I s minimálním zabezpečením se dá odrazit většina kyberútoků. Vícefaktorové ověření je základ, radí belgický expert

Proč by podle vás mělo být zabezpečení nedílnou součástí počítačových systémů?

Když si kupujete auto, automaticky předpokládáte, že splňuje platné standardy. Jsou tam bezpečnostní pásy, reflektory, brzdová světla... jsou na to bezpečnostní pravidla, kterým musí odpovídat. Podle mě by to stejně mělo fungovat s kyberbezpečností. Když nastavujete nějaký systém, neměli byste sami vymýšlet, jak ho zabezpečit, ale měl by být bezpečný, už když ho rozbalíte.

Čtěte také

Hackerských útoků přibylo za deset let šestinásobně. Je třeba se preventivně bránit, říká šéf kybernetického úřadu Kintr

I přesto se na silnici pořád dějí nehody, lidé porušují předpisy...

Nemůžeme očekávat, že by všichni lidé poslechli. Vezměte si, kdy jsme si začali v autě zapínat bezpečnostní pásy – nebylo to hned, jakmile byly k dispozici. Já ještě pamatuji doby, kdy se montovaly jenom za příplatek. Pak přišel předpis, že v autě musí být, ale nebylo výslovně povinné je mít zapnuté – a nikdo je nepoužíval. Tak tedy přidali další povinnost a pokuty... I potom jezdili někteří bez pásů. Teprve když auto začne pípat, že pásy nejsou zapnuté, pak je opravdu začneme používat. Podobně musíte lidem opakovat, aby v počítači používali vícefaktorové přihlašování.

A spousta lidí to bude odkládat, protože to zdržuje a je to nepohodlné.

Ano, podobně jako s bezpečnostními pásy – není to něco, co bychom si dobrovolně vybrali. Ale dosáhli jsme situace, že i když auto nepípá, tak se bez pásů cítím nesvůj. Musíte si uvědomit, že to nějaký čas trvá, než si lidé přivyknou. Když zavedete něco příliš brutálně, lidé začnou opatření obcházet. Nikomu se nelíbí, když ho nutíte do něčeho, o čem není tak docela přesvědčen.

Napadá mě příklad: Americká vláda chtěla zakročit proti čínské síti TikTok, protože není bezpečná, a lidé místo toho odešli k jiné čínské síti, možná ještě rizikovější...

Přesně tak. Musíte si dát pozor, k čemu lidi tlačíte. Před časem někdo prohlásil, že bychom neměli používat e-mailové schránky od velkých společností. Jenže tyhle společnosti obvykle spolupracují s orgány spravedlnosti a podle potřeby poskytnou důkazy k vyšetřování. Kdežto kdyby hodně lidí odešlo k nějaké alternativě, která s orgány nespolupracuje, a něco by se stalo, tak by byli ve větším ohrožení.

Čtěte také

Kam až sahá zájem bezpečnosti u technologií pro stát? Citlivá data nemusí ležet všude, míní Heller

Zločinci se tak jako tak budou vyhýbat něčemu se státním dosahem. Daří se vůbec zavádět něco jako národní nebo nadnárodní pravidla provozu v globálním světě internetu?

Myslím, že kousek po kousku. Například v naší zemi jsme rozdělili zásady kyberbezpečnosti do čtyř úrovní a základem je pouhých sedm opatření. Musíte to udělat jednoduše, aby podle toho lidé mohli postupovat. Kdybychom jim řekli, že firmy musí ihned implementovat ISO 27001 nebo 27002, byl by to příliš velký krok. Kdyby ale většina z nich měla aspoň naprostý základ, neměli bychom skoro žádný ransomware. Většina z případů, kdy útočníci zablokovali data a chtěli výkupné, se stala kvůli tomu, že někdo nezajistil ani naprosté základy kyberhygieny.

Co bychom tedy měli vědět především?

Třeba to, že víme o svých slabinách a máme pod kontrolou identity a přístupy. Určitě sem patří vícefaktorové ověřování. Když vám například někdo pošle e-mailem fakturu s tím, že se jim změnilo číslo účtu, raději si to ověřte a zatelefonujte jim na číslo, které si najdete jinde než v té faktuře. Všechny zásady jsou shrnuté na webu cyfun.eu.