Expert na IT: Európa nemá nezávislý počítačový priemysel, čo ohrozuje jej kybernetickú bezpečnosť

Európa nemá samostatný a nezávislý počítačový priemysel. Lacné diely prichádzajú z Číny a drahšie sú zo Spojených štátov. [Pixabay]

Ak si zakúpite sieťové zariadenie za päťdesiat eur, zabudnite na to, že si kupujete aj desaťročnú záruku na bezpečnosť, hovorí rakúsky softwérový expert CHRISTOF DALLERMASSL.

Christof Dallermassl je rakúskym odborníkom v oblasti IT a počítačovej bezpečnosti. O kybernetickej bezpečnosti prednáša nielen pod hlavičkou Rakúskeho inštitútu pre európsku a bezpečnostnú politiku, ale aj pre Európske kolégium pre bezpečnosť a obranu. Dallermassl je spoluzakladateľom softwérových spoločností Wealthpilot GmbH a 43bits.

Slovo kybernetická bezpečnosť sa už stalo súčasťou bežného žargónu a prieskumy ukazujú, že o nej rastie aj všeobecná informovanosť. Vnímate tento trend rovnako?

Myslím, že sme síce na začiatku, no povedomie rastie, čo sa zrkadlí aj v množstve stratégií a akčných plánov, ktoré sa v Európe tvoria. Problém spočíva v uvedení tohto uvedomovania si nebezpečenstva do praxe v priemysle a medzi lídrov. Asi všetci už počuli o kybernetických únikoch, no väčšina ľudí nevie, ako proti nim zakročiť a čo na to potrebujú.

Ako teda zaviesť pravidlá bezpečnosti v kybernetickom priestore do každodenného života ľudí aj firiem?

Toto je najťažšia vec a hlavný problém. Najskôr potrebujete tréning tých, ktorí pravidlá vytvárajú, a potom aj všetkých ostatných. Ľudia musia pochopiť, že politici nie sú jediní, ktorí majú konať.

Problém je však v tom, že na riešenia potrebujete ďalšie sieťové a počítačové know-how, a to nie je jednoduchá práca.

Zabrať musí aj celý priemysel, pretože je zodpovedný za vlastnú infraštruktúru. Tiež musí umožniť zabezpečenie siete alebo akéhokoľvek produktu už v predvolenom nastavení alebo ho aspoň uľahčiť. Ak chcete zabezpečenie ako používateľ vypnúť, je to v poriadku, ale nastavenie systému musí byť apriori zabezpečené.

Výrazne navýšený rozpočet na bezpečnosť pôjde na fondy, strediská aj na boj proti hybridným hrozbám

Európska komisia v stredu (13. júna) navrhla, aby v budúcom dlhodobom rozpočte Európskej únie (2021 – 2027) došlo k výraznému zvýšeniu financovania bezpečnosti – zo súčasných 3,5 miliardy eur na 4,8 miliardy eur.

Hovoríte, že prístroje, ktoré používame, nie sú zabezpečené?

Funguje to len v niektorých prípadoch. Ak si napríklad kúpite sieťový router, je predvolene zabezpečený a stačí ho len zaheslovať. Ale nikto vám nepovie, že heslo by malo byť napríklad dostatočne dlhé a komplikované.

Rovnako je dôležité, aby sa zvyšovanie ochranného stupňa vášho zariadenia dialo automaticky. Aj keď aj táto cesta môže byť spôsob, ako sa dostať do systému.

Bezpečnosť je drahá a všetky spoločnosti, ktoré vyrábajú zariadenia pripojené k internetu, musia v nasledujúcich rokoch poskytnúť infraštruktúru pre automatické aktualizácie, čo je veľmi náročné. Ak si zakúpite sieťové zariadenie za päťdesiat eur, zabudnite na to, že si kupujete aj desaťročnú záruku na bezpečnosť. Ľudia by mali chcieť platiť za bezpečnosť, no je faktom, že kupujú to najlacnejšie, čo môžu.

V súčasnosti sa v Bruseli diskutuje o certifikácii bezpečnosti takýchto produktov a o označovaní úrovne ich zabezpečenia. Mohla by byť práve toto cesta, ako používateľov zorientovať v oceáne IT produktov?  

Určite by pomohlo mať bezpečnostné hodnotenie produktov alebo spoločností. Ako zákazník si potom môžete vybrať výrobcu podľa svojich kritérií bezpečnosti.

Hlavným problémom ale v tejto súvislosti ostáva fakt, že Európa nemá samostatný a nezávislý počítačový priemysel. Lacné diely prichádzajú z Číny a drahšie sú zo Spojených štátov.

Európa potrebuje vybudovať svoj vlastný operačný systém. Len Linux – ako európsky operačný systém s otvoreným zdrojom – môže byť skutočným predmetom bezpečnostnej kontroly. No všetky spoločnosti, ktoré predávajú operačný systém Linux, sú v Južnej Afrike alebo v USA. V konečnom dôsledku vidíme, že neexistuje ani európsky hardvér, ani európsky softvér.

Americký hacker: Výhodou európskeho kyberpriestoru je skepsa jeho používateľov

Jeff Moss je skúseným hackerom a zakladateľom dvoch z najväčších konferencií v oblasti počítačovej bezpečnosti na svete. Ak sa chcú Európania vyhnúť americkým volebným scenárom, energiu by mali sústreďovať tam, kde druhá strana nalieva najviac peňazí, hovorí.

Ako konkrétne by európsky systém pomohol vylepšiť kybernetickú bezpečnosť v Únii?

Európa potrebuje získať späť kontrolu, ktorú dnes nemajú dokonca ani členské štáty a ich vlády. Ak sa napríklad americký prezident rozhodne, že chce nejaký softvér dostať do hardwaru spoločnosti CISCO, teoreticky to môže urobiť a nikto ho z toho nemôže obviňovať. A ak si dnes chcete kúpiť vysoko kvalitné sieťové zariadenie, kúpite si lídra na trhu v tejto oblasti, teda hardware od americkej spoločnosti. Európske sieťové zariadenie, ktoré nie je pod akýmkoľvek podozrením z kontroly zahraničnej vlády, jednoducho nie je k dispozícii, a to je problém.

Nové nariadenie GDPR si už tiež vyslúžilo veľa pozornosti a umožnilo iný pohľad používateľov na ochranu súkromia a osobných údajov. Prinieslo už toto nariadenie pridanú hodnotu aj do diskusie o kybernetickej bezpečnosti?

Túto otázku som už dostal a pôvodne som odpovedal, že nie. Ale v skutočnosti to tak nie je. Vo všeobecnosti sa totiž zvýšilo povedomie o súkromí a kybernetickej bezpečnosti medzi používateľmi a celkovo v spoločnosti.

Nariadenie GDPR tiež hovorí, že zabezpečiť údaje potrebujú aj spoločnosti. Pre firmu je vždy bolestivé dostať pokutu. Takže ak napríklad disponujete informáciami o bankových účtoch alebo lekárskymi záznamami a v databáze ich nešifrujete, nie je to v súlade s nariadením. Ak ich niekto ukradne a regulátor zistí, že údaje neboli šifrované, spoločnosť bude pokutovaná naozaj veľmi vysokými pokutami.

Až prax ale ukáže, či GDPR skutočne funguje. Ak by sa totiž do centra pozornosti dostala pre porušenie GDPR niektorá z veľkých spoločností a v prípade by išlo o veľké peniaze, pracovať by začali lepšie aj ďalšie firmy. Teraz všetci v podstate čakajú.

Prvá európska legislatíva o kybernetickej bezpečnosti už platí v celej Únii

Členské štáty museli zapracovať prvú európsku legislatívu o kybernetickej bezpečnosti do včera, 9. mája. Slovenský zákon je už v platnosti od 1. apríla.

Ovplyvnili by ale veľké alebo medializované prípade porušovania GDPR aj správanie bežných používateľov v oblasti bezpečnosti údajov?

Je veľmi ťažké zmeniť návyky ľudí, vždy to bude rozhodnutie pohodlie verzus bezpečnosť. To, čo sme videli s Facebook-om a Cambridge Analytica, je viac-menej legálne, pretože ľudia svoje údaje Facebooku dobrovoľne poskytli.

Vždy pôjde o vyvažovanie súkromia voči funkciám. A nové funkcie a vlastnosti aplikácii nateraz vyhrávajú. Funkcie, ktoré prinesie umelá inteligencia, budú ďalším krokom.

Niektoré počítačové systémy už teraz rozhodujú, akú reklamu alebo informáciu uvidíte na vo svojom profile na sociálnej sieti. V budúcnosti už nikto nebude vedieť, prečo sa to počítač naučil a takto za vás rozhodol. V prípade Cambridge Analytica sa aspoň vie, aký bol motív, ale za pár rokov to vedieť nikto nebude.

Facebook chce prísne európske predpisy aplikovať do svojich celosvetových štandardov

Najväčšia sociálna sieť je Pod paľbou kritiky od škandálu, ktorý odhalil, že údaje 85 miliónov používateľov boli nekontrolovane zdieľané s inou spoločnosťou.

Kto by mal byť potom zodpovedný za to, čo systémy ponúkajú alebo odkiaľ získavajú svoje informácie?

Presne to je kľúčová otázka. Kto je zodpovedný za to, že počítač rozhodol ako rozhodol? Programátor? To asi nie. Spoločnosť, ktorá vlastní systém? Tá môže obviňovať niektorých vedcov, ktorí vytvorili algoritmy. Ak vlastníte autonómne auto a v istej situácii na ceste sa musí rozhodnúť, do koho narazí, kto rozhoduje?

Hoci si sám nie som istý, ako by sa dalo urobiť, spoločnosti, ktoré ponúkajú produkty, musia byť za rozhodnutia zodpovedné. A rozhodnutia o tom, ako to urobiť, musia byť prijate veľmi skoro.