Téma o hackerech, crackerech - verbeži, která si brousí zuby na vaše cenná podniková data, je dosti obehrané. Přesto si pustíme ještě jeden šlágr tohoto stylu. A to zejména proto, že údaje organizace CERT (Computer Emergency Response Team) jsou alarmující. Počet nahlášených průniků do nejrůznějších informačních systémů roste, ale co je možná ještě horší, pouze velmi malá část z tohoto počtu je hlášena. Důvod je velmi jednoduchý u komerčních subjektů, jako jsou např. banky, by případné zprávy o narušení počítačové sítě mohly vést k odvrácení zákazníků. U amerických vládních úřadů by mohl takový případ někoho stát teplé místečko, nebo se úřady bojí negativní odezvy veřejnosti. V podstatě se tedy na povrch dostane jen zlomek údajů o narušitelích, většinou pouze v případě, že se je podaří dopadnout. A to je zatím věc opravdu zřídkavá, i když případy úspěšného polapení kybernetických zločinců jsou stále častější. A také jsou častěji halasně prezentovány, aby policie ukázala, že není bezmocná. Jenže chycenými kriminálníky jsou zatím pouze mladíci, kteří nabourávají systémy "z hecu" nebo prostě pro zábavu. Čili nic příliš společensky nebezpečného, žádní průmysloví špióni, nebo dokonce vojenské kontrarozvědky. Jenže podle předpokladů CERTu velká většina průniků zůstane neodhalena a narušitelům se podaří získat požadované informace. Kdo tyto informace požaduje, co za ně platí, to dnes nikdo není schopen odhadnout, natož zveřejnit. K velké radosti jižnější části našeho světa mají zejména USA umístěny své servery přístupné pro veřejnost. Přístupné fyzicky, neboť pro vstupy do systémů existují brány, založené stále většinou pouze na jednoduchém hesle. Pro zkušeného síťaře s trochou času není problém tyto brány překonat, a životně důležitá data jsou na dosah ruky. A cílem útoku nemusí být jen vlastní získání dat, kybernetik je také může nenávratně zničit. A v takovém případě už zbývají opravdu jen oči pro pláč.
Celý problém nelze shodit ze stolu tím, že prostě vitální informace nebudou na síťových serverech umístěny. Pokud totiž tyto informace nepotřebujete nyní, je téměř jisté, že velice brzo nastane doba, kdy budete muset sdílet důležité informace po celém světě. Potom se budete muset vážně zamyslet nad tím, jak tyto informace znepřístupníte pro okolní svět.
Neexistuje stoprocentní obrana
Bylo již několikrát napsáno, že i tu nejdokonalejší ochranu lze obejít ještě dokonalejším útokem. Je jen otázkou času a peněz, kdy se podaří prorazit sebelepší ochranný val nebo šifrovací metodu. Existují však rozhodně metody, jak se na případný útok připravit co nejlépe a možnost průniku snížit na co nejmenší úroveň. Málo podnikových manažerů se však této problematice dostatečně věnuje. Je sice pravda, že mnoho z nich váhá např. s připojením na Internet právě kvůli bezpečnosti, ale jejich obavy jsou většinou založeny na obecné nedůvěře, ne na faktech. Potom stačí, když nějaký výrobce o svém produktu prohlásí, že je stoprocentně bezpečný, a IS manažer ho s klidným svědomím nasadí. Pak se jen nestačí divit při případných problémech. Ještě horší jsou ovšem případy, kdy si podnik na server pořídí produkt, podporující přiměřenou míru bezpečnosti, ale nevyužije jeho možností.
To je také závěr zkoumání CERTu: nedostatek pozornosti administrátorů sítí věnovaný bezpečnosti serverů. Ono totiž i sebedelší a sebezapeklitější heslo je jen vlašským oříškem, čekajícím na rozlousknutí. A buďte si jisti, že ti, kteří mají opravdu zájem dostat se na vaše data, si ten správný louskáček najdou. Proto je nutné všude, kde to podmínky dovolují, nasadit skutečné ochranné mechanismy. To jsou šifrovací metody, veřejné klíče a další způsoby zabezpečení nejen vlastního přístupu k datům, ale nejlépe i dat.
Jisté je, že pokusů o narušení cizích systémů neubude, spíše naopak. Doufejme, že přibude těch neúspěšných, které ztroskotají na dostatečně vybudované a udržované obraně.
rok | počet |
---|---|
1991 | 406
|
1992 | 773
|
1993 | 1334
|
1994 | 2341
|
1995 | 2412
|
Zdroj: CERT