Pozor, zákony na ochranu zombie!

Jak jsem již uváděla, a nyní se o tom zmiňuje i Walter van Holst, nedávný jihokorejský DDoS útok může být ve skutečnosti zákeřný plán jak prosadit represivní zákon umožňující vládě špehovat komerční a soukromou komunikaci. Přitom Evropská bezpečnostní agentura ENISA, která nedávno vydala dvě zprávy o botnetech, místo toho podporuje myšlenku poskytovatelů internetových služeb, aby upozorňovali své zákazníky na potencionální infekci raději sami.

Nezáleží na tom, s kterým bezpečnostním analytikem mluvíte, všichni budou říkat, že uživatelé jsou ti, kdo ohrožuje bezpečnost. Vypadá to, že jihokorejské úřady to vzaly doslova a i když jsem nijak neověřovala, zdali strategie, kterou dodržují australské úřady a kterou podporuje ENISA, skutečně pomáhá uživatelům a ISP (poskytovatelé připojení k Internetu), je jasné, že úřady jsou přesvědčeny, že uživatelé nehodlají přijmout odpovědnost za vlastní bezpečnost. Protože botnety zahlcují šířku pásma, provideři se již před časem pokoušeli přijít s vlastním řešením. Pokud vím, tak se v této věci nepokračovalo, protože je jednoduché si předstírat, že jsem ISP, varující před infikovaným počítačem.

Jeden můj známý mi psal, že tento návrh je útokem na demokracii. Je, ale je to jen jedním z mnoha, a mnoho dalších je již uzákoněno. Jak jsem už říkala v celé řadě rozhovorů o obchodních dohodách, myslím si, že naše demokratické pravomoci jsou již celkem omezené skutečností, že rozhodování probíhá několik pater mimo náš dosah. Jen v loňském roce podepsala Jižní Korea dvě obchodní dohody, které nařizují tvrdé omezení sdílení souborů, čímž jihokorejská vláda již přenechala soukromí svých občanů privátním hráčům. Dalším argumentem je omezení svobody projevu online, kterou mnoho lidí dává do souvislosti s Applem, Facebookem, Googlem a dalšími komerčními hráči, jejichž aktivity s ohledem na uživatele nelze opravdu monitorovat nebo kontrolovat. Podle všeho existuje alespoň jeden technický argument proti, ale nikdo z těch, které znám, o žádném neví.

Jako v případě radarů měřících rychlost byste čekali, že řada jihokorejských uživatelů bude kvůli nové legislativě pokutovaná, ale není pravděpodobné, že by se snížilo riziko pro uživatele a vládu. Uživatelé internetu, stejně jako řidiči, nebudou myslet na všechno, nebudou aktualizovat svůj software, stejně jako nemění své pneumatiky tak často, jak by měli.

Spravování této agendy státem pravděpodobně povede k velmi malému počtu nebo dokonce pouze jedné bezpečnostní společnosti, která ponese veškerou odpovědnost za pomoc vládě při určení toho, co je nebezpečné a co není. Bohužel proces veřejných zakázek není tak transparentní, jak by měl být, a pro úřady je velice jednoduché držet se konkrétního dodavatele z důvodu pohodlnosti. Na 98 % všech počítačů v Jižní Koreji běží Microsoft Windows. Vládní dokumentace je dostupná pouze pro uživatele, kteří používají Windows. Necítila bych se dobře, pokud by podobně výsadní postavení získala jediná bezpečnostní firma. Z tohoto pohledu tedy nelze očekávat žádné zvýšení bezpečnosti.

I pokud byste, jak navrhuje ENISA, „outsourcovali” odpovědnost varovat uživatele na ISP, jednoduše se mi to nezdá jako dobré řešení. O poskytovatelích připojení jsem již napsala mnoho rozčilených příspěvků a rozhodně jim nedůvěřuji. Obchodní strategie firmy Telefónica nebo v tomto případě strategie Comcastu, Verizonu nebo dokonce Eircomu mne nenaplňují důvěrou, že tito lidé mne budou buď varovat nebo varovat takovým způsobem, který převážně neslouží jejich obchodním zájmům – a to na úkor mne samotné i mé bezpečnosti. Není tak pravděpodobné že by zde došlo ke zvýšení bezpečnosti.

Alternativním řešením by bylo zavedení počítačové bezpečnosti jako povinného předmětu ve vzdělávacím procesu. To je pravděpodobně ten nejužitečnější způsob, jak utratit veřejné peníze. Každý by měl vědět, jak si zabezpečit domácí síť, ochránit se před viry a také znát riziko virů nebo možnosti, jak si zašifrovat hard disk. Ale když mluvím s lidmi, kteří ukončili studium dokonce před pěti lety, jen velmi málo z nich si pamatuje základní matematické principy, tudíž takový systém také zřejmě není bezchybný. I přesto, je tohle to jediné, za co se vyplatí utratit veřejné peníze.

Pokud se chystáme digitalizovat společnost, myslím, že budeme muset žít s rizikem kriminality ve všech oblastech společnosti. Někteří lidé vám vykrádají auta, jiní ohrožují bezpečnost vaší sítě. Mnohem větším problémem pro společnost je však skutečnost, že naše páteřní infrastruktura, naše krizová infrastruktura, naše internetové služby a naše online portály skončí tak, že je budou všechny vlastnit stejné společnosti. Vertikální monopoly. Všimla jsem si, že toto se již děje v oblasti výroby hardwaru, což dává jednomu nebo dvěma zbývajícím výrobcům hardwaru neadekvátní vliv na to, co se vám dostane do hardwaru – specifikace nejsou otevřené, jak tedy máme vědět, co vlastně máme za zařízení? Skutečnost, že poskytovatelé internetových služeb jsou obři a my jsme jen lidé, ještě neznamená, že bychom se kvůli nim měli dát jednoduchou cestou a pokoušet se zabezpečit sítě před stranami, které rozhodně nejsou tou největší hrozbou pro bezpečnou a primárně spolehlivou síťovou infrastrukturu.

Amelia Andersdotter, členka Pirátské strany v Evropském parlamentu.
  Sdílet na Facebooku Tweet

Autor: Přeložila Daniela Čechová