Neřešme původ, největším nebezpečím je uživatel a jeho levné krabičky mimo bezpečnostní pravidla sítě

19. 10. 2020
Doba čtení: 6 minut

Sdílet

Mají-li operátoři stavět gigabitové sítě, potřebují od státu jasná pravidla pro jejich zabezpečení. Čím dříve, tím lépe, píše šéf jedné z operátorských asociací.

Hodně se teď mluví o kybernetické bezpečnosti, zabezpečení a tom, jak bezpečné či nebezpečné jsou čínské firmy v sítích našich operátorů. Přitom je to vcelku jednoduché, bezpečné jsou sítě tak, jak si je zabezpečí jejich provozovatelé, a bezpeční jsou uživatelé tak, jak si sami zabezpečí své fungování na internetu. Kdo je dodavatelem technologií pro operátory, nehraje takovou roli.

Je dobré si uvědomit, že drtivá většina útoků na sítě a na data se děje tak, že útočník využije hlouposti či nepozornosti uživatelů. Získá někde přístupové údaje k citlivým datům či důležité části systému nebo pomocí techniky spear phishingu (před kterou správně varuje i Národní úřad pro kybernetickou a informační bezpečnost) útočí přímo na relevantní zaměstnance. 

Ostatně právě phishingový útok, spuštění ransomwaru a následné vydírání příslušné organizace jsme viděli na jaře v přímém přenosu v případě útoku, který ochromil Nemocnici Rudolfa a Stefanie v středočeském Benešově. Podle zpráv od zasahujících techniků docházelo k flagrantnímu porušování základních bezpečnostních zásad, včetně provozování zastaralých verzí operačních systémů k síti připojených počítačů.

Důvod, proč útočníci cílí na uživatele, a nikoli na síť samotnou, je jednoduchý. Je to levnější a laičtí uživatelé představují jednoduchou vstupní bránu do sítí. Zatímco operátoři zaměstnávají až desítky specialistů na síťovou bezpečnost (v případě těch velkých) a své sítě staví tak, aby se jednotlivá síťová zařízení navzájem „hlídala“, u běžných uživatelů je jejich vzdělání v oblasti bezpečnosti obvykle tristní – koneckonců pořád ještě vídáme to, že si někteří lidé píšou přístupová hesla na papírky a ty pak přilepují k monitoru. 

Porovnejte s běžným postupem změn v infrastruktuře operátorů, jak ji popisuje firma Ericsson: nežli je výrobce zařízení vpuštěn do sítě, musí poskytnout vyčerpávající informace o tom, co v síti chce udělat, musí poskytnou detailní popis, co přesně bude dělat (a poskytnout např. skripty), jaká je délka operace, jaká jsou rizika, kdo bude mít přístup a tak dále. Činnost dodavatele je po celou dobu monitorována a v každém okamžiku musí mít možnost uposlechnout pokyn odpovědného zástupce operátora např. k uvedení systému do původního stavu (tzv. roll-back). Současně však operátor musí mít v osobu, která zásah provádí, důvěru, a to nejen z pohledu kompetence. 

Porovnejte takovou úroveň zabezpečení například v domácnostech. Pokud totiž půjdeme od uživatele a jeho neaktualizovaného zařízení s pirátskými aplikacemi sítí o úroveň výše, další na ráně je domácí Wi-Fi router, a tam to také není žádná sláva. Levné routery za pár stokorun, které si lidé kupují nejčastěji, nejsou zrovna zázrak bezpečnosti, jak ukázala například nedávná analýza německého Fraunhofer Institutu, kde se píše: „Výsledky jsou alarmující. Žádný z testovaných routerů nebyl bez chyb. Šestačtyřicet routerů nezískalo žádnou bezpečnostní aktualizaci za poslední rok. Mnoho routerů je postiženo stovkami známých zranitelností.“ Router si přitom uživatel domácí sítě kupuje často sám, na základě vlastního rozhodnutí, mimo technický dohled operátora.

Upřímně, abychom v dnešním světě elektronických hrozeb s bezpečností uspěli, potřebujeme aktualizovat bezpečnostní pravidla našich routerů jednou za několik minut. Protože ne každý je ochotný připlatit si za router s automatickou aktualizací bezpečnostních zásad, nebo má několik tisíc na kvalitní a bezpečné zařízení z řady Turris od sdružení CZ.NIC, můžeme být svědky útoků na domácí routery, jako byl v roce 2018 botnet VPNfilter, který infikoval asi půl milionu zařízení od firem jako Linksys, Netgear či TP-Link. 

