Podle odborníka je lepší i jednodušší použít jeden velmi bezpečný způsob přihlašování v online světě, například elektronickou identitu od důvěryhodného poskytovatele, než se přihlašovat ke každé službě zvlášť a spoléhat na zabezpečení přihlašování každé z online služeb. Na otázky ke kybernetické bezpečnosti na internetu odpovídá Marcel Poul, ředitel realizace projektů ve společnosti BCV Solutions.
Za poslední rok se řada aktivit přesunula do on-line prostředí. Byli na to lidé i firmy připravení?
Většina firem na to byla rozumně připravena. Homeoffice byl u nich i dříve standardem a tudíž potřeba řešit například šifrované spojení z domu k firemním systémům byla již systémově ošetřena. Na druhou stranu jsem se osobně setkal s organizacemi, jejichž IT oddělení bylo na několik týdnů doslova paralyzováno implementací bezpečnostních požadavků. Ty vyplývaly právě z nutnosti zajistit běh organizace částečně migrovaný do online světa.
Jedno z bezpečnostních pravidel je, aby heslo, resp. přihlašovací kódy byly změnitelné. Jak je to u biometriky?
Biometrické ověřování identity má oproti tradičnímu ověření řadu specifik. Z podstaty věci jsou některé biometrické metody, jako je otisk prstu, snímek oční duhovky nebo oční sítnice neměnné. Je různě náročné na takové metody útočit. Otisk prstu je například jednodušší podvrhnout než oční duhovka, doporučil bych jej proto spíše jako druhý faktor ověření identity. Prvním faktor bych zachoval vlastnictví (čipová karta) nebo znalost tajemství (heslo). Některé biometrické metody ověření identity však mohou být v čase změněny. V praxi se s nimi tak často nepotkáváme, ale je to například dynamika podpisu. Podpisový vzor a jeho dynamika lze za určitých podmínek změnit, například při kompromitaci.
S on-line identitou se nezákonně obchoduje. Jak se může člověk chránit?
Doporučuji používat takovou online identitu, která poskytuje vysokou míru zabezpečení – dnes je standardem vícefaktorová autentizace – a za kterou stojí důvěryhodná autorita, například stát, banka nebo i jiná komerční firma s dlouhou historií v poskytování služeb online identity bez poskvrny v podobě závažných bezpečnostních incidentů. Máte-li důvěryhodného poskytovatele, doporučuji při přihlašování využívat dvoufaktorové ověření, nejčastěji heslo a potvrzení v aplikaci telefonu, kde kombinujeme znalost tajemství a vlastnictví nějakého předmětu. Přístup do aplikace ještě bývá často opatřen biometrickým ověřením. Dále samozřejmě platí všechna pravidla pro pohyb v kyberprostoru jako je vždy aktuální software, antivirová ochrana a obezřetný výběr, na které odkazy klikám a jaké emaily čtu.
Například banky pravděpodobně mají systém přihlašování svých klientů dostatečně ošetřený. Jak je to ale se třetími stranami, například vládními institucemi?
Pokud se bavíme o přihlašování k online službám státu, tak v případě bankovní identity je problém zabezpečení přihlašování elegantně delegován z poskytovatele služby (stát, firmy) na banku. V podstatě jde o systém důvěry, kdy instituce zapojené do bankovní identity věří v sílu zabezpečení bank a sami s přihlašovacími údaji uživatelů nemusí pracovat, pouze přebírají informaci od banky, že uživatel byl ověřen a má nějaké vlastnosti – atributy (například jméno, příjmení, věk).
Co si myslíte o mediálních zmínkách o kyberútocích a odhalení pachatelů?
Tématem kybernetických útoků se zabývají jak soukromé kyberbezpečnostní firmy, tak především státní instituce a úřady. U nás to je například NÚKIB a NAKIT. Tyto organizace spolupracují napříč zeměmi a sdílí své informace a znalosti. Pokud se objeví informace, že za kybernetickým útokem stojí nějaký stát, často se jedná o konsenzus takovýchto oborových autorit. V některých případech může konkrétní stopu vysledovat napřímo, domnívám se ale, že často to je spíše na základě více nepřímých indicií jako je třeba rozsah útoku nebo použitá výpočetní kapacita, kterou disponuje jen málo subjektů.
Máte nějaké jednoduché doporučení, jak by běžný občan mohl ochránit svoji bezpečnost na internetu?
Z mého pohledu je lepší použít jeden velmi bezpečný způsob přihlašování v online světě, například elektronickou identitu od důvěryhodného poskytovatele, než se přihlašovat ke každé službě zvlášť a spoléhat na zabezpečení přihlašování každé z online služeb. Jeden způsob přihlašování pak do maximální míry zabezpečit – velmi dlouhým heslem, vícefaktorovým ověřením a pravidelně kontrolovat, jaké operace se s mojí elektronickou identitou provádí. I v případě nějakého problému či dokonce kompromitace můžete situaci řešit s jedním subjektem, který pro vás zajišťuje službu online identifikace a který má auditní informace o provedených operacích.
Mgr. Marcel Poul
Ředitel realizace projektů společnosti BCV solutions, Integrace enterprise softwaru; Identity managementu; Access managementu; vývoje a dodávky softwaru; CzechIdM; IT Security. Vede oddělení realizace projektů v BCV solutions, kde převážně dodávají řešení identity managementu a access managementu, ale i dalších nejen integračních software řešení jako třeba centrální management uživatelských certifikátů. Kromě managementu oddělení realizace se zabývá vývojem softwarové integrační platformy CzechIdM zejména stran analýzy potřeb zákazníků a funkční specifikace softwaru. V realizaci projektů se snaží implementovat prvky agilních metod řízení. Vystudoval IT security na Masarykově Univerzitě v Brně.
O BCV solutions
BCV solutions je expert na správu účtů v IT. Pomáhá organizacím zlepšit správu účtů včetně jejich práv a k tomu využívá vlastní řešení CzechIdM. K produktu jsou pravidelně programovány další funkce a vlastnosti. CzechIdM spravuje organizacím přes 5 milionů účtů v České republice. CzechIdm šetří čas a peníze. BCV solutions je ryze česká společnost působící od roku 2008. Více informací získáte na webu.
