Má být oznámení o úniku dat nařízeno zákonem?

20. 11. 2008

Sdílet

Dnes zaváděné identifikační karty jsou jen přechodným stadiem před érou univerzálních biometrických technologií a všudypřítomných čipů RFID, taktéž se stále zdokonalují technologie rozpoznávání tváří a sledování mobilních telefonů. Blížíme éře, kdy na letišti nebudeme muset vůbec předkládat pas, protože nás systémy poznají automaticky.

Pravidelná bezpečnostní konference RSA se naposledy konala v Londýně.

Akci otevřela keynote Arta Coviella, výkonného viceprezidenta společnosti EMC, jíž je RSA součástí (de facto bezpečnostní divizí). Coviello ve své keynote i v následných panelových diskusích prosazoval přijetí přísnější legislativy. Pokud by v případě jakéhokoliv úniku osobních informací musel být tento fakt zveřejněn, a to včetně chyb, které byly příčinou problémů, vedlo by to podle Coviella k tomu, že by hrozba ztráty reputace firmy nutila bezpečnostním rizikům více předcházet.

Pro a proti

Tento názor má samozřejmě celou řadu odpůrců. V první řadě představuje další regulaci. Firmy jsou už dnes zahlceny nutností dodržovat všemožné „shody s předpisy“, řešit de facto spíše legislativu než vlastní podnikání. Pak jsou zde navíc speciální případy, kdy je zveřejnění úniku dat zvlášť kontroverzní. V Británii například nedávno došlo k úniku osobních informací o pracovnících vězeňské služby – publicita by v takovém případě nakonec mohla ohrozit životy zaměstnanců i jejich rodinných příslušníků (tento argument použil Edward Gibson, vrchní poradce pro zabezpečení v britském Microsoftu a bývalý agent FBI). Nicméně podle Coviella by i v takovém případě mělo být povinně oznámeno, že k incidentu došlo, samozřejmě bez dalších podobností. Povinnost otevřeného přiznání by se měla vztahovat i na případy, když se ztratí nebo je ukraden armádní notebook.

Účast politiků

Na konferenci vystoupila se svým projevem například britská stínová ministryně bezpečnosti, baronka Neville–Jonesová, která se zabývala otázkami, jak mají data zpracovávat státní instituce, resp. vlády. Podle Neville-Jonesové bychom měli seriózně zodpovědět otázky, do jaké míry je internetová kriminalita prodlouženou rukou mezinárodního terorismu, nebo zda příští válka bude opravdu kybernetická. Dalšími řečníky byli britský komisař pro informatiku Richard Thomas a evropský komisař Peter Hustings. Prezentovala se zde také organizace ENISA (European Network and Information Security Agency) se studií, jež se zabývala především riziky ztráty identity v dnes velmi rozšířených on-line hrách a otázkami sociálních sítí. V on-line hrách, nebo obecně ve virtuálních světech, se točí stále větší peníze, což samozřejmě láká podvodníky a klade nové požadavky na provozovatele.
Podrobně diskutovaným tématem byly i zkušenosti plynoucí ze zabezpečení olympiády v Pekingu (což bylo relevantní i vzhledem k místu konání konference – příští olympiáda se roku 2012 bude pořádat právě v Londýně). Tým odpovědný za IT bezpečnost olympiády byl letos nucen sledovat přes 12 000 zařízení, včetně asi 4 000 osobních počítačů, 4 000 serverů a 4 000 síťových zařízení nacházejících se na více než 70 různých místech. Bezpečnostní systém ohlásil 70 vážných pokusů o průnik. Provozovatelé zabezpečení olympiády například uvedli, že některé záměrné bezpečnostní díry na izolovaných systémech byly hackerům předhozeny jako návnada.

Nevzdáváme se soukromí zbytečně snadno?

Bezpečnostní expert Bruce Schneier otevřel diskusi o tom, zda se v zájmu bezpečnosti nevzdáváme až příliš velké části soukromí a zda tak nečiníme zbytečně lehkomyslně. Bezpečnostní kamery jsou dnes prakticky všude. Kdo něco takového čekal třeba před pěti lety? Za dalších pět let pak budou sledovací technologie podle Schneiera samy o sobě dokonale neviditelné a vůbec nebudeme vědět, jaká část našeho života se nachází pod vnější kontrolou. Dnes zaváděné identifikační karty jsou jen přechodným stadiem před érou univerzálních biometrických technologií a všudypřítomných čipů RFID, taktéž se stále zdokonalují technologie rozpoznávání tváří a sledování mobilních telefonů. Schneier uvedl, že se blížíme éře, kdy na letišti nebudeme muset vůbec předkládat pas, protože nás systémy poznají automaticky.

Bude základem podvodů JavaScript?

Samozřejmě nechyběla ani témata úzce technická. Mario Vuksan, ředitel výzkumu ve společnosti Bit9, hovořil o budoucnosti whitelistů, o tom, jak se dají použít pro ochranu koncových bodů i obecně o jejich budoucí roli v antivirovém průmyslu. Protože v aplikacích Web 2.0 se hojně používá Ajax a JavaScript, řešilo se, zda tento jazyk bude i jádrem útočných kódů zítřka. Hodně také byly diskutovány bezpečnostní problémy technologie Flash.
Společnost RSA zveřejnila výsledky svého každoročního průzkumu věnovaného bezpečnosti bezdrátových technologií. Podle této studie je v Evropě nejvíce wifi hotspotů v Londýně (detekováno 12 276 hotspotů), k největšímu nárůstu pokrytí došlo v posledním roce v Paříži (o celých 543 procent). Bezpečnost je ale obecně nízká, a to jak u hotspotů pro domácnosti, tak i u těch firemních. Řada společností se právě kvůli nezabezpečeným Wi-Fi technologiím dokonce zřejmě dostává do rozporu s legislativními požadavky na shodu s předpisy. V Londýně stále celých 20 % firemních hotspotů nepoužívá vůbec žádné šifrování. S tím, jak je původní šifrovací standard WEP pokládán dnes již za nedostatečný, se pochopitelně stále více nasazuje pokročilejší technologie WPA nebo WPA2. I tak se ale tyto nové standardy ve všech sledovaných městech používají v méně než polovině hotspotů.
Z nových produktů zde RSA představila nástroj pro autorizaci Entitlements Policy Manager, v němž jsou bezpečnostní zásady založené na rolích a atributech. K dalším nově uvedeným produktům patřil například systém SSL Inspector společnosti Netronome, který by měl chránit proti zneužití zranitelností existujících v protokolu SSL.

Úplná verze tohoto textu vyjde v tištěném SecurityWorldu.

Autor článku