Zveřejnění detailů o programu PRISM, který společně s více než tuctem dalších programů provozuje americká tajná služba NSA (National Security Agency), jasně ukazuje, jak nahé jsou informace ve 21. století. Případ navíc potvrzuje to, co mnozí předpokládali: nejvýznamnější provozovatelé cloudových a telekomunikačních služeb si se soukromím svých uživatelů a zákazníků hlavu rozhodně nelámou. A nepochybně ani řada menších, budou-li z nějakého důvodu ze strany NSA „osloveni“, se nebude chovat jinak.
Microsoft, Google, Yahoo!, Facebook, Youtube, Skype, AOL jsou mezi těmi, kdo poskytují naše e-maily, přepisy chatu, metadata i data z hlasových hovorů, fotografie, videa, data, VoIP komunikaci, přenášené soubory, videokonferenční data, informace o tom, kdy jsme ke službám přistupovali, údaje o našich kontaktech ze sociálních sítí a v podstatě libovolné další „vyžádané“ informace. Prakticky každý krok, který na internetu uděláme, je zaznamenán, aby mohl být analyzován – v lepším případě pouze za účelem zobrazení vhodné reklamy.
Pohodlí nedůležitosti
K situaci můžeme samozřejmě přistupovat s blahosklonným pocitem, že nás se to vlastně netýká. Zákona dbalý občan přece nedělá nic, co by potřeboval před NSA či jakoukoliv jinou zpravodajskou agenturou skrývat – jsme dostatečně nezajímaví a krytí imunitou, kterou nám poskytuje dav. Je ale takový pocit bezpečí na místě – a především, měli bychom stejným způsobem uvažovat i o firemní komunikaci a informacích? Co vlastně případ Edwarda Snowdena a následný vývoj znamená z hlediska zabezpečení firemních dat?
Zpravodajské služby pochopitelně zdůrazňují, že jediným smyslem a funkcí programu PRISM (a všech dalších) je bezpečnost USA a boj s terorismem. Je dost dobře možné, že oficiální procesy a pravidla jsou tak skutečně nastaveny.
Otázkou ale je, jak se k informacím dostupným v systému chovají konkrétní zaměstnanci či kontraktoři NSA (jako byl Snowden). Je velmi nepravděpodobné, že konkrétní lidé nemohou informační zdroje a možnosti PRISM, Echelonu, X-Keyscope či Stellar Windu využít ve prospěch třetích osob. A nelze vyloučit, že v případě nejvýznamnějších podniků a klíčových odvětví se tak může dít přinejmenším s tichým souhlasem příslušných zpravodajských agentur. Jestliže byl Snowden pouhým „externistou“, jaké informace a možnosti mají kmenoví zaměstnanci NSA?
Ring volný
Odhalení Edwarda Snowdena ale především dávají z „psychologického hlediska“ zelenou aktivitám zpravodajských agentur jiných zemí, které budou mít ještě menší zábrany v tom, jak využít své kapacity pro účely průmyslové či obchodní špionáže. Pro Čínu či Rusko je rozkrytí programu PRISM jasným argumentem, proč se ve zpravodajských aktivitách netřeba krotit, bez ohledu na případné průsaky v médiích a bez ohledu na to, zda jde o aktivity v oblasti bezpečnosti a zahraniční politiky nebo špionáž průmyslovou a ekonomickou. Ostatně již úvodní rozhovor se Snowdenem v The Guardian jasně naznačil, že NSA neváhá vstoupit do sféry obchodní špionáže například v oblastech, jako jsou bankovnictví a finance – zejména prolomení bankovních tajemství ve vztahu k americkým občanům (ale pochopitelně nejen k nim).
Že Čína vede kybernetickou průmyslovou válku, je veřejným tajemstvím, článek o podpoře hackerů tamní vládou jsme již dříve zveřejnili. V poslední době se tématu věnovala také bezpečnostní zpráva společnosti Mandiant o čínské skupině označované jako APT1 (Advanced Persistent Threat group 1), kterou se podařilo vysledovat zpět až ke konkrétní jednotce Čínské lidové armády číslo 61398. Ta je podle zprávy umístěna ve velké kancelářské budově na ulici Datong v Šanghaji. Podle Mandiantu jednotka od roku 2006 úspěšně napadla na 141 firem ve dvaceti průmyslových odvětvích, přičemž 87 procent těchto organizací sídlí v anglicky hovořících zemích a působí v odvětvích, která Čína označuje jako strategická. Tamní ministerstvo zahraničí pochopitelně podobná nařčení důsledně odmítlo.
Německo je hlavním cílem
Mezi hlavní cíle, či spíše oběti průmyslové špionáže, patří v Evropě už tradičně Německo. Ostatně informace, které poskytl Edward Snowden deníku Guardian, naznačují, že právě Německo bylo v hledáčku programu PRISM ve větší míře než jiné země EU. Proč tomu tak bylo a zda to naznačuje možné využívání PRISM pro průmyslovou špionáž, lze jen spekulovat. Nicméně tuzemské podniky, zejména ty, které fungují jako subdodavatelé nebo obchodní partneři německých firem v průmyslových odvětvích a inovativních oborech včetně vývoje softwaru a cloudových řešení, se také mohou dostat do příslušných „hledáčků“.
Že si některé německé podniky rizika uvědomují, ukazuje například článek, který nedávno publikovala mezinárodní edice Der Spiegel. Ti opatrnější, jako například Markus Staudinger ze společnosti Gustav Eirich (vyrábí mixovací zařízení pro průmyslové podniky), důsledně šifrují e-mailovou komunikaci a data na firemních laptopech nebo chytrých telefonech již řadu let. Mnoho společností, zejména v segmentu SMB, ale adekvátní bezpečnostní politiky postrádá. Německý Úřad na ochranu ústavy podle Der Spiegelu odhaduje, že škody, které Německu průmyslová špionáž ročně způsobí, se pohybují mezi 30 až 60 miliardami euro. Učinit přesnější odhady je nemožné, protože podniky o svých bezpečnostních incidentech pochopitelně veřejně nehovoří.
Je evidentní, že kauza Edwarda Snowdena a informace o PRISM a dalších programech NSA povzbudí zájem podniků o zabezpečení komunikace a citlivých firemních dat. Rozumné investice jsou v této oblasti rozhodně na místě stejně jako přiměřená (nebo lehce přehnaná) míra opatrnosti. Provozovatel místního pekařství, penzionu nebo restaurace pochopitelně nemá důvod zatracovat bezplatné (či placené) služby Googlu či Microsoftu. Pokud ale pracujete se skutečně citlivými informacemi, které mají povahu obchodního tajemství nebo jsou výsledkem původního výzkumu a vývoje, měli byste se zamyslet nad tím, komu je svěřujete a jaká je komunikace a výměna informací o nich.
PŘEDPLATNÉ
ČLÁNKY DO MAILU