Zatímco se lidé nechávají šacovat na letištích a proskenovat před vstupem do areálu Hradu, mohou se dnešní sofistikovaní teroristé na taková opatření vykašlat, asi jako se pilot nadzvukového bitevníku nebude zatěžovat středověkými hradbami. Boj už se dávno vede jinak.

Zažili jsme to před letošními Vánocemi hned dvakrát, aspoň pokud jde o případy zaznamenané veřejností. Útok hackerů na nemocnici v Benešově a doly OKD. V nemocnici byla vyřazena z provozu většina přístrojů. U OKD byla mimo provoz kompletní síťová infrastruktura, a proto vedení společnosti z bezpečnostních důvodů hned ukončilo i těžbu ve všech dolech. Nemocnice bývají cílem útoků často a většinou jde o vydírání.

Dokonalý a vzájemně propojený svět je také místem nových rizik. Takových, že mysl obránců fascinovaná bezpečnostními rámy a betonovými zátarasy za vývojem jaksi nestíhá.

Jde také o krizi důvěry. Škody se zatím dají nějak napravit, ale špatné je, že běžný člověk nemá žádný důvod věřit ujišťování ze strany expertů, že všechno je pod kontrolou. Třeba že osobní data pacientů nebo klientů bank jsou v bezpečí. Příští rozverné veselohry by mohly nést třeba názvy jako Osobní data, nebo Právo na soukromí. To nasmějeme.

Objevuje se nové nebezpečí. Vzniká „internet věcí“ (IoT), tedy cela řada přístrojů běžné potřeby, které jsou samy o sobě computerem a jsou propojené s jinými. Jak ale upozorňuje ve svém článku The Economist, jen málo společností vyrábějících vzájemně propojené „mašinky“ má zkušenosti s kybernetickým zabezpečením.

Jen trochu zábavně zní případ, kdy v jednom americkém městě došlo k proniknutí hackerů do internetové sítě. Vstupní branou pro ně bylo akvárium, ve kterém byla dálkově řízena teplota vody a její slanost. Majitelé kasina nebyli úplně naivní, izolovali ovládací prvky v části firemní sítě mimo citlivé systémy. Jenže to nebylo nic platné. Útočníkům z Finska se podařilo proniknout do systémů akvária a pak je použít jako odrazový můstek do zbytku sítí kasina.

Cílem pak může být kdokoli, brazilská centrální banka i americká Národní bezpečnostní agentura. Internet věcí bude všechno ještě víc komplikovat.

David Palmer, technologický ředitel firmy Darktrace, pro Economist uvádí různé příklady. „Viděli jsme firemní špionáž mezi dodavateli uvnitř elektrárny,“ říká. „Jeden dodavatel využíval přístup v síti, aby se podíval na výkonové charakteristiky zařízení jiného dodavatele.“ Palmerova firma také objevila útok na čtečky otisků prstů, které kontrolovaly přístup do továrny na luxusní zboží. Také malware, který se šířil po nemocničním oddělení z „infikovaného“ faxu.

V roce 2016 se miliony lidí v Americe staly obětí malwaru nazvaného Mirai. Ten využil seznam výchozích uživatelských jmen a hesel, která většina uživatelů nikdy nemění a infikoval stovky tisíc připojených zařízení, od inteligentních měřičů energie po domácí kamery a připojené dětské monitory.

Nejde jen o využití pro byznys. Je možné také zasáhnout do chodu zařízení, což může ohrozit životy i majetek.

Už v roce 2015 předvedla dvojice bezpečnostních výzkumníků z Twitteru pro časopis Wired, jak lze na dálku ovládat auto za jízdy. Podařilo se jim zapnout stereo a stěrače čelního skla, zastavit motor, zabrzdit a za určitých okolností dokonce ovládat volant.

Problém je v tom, že i dobří programátoři pracující pod pečlivým dohledem udělají v průměru jednu chybu na 2000 řádků kódu. To znamená, že téměř jakékoli zařízení vybavené počítačem bude mít v sobě chyby.

Obránci jsou vždycky trochu v závěsu za útočníky. To by se dalo za určitých okolností možná ještě snést. Co když ale nějaký takový útok zamíří na elektronické volby, nebo bude jeho cílem jaderná elektrárna a řízení letecké dopravy? V dobrém případě by byl výsledkem nesmírný zmatek. Úplně by stačilo už jen vyvolat paniku a chaos.

Je až podivuhodné, jakou technologickou neschopnost většinou vykazují profesionální teroristické sítě, o kterých veřejnost slyšela nejčastěji. Útok 11. září byl vlastně udivující svou technickou jednoduchostí. Až tak, že to poskytlo prostor pro konspirační teorie. Jinak všechny ty podomácku vyrobené bomby mívají za oběť někdy samotné pachatele ještě dřív, než je dopraví na místo (zlo)činu. Trubkové bomby, nože, auta najíždějící do davu, střelba – to nejsou zrovna výkřiky poslední technologie. Fyzicky společnost jako takovou nic z toho ohrozit nemůže. Zamýšlený dopad těchto činů je ale mnohem větší, s čímž pachatelé počítají. Vyvolat ve společnosti napětí a strach. Jinak ani desetiletí po 11. září zatím žádná špinavá bomba zamořující velkoměsto, jed ve vodovodním potrubí ani biologická zbraň. Důvodem je zřejmě to, že takový útok je technicky náročný a vyžadoval by spolupráci mnoha lidí a tím roste i riziko odhalení a neúspěchu.

Jenže co když se pro skutečně nebezpečný útok rozhodne nějaká organizace nebo zločinná vláda? Může jít o vyděračství, krádeže dat nebo politické cíle a samozřejmě může dojít i na akce se stejnými výsledky, jako má „klasický“ terorismus. Těm, kdo mají za obranu před útočníky odpovědnost, nezbývá nic jiného, než prostě dělat, co je v jejich silách. Pokud bude někdo jejich práci zlehčovat a zesměšňovat, jak to vidíme v některých případech i u nás, je buď zcela neznalý, nebo je sám něco jako virus.

(Zdroj: The Economist,)