Bezpečnost v digitální éře?

Když se řekne AVAST, nejednomu z nás naskočí automaticky spojení „počítačové viry“, „antivirus a ochrana před viry“ nebo prostě a jednoduše „počítačová bezpečnost“ či „bezpečnost na internetu“. A právě o bezpečnosti v digitální éře si budeme povídat s bezpečnostním expertem z firmy AVAST, Tomášem Zajícem.

1. Kdo je bezpečnostní expert?

Označení „bezpečnostní expert“ zní pro normálního člověka trochu jako ze sci-fi nebo akčního filmu. Co takovéto pracovní zařazení obnáší reálně? Co vlastně dělá „bezpečnostní expert“ ve firmě, jakou je AVAST? Můžete to, nám laikům, stručně přiblížit?

Pokud se řekne „bezpečnostní expert“, mělo by se nejspíš alespoň dodat „čeho“ ;). Ono totiž, i když se to zúží na bezpečnostního experta digitálních technologií nebo ještě víc na bezpečnostního experta onlinového nebo kyber prostředí, je to pořád velmi široký pojem. Bezpečnostní experti vztahující se k digitálním technologiím se v poslední době rozrostli jak houby po dešti a co si budeme povídat, jejich odbornost nebo skutečné zkušenosti s tématy, o kterých mluví či píší, je velmi sporná.

Dalším velkým problémem digitální bezpečnosti je velká dynamika, se kterou se vše žene kupředu, v kombinaci s velmi krátkou historií. Tyto dvě skutečnosti dělají i z těch, řekněme, zkušenějších „expertů na zabezpečení online prostoru“ jezdce na velmi tenkém ledě. Na svých přednáškách a besedách často uvádím, že pokud se sejdou tři lidé se zaměřením na digitální bezpečnost, tak v každém tématu bude mít alespoň jeden z nich zcela odlišný názor než zbylí dva, a to bude ještě dobrý případ, kdy se shodnou dva ze tří ;).

Celé to téma jistě neobsáhneme, ale zkuste nám alespoň rámcově přiblížit, co je pro našeho fiktivního „bezpečnostního experta“ důležité a co jeho práce v oblasti digitálních technologií obnáší.

Předně si musíme uvědomit, že teorie i praxe jsou v tomto zaměření zcela rovnocenné a pokud jedno pokulhává za druhým, naše rozhodování se může snadno dostávat do špatných kolejí. Z teorie je jistě zapotřebí znát technologie a způsoby, jak tyto technologie ovládat.

Jednoduše řečeno to znamená, že mi nestačí vědět, že tu je nějaký počítač, ale musím poměrně detailně znát, jak tento počítač pracuje uvnitř. Z čeho je složen, jaké má komponenty a jaké procesy se v něm odehrávají. A také jak tyto procesy ovlivňovat – tedy znát principy nízkoúrovňového programování. Tím ale zdaleka teoretická část nekončí. Je tu velká psychologická oblast, která celou bezpečnost velmi ovlivňuje, takže se potřebujete poměrně do detailu zabývat i tím, jak lidé digitální technologie používají, jaké návyky a psychologické vzorce se na pozadí využívání digitálních technologií objevují. Musíte chápat a neustále rozklíčovávat zranitelnost technologií a jejich umělé inteligence v kombinaci se zranitelností lidského chování a zvyklostí. V neposlední řadě je také potřeba mít alespoň základní povědomí o zákonech a právních principech, které se digitálních technologií týkají nebo by se k nim mohlo vztahovat jejich používání.

Takže nejen propojení více oborů, ale navíc ještě úzká provázanost teorie s praxí? Neměl byste nějaký konkrétní případ, jak se nám v oblasti bezpečnosti propojuje právě teorie a praxe?

Řadu teoretických znalostí nebo jejich korekci získáváme při řešení praktických případů. Těžko si představit „bezpečnostního experta“, který by sám neměl praktické zkušenosti. V digitálních technologiích to například znamená zamýšlet se a testovat prolamování hesel, zneužití exploitů (jednoduše řečeno chyb) v operačních systémech a jiných aplikacích, hackování a tak dále. Je zapotřebí si velmi precizně uvědomovat, jak chyby a mezírky v bezpečnosti vznikají, bez toho jste jak plavčík, který neumí plavat. Psychologická praxe se nejlépe získává na besedách a při rozhovorech. V neposlední řadě pak právní a další zkušenosti s řešením případů, kdy je člověk sám napaden, nebo hájí někoho jiného.

