GDPR a kybernetický zákon: Strašák nebo pomocník?

Český trh obchází strašidla GDPR a kybernetického zákona. Pro velké množství společností to znamená náklady, o kterých se nikdo nechce z mnoha důvodů bavit. Od snahy zjistit o co se vlastně jedná a jaké dopady to bude mít, přes náhlé „zhodnocení“ osobních dat klientů, až po nutnost začít řídit rizika ve společnosti a rozhodovat se, která aktiva skutečně mají hodnotu. Některé firmy začínají od nuly, jiné musí přehodnotit stávající stav a existuje pár, které musí pouze upravit fungující pravidla.

V současnosti je hlavním problémem určitá nejistota. Přes všechny semináře, osvětu a snahy konzultačních firem, společnosti teprve zjišťují požadavky, které musí splnit pro zajištění souladu s GDPR. Snaží se zorientovat, zda se na jejich organizaci vztahuje i novela kybernetického zákona a v jakém rozsahu. Řeší, jak budou řídit bezpečnostní incidenty, jak je budou reportovat a zda se uvedené informace nedostanou někam, kde by bylo možné je zneužít v konkurenčním boji. Protože budou mít firmy povinnost využívat služeb pověřenců nebo externích auditorů, je otázkou, jak se bude určovat jejich morální a odborná způsobilost. Ten je totiž dalším člověkem, který může být příčinou úniku informací a uvedený únik následně může snížit míru kreditu společnosti.

Dle požadavků kladených na software kybernetickým zákonem bude nutné zjišťovat, jakým způsobem se pracuje s kryptografií. Zaklínadlo „používáme AES“ nebude stačit, protože jsou striktně dané požadavky na použité mody (tedy, jak je šifrovací algoritmus použit), což zpravidla nebývá v dokumentacích popsáno. Navíc, software pro státní správu by měl být auditovaný, což není levná záležitost. Důvodem je snaha ochránit se před útoky, a to nejenom od nepřátel. V současnosti je sice přibližně 60–80 % útoků spojovaných s kyberkriminalitou, cca 20 % se špionáží (ať průmyslovou nebo státní), o zbytek se dělí hacktivismus a cílené použití kybernetických zbraní v rámci vojenských aktivit nebo politického boje. Poměr se může měnit, ale celkový objem útoků bude pouze narůstat. A jak je to z pohledu jednotlivých subjektů? Žádný stát se dnes nechce připojit k „elitním klubu“ několika zemí, u kterých došlo k úniku dat o všech občanech. Minulý rok se členy stalo Mexiko a Turecko. U soukromých společností v rámci EU se díky GDPR a kybernetickému zákonu všichni bojí stát se dalším Yahoo.

Je obtížné si uvědomit, proti čemu se bojuje. Nejčastěji se skloňují špionážní agentury, které se snaží o preventivní sběr dat, o ekonomickou, technologickou a politickou špionáž, případně kontrašpionáž. Mimo tyto agentury je tu pak trh s osobními údaji. Pro jeden osobní údaj se udává cena na černém trhu okolo 20 dolarů, pro kompletní identikit pak 1500–2000 dolarů. Když si uvědomíme počet obyvatel této planety, jedná se o obrovský trh. Uvedený sběr dat se používá nejenom k některým marketingovým aktivitám, padělání dokladů či identit, ale ve spojení se informacemi ze sociálních sítí i k manipulaci se smýšlením populace a tím k ovlivňování volebních systémů. Příkladem jsou morálně diskutabilní úspěchy (byť neověřitelné) společnosti Cambridge Analytica v průběhu Brexitu a volby Donalda Trumpa, které ukazují na možnou budoucnost voleb a ovlivňování voličů. To je důvodem, proč je nutné chránit soukromí všech osob. Obdobným způsobem je nutné přistupovat i k právním subjektům, protože ohrožení jejich soukromí (znalosti, strategická rozhodnutí atd.) má vliv na jejich stabilitu a prosperitu a zprostředkovaně pak na ekonomickou stabilitu místního trhu. Mimo uvedené údaje tu je tu objem peněz v rámci ekonomické kriminality. Mechanismy zabraňující únikům mají efektivitu okolo 98 %, přesto se pouze v rámci EU jedná o ztráty v miliardách EUR. Jenom u karetních transakcí se jedná o 958 miliónů eur v roce 2013, udává se že zhruba 0,04 % všech transakcí je zařazeno jako fraud.

Díky GDPR a kybernetickému zákonu konečně vyvstává tlak na opuštění zastaralých algoritmů jako je MD5, SHA1, RC4, DES (a dalších) a vynucený přechod na novější jako je SHA2/SHA3, ChaCha20 a AES. Starší algoritmy bohužel umožňují za přijatelných podmínek vést útok na zabezpečenou komunikaci a to nejmenší, k čemu může dojít, je pak falešná důvěra a následné ohrožení aktiv. Ve zkratce, z těchto zařízení se pak stávají pouze drahé přímotopy. Řešením je použít metody, proti těmto útokům odolné. V Evropě je v běhu projekt CAESAR, který má v prosinci tohoto roku přinést nové šifrovací algoritmy s ověřováním. Cílem je vyšší bezpečnost, než mohou poskytnout ty současné. Mimo to NIST otevřel soutěž o asymetrické algoritmy odolné proti útokům kvantovými počítači. Z hlediska implementace se dnes u asymetrických algoritmů přechází na použití eliptických křivek, které jsou objemově malé, rychlé, a přitom dostatečně efektivní. Hledají se použitelná schémata, která nad zašifrovanými daty umožňují provádět základní matematické operace bez nutnosti pracovat s dešifrovanými daty (homomorfní šifrování). Přesto je velké množství aplikací, které používají překonané metody nebo nešifrují vůbec, přitom přenáší veřejným prostorem citlivá data a uživatelé o tom nemají ani ponětí.

Kryptografie není černá magie, ale také to není obor, u kterého stačí přečíst pár článků. Jedná se o oblast, která se řídí striktními pravidly. Základem pro tyto pravidla je matematika. Implementace kryptografie podle pocitů, bez znalosti vnitřních vztahů, je cestou do bezpečnostního pekla. To je důvodem proč by mělo být součástí bontonu, aby bezpečnostní a síťoví konzultanti měli alespoň povšechný přehled o kryptografii. Proč by měl být součástí programátorských týmů vždy alespoň jeden člověk s hlubší znalostí uvedené problematiky, obzvláště dnes u citlivého tématu jako je IoT (občas se překládá, a nikoliv bezdůvodně i jako Internet of Threats). Mimo tyto technické požadavky tu je požadavek legislativní, který přesně určuje, jaké metody jsou schváleny k užití a měly by být používány. Což je právě ten problém. Uvedené metody musí být nejenom implementovány, ale i popsány tak, aby auditor nebo pověřenec měl možnost jejich nasazení ověřit. Národní autorita zde odpovídá za volbu metod (viz prováděcí vyhláška, strana 32–33).

Jan Dušátko