O kybernetické bezpečnosti ve veřejné správě s Radkem Benešem
Bezpečnost dat veřejné správy je tématem nejen tohoto rozhovoru, ale i blížící se konference v Praze.
Radek Beneš, nezávislý IT (ICT) specialista
Radek Beneš je nezávislý IT (ICT) specialista na volné noze, konzultant, softwarový inženýr, soudní znalec v oborech Kriminalistika (bezpečnost a ochrana dat, počítačová kriminalita), Kybernetika (technické a programové vybavení, bezpečnost informačních systémů a ochrana dat). O tom, jak nahlíží bezpečnost dat veřejné správy se dozvíte z rozhovoru s Kateřinou Krajňák, organizátorkou odborných konferencí z B.I.D. services.
Kateřina Krajňák, organizátorka odborných konferencí z B.I.D. services: S jakými případy kyberútoků ve veřejné správě se ve své praxi nejčastěji potýkáte? V čem spatřujete největší rizika?
Radek Beneš, nezávislý IT (ICT) specialista: Bohužel ze své praxe jsem spíše konfrontován s velmi laxním přístupem veřejné správy k zabezpečení spravovaných informací, kdy ve většině případů i zcela schází nějaké technické či organizační opatření, které by byly schopny vůbec nějaký kybernetický útok detekovat. V tom lze spatřit jak dotazovaná vysoká rizika, tak navázat na dotaz z praxe.
Situace, kdy bychom byli přizváni k vyšetřování odhalených bezpečnostních incidentů, ještě před nějakým konkrétním dopadem, tak prakticky nenastává a nevybavuji si za svou praxi snad žádný z oblasti veřejné správy. Řešené jsou obvykle až případy v soudním či správním řízení, kde vyvstal reálný stěžovatel, resp. poškozený a musí se prošetřit skutková podstata řešeného případu. Takové případy jsou obvykle spojené s korupčními kauzami, zneužití pravomocí, porušení tajemství přepravovaných zpráv a podobně. Vybavuji si kupříkladu nedávný případ, kdy pro určitý podvod, pro které bylo potřeba zjistit data o fyzických osobách, byl zneužit neomezený přístup pracovníka exekutorského úřadu k datům uložených v informačních systémech provozovaných veřejnou správou.
Kateřina Krajňák: Jaká data ve veřejné správě vnímáte vlastně jako zajímavá (hodnotná) z pohledu možných útočníků?
Radek Beneš: To je velmi těžká otázka. Všechny informace mají svou cenu. Kupříkladu u jednoho vyšetřování podvodů ve finančním sektoru a neoprávněného čerpání prostředků, při zneužití identity, bylo v trestním řízení rozhodné číslo dokladu fyzické osoby. Jinými slovy lze říci, že pokud by pachatel této trestné činnosti disponoval aktuálně platnými čísly dokladů fyzických osob za které se vydával, pak by zjevně trestní řízení mohlo dopadnout diametrálně jiným způsobem. Z vlastního průzkumu bych ale obecně podřídil pod nejhodnotnější informace data o zdravotním stavu. Jejich cena prodeje se v zahraničí pohybuje i v řádech tisíců dolarů za zdravotní dokumentaci k jedné, fyzické osobě, což oproti desítkám dolarů za např. informace ke kreditním kartám je signifikantní rozdíl.
Kateřina Krajňák: Pokládáte za takto cenné i biometrické údaje?
Radek Beneš: Biometrické údaje vnímám jako jednu z necitlivějších oblastí dat, zejména s predikcí rostoucího významu v budoucnu. Málokdo si uvědomuje, že kompromitování znalosti (např. jméno, heslo) či vlastnictví (např. čipová karta) je velmi rychle zhojitelná. Při úniku ale biometrických dat si dotčená osoba velmi těžko vymění své otisky prstů, oční sítnici, obličej apod. Při exponenciálním růstu virtualizace, či chcete-li digitalizace, je prokázání identity v elektronickém prostředí kruciální otázkou. Biometrie zde bude hrát jistě klíčovou roli, tedy lze i dovodit, že pro vektory útoků předstíranou identitou budou tyto data velmi cenná.