Je toho mnoho a to vše je zastřešeno tím, že člověk tyto technologie, systémy a aplikace dnes a denně používá s otevřenýma očima. Věci mu pak do sebe začínají více zapadat a má šanci do určité míry pochopit to „jednoduché“ slovní spojení „bezpečnost v digitálním prostoru“ :).

2. Digitální bezpečnost v čase

Změnily se v posledních letech nějak zásadně požadavky na znalosti v oblasti „digitální bezpečnosti“?

Když řeknu, že požadavky na znalosti v oblasti „digitální bezpečnosti“ se za posledních 30 let příliš nezměnily, bude to pro někoho nejspíš překvapení, ale je to v podstatě stejná odpověď, jako kdybych řekl, že se změnily a mění se tak rychle, že se je nestíháme učit. Oba ty pohledy jsou v zásadě pravdivé. Digitální bezpečnost totiž ve skutečnosti velmi úzce souvisí s tím, jak chápeme a jak se stavíme k jakékoliv jiné bezpečnosti – ať už svojí nebo bezpečnosti ostatních.

Jistě, před třiceti lety přišel do kontaktu s digitální technologií málokdo. I před dvaceti lety je mírně sporné bavit se o nějaké potřebě digitální bezpečnosti – ano, byla to záležitost, která se již přeci jen někoho týkala, ale šance, že by konkrétní člověk utrpěl nějakou újmu vinou digitální hrozby či útoku, byly stále velmi mizivé. Nicméně od roku 2000 rostla a neustále stále roste šance na přímou zkušenost s digitálním útokem nebo jinou hrozbou takřka raketově. Zhruba od roku 2010 se pak ke zjevným hrozbám (finanční újmy, ztráty nebo odcizení dat či zneužití mého zařízení k činnosti jiného subjektu) zcela zásadně přidala hrozba psychosociální, která z určitého pohledu může být ta nejhorší.

Tedy pokud jsem uvažoval, že v roce 2000 byla potřeba digitální bezpečnosti vyhrazena spíše jen několika málo procentům (rozvinuté) populace, v roce 2020 je spíše několik procent populace, která s hrozbami kyberprostoru do styku nepřijde. V tomto smyslu jsou nyní znalosti v oblasti „digitální bezpečnosti“ na předním místě.

3. Projekt Buď Safe Online

Mnozí čtenáři e-Molu vás budou znát z projektu www.budsafeonline.cz. Můžete projekt „Buď Safe Online“ stručně představit?

Projekt „Buď Safe Online“ vznikal na konci roku 2017 a vyplynul ze stále narůstající potřeby informovat veřejnost – především děti – o zjištěních, které se týkají bezpečnějšího užívání digitálních technologií. Došlo tedy ke spolupráci s bývalým youtuberem (to je člověk, který vydělává natáčením videí, která si lidé přehrávají na internetu) Jirkou Králem, který byl ochotný zapojit se do projektu bez nároku na honorář. Spolupráce s Jirkou Králem byla a je velmi užitečná a obohacující. V poslední době se však prohlubuje potřeba o těch tématech mluvit nejen s dětmi, ale především s rodiči dětí, kteří by tak měli mít možnost skrze toto téma vztah se svými dětmi prohlubovat.

4. Technologie všude kolem nás

Bezpečnost v souvislosti s dnešními digitálními technologiemi je zmiňována v nejrůznějším kontextu velice často, ať už jde o „klasické“ počítače, notebooky, chytré telefony a tablety, počítačové sítě a síťové prvky, wi-fi, internet, IoT, … Když se řekne počítačová bezpečnost, co všechno to dnes obnáší? A hlavně, na co by měl běžný uživatel myslet a co je doménou specialistů?

Těžko o tomto tématu říci něco v několika větách, ale jedním ze základních principů je uvědomit si, že žádný expert nebo specialista mi nemůže zaručit bezpečí. Relativní bezpečí je vždy kombinací okolností, vědomostí a mého přístupu k dané problematice. Přirovnal bych to asi k tomu, že kdybychom všude, kde je možné si pádem z výšky přivodit zranění nebo se zabít, dali zábradlí, tak krom toho, že to není reálné, bude to pravděpodobně mnohem nebezpečnější než se spolehnout na přístup a zodpovědnost lidí k problematice možnosti zranění v důsledku pádu. V digitální bezpečnosti je to stejné, již dnes narážíme na něco, co by se dalo nazvat „over security“ (tedy přehnaná bezpečnost). Jsou to případy, kdy zabezpečení (v průměru) působí běžnému uživateli daleko větší problémy a újmy než případná ztráta v případě zneužití jeho účtu, dat a tak podobně. „Over security“ je téma, které nás v budoucnu s největší pravděpodobností velmi nepříjemně zasáhne. V praxi je to asi tak, jako když byste měli doma pancéřové dveře a na nich 10 zámků. Téměř s jistotou vás těžké dveře a neustálé odmykání a zamykání budou extrémně unavovat a obtěžovat. Celkově vám to způsobí újmu daleko přesahující možnost, že by vás opravdu někdo vykradl, pokud byste měli jen běžné „rozumné“ zabezpečení. A to pominu to, že takové dveře zloděje lákají a bude pro něj pravděpodobně mnohem snazší vybourat zeď vedle nich, nebo dojde k tragikomické situaci, kdy si zloděj počká (nebo se zrovna náhodou strefí), až zapomenete zamknout.

Také je dobré si uvědomit přímou úměru v poměru: čím více věcí, o kterých přesně nevím, jak fungují, používám, tím víc se vystavuji nebezpečí, že některé z nich nebudou pracovat tak, jak očekávám, nebo že je někdo použije proti mně. Jak jsem zmiňoval na začátku, představa, že návrháři, výrobci a prodejci zaručí mou bezpečnost, je iluzorní.

Nejednoho z nás asi napadne, že mnohá zařízení a služby, o kterých nevíme, jak fungují, přeci jen používat musíme. Jak k nim pak z pohledu bezpečnosti přistupovat?

Nejen na internetu dnes existuje doslova záplava návodů, videí a rad, jak přistoupit k základním věcem, jako je nastavení účtů, správa hesel nebo ochrana soukromí, ale může být poměrně složité se v nich vyznat, protože konkrétní úroveň zabezpečení je pro každého člověka individuální. To, co je pro někoho bezpečné, může být pro někoho jiného velmi nebezpečné. Naštěstí – nejen v digitální bezpečnosti – velmi dobře fungují určité poměry, které nám poradí, co je konkrétně pro nás důležité. Například čím jednodušší jsou hesla, tím méně je třeba energie a náročnosti na jejich zapamatování, organizaci a čas. Na druhé straně nám jednodušší hesla poskytují menší úroveň soukromí, ve většině případů jsou jednodušší na prolomení (některá mohou být tak jednoduchá, že je to prakticky stejné, jako byste tam heslo vůbec neměli) a v neposlední řadě nám jednoduchá hesla dopřávají mentální a psychologickou uvolněnost, která může být problematická nejen z hlediska digitální bezpečnosti. Se složitými hesly je to naopak, takže jde o to zvolit přiměřený přístup pro mou konkrétní situaci a potřebu.

Osvěta v oblasti volby odpovídajícího bezpečného hesla stále probíhá a řada služeb a aplikací nás k volbě ne zcela triviálního hesla donutí různými pravidly (je třeba zadat alespoň 12 znaků, z toho 2 „velká“ písmena, nějaké číslice atd.). Je tu ale určitě i řada dalších bezpečnostních „rizik“. Co třeba zneužívání osobních dat, která dáme „na síti“ sami veřejně k dispozici?

Naprosto stejná situace je v oblasti nakládání s osobními nebo citlivými informacemi a fotografiemi. Já na svých přednáškách mám takový příměr, že na internet obecně – včetně sdílení mezi přáteli a rodinou – je dobré dávat jen to, co se může dostat do rukou mým úhlavním nepřátelům. Ono i tak je složité odhadnout, co se dá a nedá zneužít. Někteří lidé jsou mistři v nápadech, jak zdánlivě zcela nevinnou informaci nebo fotku použít k ostrému útoku nebo k nekalé činnosti.

Obecně jde o to co nejlépe si určit, co je pro mě opravdu podstatné, a to si dobře zabezpečit. Ostatní věci a záležitosti si pak zabezpečit tak, aby mě to stálo co nejméně času a energie s tím, že pokud o ně přijdu, jejich obnovení mě bude stát méně času a energie než k nim spravovat složité heslo nebo jiné náročnější zabezpečení.

