O skutečné situaci v kyberprostoru máme jen mlhavou představu

Válka zuří zuřivou zuřivostí. Ale je tomu opravdu tak? Skutečně se v kyberprostoru odehrává litý boj anebo jsme opět jen obětí prachsprosté manipulace?

Pokud jde o porozumění tomu, co se odehrává v kyberprostoru a jakým hrozbám a kybernetickým útokům čelíme, jsme zcela odkázáni na své omezené osobní zkušenosti, zkušenosti našich známých a známých těchto známých a v neposlední řadě pak i na široce prezentovaný a notně pokřivený mediální obraz.

Otázka, nad kterou bychom se měli proto zamyslet, je, jaký že to obraz je nám vlastně médii předkládán? Obraz zachycující, jak neaktualizované zařízení bez antiviru po připojení do internetu nepřežije ani minutu, jak servery vystavené do internetu musí odolávat masivním DDoS útokům, jak snadné je napadnout ICS/SCADA systémy a ovládnout výrobu, apod. Jenže je tohle všechno pravda anebo je skutečnost daleko lepší anebo naopak ještě mnohem horší než jak je nám běžně prezentována?

Svatá prostoto! Je přeci více než jasné, že firmy prodávající bezpečnostní řešení cíleně sbírají informace o tom, kde a jaké útoky proběhly a následky těchto útoků pak neváhají vykreslit v těch nejhorších možných barvách, aby nás přesvědčily ke koupi daného bezpečnostního řešení, které by nás před danými útoky mělo ochránit. A co by nás mělo přesvědčit lépe než čísla a nejrůznější příběhy o tom, jak někdo fakticky podcenil bezpečnost a zaplatil za to nakonec nejvyšší cenu.

Za takové situace je rovněž zřejmé, že novináři i nezávislí blogeři budou tyto příběhy vyprávět bez skrupulí dál a předhánět se v tom, kdo z nich dokáže vykreslit děsivější vizi blízké i vzdálené budoucnosti. Konečně, mnozí z nich jsou na těchto příbězích i existenciálně závislí, neboť jsou placeni od počtu takovýchto článků. A je to logické, čím více takových článků, tím větší čtenost, tím větší počet zobrazení, tím větší počet zobrazení reklamy a v konečném důsledku i reálná šance dosažení vyšší konverze a tedy i podstatně vyššího příjmu z reklamy.

A co si myslíte, že zvýší čtenost daného periodika, a podpoří prodej bezpečnostního řešení, článek o tom, že na počítači nějaké firmy byl nalezen generický malware, který zobrazoval reklamní bannery konkurence a ten byl úspěšně odstraněn anebo že došlo v důsledku napadení tímto malwarem k obrovské škodě a firma se potýká se značnou ztrátou důvěry svých klientů a nachází se těsně před krachem? Samozřejmě, že větší efekt bude mít ten druhý příběh.

Prostě i v oblasti bezpečnosti, stejně jako v jakémkoliv jiném odvětví platí, že je nutné se zabývat marketingovou komunikací a PR za účelem podpory prodeje, a že je dané marketingové sdělení umně vydáváno za bezpečnostní osvětu, to už je věc jiná. V oblasti informační a kybernetické bezpečnosti to má marketér o to těžší, že bezpečnost je takový obchod s důvěrou.

Zakoupením daného bezpečnostního řešení totiž jeho vlastník nezískává žádnou konkurenční výhodu, a dané řešení až na výjimky nepřidává žádnou hodnotu v rámci stávajícího hodnototvorného řetězce k finálnímu produktu, který daná firma nabízí a prodává svým koncovým zákazníkům. Spíše vytváří jen jakousi iluzi bezpečí a chrání firmu před všemi možnými i nemožnými kybernetickými útoky a možnou ztrátou, ke které by mohlo v případě takového útoku dojít.

Nikde však není uvedeno, a ani to nejde dost dobře předem říci, jaká je pravděpodobnost takového útoku a jaká je možná ztráta. To lze stanovit až po provedení analýzy rizik v konkrétní organizaci. Firmě prodávající bezpečnostní řešení tak nezbývá nic jiného, než argumentovat pomocí nejrůznějších statistik a průzkumů, ať už vlastních nebo realizovaných zpravidla nezávislými třetími stranami. Problém je, že v ČR takové průzkumy neprobíhají.

Pro zahraniční firmy, které jsou v drtivé většině případů oněmi výrobci bezpečnostních řešení, jsme nezajímaví, neboť se na jejich příjmech podílíme jen minimálně. Z tohoto důvodu se tak zpravidla setkáváme jen s bezpečnostními reporty ze zahraničí, tedy z trhů, které jsou nám svou velikostí i dalšími charakteristikami značně vzdálené a odlišné od těch našich, a tedy i jejich závěry nejsou dost dobře použitelné v organizacích v ČR. Nehledě na to, že tyto bezpečnostní reporty vykazují určité nedostatky.

Není u nich použitá stejná terminologie, není zde zajištěna kontinuita, takže je není možné porovnávat, vyhodnocovat trendy, které by případně i poukazovaly na to, zda a v jaké oblasti dochází k příslušným změnám. A tím, že není ani zveřejněná metodika, aby se dal daný průzkum zopakovat a ověřit validitu výsledků, jsou výsledky těchto průzkumů vhodné akorát ke zveřejnění za účelem budování povědomí o dané značce a vzbuzení zájmu o kybernetickou bezpečnost. I když i takováto aktivita je samozřejmě potřebná a má svůj nezpochybnitelný význam.

