Již minimálně 15 let se ve spojení s Internetem hovoří o informační dálnici. Provoz na této dálnici pořádně zhoustl, přepravují se pakety mezi známými, ale i důvěrné informace do banky nebo na úřad. I proto je velmi zvláštní, že tato dálnice nemá dodnes svá „pravidla silničního provozu“, neexistuje zde „STK“ ani nějaká obdoba dopravní policie.
Dosavadní pokusy něco takového nastavit vyvolaly velký odpor. Někdy byl ten odpor i oprávněný, protože tvůrci zvolili ať úmyslně nebo nechtěně způsob, který měl spíš znaky cenzury a policejního státu. Ostatně ani skutečná pravidla silničního provozu, STK a dopraváci nejsou přijímáni vždy s nadšením a jejich postupné zavedení nebylo jednoduché.
V ČR se začal připravovat, a v souvislosti s DDoS útoky se mnohokrát zmínil, zákon o kybernetické bezpečnosti. Tento zákon však problém s bezpečností na českém internetu nevyřeší a nepomůže ani s ochranou před profesionálními útoky. Vhodnější, jednodušší a účinější by bylo novelizovat zákon o krizovém řízení a doplnit jej o paragrafy spojené s ICT infrastrukturou.
V připravovaném zákoně se řeší problematika útoků na počítačovou infrastrukturu státu, případně na infrastrukturu pro stát důležitých organizací. Takový přístup by byl naprosto v pořádku pokud by již byly nastaveny kontrolní mechanismy, které dokáží odhalit nebo dokonce překazit sofistikované útoky.
Přeneseno do vojenského prostředí se tvůrci zákona o kybernetické bezpečnosti připravují na tankovou bitvu u Kursku a uniká jim, že v dnešní době je daleko nebezpečnější zásah jednotek typu SAEL6 nebo 601. Tedy rozsahem malý, ale dobře cílený, účinný a profesionálně provedený útok.
Ekvivalenty útoků malých dobře vycvičených jednotek existují i v prostředí počítačů a Internetu. Když se je podařilo odhalit dostali jména Stuxnet, Flame, Red October, MiniDuke. Antivirové firmy v těchto případech dokonce přiznaly, že jejich bezpečnostní programy nebyly schopné několik let takové útoky odhalit. S platný zákonem o kybernetické bezpečnosti by byl výsledek stejně špatný.
To, že zákon sám o sobě nic nevyřeší můžeme dnes názorně vidět na zákonu o elektronickém podpisu, který byl přijat v roce 2000 a jeho tvůrci se tehdy chlubili tím, že byl tento zákon v ČR přijat dřív než například v USA. Mimochodem i tvůrci zákona o kybernetické bezpečnosti hovoří o tom, že připravovaný zákon by měl být jedním z prvních zákonů tohoto typu. Jako by jedna zkušenost s zákonem z prostředí IT a Internetu nestačila. Po přijetí zákona o elektronickém podpisu se objevovali absurdní názory, jako například, že banky provozují svůj internetbanking v souladu se zákonem o elektronickém podpisu, přestože se jednalo o komerční prostředí a obchodní vztah banka – klient. Běžní uživatelé se chovali obezřetně a do používání zaručeného elektronického podpisu se nijak nehrnuli. Postupně se hovořilo o nedokonalosti zvolených řešení i samotného zákona a můžete si o tom přečíst například na mém předchozím blogu.
Největší problém, podle mne, spočíval a spočívá v tom, že představy a přání „programátorů v power pointu“, úředníků a následně i politiků se minuly s praktickými zkušenostmi IT techniků a uživatelů. A rozhodně nemám namysli zkušenosti s prvním úspěšným podpisem, toho jsou plné propagační materiály. Mnohem důležitější jsou zkušenosti s podvodem a jeho řešením.
Mnoho věcí by se již dříve vyjasnilo, pokud by se nejdříve podporovalo použití elektronického podpisu v komerční sféře a získané zkušenosti se následně přenesly do zákona. Případně by se již na začátku zjistilo, že řešení je vhodné pro business, ale nedostatečné pro komunikaci úřad – občan.
V případě kyberbezpečnosti je situace úplně stejná jako v případě elektronického podpisu a dopady DDoS útoků to ukázaly. Jen pro pořádek nemám namysli technologie, ale znalosti a zkušenosti. Mnoho komerčních firem nebylo připraveno na používání elektronického podpisu a nově ani na DDoS útok.
Jak tedy postupovat ??
Musí se začít ze zdola a současně i komunikovat s ostatními státy. Měla by se podporovat iniciativa soukromých firem, případně společný projekt státu, ISP a dalších firem. Důvod je naprosto jednoduchý skutečně fungující pravidla není kde opsat. Stejný problém řeší všechny země.
Něco na způsob pravidel provozu a technické kontroly se bude muset zavést ve všech zemích a po celém Internetu. Je to pouze otázka času a možná generační výměny IT odborníků. V dobách formanských cest a povozů také nebyly potřeba pravidla silničního provozu a technické kontroly. Situace se, ale změnila na cestách i na Internetu.
Cenzura nebo pořádek ??
Když se zmíní ve spojení s Internetem jakákoliv iniciativa spojená se zaváděním pravidel, tak to vyvolává negativní reakce a obavy ze zavádění cenzury a policejního státu. To je velký omyl a nepochopení. Tato pravidla by se týkala technologií, tedy nastavení, údržby a kontroly provozu na úrovni operačního serveru, web serveru, aktivních prvků, atd.
Když to převedu do prostředí automobilů, tak by se jednalo o STK, nejednalo by se o žádné sledování obsahu kufru kontrolovaného auta.
Potřebujeme zákon o kybernetické bezpečnosti ??
Ne, v současné podobě nepotřebujeme. Oblast ohrožení státu v oblasti ICT by měla být zahrnuta do zákona o krizovém řízení. Stručně proto, že velké útoky (výrazně větší než nedávné DDoS) útoky na komunikační a počítačovou infrastrukturu by se týkaly i dalších oblastí fungování státu a tedy i dalších „nepočítačových“ složek krizového řízení.
Zůstávají, ale otevřené vážné úkoly spojené s běžným provozem na síti Internet a s relativně obyčejnými útoky na servery a počítače běžných uživatelů a firem. Dnes je jasné, že běžný uživatel a běžná firma nejsou schopni se ubránit proti profesionálním útoků. Je jasné, že provoz na informační dálnici vyžaduje postupné nastavení pravidel. Návrh zákona o kybernetické bezpečnosti nepomůže ani občanům, ani firmám a proti sofistikovanému útoku neochrání eGovernment.