Na svém domácím firewallu zažívám měsíčně stovky pokusů o využití některých děr v běžně používaných aplikacích. Taková je realita bezpečnosti. Operátoři dnes využívají různé způsoby zabezpečení provozu ve svých sítích, nicméně v případě komunikace na úrovni infrastruktury se nepoužívá blacklist, kdy podezřelý provoz zablokuji, ale metoda whitelist. To znamená, že komunikovat s dohledem infrastrukturálního prvku povoluji pouze na konkrétní dobu, port a uživatele. Nic bezpečnějšího neexistuje.

Jakou úroveň zabezpečení mají další domácí spotřebiče, které je nyní módou připojovat k internetu, jako jsou třeba „chytré televize“, si ani raději nedomýšlím, ale nic extra to zcela jistě nebude; přitom jde o zařízení, která často disponují mikrofonem a kamerou. Při stále se zvyšující míře práce z domova v dnešní covidové době a nevalném zabezpečení domácích routerů, notebooků a dalších přístrojů je zjevné, že pokud chce stát být někde užitečný, měl by minimálně svoje úředníky, které nechává vzdáleně připojovat do svých systémů a sítí, důkladně školit a sítě svých organizací zabezpečovat tak, aby snížil riziko nějakého bezpečnostního incidentu, jinak je jenom otázka času, kdy k dojde k nějakému průšvihu.

U operátorů je zabezpečení samozřejmě o několik tříd výše, mimo jiné také proto, že bezpečnost sítí je pro ně kriticky důležitá, však je to základ jejich byznysu. Platí to u sítí všech telekomunikačních firem, od lokálních operátorů obsluhujících pár obcí ve svém regionu až po velké celostátní firmy. U 5G sítí to nebude jiné – budou tak bezpečné, jak dobře je zabezpečí jejich provozovatelé před útokem zvenčí a jak dobře je budou spravovat.

Stát ani zákazníci nemají důvod v tom operátorům nedůvěřovat, protože dosavadní zkušenosti se zabezpečením jsou více než dobré. Vím pouze o jednom vážném bezpečnostním incidentu na úrovni infrastruktury, jehož důvodem bylo nedostatečné zabezpečení na úrovni operátora. Zařízení amerického výrobce napadl programátor, kterého ten samý výrobce před incidentem propustil. Zaměstnanec tušil blížící se problémy, proto si připravil v kódu zařízení zadní vrátka do systému. Protože šlo o levný přístupový Wi-Fi AP bod, někteří technici nestanovili důsledně bezpečnostní pravidla. Přesto dokázal šílený mstitel zařízení pouze smazat a zamezil jeho fungování, ale žádná data uživatelů ukrást nesvedl.   

A to čeští operátoři používají ve svých sítích zařízení různé provenience, od USA přes Švédsko, Finsko, Litvu až po Čínu a Jižní Koreu. Ostatně evropští a američtí výrobci mají výrobní linky v Číně, čínští zase v Evropě… 

Důležitá jsou pravidla, zkušenost a dobrá praxe ze strany operátora. A zde se opět dostáváme k roli státu – vedle bezpečnosti svých vlastních sítí by měl stanovit objektivní pravidla, která mají provozovatelé sítí ve vztahu se svými dodavateli plnit, nikoli ukazovat prstem na jednotlivé dodavatele. Operátoři je budou rádi plnit, koneckonců veřejná a státní správa je velký zákazník.

Operátoři si své dodavatelské vztahy řídí sami. A jedním ze základních bezpečnostních požadavků je diverzifikace dodavatelů. Není vůbec zdravé být závislý pouze na jednom výrobci. Operátoři tak používají jiné technologie pro okrajové části sítě, jiné pro jádro sítě, a ještě se školí alternativní výrobce pro případ výpadků dodávek. Máme-li stavět gigabitové sítě, potřebujeme jasná pravidla. Čím dříve, tím lépe.

Čeští regionální podnikatelé se chystají vstoupit na trh 5G sítí a poskytovat služby s gigabitovou šíří pásma v pevné službě. Někteří již drží příděly v pásmu 3,6–3,8 GHz a provozují službu 4G LTE, jiní studují technologické možnosti v nově otevíraném pásmu 26 GHz. To jsou technologicky zcela nová pásma a restrikce významných dodavatelů může rozvoj služeb posunout o celé roky. Nemluvíme pouze o připojování domů, ale také o rozvoji síťových aplikací pro infrastruktury průmyslu a Smart Cities. Ať místo politiků o vlastních sítích rozhodují odborníci na základě technických kritérií.

Autor článku

Autor je prezidentem Výboru nezávislého ICT průmyslu, asociace českých telekomunikačních společností. V roce 2020 byl za ODS zvolen do zastupitelstva Středočeského kraje.

Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).