Mrtvý internet a zákazník coby rukojmí obchodní šarvátky

Uživatelé UPC se nedostali na některé servery. Byla tím ohrožena kybernetická bezpečnost? Podle experta Aleše Špidly dokonce fatálně.

foto: © ČESKÁ POZICE, Richard Cortés, iPhoneČeská pozice

Začátkem září uživatelům internetových přípojek společnosti UPC zemřel kus virtuálního světa. Důvodem byly obchodní spory, jež vyústily v přerušení přímého propojení serverů UPC se servery společnosti Master Internet. Ta poskytuje hostingové služby řadě českých internetových firem. Zákazníci UPC kvůli tomu na několik dní zaznamenali nedostupnost některých webů a v podstatě se stali rukojmím šarvátek dvou zmíněných firem.

Expert Aleš Špidla, autor strategie pro oblast kybernetické bezpečnosti České republiky na období 2011 až 2015 a bývalý ředitel odboru kybernetické a informační bezpečnosti na ministerstvu vnitra, míní, že tato událost má fatální význam pro kybernetickou bezpečnost a je zároveň důkazem naší závislosti. Společnosti UPC a Master Internet se v tomto ohledu ke kauze zatím nevyjádřily. Aktuálně jsou zřejmě příliš zaměstnány vzájemným obviňováním, kdo problém vlastně způsobil.

Důsledky běžného sporu

Expert Špidla: Případ UPC představuje z pohledu kybernetické bezpečnosti vážnou hrozbu

„Zcela určitě jde o vážnou hrozbu z pohledu kybernetické bezpečnosti. Vnímám to jako významný precedens toho, jak zdánlivě nesouvisející a banální události dokážou ovlivnit život celé společnosti,“ sdělil ČESKÉ POZICI Špidla.

Podle něj lze v současné situaci vymyslet řadu scénářů, do jakých důsledků může takový běžný obchodní spor vést a jak nevinní zákazníci mohou být postiženi. Může narušit v podstatě cokoliv, co je závislé na internetovém spojení, tedy e-shopy, firmy, které mezi sebou musejí komunikovat, instituce podávající elektronická hlášení. „Opravdu záleží, na jaký segment zákazníků se zaměříte. Máte zákazníky, kteří využívají transakční, vzdělávací, zábavné služby, hrají na internetu třeba jen vášnivě hry a ta služba je jim najednou jen tak omezena,“ vysvětluje Špidla. 

Z pohledu veřejné správy a provozovatelů prvků takzvané kritické infrastruktury mohou být důsledky prý až katastrofální. „Vodárny, elektrárny a podobně také potřebují komunikovat. Co když  komunikace nebude fungovat v momentě, kdy ji právě budou potřebovat k řešení nějaké krizové situace? V takovém případě mohou škody být i výrazně hmatatelné – na životech, zdraví, kulturním dědictví i majetku,“ tvrdí Špidla. Uznává sice, že důsledek je vlastně úplně stejný, jak když je služba omezena z technických důvodů, podotýká ale, že technické problémy řeší technici a obchodní spory právníci, což většinou trvá mnohem déle.

Podle specialisty jsou informační a komunikační systémy rovněž prvkem kritické infrastruktury a životně důležité pro chod státu, a je nutno je chránit. Prvním krokem by mělo být zavedení definice pojmu „informační a komunikační systémy“, jak je tomu v řadě jiných zemí Evropské unie. Jakmile by oblast byla jednoznačně definovaná, lépe by se nad ní stavěla obrana. Stát by pak snadněji prosazoval dodržování bezpečnostních standardů. Dokonce i poskytovatelé internetu by si uvědomili, že jen tak nemohou vypnout, přerušit, zakázat a podobně. 

Zároveň Špidla připomíná bod ze Strategie kybernetické bezpečnosti ČR ohledně nutnosti dodržování bezpečnostních standardů a jejich vymáhání, a to u všech poskytovatelů takových služeb, včetně těch nejmenších. „Z pohledu informačních a komunikačních systémů veřejné správy se navíc nabízí otázka, zda nenastal čas vážně se zamyslet nad možností provozování vlastní sítě veřejné správy,“ míní Špidla. Aktuálně komunikační infrastrukturu veřejné správy zajišťuje několik vybraných velkých operátorů, které institucím doporučuje rámcová smlouva. „Musíme se začít zabývat otázkou, zda riziko dnes už není příliš vysoké. Jak se píše v jedné knize: Času je málo a voda stoupá.“ Špidla však zároveň připouští, že taková úvaha je v současné době finančně nerealizovatelná.

Dostane se internet do totalitního módu?

Řadu problémů by měl vyřešit plán vlády zřídit kyberbezpečnostní jednotku CERT (Computer Emergency Response Team), která by dohlížela nad děním na českém internetu a měla by dokonce pravomoc v případě kybernetického ohrožení určité části sítě vypnout. Odpůrci projektu však namítají, že by se internet dostal ze svobodného do totalitního módu, jenž by se výrazně podobal tomu čínskému.    

Diit.cz: Špidla je fiktivní odborník!

Web diit.cz Špidlu dokonce označuje za fiktivního odborníka s nebezpečně vysokým postavením a možností negativně ovlivnit fungování důležitých mechanismů jak na úrovni státu, tak mimo něj.

Špidla však namítá, že odezva odborné veřejnosti – tuzemské i zahraniční – k přijetí strategie je naprosto pozitivní. „Velký bratr opravdu nejsem. Středisko proti internetovým hrozbám nazývané CERT nemá monitorovat obsah, má koordinovat reakce na anomálie, vyhodnocovat útoky a podobně. Je to stejné omezení lidských práv, jako když lidem nakážete, aby v autě používali bezpečnostní pásy,“ brání svou vizi Špidla.

CERT  mělo původně vybudovat ministerstvo vnitra. Nakonec ale projekt centra, které by se staralo především o ochranu kritické infrastruktury – tedy energetiky, plynárenství, zdravotnictví a dalších důležitých odvětví – převezme Národní bezpečnostní úřad (NBÚ). Dohodl se na tom ministr vnitra Jan Kubice s premiérem Petrem Nečasem a šéfem NBÚ Dušanem Navrátilem. Jak a hlavně kdy bude specializované centrum fungovat, ale stále není především kvůli chybějícím financím jasné.

Související článek: