Radek Beneš, soudní znalec v oborech Kriminalistika a Kybernetika, se s námi podělil o své zkušenosti s případy, kdy došlo k napadení nebo odcizení dat.
S jakými případy kyberútoků ve veřejné správě se ve své praxi nejčastěji potýkáte? V čem spatřujete největší rizika?
Bohužel ze své praxe jsem spíše konfrontován s velmi laxním přístupem veřejné správy k zabezpečení spravovaných informací. Ve většině případů i zcela schází nějaká technická či organizační opatření, která by byla schopna vůbec nějaký kybernetický útok detekovat.
V tom lze spatřit jak dotazovaná vysoká rizika, tak navázat na dotaz z praxe. Situace, kdy bychom byli přizváni k vyšetřování odhalených bezpečnostních incidentů, ještě před nějakým konkrétním dopadem, tak prakticky nenastává a nevybavuji si za svou praxi snad žádný z oblasti veřejné správy.
Řešené jsou obvykle až případy v soudním či správním řízení, kde vyvstal reálný stěžovatel, resp. poškozený a musí se prošetřit skutková podstata řešeného případu. Takové případy jsou obvykle spojené s korupčními kauzami, zneužitím pravomocí, porušením tajemství přepravovaných zpráv a podobně.
Vybavuji si kupříkladu nedávný případ, ke kterému došlo v záležitosti vyšetřování jistého podvodu, pro které bylo potřeba zjistit data o fyzických osobách. Došlo ke zneužití neomezeného přístupu pracovníka exekutorského úřadu k datům uloženým v informačních systémech provozovaných veřejnou správou.
Jaká data ve veřejné správě vnímáte jako nejhodnotnější z pohledu možných útočníků?
To je velmi těžká otázka. Všechny informace mají svou cenu. Kupříkladu u jednoho vyšetřování podvodů při zneužití identity bylo v trestním řízení rozhodné číslo dokladu fyzické osoby. Jinými slovy lze říci, že pokud by pachatel této trestné činnosti disponoval aktuálně platnými čísly dokladů fyzických osob, za které se vydával, pak by zjevně trestní řízení mohlo dopadnout diametrálně jiným způsobem. Z vlastního průzkumu bych ale obecně označil jako nejhodnotnější data o zdravotním stavu. Jejich cena při prodeji se v zahraničí pohybuje i v řádech tisíců dolarů za zdravotní dokumentaci k jedné, fyzické osobě, což oproti desítkám dolarů za např. informace ke kreditním kartám, je signifikantní rozdíl.
Pokládáte za takto cenné i biometrické údaje?
Biometrické údaje vnímám jako jednu z necitlivějších oblastí dat, zejména s predikcí rostoucího významu v budoucnu. Málokdo si uvědomuje, že kompromitování znalosti jako je například jméno či heslo, nebo vlastnictví, například čipová karta, je velmi rychle řešitelné. Při úniku biometrických dat si však dotčená osoba velmi těžko vymění své otisky prstů, oční sítnici, obličej apod.
Při tempu, se kterým se rozvíjí virtualizace, či chcete-li digitalizace, je prokázání identity v elektronickém prostředí zásadní otázkou.
Biometrie zde bude hrát jistě klíčovou roli, tedy lze i dovodit, že pro útoky pod předstíranou identitou budou tato data velmi cenná.
Více informací získáte na konferenci Kyberbezpečnost pro veřejnou správu.
Foto: Radek Beneš archiv
Máte dotazy či připomínky?
Napištenám,
vaše názory nás zajímají.
Tento portál tvoříme společně.
Komentáře