Útočníci nejčastěji využijí naší nepozornosti, spěchu, touhy něco získat nebo lenosti. Dalším vážným nebezpečím je skutečně hrubá neznalost základů digitální bezpečnosti, jako je otevírání neznámých mailů (nedej bože příloh) či připojování se na internet v místech, kde nevím, kdo připojení spravuje (typicky restaurace, nádraží, letiště, ale i vlaky nebo náhodné přístupové body internetu při procházce městem). Ano, jsou nástroje (například VPN), které nám i v těchto situacích mimo domov nebo práci mohou zabezpečit přístup k internetu, ale je dobré si o nich nejdříve něco přečíst.

6. Kyberšikana

Velkým tématem je bezpochyby kyberšikana. Co všechno s tímto tématem souvisí a na co by měl učitel v rámci výuky myslet, co by měl zdůraznit?

Úplně si nemyslím, že kyberšikana je „velkým“ tématem, ale spíš „módním“. Nicméně co se týče důležitosti, tak je nepochybně na předních místech toho, s čím se pravděpodobně setká nejvíc dětí, potažmo všech lidí. Víme, že pracovat s šikanou jako takovou je problematické. Kyberšikana má ve srovnání se šikanou své záludnosti, ale na druhou stranu je často lépe řešitelná, pokud víme jak.

Zde si nemohu odpustit zmínit nařízení a regulace GDPR, která jsou dle mého názoru jedním z největších neštěstí, která celou oblast digitálních technologií potkala, a pro „rozumné“ řešení problematického chování (nejčastěji spolužáků) na sociálních sítích či jiných „onlinových“ komunikačních platformách je tento nový standard opravdový „zabiják“. My totiž v prvé řadě potřebujeme demaskovat aktéry kyberšikany. Následně pak s nimi zahájit rozhovory – nejčastěji včetně jejich rodičů, čímž – z mých zkušeností – v drtivé většině předejdeme vzniku „klasické“ šikany jako takové, která se dnes často začíná právě na sociálních platformách.

Další záludností kyberšikany může být podcenění aktéra nebo skupiny aktérů. Pokud jsem se k záležitostem tohoto typu dostal, všiml jsem si, že původními aktéry nebo tím, kdo je schopen situaci na sociálních platformách opravdu vyhrotit, bývají častěji dívky než chlapci, což je u „klasické“ šikany právě naopak. Dále to pak může být žák nebo menší skupinka žáků, kteří se ve škole jeví jako naprosto bezproblémoví, ale uchýlí se k tomuto řešení pro nějaké „vyřízení účtů“ právě z důvodů, aby ve škole neutrpěla jejich bezúhonnost.

A na co by měl myslet učitel? Myslím, že na nic speciálního. Měl by se snažit vybudovat nebo udržet důvěru, že je někým, komu mohou žáci svěřit své starosti a problémy. Nebát se s žáky o jejich „online světě“ mluvit. Nebýt naivní a uvědomit si, že sociální online platformy slouží žákům především pro „stěžování si“ na učitele, sdílení úkolů a vyznávání si každodenně se měnící lásky a nenávisti.

7. Digitální bezpečnost ve vzdělávání

Jaký je podle vás stav „počítačové bezpečnosti“ na českých školách? Máte k dispozici nějaké své interní statistiky?

Interní statistiky nemáme a nejsem si jist, že vůbec nějaké takto konkrétně zaměřené statistiky jsou. Navíc se ukazuje, že statistiky ohledně témat spojených s digitální bezpečností obecně, které se snaží různé subjekty pořídit – včetně našeho projektu „Buď Safe Online“ – se často s jinými statistikami nemálo rozcházejí. Je to dáno tím, že se používají rozdílné metodiky, vzorky, ale i například formulace otázek, které mohou být v tomto tématu velmi zavádějící a jejichž jednoznačnost je často sporná.

Můžeme se zde bavit také o nějakých policejních statistikách, například kolik nahlášení toho či onoho je za určité období. Zde sledujeme velmi výrazný nárůst problematického chování nebo podvodů skrze internet nebo digitální technologie. Ale zjišťovat podobně připravenost českých škol? Nicméně se obávám, že pokud by někdo zaplatil seriózní kybernetický útok na české školy, dopadlo by to asi katastrofálně…

A co situace v zahraničí, je obdobná jako u nás?

Situace v zahraničí je široký pojem, ale některé státy jsou na tom asi lépe než Česká Republika. Napadá mě například Německo, které mi v různých otázkách kybernetické bezpečnosti přišlo vždy minimálně o krok napřed. Avšak i v západní Evropě se najdou státy, které na tom budou naopak hůře. Bohužel, nevím o žádných „objektivních“ srovnáních. Pokud čerpám ze své zkušenosti, tak celkově si myslím, že na tom budeme na školách přiměřeně potřebám žáků, ale počítá se s tím, že na školy nepřijdou cílené útoky.

Máte představu, jak si stojí v oblasti bezpečnostních znalostí a návyků naši školáci?

Podle zkušeností, které máme z přednášek na školách, se naši školáci v digitální bezpečnosti orientují poměrně dobře, ale jsou to děti, takže k věcem přistupují velmi lehkovážně, což je činí velmi zranitelnými. Setkávám se často s případy, kdy se děti domnívají, že mají své jednání v kyberprostoru pod kontrolou, ale opak je pravdou. Přeceňují své znalosti a schopnosti. Není výjimkou, že dospělé považují za „hloupé“, takže jsou přesvědčeni, že jim nic nehrozí, a někdy do nebezpečných situací schválně vstupují. Berou pak záležitost jako „hru“ a snaží se na dospělé vyzrát, ale setkají-li se s nějakým zkušeným protivníkem, tak jsou právě v této své namyšlenosti snadno lapeni. Obecně by se dalo také říct, že jejich bezpečnostní návyky velmi zaostávají za znalostmi.

Myslíte, že by na škole měla být osoba, která by byla „digitální bezpečností“ pověřena? A pokud ano, co by taková osoba měla dělat?

To si nemyslím. Digitální bezpečnost je obecně „módní“ záležitost a rozhodně by se z ní nemělo dělat něco zcela výjimečného. Je to asi jako kdybyste měli člověka, který dohlíží na správné přecházení silnice nebo na to, zda děti mají přezuvky. Jistě, i nad tím může mít někdo dohled, ale rozhodně to nebude jediná náplň jeho práce. Spíše si myslím, že bychom se měli více věnovat učitelům, kteří v oblasti digitálních technologií žáky vzdělávají. Setkávám se se schopnými učiteli informačních technologií – což je skvělé, ale také mám zkušenosti, že učitele nebo učitelku informatiky dělá člověk proto, že kromě počítače má jako jediný v učitelském sboru i chytrý telefon – to asi opravdu není dobré. Domnívám se, že v dnešní době je potřeba informačním technologiím dát vedle ostatních důležitých předmětů rovnocenné místo.

Již poměrně dlouho se připravuje revize kurikulárních dokumentů RVP. Účastníte se této revize coby bezpečností experti „konzultanti“?

Zhruba před třemi čtyřmi lety jsem nějaké setkání tohoto typu v Avastu zaznamenal a účastnil se ho, ale bylo to víceméně seznamovací setkání. Kam se pak tato iniciativa rozplynula, netuším. Já doufám, že nějací bezpečnostní „experti“ či „konzultanti“ přizváni jsou a této změny se účastní, ale já o žádných konkrétních nevím. Stále však platí, jak jsem zmiňoval jinde, že bych příliš neodděloval digitální bezpečnost od jiné, obecné, bezpečnosti. Jedině tak se v ní totiž můžeme začít orientovat a chápat její principy.

Nabízí AVAST nějaká školení (popř. popularizační akce s tématem bezpečnost) pro učitele nebo pro žáky?

Avast nepořádá v podstatě žádná ucelená školení, tedy ani pro učitele nebo žáky, ale určitá budoucnost by v tom být mohla. Myslím, že důležité bude, jak se bude dařit projektu „Buď Safe Online“, protože takové projekty jsou vstupním bodem do této problematiky a nástroj na popularizaci digitální bezpečnosti – stejně jako proud povědomí a informací o digitálních technologiích a digitalizovaném světě, ve kterém nyní žijeme.

Děkuji za poskytnutí rozhovoru a přeji Vám i firmě AVAST „bezpečné dny“ v digitální éře.
Tomáš Feltl