V posledních dnech je svět ohromen škodlivým počítačovým programem z rodiny ransomware[^1] WannaCry. Ukázalo se, že nejen veřejné instituce nebyly schopny své systémy před touto hrozbou ochránit. Odstrašujícím případem jsou pak britské nemocnice, které přestaly příjímat pacienty. Vlády samy vydávají miliardy na hledání bezpečnostních slabin, ale následně je nedokáží zabezpečit. Je to podobné nebezpečí jako chemické zbraně.
Uvědomme si, kde jsou skutečné problémy. Vytvoření tohoto červa umožnila Národní bezpečnostní agentura (NSA), špionážní organizace Spojených států amerických. Bohužel nedokázala tento průnik zabezpečit před odcizením, nebo nahlásit výrobci, který by mohl vydat opravu. Nyní ho útočníci zneužili ve velkém. Avšak dopady by nikdy nemohly být tak dramatické, kdyby instituce dodržovaly základní zásady počítačové bezpečnosti. Šíření napomohlo užívání nepodporovaných operačních systémů Windows XP, běžní uživatelé přihlášení na administrátotské heslo, špatně tvořená infrastruktura s nedostatečným zálohováním a podobné elementární chyby.
Je potřeba zdůraznit, že v tomto případě se nejedná o žádný sofistikovaný útok nebo software, jde o ty nejprostší základy. Přestože instituce vydávají miliony na počítačovou bezpečnost, v praxi nemají zajištěné dodržování základních zásad bezpečnosti, ani dostatečně proškolený personál. Je zcela běžné, že instituce si platí drahé bezpečnostní audity, ale v každodenním provozu se jimi nedokáží řídit.
Tento útok se proto nesmí stát zaminkou pro omezování svobod lidí na internetu. Pokud bychom danou situaci přirovnali k fyzickému světu, přišel čas, kdy se instituce musí naučit zamykat dveře, nikoliv hned vyhlásit stanné právo.
Znovu se ukazuje, že do řízení veřejných instucí je především potřeba nastolit standardy 21. století. Jedině tak lze čelit a účinně předcházet dalším útokům a z nich plynoucím škodám. Software musí být aktualizovaný a jeho pořizovací a udržovací (maintanance) náklady nesmějí být předražené. Správci infrastruktury musí být zkušení lidé s odpovídající kvalifikací.
Veřejné instituce nesmí podléhat marketingu velkých společností, které tlačí své nové produkty, jež nejsou nezbytné pro bezpečný provoz. Namísto toho je kriticky důležité začít správně řešit samotné jádro infrastruktury. To musí být moderní, modulární a být spravováno kvalifikovaným personálem. „Počítačová bezpečnost se nevyřeší speciálními dotacemi pro tuto oblast. Vyřeší ji jedině kvalitní, sebevědomý a schopný vnitřní útvar pro IT, který bude vytvářet moderní IT provozy. Nikoliv jen objednávat blbosti z katalogů dodavatelů.“ Shrnuje pražský zastupitel za Piráty Ondřej Profant.
[^1]: ransomware = druh školivého software, který zabraňuje přístupu k uloženým datům. Tento program zpravidla vyžaduje zaplacení výkupného (anglicky ransom) za příslib zpřístupnění dat.
<h3>Kontakty</h3>- Ondřej Profant, garant programového bodu informatika, ondrej.profant@pirati.cz, tel. 607 580 015
- Ivan Bartoš, předseda Pirátů, ivan.bartos@pirati.cz, tel. 603 415 378