Počet medializovaných případů, kdy došlo k nějakému kybernetickému útoku a bezprecedentnímu selhání bezpečnosti v nějaké organizaci v ČR jest velice nízký a to navzdory událostem posledních týdnů, které v potenciálním zákazníkovi nejspíš nevzbudí dojem, že by se jednalo o nějakou, pro něj kdo ví jak akutní hrozbu, která se bezprostředně týká i jeho, a měl by se jí proto vážně zabývat. Obzvláště pokud jsou ve většině případů jako odstrašující případy uváděny útoky na velké zahraniční společnosti anebo organizační složky státu.

V ČR neexistují statistiky ohledně vývoje hrozeb a útoků anebo se vyznačují stejnými neduhy, jako ty zahraniční. Setkáváme se bohužel jen s ojedinělými výkřiky. Nějaké veřejně dostupné statistiky útoků na organizace v ČR a s tím související škody nejsou k dispozici vůbec. Informace zveřejňované ze strany policie nebo NCKB jsou neúplné a nekonkrétní. Jediným zdrojem tak jsou jen články v mainstreamových a bulvárních mediích, která nás však informují jen velice povrchně, útok popisují jako další senzaci a bližší informace nepřináší.

Informovanost laické i odborné veřejnosti v ČR je v tomto směru tristní, ani po několika týdnech či dokonce měsících od útoku nemáme k dispozici základní informace o tom, k čemu přesně došlo, a už vůbec ne jaký byl vektor útoku, jaká bezpečnostní opatření selhala, jaké jsou IoC apod. A přitom, tohle jsou nezbytné informace, které musí být uvolňovány v podstatě okamžitě, neboť jsou potřebné k tomu, aby se i ostatní organizace mohly před daným útokem bránit, zavést vhodná bezpečností opatření a vůbec zjistit, zda útok náhodou neprobíhá i u nich. Zveřejnit tuto informaci po několika dnech je jako přijít s křížkem po funuse.

Jediný, kdo by nám dokázal onen značně deformovaný obraz o situaci v kyberprostoru vyladit do křišťálového jasu, by byly samotné firmy a domácnosti, které se obětmi těchto útoků stávají. Ovšem to by musely jednotlivé bezpečnostní průniky hlásit, což se nejspíš nikdy nestane. A to nemluvím o tom, že by nejprve musela existovat i nějaká jednotná terminologie kybernetických hrozeb, která bohužel rovněž neexistuje, což je tak trochu paradox.

Jedině tak bychom se mohli dozvědět, k jakým kybernetickým útokům skutečně dochází, a jaké z nich vyplývají ztráty a tedy i jaká bezpečnostní opatření prioritně zavést a jaké jsou vzhledem k možným škodám rozumné náklady na jejich implementaci.

V zásadě jsme výše identifikovali i několik subjektů, které v kyberprostoru hrají podstatnou roli, anebo alespoň ovlivňují a vytvářejí onen mediální obraz. Netřeba snad dodávat, že tyto subjekty v souladu s tržními principy sledují výhradně své vlastní ekonomické zájmy, kterými je primárně dosažení zisku, což jim nelze mít vůbec za zlé.

V prvé řadě se jedná o firmy, které s větším či menším úspěchem nabízí své produkty, bojují o svůj tržní podíl, vyhledávají tržní niky a snaží se na ně proniknout, a zároveň jsou cílem kybernetický útoků. A také domácnosti, které jsou zákazníky těchto firem, a na které jsou rovněž vedeny útoky. Ti však nemají důvod se útoky, které na ně byly vedeny, chlubit, a proto se o většině těchto útoků nemusíme vůbec dozvědět a také se o nich nedozvídáme.

Dále jsou to útočníci, a je celkem jedno, zda se jedná o script kiddies, osamocené hackery, zločinecké organizace anebo státem sponzorované APT skupiny, které vedou plošné a cílené útoky v kyberprostoru s cílem dosáhnout co nejvyšších výnosů anebo způsobit co největší škodu, a proto aktivně vyhledávají známé i neznámé zranitelnosti a snaží se jich zneužít k průniku do systémů a jejich ovládnutí.

Proti útočníkům pak stojí firmy nabízející bezpečnostní řešení, které rovněž bojují o přežití, snaží se urvat si svůj podíl na trhu a volí různou strategii, ať už diferenciace nebo koncentrace, případně neváhají uzavírat spojenectví tam, kde se rudé oceány barví krví a společně jako hlásná trouba pak šířit do světa informace o probíhajících útocích.

Tak trochu mimo dění stojí a o určitou objektivitu se snaží média, která však získávají informace právě od firem prodávajících bezpečnostní řešení ať už v podobě technologií anebo služeb, a dále pak novináři píšící o bezpečnosti a konečně i nezávislí blogeři. Ti však v zásadě tyto informace jen přebírají a v podstatě si je ani nemohou ověřit z jiného nezávislého zdroje a tak prostě vydají to, co dostanou. Nepochybně zde dochází ke značnému konfirmačnímu zkreslení. Co s tím ale můžeme dělat?

Pokud vás tento článek zaujal, můžete odkaz na něj sdílet.

Štítky:

  1. Zdenek

    V oblasti kybernetické bezpečnosti už i v našich končinách existují medializované odstrašující případy s dostatečnými informacemi pro obchodníky. A ani ti se z nul a jedniček nenají :-)


K článku “O skutečné situaci v kyberprostoru máme jen mlhavou představu” se zde nachází 1 komentář.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: