Bezpečnost na internetu nestojí jen na technologiích, ale hlavně na lidech a důvěře. Shodli se na tom experti na pražské konferenci pořádané OpenSSL Corporation a OpenSSL Foundation. Důvěru přitom často nabourávají zbytečná nedorozumění. Malé firmy například často nechrání svá data nikoliv proto, že by nechtěly, ale protože nerozumí tomu, co po nich odborníci žádají.

Kybernetická bezpečnost je horkým tématem. Může za to sílící mezinárodní regulace a především rostoucí riziko takzvané hybridní války. To vyostřil konflikt mezi Ruskem a Ukrajinou. Jasně ukázal, že válku nemusí vést jen vojáci na bojištích, ale i hackeři na sítích.

Začít pomalu a od malých

K nejzranitelnějším článkům patří malé firmy. V loňském roce na ně cílilo 61 procent hackerských útoků. Hackeři totiž spoléhají na to, že malé podniky nejsou na kybernetické hrozby dobře připravené.

OpenSSL konference je mezinárodní akce zaměřená na kryptografii a bezpečnou komunikaci. Na začátku října se na ní setkali přední IT experti a vývojáři z celého světa, aby diskutovali o budoucím vývoji hojně využívané knihovny OpenSSL a souvisejících technologiích. Foto: Open SSLCorporation

A v mnoha případech nejsou daleko od pravdy. Malé firmy obvykle nestaví kybernetickou bezpečnost na vrchol žebříčku svých priorit. Podle Brendana Paynea, zakladatele poradenské společnosti Payne Point Media, není většinou na vině nedostatek peněz na investice. Jde spíše o to, že podnikatelé nechápou, co po nich bezpečnostní experti chtějí.

Technologové podle něj mluví v termínech jako „asymetrická kryptografie“ nebo „multifaktorové ověření“, podnikatelé slyší jen cizí slova, kterým nerozumí. Jde to přitom říct mnohem jednodušeji. „Heslo vám otevře dveře, ale vícefaktorové ověřování je jako bezpečnostní stráž, která kontroluje váš průkaz totožnosti,“ radí Payne.

Brendan Payne, zakladatel poradenské společnosti Payne Point Media, na konferenci OpenSSL hovořil o zranitelnosti malých firem. Kybernetická bezpečnost pro ně není prioritou. Na vině ovšem podle Payna není většinou nedostatek peněz na potřebné investice. Jde spíše o to, že podnikatelé nechápou, co po nich bezpečnostní experti chtějí. Foto: Alžběta Vejvodová

Překlenutí komunikační propasti považuje za jeden z nejdůležitějších kroků k posílení odolnosti malých podniků. A i poté je potřeba přistupovat k zavádění bezpečnostních opatření po malých krůčcích a zbytečně podnikatele neděsit. Základem jsou silná hesla, školení a aktualizace, potom pravidla a zálohy, a teprve nakonec integrované procesy. Podnikatelé tak postupně pochopí, proč je bezpečnost důležitá, a každý další krok se už pak zavádí snadněji.

Každý krok, který udělá malá firma pro posílení bezpečnosti, zvyšuje bezpečí celého ekosystému,“ upozorňuje Payne.

Mohlo by vás zajímat

munice a logo NATO

Každá mikrosekunda se počítá

Zatímco Payne mluvil o problémech malých firem, Forrest Rae z Oracle nabídl pohled z opačného konce spektra: z prostředí velkých cloudů. Ty už dnes využívá valná většina firem. Jde o síť vzdálených serverů a online služeb, které firmám a jejich zaměstnancům umožňují prostřednictvím internetu sdílet data a informace. K nejznámějším patří Google Disk, OneDrive, Dropbox, iCloud či Oracle Cloud.

Kybernetická bezpečnost či využití a financování open source softwaru patřily k tématům konference OpenSSL. Konala se 7. až 9. října v Praze. Foto: OpenSSL Corporation

Rae připomněl, že v cloudu probíhá zhruba 10 miliard operací za sekundu. „V takovém měřítku i ta nejmenší neefektivita v kryptografické knihovně nezpůsobí jen zpoždění. Promítá se do skutečných nákladů a skutečného dopadu na výkon,“ upozornil.

Oracle podle něj staví svou infrastrukturu tak, aby byla bezpečnost zabudovaná v každém kroku a tvořila DNA celé programové architektury od hardwaru až po aplikační programové rozhraní. To slouží jako prostředník a umožňuje různým softwarovým aplikacím komunikovat a sdílet data.

Jednotlivé prvky pak spolupracují na principu nulové důvěry, kdy si, zjednodušeně řečeno, navzájem nevěří. „To vytváří základ pro bezpečnou platformu. Neříkám, že to samo o sobě stačí, stále musíme zavádět další bezpečnostní opatření. Ale pro bezpečnost je to velmi užitečné,“ uvedl Rae.

Spolupráce místo uzavřených systémů

Rae připomněl, že Oracle sází na otevřenou spolupráci. Používá otevřenou knihovnu OpenSSL, jejíž zdrojový kód je volně k dispozici pro kohokoliv ke studiu i dalšímu využití. Optimalizace, které programátoři firmy následně udělají, pak vrací zpět komunitě, která knihovnu vytváří.

Cílem konference OpenSSL bylo osobní setkání a propojení tisíců vývojářů, kteří do této open source knihovny přispívají a podílejí se na jejím rozvoji. Fotografie zachycuje Hannu Andresen z OpenSSL Corporation při networkingu. Foto: OpenSSL

„Nejde jen o kód, ale o sdílené hodnoty, k nimž patří otevřenost, zodpovědnost a důvěra. Ty sdílíme s komunitou OpenSSL,“ uvedl Rae. „Nejsme dvě strany stolu, jsme jedna komunita.“

OpenSSL je jedna z nejrozšířenějších softwarových knihoven na světě. Používá se ve více než 70 % všech zařízení a síťových prvků od mobilních telefonů, přes internetové bankovnictví či zdravotnické aplikace, až po průmyslové systémy. Zajišťuje šifrovanou komunikaci, autentizaci a ochranu dat při každém přenosu informací na internetu.

Otevřený kód jako základ bezpečnosti

Brian Will, hlavní inženýr společnosti Intel, který se specializuje na síťovou bezpečnost a zpracování dat, přidal technický pohled. Vysvětlil, že přístup založený na otevřeném kódu od OpenSSL přináší nejen transparentnost, ale také vysoký výkon a spolehlivost.

Intel už více než deset let vyvíjí doplňky, které rozšiřují knihovnu OpenSSL o vylepšené algoritmy. Díky nim může firma ladit a aktualizovat bezpečnostní moduly vlastním tempem, bez čekání na aktualizaci celé knihovny.

Organizátoři pražské konference OpenSSL, jejímž cílem bylo propojit uživatele a přispěvatele stejnojmenné kryptografické knihovny. Tu používají mobilní telefony, internetové bankovnictví či zdravotnické aplikace. Využití má i v průmyslových systémech. Třetí zprava je Tim Hudson, prezident OpenSSL Corporation. Druhá zleva stojí Hana Andersen, mluvčí společnosti. Foto: OpenSSL Corporation

Otevřený kód jí tak dává flexibilitu, kterou potřebuje k dosažení nejvyššího výkonu a stability systémů. „Zároveň nám umožňuje sdílet optimalizace napříč verzemi a platformami,“ uvedl Will. Tím posiluje celý bezpečnostní ekosystém. Umožňuje také bez odstávek provádět i úpravy aplikací, které musí běžet nepřetržitě.

Regulace a kvantová hrozba

Význam bezpečnosti a důraz na vývoj lepších bezpečnostních řešení do budoucna poroste. Povedou k tomu nejen nové digitální regulace, jako například evropské nařízení o kybernetické bezpečnosti nebo připravovaný akt o kybernetické odolnosti, ale především nástup kvantových počítačů. Ty podle Forresta Rae zvyšují riziko, že dnes bezpečná data zachycená na internetu mohou být později díky modernější technologii rozluštěna.

Pomoc a řešení nabízí podle oslovených expertů kombinace otevřeného vývoje, přehlednost a pružnost při nasazování nových algoritmů. A především zacílení na všechny články společenského spektra.