manažery firem, kteří byli doslova paralyzováni strachem zvednout telefon, zavolat na úřad a normálně se zeptat, jak řešit určitý problém. Protože byli přesvědčeni o tom, že na sebe jen přivolají kontrolu. To o něčem vypovídá.
* LN Iniciativa státu v této oblasti tedy podle vás není dostatečná?
Stanovit pravidla a určit, jak by se lidé měli chovat, je úlohou státu. Máme zde sice zákon na ochranu osobních údajů, ten ale není zrovna jednoznačný v tom, co by pro ochranu měli dělat provozovatelé informačních systémů nebo běžní občané. V mnoha zákonech se v současné době vyskytují formulace, že člověk by se měl zdržet chování, které by ohrozilo bezpečnost počítačového systému. Ale běžný člověk netuší, co to znamená. Často se přenáší odpovědnost na běžného uživatele, ale odpovědnost za systém musí mít vždy jeho provozovatel. Není možné jen dávat do zákonů věty toho typu, že uživatel nemá dělat věci v rozporu s bezpečností. Já se ptám, jaké věci to jsou?
* LN Jak by se současný stav měl zlepšit?
Situaci je potřeba změnit, zejména působnost Úřadu pro ochranu osobních údajů. Je zde přitom vzor, který je možné následovat, a tím je Národní bezpečnostní úřad. Ten má na starosti ochranu utajovaných informací a jeho úspěch je zajištěn tím, že přímo spolupracuje s dotčenými subjekty na tom, jak informace zabezpečit. Vydává poměrně detailní prováděcí vyhlášky, co a kdo má přesně dělat. To v případě osobních údajů vůbec neexistuje, takže tady je rozhodně veliký prostor ke zlepšení. Je ale otázka, jakým způsobem ho dosáhnout. Je to totiž oblast, která se politicky prodává mnohem obtížněji než třeba poplatky u lékaře.
* LN Velké kauzy s krádežemi citlivých údajů nebo milionů identit se v médiích objevují stále častěji, stát ale řeší spíš posilování dopravní policie. Není situace v České republice podceňována?
Bohužel ano. Pokud bych to měl přirovnat ke zmíněným rizikům bezpečnosti silničního provozu, tak v oblasti ochrany osobních údajů se jen provádí měření rychlosti, aniž bychom stanovili, jakou rychlostí se má jet.
* LN Jak velký rozmach krádeže dat v posledních letech zaznamenaly?
Nárůst počtu krádeží informací se vždy těžko kvantifikuje. Je třeba rozlišit počet všech krádeží a těch odhalených, které ještě nejsou zdaleka všechny přiznané. Pokud totiž dojde k prozrazení údajů ve větším rozsahu, pak zájem každé firmy je tu věc skrýt, aby se neprozradila. Určitý vliv má i současné nastavení právního prostředí, protože postižené firmy dostanou pokutu a poškodí si pověst, ale ze strany státu jim nikdo neporadí, co udělat pro prevenci. Fakta jsou však jasná. V posledních letech dochází k obrovskému nárůstu počtu počítačových systémů, které zpracovávají osobní údaje. S tím dochází k nárůstu spravovaných dat a systémy s vysokou koncentrací informací jsou samozřejmě velmi atraktivním cílem.
* LN Dá se nějak charakterizovat obecná bezpečnost informačních systémů v Česku?
V komerční sféře je podle mě zabezpečení na velice slušné úrovni, mnohdy lepší než ve vyspělých státech. Nejsem si ale jistý, jestli je totéž možné prohlásit o systémech, které provozuje stát. Firmy si svůj majetek, tedy i informace, zpravidla dobře chrání. V případě státu ale není úplně zřejmé, kdo je vlastníkem informací -jestli stát, nebo jednotliví občané. Protože je stát jen jakýmsi virtuálním vlastníkem informací, tak jeho zájem na jejich ochraně není přímý.
***
Asseco Czech Republic
Firma patří mezi nejvýznamnější poskytovatele komplexních řešení a služeb v oblasti informačních technologií v České republice. Realizuje projekty jak pro komerční sféru, tak pro státní správu (ministersvo obrany, ministersvo vnitra) a pro samosprávu. Je držitelem prestižního ocenění IT produkt roku 2008 a vítězem Microsoft Technology Awards 2008. Od ledna 2007 je součástí silné mezinárodní skupiny ASSECO, šesté největší IT skupiny v Evropě. V současnosti zaměstnává 586 pracovníků.
